De instelling van een geclusterde vRealize Automation-implementatie met meerdere organisaties vereist een goede coördinatie van de certificaat- en DNS-configuratie tussen alle toepasselijke onderdelen.
Een geclusterde configuratie bestaat doorgaans uit drie Workspace ONE Access-appliances, drie vRealize Automation-appliances en één Lifecycle Manager-appliance.
- Workspace ONE Access Identity Manager-appliances:
- idm1.example.com
- idm2.example.com
- idm3.example.com
- idm-lb.example.com
- vRealize Automation-appliances:
- vra-1.example.com
- vra-2.example.com
- vra-3.example.com
- vra-lb.example.com
- Lifecycle Manager-appliance
DNS-vereisten
U moet de A-hoofdrecords niet alleen voor alle onderdelen maken, maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt. Tevens moet u de records van het type CNAME maken voor alle gewenste tenants, met uitzondering van de hoofdtenant. Ten slotte moet u ook A-hoofdrecords maken voor de Workspace ONE Access- en vRealize Automation-load balancers.
- Maak voor de drie Workspace ONE Access-appliances en voor de vRealize Automation-appliances A-records inclusief verwijzing naar hun bijbehorende FQDN.
- Maak daarnaast A-records voor de load balancers van Workspace ONE Access en vRealize Automation met een verwijzing naar hun bijbehorende FQDN.
- Maak multitenancy A-records voor zowel de standaardtenant als tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de Workspace ONE Access-load balancer.
- Maak CNAME-records voor tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de vRealize Automation-load balancer.
Vereisten voor SAN-certificaten (met alternatieve namen)
- Maak een certificaat voor de Workspace ONE Access-appliances waarin de FQDN's worden vermeld van zowel Workspace ONE Access-appliances als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet de IP-adressen van de Workspace ONE Access-appliances bevatten.
- Het is aan te bevelen om een SSL-beëindiging te maken op de load balancer. Om deze beëindiging mogelijk te maken, maakt u een certificaat voor de load balancer van Workspace ONE Access waarin de FQDN van zowel de load balancer van Workspace ONE Access als van de standaardtenant en andere tenants die u maakt, wordt vermeld. Dit certificaat moet het IP-adres van de load balancer bevatten.
- U moet een certificaat maken voor vRealize Automation waarin de hostnamen worden vermeld van zowel de drie vRealize Automation-appliances als van de gerelateerde load balancer en gemaakte tenants. Daarnaast moeten de IP-adressen van de drie vRealize Automation-appliances worden vermeld.
- U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en vRealize Automation-certificaten. Bijvoorbeeld
*.example.com
,*.vra.example.com
en*.vra-lb.example.com
.Opmerking: vRealize Automation ondersteunt alleen wildcardcertificaten voor DNS-namen die voldoen aan de specificaties in de lijst met openbare achtervoegsels bij https://publicsuffix.org. Bijvoorbeeld:*.myorg.com
is een geldige naam.
Als u een geclusterde Workspace ONE Access-configuratie gebruikt, moet u er rekening mee houden dat Lifecycle Manager de load-balancercertificaten niet kan bijwerken. Dus moet u dit handmatig doen. Ook een eventuele hernieuwde registratie van externe producten of services van Lifecycle Manager moet u handmatig doen.
Samenvatting van DNS-vermeldingen en certificaten voor een geclusterde configuratie met meerdere organisaties
In de volgende tabellen vindt u een overzicht van records van het type DNS Main A en records van het type C Name voor een geclusterde Workspace ONE Access- en geclusterde vRealize Automation-implementatie met meerdere organisaties.
DNS-vereisten | Vereisten voor SAN-certificaten |
---|---|
Main A Type Records
|
Workspace One Certificate
Hostnaam:
|
Multi-Tenancy A Type Records
Opmerking: Alle multitenancyrecords van type A moeten verwijzen naar het IP-adres van de vIDM/WS1A load balancer.
|
Workspace One LB Certificate (LB Terminated)
Hostnaam:
|
Multi-Tenancy CNAME Type Records
|
vRealize Automation Certificate
Hostnaam:
Door het gebruik van SSL-passthrough is hier geen certificaat vereist voor de load balancer van vRealize Automation. |