Le configurazioni di VMware Aria Automation di tenancy di più organizzazioni si basano su una configurazione coordinata tra diversi prodotti ed è necessario assicurarsi che i certificati e le impostazioni DNS siano configurati correttamente affinché la configurazione di tenancy di più organizzazioni funzioni correttamente.

Questa configurazione di più organizzazioni presuppone la distribuzione di un singolo nodo per i seguenti componenti:
  • VMware Aria Suite Lifecycle
  • Workspace ONE Access Identity Manager
  • VMware Aria Automation

Presuppone inoltre che si stia iniziando con un tenant predefinito, ovvero l'organizzazione del provider, e che si stiano creando due tenant secondari, denominati tenant-1 e tenant-2.

È possibile creare e applicare certificati utilizzando il servizio Locker in VMware Aria Suite Lifecycle oppure usare un altro meccanismo. VMware Aria Suite Lifecycle consente inoltre di sostituire o considerare di nuovo attendibili i certificati in VMware Aria Automation o Workspace ONE Access.

Requisiti DNS

È necessario creare sia record di tipo A principale sia record di tipo CNAME per i componenti del sistema, come descritto di seguito.
  • Creare entrambi i record di tipo A principali per ciascun componente di sistema e per ognuno dei tenant creati quando si abilita il multi-tenancy.
  • Creare record di tipo A multi-tenancy per ogni tenant che verrà creato e per il tenant principale.
  • Creare record di tipo CNAME multi-tenancy per ogni tenant che verrà creato, senza includere il tenant principale.

Requisiti del certificato per la distribuzione multi-tenancy con un solo nodo

È necessario creare due certificati SAN (Subject Alternative Name), uno per Workspace ONE Access e uno per VMware Aria Automation.

  • Nel certificato di VMware Aria Automation sono elencati il nome host del server di VMware Aria Automation e i nomi dei tenant che verranno creati.
  • Nel certificato di Workspace ONE Access vengono elencati il nome host del server di Workspace ONE Access e i nomi dei tenant che si stanno creando.
  • Se si utilizzano nomi SAN dedicati, i certificati devono essere aggiornati manualmente quando si aggiungono o si eliminano host o si modifica un nome host. È inoltre necessario aggiornare le voci DNS per i tenant. Come opzione per semplificare la configurazione, è possibile utilizzare i caratteri jolly per i certificati di Workspace ONE Access e VMware Aria Automation. Ad esempio, *.example.com e *.vra.example.com.
    Nota: VMware Aria Automation supporta i certificati con caratteri jolly solo per i nomi DNS che soddisfano le specifiche nell'elenco di suffissi pubblici all'indirizzo https://publicsuffix.org. Ad esempio *.myorg.com è un nome valido, mentre *.myorg.local non è valido.

Si tenga presente che VMware Aria Suite Lifecycle non crea certificati separati per ogni tenant. Crea invece un certificato singolo con il nome host di ogni tenant elencato. Per le configurazioni di base, il CNAME del tenant utilizza il formato seguente: tenantname.vrahostname.domain. Per le configurazioni ad alta disponibilità, il nome utilizza il formato seguente: tenantname.vraLBhostname.domain.

Riepilogo

La tabella seguente riepiloga i requisiti del DNS e del certificato per una distribuzione di Workspace ONE Access con un solo nodo e di VMware Aria Automation con un solo nodo.

Requisiti DNS Requisiti del certificato SAN
Main A Type Records

lcm.example.com

WorkspaceOne.example.com

vra.example.com

Workspace ONE AccessCertificate

Nome host:

WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com

Multi-tenancy A Type Records

default-tenant.example.com

tenant-1.example.com

tenant-2.example.com

Multi-Tenancy CNAME Type Records

tenant-1.vra.example.com

tenant-2.vra.example.com

VMware Aria Automation Certificate

Nome host:

vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com