Multitenancy VMware Aria Automation-configuraties voor meerdere organisaties vereisen een goede coördinatie tussen de verschillende producten en juiste configuratie van de DNS-instellingen en certificaten.
- VMware Aria Suite Lifecycle
- Workspace ONE Access Identity Manager
- VMware Aria Automation
Daarnaast wordt ervan uitgegaan dat u een standaardtenant als providerorganisatie hebt en twee subtenants, genaamd tenant-1 en tenant-2, maakt.
U kunt certificaten maken en toepassen met behulp van de kluisservice in VMware Aria Suite Lifecycle of u kunt een ander mechanisme gebruiken. Met VMware Aria Suite Lifecycle kunt u ook certificaten voor VMware Aria Automation of Workspace ONE Access vervangen of opnieuw vertrouwen.
DNS-vereisten
- Maak de A-hoofdrecords niet alleen voor alle systeemonderdelen maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt.
- Maak de records van het type A voor multitenancy voor zowel alle tenants die u maakt als voor de primaire tenant.
- Maak de records van het type CNAME voor alle gewenste tenants, met uitzondering van de primaire tenant.
Certificaatvereisten voor multitenancy implementatie met één knooppunt
U moet twee SAN-certificaten (met alternatieve namen) maken: een voor Workspace ONE Access en een voor VMware Aria Automation.
- Het VMware Aria Automation-certificaat bevat de hostnaam van de VMware Aria Automation-server en de namen van de tenants die u wilt maken.
- Het Workspace ONE Access-certificaat bevat de hostnaam van de Workspace ONE Access-server en de namen van de tenants die u maakt.
- Als u gereserveerde SAN-namen gebruikt, moet u de certificaten handmatig bijwerken wanneer u hosts toevoegt of verwijdert of een hostnaam wijzigt. Ook moet u de DNS-vermeldingen voor tenants bijwerken. U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en VMware Aria Automation-certificaten. Bijvoorbeeld:
*.example.comen*.vra.example.com.Opmerking: VMware Aria Automation ondersteunt alleen jokertekencertificaten voor DNS-namen die voldoen aan de specificaties in de lijst met Openbare achtervoegsels bij https://publicsuffix.org.*.myorg.comis bijvoorbeeld een geldige naam, terwijl*.myorg.localongeldig is.
Houd er rekening mee dat VMware Aria Suite Lifecycle geen afzonderlijke certificaten maakt voor elke tenant. In plaats daarvan wordt een enkel certificaat gemaakt waarbij voor elke tenant de hostnaam wordt weergegeven. Voor basisconfiguraties gebruikt u de volgende notatie voor het CNAME-record van de tenant: tenantname.vrahostname.domain. Voor configuraties met hoge beschikbaarheid gebruikt u de volgende notatie voor de hostnaam: tenantname.vraLBhostname.domain.
Samenvatting
In de volgende tabel vindt u een overzicht van de DNS- en certificaatvereisten voor een Workspace ONE Access- en VMware Aria Automation-implementatie met één knooppunt.
| DNS-vereisten | Vereisten voor SAN-certificaten |
|---|---|
| Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace ONE AccessCertificate Hostnaam: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
| Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
VMware Aria Automation Certificate Hostnaam: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
