De instelling van een geclusterde vRealize Automation-implementatie met meerdere organisaties vereist een goede coördinatie van de certificaat- en DNS-configuratie tussen alle toepasselijke onderdelen.

Een geclusterde configuratie bestaat doorgaans uit drie Workspace ONE Access-appliances, drie vRealize Automation-appliances en één Lifecycle Manager-appliance.

In deze configuratie wordt aangenomen dat de volgende onderdelen geclusterd zijn geïmplementeerd:
  • Workspace ONE Access Identity Manager-appliances:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • vRealize Automation-appliances:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Lifecycle Manager-appliance

DNS-vereisten

U moet de A-hoofdrecords niet alleen voor alle onderdelen maken, maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt. Tevens moet u de records van het type CNAME maken voor alle gewenste tenants, met uitzondering van de hoofdtenant. Ten slotte moet u ook A-hoofdrecords maken voor de Workspace ONE Access- en vRealize Automation-load balancers.

  • Maak voor de drie Workspace ONE Access-appliances en voor de vRealize Automation-appliances A-records inclusief verwijzing naar hun bijbehorende FQDN.
  • Maak daarnaast A-records voor de load balancers van Workspace ONE Access en vRealize Automation met een verwijzing naar hun bijbehorende FQDN.
  • Maak multitenancy A-records voor zowel de standaardtenant als tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de Workspace ONE Access-load balancer.
  • Maak CNAME-records voor tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de vRealize Automation-load balancer.

Vereisten voor SAN-certificaten (met alternatieve namen)

U moet twee Workspace ONE Access-certificaten maken: één voor de clusterappliances en één voor de load balancer. Daarnaast maakt u een certificaat voor de vRealize Automation-appliances (de gemaakte tenants), met uitzondering van de standaardtenant en de load balancer.
  • Maak een certificaat voor de Workspace ONE Access-appliances waarin de FQDN's worden vermeld van zowel Workspace ONE Access-appliances als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet de IP-adressen van de Workspace ONE Access-appliances bevatten.
  • Het is aan te bevelen om een SSL-beëindiging te maken op de load balancer. Om deze beëindiging mogelijk te maken, maakt u een certificaat voor de Workspace ONE Access-load balancer waarin de FQDN wordt vermeld van zowel Workspace ONE Access-load balancer als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet het IP-adres van de load balancer bevatten.
  • U moet een certificaat maken voor vRealize Automation waarin de hostnamen worden vermeld van zowel de drie vRealize Automation-appliances als van de gerelateerde load balancer en gemaakte tenants. Daarnaast moeten de IP-adressen van de drie vRealize Automation-appliances worden vermeld.
  • U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en vRealize Automation-certificaten. Bijvoorbeeld *.example.com, *.vra.example.com en *.vra-lb.example.com.
    Opmerking: vRealize Automation 8.x ondersteunt alleen wildcard-certificaten voor DNS-namen die voldoen aan de specificaties in de lijst met Openbare achtervoegsels bij https://publicsuffix.org. *.myorg.com is bijvoorbeeld een geldige naam, terwijl *.myorg.local ongeldig is.

Als u een geclusterde Workspace ONE Access-configuratie gebruikt, moet u er rekening mee houden dat Lifecycle Manager de load balancer-certificaten niet kan bijwerken, zodat u dit handmatig moet doen. Ook een eventuele hernieuwde registratie van externe producten of services van Lifecycle Manager moet u handmatig doen.

Samenvatting van DNS-vermeldingen en certificaten voor een geclusterde configuratie met meerdere organisaties

In de volgende tabellen vindt u een overzicht van records van het type DNS Main A en records van het type C Name voor een geclusterde Workspace ONE Access- en geclusterde vRealize Automation-implementatie met meerdere organisaties.

DNS-vereisten Vereisten voor SAN-certificaten
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
 Workspace One Certificate
Hostnaam:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
Opmerking: Alle multitenancyrecords van type A moeten verwijzen naar het IP-adres van de vIDM/WS1A load balancer.
Workspace One LB Certificate (LB Terminated)
Hostnaam:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local - vra-lb.example.local
  • tenant-2.vra-lb.example.local - vra-lb.example.local
 vRealize Automation Certificate
Hostnaam:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

Door het gebruik van SSL-passthrough is hier geen certificaat vereist voor de vRealize Automation-load balancer.
Opmerking: Elke extra tenant die u toevoegt, moet afzonderlijk worden vermeld in het vRealize Automation-certificaat, CNAME-records voor multitenancy, records van het type A voor multitenancy, Workspace One-certificaat en Workspace ONE LB-certificaat.
Opmerking: De namen van *.local-bestanden zijn alleen bedoeld als voorbeeld. Deze zijn mogelijk niet van toepassing op de meeste bedrijfsomgevingen.