Le configurazioni di vRealize Automation di tenancy di più organizzazioni si basano su una configurazione coordinata tra diversi prodotti ed è necessario assicurarsi che i certificati e le impostazioni DNS siano configurati correttamente affinché la configurazione di tenancy di più organizzazioni funzioni correttamente.
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
Presuppone inoltre che si stia iniziando con un tenant predefinito, ovvero l'organizzazione del provider, e che si stiano creando due tenant secondari, denominati tenant-1 e tenant-2.
È possibile creare e applicare certificati utilizzando il servizio Locker in vRealize Suite Lifecycle Manager oppure usare un altro meccanismo. Lifecycle Manager consente inoltre di sostituire o considerare di nuovo attendibili i certificati in vRealize Automation o Workspace ONE Access.
Requisiti DNS
- Creare entrambi i record di tipo A principali per ciascun componente di sistema e per ognuno dei tenant creati quando si abilita il multi-tenancy.
- Creare record di tipo A multi-tenancy per ogni tenant che verrà creato e per il tenant master.
- Creare record di tipo CNAME multi-tenancy per ogni tenant che verrà creato, senza includere il tenant master.
Requisiti del certificato per la distribuzione multi-tenancy con un solo nodo
È necessario creare due certificati SAN (Subject Alternative Name), uno per Workspace ONE Access e uno per vRealize Automation.
- Nel certificato di vRealize Automation sono elencati il nome host del server di vRealize Automation e i nomi dei tenant che verranno creati.
- Nel certificato di Workspace ONE Access vengono elencati il nome host del server di Workspace ONE Access e i nomi dei tenant che si stanno creando.
- Se si utilizzano nomi SAN dedicati, i certificati devono essere aggiornati manualmente quando si aggiungono o si eliminano host o si modifica un nome host. È inoltre necessario aggiornare le voci DNS per i tenant. Come opzione per semplificare la configurazione, è possibile utilizzare i caratteri jolly per i certificati di Workspace ONE Access e vRealize Automation. Ad esempio,
*.example.come*.vra.example.com.Nota: vRealize Automation 8.x supporta i certificati con caratteri jolly solo per i nomi DNS che soddisfano le specifiche nell'elenco di suffissi pubblici all'indirizzo https://publicsuffix.org. Ad esempio*.myorg.comè un nome valido, mentre*.myorg.localnon è valido.
Si tenga presente che Lifecyle Manager non crea certificati separati per ogni tenant. Crea invece un certificato singolo con il nome host di ogni tenant elencato. Per le configurazioni di base, il CNAME del tenant utilizza il formato seguente: tenantname.vrahostname.domain. Per le configurazioni ad alta disponibilità, il nome utilizza il formato seguente: tenantname.vraLBhostname.domain.
Riepilogo
La tabella seguente riepiloga i requisiti del DNS e del certificato per una distribuzione di Workspace ONE Access con un solo nodo e di vRealize Automation con un solo nodo.
| Requisiti DNS | Requisiti del certificato SAN |
|---|---|
| Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace One Certificate Nome host: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
| Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
vRealize Automation Certificate Nome host: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
