Le configurazioni di VMware Aria Automation di tenancy di più organizzazioni si basano su una configurazione coordinata tra diversi prodotti ed è necessario assicurarsi che i certificati e le impostazioni DNS siano configurati correttamente affinché la configurazione di tenancy di più organizzazioni funzioni correttamente.
- VMware Aria Suite Lifecycle
- Workspace ONE Access Identity Manager
- VMware Aria Automation
Presuppone inoltre che si stia iniziando con un tenant predefinito, ovvero l'organizzazione del provider, e che si stiano creando due tenant secondari, denominati tenant-1 e tenant-2.
È possibile creare e applicare certificati utilizzando il servizio Locker in VMware Aria Suite Lifecycle oppure usare un altro meccanismo. VMware Aria Suite Lifecycle consente inoltre di sostituire o considerare di nuovo attendibili i certificati in VMware Aria Automation o Workspace ONE Access.
Requisiti DNS
- Creare entrambi i record di tipo A principali per ciascun componente di sistema e per ognuno dei tenant creati quando si abilita il multi-tenancy.
- Creare record di tipo A multi-tenancy per ogni tenant che verrà creato e per il tenant principale.
- Creare record di tipo CNAME multi-tenancy per ogni tenant che verrà creato, senza includere il tenant principale.
Requisiti del certificato per la distribuzione multi-tenancy con un solo nodo
È necessario creare due certificati SAN (Subject Alternative Name), uno per Workspace ONE Access e uno per VMware Aria Automation.
- Nel certificato di VMware Aria Automation sono elencati il nome host del server di VMware Aria Automation e i nomi dei tenant che verranno creati.
- Nel certificato di Workspace ONE Access vengono elencati il nome host del server di Workspace ONE Access e i nomi dei tenant che si stanno creando.
- Se si utilizzano nomi SAN dedicati, i certificati devono essere aggiornati manualmente quando si aggiungono o si eliminano host o si modifica un nome host. È inoltre necessario aggiornare le voci DNS per i tenant. Come opzione per semplificare la configurazione, è possibile utilizzare i caratteri jolly per i certificati di Workspace ONE Access e VMware Aria Automation. Ad esempio,
*.example.come*.vra.example.com.Nota: VMware Aria Automation supporta i certificati con caratteri jolly solo per i nomi DNS che soddisfano le specifiche nell'elenco di suffissi pubblici all'indirizzo https://publicsuffix.org. Ad esempio*.myorg.comè un nome valido, mentre*.myorg.localnon è valido.
Si tenga presente che VMware Aria Suite Lifecycle non crea certificati separati per ogni tenant. Crea invece un certificato singolo con il nome host di ogni tenant elencato. Per le configurazioni di base, il CNAME del tenant utilizza il formato seguente: tenantname.vrahostname.domain. Per le configurazioni ad alta disponibilità, il nome utilizza il formato seguente: tenantname.vraLBhostname.domain.
Riepilogo
La tabella seguente riepiloga i requisiti del DNS e del certificato per una distribuzione di Workspace ONE Access con un solo nodo e di VMware Aria Automation con un solo nodo.
| Requisiti DNS | Requisiti del certificato SAN |
|---|---|
| Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace ONE AccessCertificate Nome host: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
| Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
VMware Aria Automation Certificate Nome host: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
