VMware Aria Automation-Konfigurationen mit Mandantenfähigkeit für mehrere Organisationen stützten sich auf die koordinierte Konfiguration zwischen mehreren Produkten. Es muss sichergestellt werden, dass DNS-Einstellungen und Zertifikate ordnungsgemäß konfiguriert sind, damit die Konfiguration mit Mandantenfähigkeit für mehrere Organisationen funktioniert.
- VMware Aria Suite Lifecycle
- Workspace ONE Access Identity Manager
- VMware Aria Automation
Außerdem wird davon ausgegangen, dass Sie mit einem Standardmandanten beginnen, der als Anbieterorganisation fungiert, und dass Sie zwei Untermandanten erstellen, die als Mandant-1 und Mandant-2 bezeichnet werden.
Sie können Zertifikate mithilfe des Locker-Diensts in VMware Aria Suite Lifecycle erstellen und anwenden. Sie können aber auch einen anderen Mechanismus verwenden. Mit VMware Aria Suite Lifecycle können Sie Zertifikate in VMware Aria Automation oder Workspace ONE Access ersetzen oder diesen erneut vertrauen.
DNS-Anforderungen
- Erstellen Sie Hauptdatensätze des Typs A für jede Systemkomponente und für jeden Mandanten, den Sie beim Aktivieren der Mehrmandantenfähigkeit erstellen.
- Erstellen Sie mehrmandantenfähige Datensätze des Typs A für jeden von Ihnen erstellten Mandanten sowie für den primären Mandanten.
- Erstellen Sie mehrmandantenfähige Datensätze des Typs CNAME für jeden von Ihnen erstellten Mandanten mit Ausnahme des primären Mandanten.
Zertifikatsanforderungen für eine Mehrmandantenbereitstellung mit einem Knoten
Sie müssen außerdem zwei SAN-Zertifikate (Subject Alternative Name) erstellen, eines für Workspace ONE Access und eines für VMware Aria Automation.
- Das VMware Aria Automation-Zertifikat listet den Hostnamen des VMware Aria Automation-Servers sowie die Namen der von Ihnen erstellten Mandanten auf.
- Das Workspace ONE Access-Zertifikat listet den Hostnamen des Workspace ONE Access-Servers und die Namen der von Ihnen erstellten Mandanten auf.
- Bei Verwendung von dedizierten SAN-Namen müssen Zertifikate manuell aktualisiert werden, wenn Sie Hosts hinzufügen oder löschen oder einen Hostnamen ändern. Außerdem müssen Sie DNS-Einträge für Mandanten aktualisieren. Als Option zur Vereinfachung der Konfiguration können Sie Platzhalter für die Workspace ONE Access- und VMware Aria Automation-Zertifikate verwenden. Beispiel:
*.example.comund*.vra.example.com.Hinweis: VMware Aria Automation unterstützt Platzhalterzertifikate nur für DNS-Namen, die mit den Spezifikationen in der Liste der öffentlichen Suffixe unter https://publicsuffix.org übereinstimmen. Beispielsweise ist*.myorg.comein gültiger Name, wohingegen*.myorg.localungültig ist.
Beachten Sie, dass VMware Aria Suite Lifecycle keine separaten Zertifikate für jeden Mandanten erstellt. Stattdessen wird ein einzelnes Zertifikat erstellt, in dem der Hostname jedes Mandanten aufgelistet ist. In Basiskonfigurationen wird für den CNAME des Mandanten folgendes Format verwendet: tenantname.vrahostname.domain. In Hochverfügbarkeitskonfigurationen wird für den Namen folgendes Format verwendet: tenantname.vraLBhostname.domain.
Zusammenfassung
In der folgenden Tabelle werden die DNS- und Zertifikatsanforderungen für eine Workspace ONE Access- und VMware Aria Automation-Bereitstellung mit einem Knoten zusammengefasst.
| DNS-Anforderungen | Anforderungen an SAN-Zertifikate |
|---|---|
| Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace ONE AccessCertificate Hostname: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
| Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
VMware Aria Automation Certificate Hostname: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
