Debe coordinar la configuración de certificados y DNS entre todos los componentes aplicables a fin de configurar una implementación de vRealize Automation agrupada en clúster para varias organizaciones.

En una configuración agrupada en clúster típica, hay tres dispositivos de Workspace ONE Access y tres dispositivos de vRealize Automation, así como un solo dispositivo de Lifecycle Manager.

Esta configuración asume implementaciones agrupadas en clúster para los siguientes componentes:
  • Dispositivos de Workspace ONE Access Identity Manager:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • Dispositivos de vRealize Automation:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Dispositivo de Lifecycle Manager

Requisitos de DNS

Debe crear ambos registros de tipo A principales para cada componente y para cada uno de los tenants que creará cuando habilite la configuración para varios tenants. Asimismo, debe crear registros de tipo CNAME de varios tenants para cada uno de los tenants que creará, sin contar el tenant principal. Por último, también debe crear registros de tipo A principales para los equilibradores de carga de Workspace ONE Access y vRealize Automation.

  • Cree registros de tipo A para los tres dispositivos de Workspace ONE Access y para los dispositivos de vRealize Automation que apunten a sus respectivos FQDN.
  • Además, cree registros de tipo A para el equilibrador de carga de Workspace ONE Access y el equilibrador de carga de vRealize Automation que apunten a sus respectivos FQDN.
  • Cree registros de tipo A de varios tenants para el tenant predeterminado y para los tenant-1 y tenant-2 que apunten a la dirección IP del equilibrador de carga de Workspace ONE Access.
  • Cree registros CNAME para los tenant-1 y tenant-2 que apuntan a la dirección IP del equilibrador de carga de vRealize Automation.

Requisitos de los certificados de nombre alternativo de asunto (SAN)

Debe crear dos certificados de Workspace ONE Access, uno que se aplique a los dispositivos del clúster y otro que se aplique al equilibrador de carga. Además, cree un certificado que se aplique a los dispositivos de vRealize Automation, a los tenants que va a crear (excluyendo el tenant predeterminado) y al equilibrador de carga.
  • Cree un certificado para los dispositivos de Workspace ONE Access que muestren los FQDN de los dispositivos de Workspace ONE Access, así como el tenant predeterminado y otros tenants que cree. Este certificado debe incluir las direcciones IP de los dispositivos de Workspace ONE Access.
  • Se recomienda crear una terminación SSL en el equilibrador de carga. Si desea admitir esta terminación, cree un certificado para el equilibrador de carga de Workspace ONE Access que enumere los FQDN del equilibrador de carga de Workspace ONE Access, así como el tenant predeterminado y todos los demás tenants que cree. Este certificado debe incluir la dirección IP del equilibrador de carga.
  • Debe crear un certificado para vRealize Automation que enumere los nombres de host de los tres dispositivos de vRealize Automation, así como el equilibrador de carga relacionado y los tenants que esté creando. Además, debería enumerar las direcciones IP de los tres dispositivos de vRealize Automation.
  • Para simplificar la configuración, puede utilizar comodines para los certificados de Workspace ONE Access y de vRealize Automation. Por ejemplo, *.example.com, *.vra.example.com y *.vra-lb.example.com.
    Nota: vRealize Automation 8.x solo admite certificados comodín para nombres DNS que coincidan con las especificaciones de la lista de sufijos públicos en https://publicsuffix.org. Por ejemplo, *.myorg.com es un nombre válido, mientras que *.myorg.local no lo es.

Si utiliza una configuración de Workspace ONE Access agrupada en clúster, tenga en cuenta que Lifecycle Manager no puede actualizar los certificados del equilibrador de carga, por lo que debe actualizarlos manualmente. Además, si necesita volver a registrar productos o servicios que son externos a Lifecycle Manager, debe hacerlo de forma manual.

Resumen de las entradas de DNS y los certificados para una configuración de varias organizaciones agrupada en clúster

En las siguientes tablas, se describen los registros de tipo A principales de DNS y los registros de tipo de nombre C, así como los requisitos de certificados para una implementación de varias organizaciones de una instancia de Workspace ONE Access agrupada en clúster y una instancia de vRealize Automation agrupada en clúster.

Requisitos de DNS Requisitos del certificado de SAN
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
Workspace One Certificate
Nombre de host:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
Nota: Todos los registros de tipo A de varios tenants deben apuntar a la dirección IP del equilibrador de carga de vIDM/WS1A.
Workspace One LB Certificate (LB Terminated)
Nombre de host:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local - vra-lb.example.local
  • tenant-2.vra-lb.example.local - vra-lb.example.local
vRealize Automation Certificate
Nombre de host:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

No se requiere ningún certificado en el equilibrador de carga vRealize Automation, ya que utiliza el acceso directo a SSL.

Nota: Cada tenant adicional que agregue debe aparecer por separado en el certificado de vRealize Automation, los registros CNAME de varios tenants, los registros de tipo A de varios tenants, el certificado de Workspace ONE y el certificado de Workspace ONE LB.
Nota: Los nombres de archivo *.local solo se emplean como ejemplo. Es posible que no se apliquen a la mayoría de los entornos empresariales.