必须协调所有适用组件之间的证书和 DNS 配置,才能设置多组织集群 vRealize Automation 部署。

在典型的集群配置中,有三个 Workspace ONE Access 设备和三个 vRealize Automation 设备以及一个 Lifecycle Manager 设备。

此配置为以下组件采用集群部署:
  • Workspace ONE Access Identity Manager 设备:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • vRealize Automation 设备:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Lifecycle Manager 设备

DNS 要求

您必须为每个组件和将在启用多租户时创建的每个租户同时创建两个主 A 类型记录。此外,您还必须为将要创建的每个租户(不包括主租户)创建多租户 CNAME 类型记录。最后,您还必须为 Workspace ONE AccessvRealize Automation 负载均衡器创建主 A 类型的记录。

  • 为三个 Workspace ONE Access 设备以及指向各自 FQDN 的 vRealize Automation 设备创建 A 类型记录。
  • 此外,为 Workspace ONE Access 负载均衡器以及指向各自 FQDN 的 vRealize Automation 负载均衡器创建 A 类型记录。
  • 为默认租户以及指向 Workspace ONE Access 负载均衡器 IP 地址的 tenant-1 和 tenant-2 创建多租户 A 类型记录。
  • 为指向 vRealize Automation 负载均衡器 IP 地址的 tenant-1 和 tenant-2 创建 CNAME 记录。

主体备用名称 (SAN) 证书要求

您必须创建两个 Workspace ONE Access 证书,一个证书应用于集群设备,另一个应用于负载均衡器。此外,还需创建一个应用于 vRealize Automation 设备、您将要创建的租户(不包括默认租户)和负载均衡器的证书。
  • Workspace ONE Access 设备创建一个证书,该证书将列出 Workspace ONE Access 设备的 FQDN 以及默认租户和您创建的其他租户。此证书应包含 Workspace ONE Access 设备的 IP 地址。
  • 最佳做法是在负载均衡器上创建 SSL 终端。要支持此终端,请为 Workspace ONE Access 负载均衡器创建一个证书,该证书将列出 Workspace ONE Access 负载均衡器的 FQDN 以及默认租户和您创建的所有其他租户。此证书应包含负载均衡器的 IP 地址。
  • 您必须为 vRealize Automation 创建一个证书,该证书将列出三个 vRealize Automation 设备的主机名、相关负载均衡器和您要创建的租户。此外,它还应列出三个 vRealize Automation 设备的 IP 地址。
  • 作为简化配置的选项,您可以对 Workspace ONE AccessvRealize Automation 证书使用通配符。例如,*.example.com*.vra.example.com*.vra-lb.example.com
    注: vRealize Automation 8.x 仅对符合公共后缀列表 ( https://publicsuffix.org) 中的规范的 DNS 名称支持通配符证书。例如, *.myorg.com 是有效名称,而 *.myorg.local 无效。

如果使用的是集群 Workspace ONE Access 配置,请注意,Lifecycle Manager 无法更新负载均衡器证书,因此您必须手动进行更新。此外,如果您需要重新注册 Lifecycle Manager 外部的产品或服务,这是一个手动过程。

集群多组织配置的 DNS 条目和证书汇总

下表概述了集群 Workspace ONE Access 和集群 vRealize Automation 多组织部署的 DNS 主 A 类型记录和 C 名称类型记录以及证书的要求。

DNS 要求 SAN 证书要求
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
 Workspace One Certificate
主机名称:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
注: 所有多租户 A 类型记录必须指向 vIDM/WS1A 负载均衡器 IP 地址。
Workspace One LB Certificate (LB Terminated)
主机名称:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local - vra-lb.example.local
  • tenant-2.vra-lb.example.local - vra-lb.example.local
 vRealize Automation Certificate
主机名称:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

vRealize Automation 负载均衡器上,不需要任何证书,因为它使用 SSL 直通。
注: 添加的每个额外租户都必须在 vRealize Automation 证书、多租户 CNAME 记录、多租户类型 A 记录、Workspace One 证书和 Workspace One LB 证书中单独列出。
注: 例如, *.local 文件名仅供示例使用,可能不适用于大多数业务环境。