Vous devez coordonner la configuration des certificats et de DNS entre tous les composants applicables pour configurer un déploiement vRealize Automation en cluster à plusieurs organisations.

Dans une configuration en cluster classique, il y a trois dispositifs Workspace ONE Access et trois dispositifs vRealize Automation, ainsi qu'un dispositif Lifecycle Manager unique.

Cette configuration suppose des déploiements en cluster pour les composants suivants :
  • Dispositifs Workspace ONE Access Identity Manager :
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • Dispositifs vRealize Automation :
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Dispositif Lifecycle Manager

Conditions requises de DNS

Vous devez créer des enregistrements de type A principaux pour chaque composant et pour chacun des locataires que vous créerez lorsque vous activez l'architecture mutualisée. En outre, vous devez créer des enregistrements de type CNAME à locataires multiples pour chacun des locataires que vous allez créer, sans inclure le locataire principal. Enfin, vous devez également créer des enregistrements de type A principaux pour les équilibrages de charge Workspace ONE Access et vRealize Automation.

  • Créez des enregistrements de type A pour les trois dispositifs Workspace ONE Access et pour les dispositifs vRealize Automation qui pointent vers leurs noms de domaine complets respectifs.
  • En outre, créez des enregistrements de type A pour l'équilibrage de charge Workspace ONE Access et l'équilibrage de charge vRealize Automation qui pointent vers leurs noms de domaine complets respectifs.
  • Créez des enregistrements de type A à locataires multiples pour le locataire par défaut et pour les locataires tenant-1 et tenant-2 qui pointent vers l'adresse IP de l'équilibrage de charge Workspace ONE Access.
  • Créez des enregistrements CNAME pour les locataires tenant-1 et tentant-2 qui pointent vers l'adresse IP de l'équilibrage de charge vRealize Automation.

Conditions requises des certificats SAN (Subject Alternative Name)

Vous devez créer deux certificats Workspace ONE Access, un premier qui s'applique aux dispositifs de cluster, un autre qui s'applique à l'équilibrage de charge. En outre, créez un certificat qui s'applique aux dispositifs vRealize Automation, aux locataires que vous créez (à l'exception du locataire par défaut) et à l'équilibrage de charge.
  • Créez un certificat pour les dispositifs Workspace ONE Access qui répertorient les noms de domaine complets des dispositifs Workspace ONE Access, ainsi que le locataire par défaut et d'autres locataires que vous créez. Ce certificat doit inclure les adresses IP des dispositifs Workspace ONE Access.
  • Nous vous recommandons de créer une terminaison SSL sur l'équilibrage de charge. Pour prendre en charge cette terminaison, créez un certificat pour l'équilibreur de charge Workspace ONE Access qui répertorie les noms de domaine complets de l'équilibreur de charge Workspace ONE Access ainsi que le locataire par défaut et tous les autres locataires que vous créez. Ce certificat doit inclure l'adresse IP de l'équilibrage de charge.
  • Vous devez créer un certificat pour vRealize Automation qui répertorie les noms d'hôte des trois dispositifs vRealize Automation, ainsi que l'équilibrage de charge associé et les locataires que vous créez. En outre, il doit répertorier les adresses IP des trois dispositifs vRealize Automation.
  • Pour simplifier la configuration, vous pouvez utiliser des caractères génériques pour les certificats Workspace ONE Access et vRealize Automation. Par exemple, *.example.com, *.vra.example.com et *.vra-lb.example.com.
    Note : vRealize Automation prend en charge les certificats génériques uniquement pour les noms DNS qui correspondent aux spécifications de la liste de suffixes publics sur https://publicsuffix.org. Par exemple, *.myorg.com est un nom valide.

Si vous utilisez une configuration de Workspace ONE Access en cluster, notez que Lifecycle Manager ne peut pas mettre à jour les certificats d'équilibreur de charge. Vous devez donc les mettre à jour manuellement. En outre, si vous devez réenregistrer des produits ou des services externes à Lifecycle Manager, il s'agit d'un processus manuel.

Résumé des entrées DNS et des certificats pour une configuration à plusieurs organisations en cluster

Les tableaux suivants décrivent les enregistrements DNS de type A principaux et de type de nom C, et les exigences de certificat pour un déploiement de Workspace ONE Access et vRealize Automation en cluster à plusieurs organisations.

Conditions requises de DNS Conditions requises des certificats SAN
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace One Certificate
Nom de l'hôte :
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Note : Tous les enregistrements de type A à plusieurs locataires doivent pointer vers l'adresse IP de l'équilibrage de charge vIDM/WS1A.
Workspace One LB Certificate (LB Terminated)
Nom de l'hôte :
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
 vRealize Automation Certificate
Nom de l'hôte :
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Aucun certificat n'est requis sur l'équilibrage de charge de vRealize Automation, car il utilise le relais SSL.
Note : Chaque locataire supplémentaire que vous ajoutez doit être répertorié séparément dans le certificat vRealize Automation, les enregistrements CNAME à plusieurs locataires, les enregistrements de type A à plusieurs locataires, le certificat Workspace One et le certificat d'équilibreur de charge Workspace One.
Note : Les noms de fichier *. com sont uniquement utilisés en tant qu'exemple. Ils peuvent ne pas s'appliquer à la plupart des environnements d'entreprise.