È necessario coordinare la configurazione del certificato e di DNS fra tutti i componenti applicabili per configurare una distribuzione di più organizzazioni di vRealize Automation in cluster.

In una tipica configurazione in cluster, sono presenti tre appliance Workspace ONE Access e tre appliance vRealize Automation, nonché una singola appliance Lifecycle Manager.

Questa configurazione presuppone distribuzioni in cluster per i seguenti componenti:
  • Appliance Workspace ONE Access Identity Manager:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • Appliance vRealize Automation:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Appliance Lifecycle Manager

Requisiti DNS

È necessario creare entrambi i record di tipo A principali per ciascun componente e per ognuno dei tenant che verranno creati quando si abilita il multi-tenancy. Inoltre, è necessario creare record di tipo CNAME multi-tenancy per ogni tenant che verrà creato, senza includere il tenant master. Infine, è inoltre necessario creare record di tipo A principali per i bilanciamenti del carico di Workspace ONE Access e vRealize Automation.

  • Creare record di tipo A per le tre appliance Workspace ONE Access e per le appliance vRealize Automation che puntino ai loro nomi di dominio completi.
  • Creare inoltre record di tipo A per il bilanciamento del carico di Workspace ONE Access e il bilanciamento del carico di vRealize Automation che puntino ai loro nomi di dominio completi.
  • Creare record di tipo A multi-tenancy per il tenant predefinito e per tenant-1 e tenant-2 che puntino all'indirizzo IP del bilanciamento del carico di Workspace ONE Access.
  • Creare record CNAME per tenant-1 e tenant-2 che puntino all'indirizzo IP del bilanciamento del carico di vRealize Automation.

Requisiti del certificato SAN (Subject Alternative Name)

È necessario creare due certificati di Workspace ONE Access, uno da applicare alle appliance del cluster e uno da applicare al bilanciamento del carico. Creare inoltre un certificato da applicare alle appliance vRealize Automation, ai tenant che si stanno creando, escludendo il tenant predefinito, e al bilanciamento del carico.
  • Creare un certificato per le appliance Workspace ONE Access in cui siano elencati i nomi di dominio completi delle appliance Workspace ONE Access, nonché il tenant predefinito e gli altri tenant creati. Questo certificato deve includere gli indirizzi IP delle appliance Workspace ONE Access.
  • È consigliabile creare una terminazione SSL nel bilanciamento del carico. Per supportare questa terminazione, creare un certificato per il bilanciamento del carico di Workspace ONE Access in cui siano elencati il nome di dominio completo del bilanciamento del carico di Workspace ONE Access, nonché il tenant predefinito e tutti gli altri tenant creati. Questo certificato deve includere l'indirizzo IP del bilanciamento del carico.
  • È necessario creare un certificato per vRealize Automation in cui siano elencati i nomi host delle tre appliance vRealize Automation, nonché il bilanciamento del carico correlato e i tenant che si stanno creando. Deve inoltre includere gli indirizzi IP delle tre appliance vRealize Automation.
  • Per semplificare la configurazione, è possibile utilizzare i caratteri jolly per i certificati di Workspace ONE Access e vRealize Automation. Ad esempio *.example.com, *.vra.example.com e *.vra-lb.example.com.
    Nota: vRealize Automation 8.x supporta i certificati con caratteri jolly solo per i nomi DNS che soddisfano le specifiche nell'elenco di suffissi pubblici all'indirizzo https://publicsuffix.org. Ad esempio *.myorg.com è un nome valido, mentre *.myorg.local non è valido.

Se si utilizza una configurazione di Workspace ONE Access in cluster, tenere presente che Lifecycle Manager non è in grado di aggiornare i certificati di bilanciamento del carico, quindi è necessario aggiornarli manualmente. Inoltre, se è necessario registrare nuovamente i prodotti o i servizi esterni a Lifecycle Manager, si tratta di un processo manuale.

Riepilogo delle voci DNS e dei certificati per una configurazione di più organizzazioni in cluster

Le tabelle seguenti illustrano i record Record di tipo A principali DNS e Tipo nome C, oltre ai requisiti del certificato, per una distribuzione in più organizzazioni di Workspace ONE Access in cluster e vRealize Automation in cluster.

Requisiti DNS Requisiti del certificato SAN
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
 Workspace One Certificate
Nome host:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
Nota: Tutti i record di tipo A multi-tenancy devono fare riferimento all'indirizzo IP del bilanciamento del carico vIDM/WS1A.
Workspace One LB Certificate (LB Terminated)
Nome host:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local - vra-lb.example.local
  • tenant-2.vra-lb.example.local - vra-lb.example.local
 vRealize Automation Certificate
Nome host:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

Non è necessario alcun certificato nel bilanciamento del carico di vRealize Automation poiché utilizza il passthrough SSL.
Nota: Ogni ulteriore tenant aggiunto deve essere elencato separatamente nel certificato di vRealize Automation, nei record CNAME multi-tenancy, nei record di tipo A multi-tenancy, nel certificato di Workspace ONE e nel certificato di Workspace ONE LB.
Nota: I nomi dei file *.local sono utilizzati solo come esempio. Potrebbero non essere applicabili alla maggior parte degli ambienti aziendali.