vRealize Automation-Konfigurationen mit Mandantenfähigkeit für mehrere Organisationen stützten sich auf die koordinierte Konfiguration zwischen mehreren Produkten. Es muss sichergestellt werden, dass DNS-Einstellungen und Zertifikate ordnungsgemäß konfiguriert sind, damit die Konfiguration mit Mandantenfähigkeit für mehrere Organisationen funktioniert.
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
Außerdem wird davon ausgegangen, dass Sie mit einem Standardmandanten beginnen, der als Anbieterorganisation fungiert, und dass Sie zwei Untermandanten erstellen, die als Mandant-1 und Mandant-2 bezeichnet werden.
Sie können Zertifikate mithilfe des Locker-Diensts in vRealize Suite Lifecycle Manager erstellen und anwenden. Sie können aber auch einen anderen Mechanismus verwenden. Mit Lifecycle Manager können Sie Zertifikate in vRealize Automation oder Workspace ONE Access ersetzen oder diesen erneut vertrauen.
DNS-Anforderungen
- Erstellen Sie Hauptdatensätze des Typs A für jede Systemkomponente und für jeden Mandanten, den Sie beim Aktivieren der Mehrmandantenfähigkeit erstellen.
- Erstellen Sie mehrmandantenfähige Datensätze des Typs A für jeden von Ihnen erstellten Mandanten sowie für den Mastermandanten.
- Erstellen Sie mehrmandantenfähige Datensätze des Typs CNAME für jeden von Ihnen erstellten Mandanten mit Ausnahme des Mastermandanten.
Zertifikatsanforderungen für eine Mehrmandantenbereitstellung mit einem Knoten
Sie müssen außerdem zwei SAN-Zertifikate (Subject Alternative Name) erstellen, eines für Workspace ONE Access und eines für vRealize Automation.
- Das vRealize Automation-Zertifikat listet den Hostnamen des vRealize Automation-Servers sowie die Namen der von Ihnen erstellten Mandanten auf.
- Das Workspace ONE Access-Zertifikat listet den Hostnamen des Workspace ONE Access-Servers und die Namen der von Ihnen erstellten Mandanten auf.
- Bei Verwendung von dedizierten SAN-Namen müssen Zertifikate manuell aktualisiert werden, wenn Sie Hosts hinzufügen oder löschen oder einen Hostnamen ändern. Außerdem müssen Sie DNS-Einträge für Mandanten aktualisieren. Als Option zur Vereinfachung der Konfiguration können Sie Platzhalter für die Workspace ONE Access- und vRealize Automation-Zertifikate verwenden. Beispiel:
*.example.com
und*.vra.example.com
.Hinweis: vRealize Automation 8.x unterstützt Platzhalterzertifikate nur für DNS-Namen, die mit den Spezifikationen in der Liste der öffentlichen Suffixe unter https://publicsuffix.org übereinstimmen. Beispielsweise ist*.myorg.com
ein gültiger Name, wohingegen*.myorg.local
ungültig ist.
Beachten Sie, dass Lifecyle Manager keine separaten Zertifikate für jeden Mandanten erstellt. Stattdessen wird ein einzelnes Zertifikat erstellt, in dem der Hostname jedes Mandanten aufgelistet ist. In Basiskonfigurationen wird für den CNAME des Mandanten folgendes Format verwendet: tenantname.vrahostname.domain. In Hochverfügbarkeitskonfigurationen wird für den Namen folgendes Format verwendet: tenantname.vraLBhostname.domain.
Zusammenfassung
In der folgenden Tabelle werden die DNS- und Zertifikatsanforderungen für eine Workspace ONE Access- und vRealize Automation-Bereitstellung mit einem Knoten zusammengefasst.
DNS-Anforderungen | Anforderungen an SAN-Zertifikate |
---|---|
Main A Type Records lcm.example.local WorkspaceOne.example.local vra.example.local |
Workspace One Certificate Hostname: WorkspaceOne.example.local, default-tenant.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local |
Multi-tenancy A Type Records default-tenant.example.local tenant-1.example.local tenant-2.example.local |
|
Multi-Tenancy CNAME Type Records tenant-1.vra.example.local tenant-2.vra.example.local |
vRealize Automation Certificate Hostname: vra.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local |