多组织租户 vRealize Automation 配置依赖于多个产品之间的协调配置,您必须确保 DNS 设置和证书配置正确无误,多组织租户配置才能正常发挥作用。

此多组织配置假设以下组件使用单节点部署:
  • Lifecycle Manager
  • Workspace ONE Access Identity Manager
  • vRealize Automation

此外,还假设您从默认租户(即提供商组织)开始,并创建两个子租户,分别称为 tenant-1 和 tenant-2。

可以在 vRealize Suite Lifecycle Manager 中使用 Locker 服务创建并应用证书,也可以使用其他机制。通过 Lifecycle Manager,还可以在 vRealize AutomationWorkspace ONE Access 上替换或重新信任证书。

DNS 要求

必须为系统组件创建主 A 类型记录和 CNAME 类型记录,如下所述。
  • 为每个系统组件和将在启用多租户时创建的每个租户同时创建两个主 A 类型记录。
  • 为将要创建的每个租户以及主租户创建多租户 A 类型记录。
  • 为将要创建的每个租户(不包括主租户)创建多租户 CNAME 类型记录。

单节点多租户部署的证书要求

必须创建两个主体备用名称 (SAN) 证书,一个用于 Workspace ONE Access,另一个用于 vRealize Automation

  • vRealize Automation 证书列出了 vRealize Automation 服务器的主机名和您将创建的租户的名称。
  • Workspace ONE Access 证书列出了 Workspace ONE Access 服务器的主机名和您正在创建的租户名称。
  • 如果使用专用 SAN 名称,则在添加或删除主机或者更改主机名时,必须手动更新证书。还必须为租户更新 DNS 条目。作为简化配置的选项,您可以对 Workspace ONE AccessvRealize Automation 证书使用通配符。例如,*.example.com*.vra.example.com
    注: vRealize Automation 8.x 仅对符合公共后缀列表 ( https://publicsuffix.org) 中的规范的 DNS 名称支持通配符证书。例如, *.myorg.com 是有效名称,而 *.myorg.local 无效。

请注意,Lifecyle Manager 不会为每个租户创建单独的证书。相反,它会对列出的每个租户主机名创建单个证书。对于基本配置,租户的 CNAME 使用以下格式:tenantname.vrahostname.domain。对于高可用性配置,名称使用以下格式:tenantname.vraLBhostname.domain。

汇总

下表汇总了单节点 Workspace ONE Access 和单节点 vRealize Automation 部署的 DNS 和证书要求。

DNS 要求 SAN 证书要求
Main A Type Records

lcm.example.com

WorkspaceOne.example.com

vra.example.com

Workspace One Certificate

主机名称:

WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com

Multi-tenancy A Type Records

default-tenant.example.com

tenant-1.example.com

tenant-2.example.com

Multi-Tenancy CNAME Type Records

tenant-1.vra.example.com

tenant-2.vra.example.com

vRealize Automation Certificate

主机名称:

vra.example.com、tenant-1.vra.example.com、tenant-2.vra.example.com