Debe coordinar la configuración de certificados y DNS entre todos los componentes aplicables a fin de configurar una implementación de vRealize Automation agrupada en clúster para varias organizaciones.
En una configuración agrupada en clúster típica, hay tres dispositivos de Workspace ONE Access y tres dispositivos de vRealize Automation, así como un solo dispositivo de Lifecycle Manager.
- Dispositivos de Workspace ONE Access Identity Manager:
- idm1.example.local
- idm2.example.local
- idm3.example.local
- idm-lb.example.local
- Dispositivos de vRealize Automation:
- vra-1.example.local
- vra-2.example.local
- vra-3.example.local
- vra-lb.example.local
- Dispositivo de Lifecycle Manager
Requisitos de DNS
Debe crear ambos registros de tipo A principales para cada componente y para cada uno de los tenants que creará cuando habilite la configuración para varios tenants. Asimismo, debe crear registros de tipo CNAME de varios tenants para cada uno de los tenants que creará, sin contar el tenant principal. Por último, también debe crear registros de tipo A principales para los equilibradores de carga de Workspace ONE Access y vRealize Automation.
- Cree registros de tipo A para los tres dispositivos de Workspace ONE Access y para los dispositivos de vRealize Automation que apunten a sus respectivos FQDN.
- Además, cree registros de tipo A para el equilibrador de carga de Workspace ONE Access y el equilibrador de carga de vRealize Automation que apunten a sus respectivos FQDN.
- Cree registros de tipo A de varios tenants para el tenant predeterminado y para los tenant-1 y tenant-2 que apunten a la dirección IP del equilibrador de carga de Workspace ONE Access.
- Cree registros CNAME para los tenant-1 y tenant-2 que apuntan a la dirección IP del equilibrador de carga de vRealize Automation.
Requisitos de los certificados de nombre alternativo de asunto (SAN)
- Cree un certificado para los dispositivos de Workspace ONE Access que muestren los FQDN de los dispositivos de Workspace ONE Access, así como el tenant predeterminado y otros tenants que cree. Este certificado debe incluir las direcciones IP de los dispositivos de Workspace ONE Access.
- Se recomienda crear una terminación SSL en el equilibrador de carga. Si desea admitir esta terminación, cree un certificado para el equilibrador de carga de Workspace ONE Access que enumere los FQDN del equilibrador de carga de Workspace ONE Access, así como el tenant predeterminado y todos los demás tenants que cree. Este certificado debe incluir la dirección IP del equilibrador de carga.
- Debe crear un certificado para vRealize Automation que enumere los nombres de host de los tres dispositivos de vRealize Automation, así como el equilibrador de carga relacionado y los tenants que esté creando. Además, debería enumerar las direcciones IP de los tres dispositivos de vRealize Automation.
- Para simplificar la configuración, puede utilizar comodines para los certificados de Workspace ONE Access y de vRealize Automation. Por ejemplo,
*.example.com
,*.vra.example.com
y*.vra-lb.example.com
.Nota: vRealize Automation 8.x solo admite certificados comodín para nombres DNS que coincidan con las especificaciones de la lista de sufijos públicos en https://publicsuffix.org. Por ejemplo,*.myorg.com
es un nombre válido, mientras que*.myorg.local
no lo es.
Si utiliza una configuración de Workspace ONE Access agrupada en clúster, tenga en cuenta que Lifecycle Manager no puede actualizar los certificados del equilibrador de carga, por lo que debe actualizarlos manualmente. Además, si necesita volver a registrar productos o servicios que son externos a Lifecycle Manager, debe hacerlo de forma manual.
Resumen de las entradas de DNS y los certificados para una configuración de varias organizaciones agrupada en clúster
En las siguientes tablas, se describen los registros de tipo A principales de DNS y los registros de tipo de nombre C, así como los requisitos de certificados para una implementación de varias organizaciones de una instancia de Workspace ONE Access agrupada en clúster y una instancia de vRealize Automation agrupada en clúster.
Requisitos de DNS | Requisitos del certificado de SAN |
---|---|
Main A Type Records
|
Workspace One Certificate
Nombre de host:
|
Multi-Tenancy A Type Records
Nota: Todos los registros de tipo A de varios tenants deben apuntar a la dirección IP del equilibrador de carga de vIDM/WS1A.
|
Workspace One LB Certificate (LB Terminated)
Nombre de host:
|
Multi-Tenancy CNAME Type Records
|
vRealize Automation Certificate
Nombre de host:
No se requiere ningún certificado en el equilibrador de carga vRealize Automation, ya que utiliza el acceso directo a SSL. |