Sie müssen die Zertifikat- und DNS-Konfiguration zwischen allen zutreffenden Komponenten koordinieren, um eine geclusterte vRealize Automation-Bereitstellung mit mehrere Organisationen einzurichten.

In einer typischen geclusterten Konfiguration gibt es drei Workspace ONE Access-Appliances und drei vRealize Automation-Appliances sowie eine einzelne Lifecycle Manager-Appliance.

Diese Konfiguration setzt Clusterbereitstellungen für die folgenden Komponenten voraus:
  • Workspace ONE Access Identity Manager-Appliances:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • vRealize Automation-Appliances:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Lifecycle Manager-Appliance

DNS-Anforderungen

Sie müssen Datensätze vom Typ „Main A“ sowohl für jede Komponente als auch für jeden der Mandanten erstellen, die Sie beim Aktivieren der Mehrmandantenfähigkeit erstellen. Darüber hinaus müssen Sie mehrmandantenfähige Datensätze des Typs CNAME für jeden erstellten Mandanten außer dem Mastermandanten erstellen. Schließlich müssen Sie auch Datensätze vom Typ „Main A“ für die Workspace ONE Access- und vRealize Automation-Lastausgleichsdienste erstellen.

  • Erstellen Sie Datensätze des Typs A für die drei Workspace ONE Access-Appliances und für die vRealize Automation-Appliances, die auf die jeweiligen FQDNs verweisen.
  • Erstellen Sie außerdem Datensätze des Typs A für die Workspace ONE Access- und vRealize Automation-Lastausgleichsdienste, die auf die jeweiligen FQDNs verweisen.
  • Erstellen Sie mehrmandantenfähige Datensätze des Typs A für den Standardmandanten und für Mandant-1 und Mandant-2, die auf die IP-Adresse des Workspace ONE Access-Lastausgleichsdiensts verweisen.
  • Erstellen Sie CNAME-Datensätze für Mandant-1 und Mandant-2, die auf die IP-Adresse des vRealize Automation-Lastausgleichsdiensts verweisen.

Anforderungen für SAN-Zertifikate (Subject Alternative Name)

Sie müssen zwei Workspace ONE Access-Zertifikate erstellen, eines für die Clusteranwendungen und eines für den Lastausgleichsdienst. Erstellen Sie außerdem ein Zertifikat, das für die vRealize Automation-Appliances, die von Ihnen erstellten Mandanten (ausschließlich des Standardmandanten) und den Lastausgleichsdienst gilt.
  • Erstellen Sie ein Zertifikat für die Workspace ONE Access-Appliances, das die FQDNs der Workspace ONE Access-Appliances sowie den Standardmandanten und andere von Ihnen erstellte Mandanten auflistet. Dieses Zertifikat muss die IP-Adressen der Workspace ONE Access-Appliances enthalten.
  • Erstellen Sie als Best Practice eine SSL-Terminierung auf dem Lastausgleichsdienst. Erstellen Sie zur Unterstützung dieser Terminierung ein Zertifikat für den Workspace ONE Access-Lastausgleichsdienst, das den FQDN des Workspace ONE Access-Lastausgleichsdiensts sowie den Standardmandanten und alle anderen von Ihnen erstellten Mandanten auflistet. Dieses Zertifikat muss die IP-Adresse des Lastausgleichsdiensts enthalten.
  • Sie müssen ein Zertifikat für vRealize Automation erstellen, in dem die Hostnamen der drei vRealize Automation-Appliances sowie der dazugehörige Lastausgleichsdienst und die von Ihnen erstellten Mandanten aufgelistet werden. Darüber hinaus müssen die IP-Adressen der drei vRealize Automation-Appliances aufgelistet werden.
  • Als Option zur Vereinfachung der Konfiguration können Sie Platzhalter für die Workspace ONE Access- und vRealize Automation-Zertifikate verwenden. Beispiel: *.example.com, *.vra.example.com und *.vra-lb.example.com.
    Hinweis: vRealize Automation 8.x unterstützt Platzhalterzertifikate nur für DNS-Namen, die mit den Spezifikationen in der Liste der öffentlichen Suffixe unter https://publicsuffix.org übereinstimmen. Beispielsweise ist *.myorg.com ein gültiger Name, wohingegen *.myorg.local ungültig ist.

Beachten Sie bei Verwendung einer Workspace ONE Access-Clusterkonfiguration, dass Lifecycle Manager die Zertifikate des Lastausgleichsdiensts nicht aktualisieren kann. Die Zertifikate müssen in diesem Fall manuell aktualisiert werden. Darüber hinaus müssen Produkte oder Dienste, die sich außerhalb von Lifecycle Manager befinden, manuell neu registriert werden.

Zusammenfassung der DNS-Einträge und -Zertifikate für eine Clusterkonfiguration mit mehreren Organisationen

In den folgenden Tabellen werden DNS-Hauptdatensätze des Typs A und Datensätze des Typs CNAME für eine geclusterte Workspace ONE Access- und geclusterte vRealize Automation-Bereitstellung mit mehreren Organisationen beschrieben.

DNS-Anforderungen Anforderungen an SAN-Zertifikate
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
Workspace One Certificate
Hostname:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
Hinweis: Alle mehrmandantenfähige Datensätze des Typs A müssen auf die IP-Adresse des vIDM/WS1A-Lastausgleichsdiensts verweisen.
Workspace One LB Certificate (LB Terminated)
Hostname:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local – vra-lb.example.local
  • tenant-2.vra-lb.example.local – vra-lb.example.local
vRealize Automation Certificate
Hostname:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

Für den vRealize Automation-Lastausgleichsdienst ist kein Zertifikat erforderlich, da es SSL Passthrough verwendet.

Hinweis: Jeder zusätzliche Mandant, den Sie hinzufügen, muss separat im vRealize Automation-Zertifikat, in den mehrmandantenfähigen CNAME-Datensätzen, den mehrmandatenfähigen Datensätzen des Typs A, im Workspace ONE-Zertifikat und im Workspace ONE LB-Zertifikat aufgelistet werden.
Hinweis: Die *.local-Dateinamen werden nur als Beispiel verwendet. Sie gelten möglicherweise nicht für die meisten Geschäftsumgebungen.