Multitenancy vRealize Automation-configuraties voor meerdere organisaties vereisen een goede coördinatie tussen de verschillende producten en juiste configuratie van de DNS-instellingen en certificaten.
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
Daarnaast wordt ervan uitgegaan dat u een standaardtenant als providerorganisatie hebt en twee subtenants, genaamd tenant-1 en tenant-2, maakt.
U kunt certificaten maken en toepassen met behulp van de kluisservice in vRealize Suite Lifecycle Manager of u kunt een ander mechanisme gebruiken. Met Lifecycle Manager kunt u ook certificaten voor vRealize Automation of Workspace ONE Access vervangen of opnieuw vertrouwen.
DNS-vereisten
- Maak de A-hoofdrecords niet alleen voor alle systeemonderdelen maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt.
- Maak de multitenancy A-records voor zowel alle tenants die u maakt als voor de hoofdtenant.
- Maak de records van het type CNAME voor alle gewenste tenants, met uitzondering van de hoofdtenant.
Certificaatvereisten voor multitenancy implementatie met één knooppunt
U moet twee SAN-certificaten (met alternatieve namen) maken: een voor Workspace ONE Access en een voor vRealize Automation.
- Het vRealize Automation-certificaat bevat de hostnaam van de vRealize Automation-server en de namen van de tenants die u wilt maken.
- Het Workspace ONE Access-certificaat bevat de hostnaam van de Workspace ONE Access-server en de namen van de tenants die u maakt.
- Als u gereserveerde SAN-namen gebruikt, moet u de certificaten handmatig bijwerken wanneer u hosts toevoegt of verwijdert of een hostnaam wijzigt. Ook moet u de DNS-vermeldingen voor tenants bijwerken. U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en vRealize Automation-certificaten. Bijvoorbeeld:
*.example.com
en*.vra.example.com
.Opmerking: vRealize Automation 8.x ondersteunt alleen wildcard-certificaten voor DNS-namen die voldoen aan de specificaties in de lijst met Openbare achtervoegsels bij https://publicsuffix.org.*.myorg.com
is bijvoorbeeld een geldige naam, terwijl*.myorg.local
ongeldig is.
Houd er rekening mee dat Lifecycle Manager geen afzonderlijke certificaten maakt voor elke tenant. In plaats daarvan wordt een enkel certificaat gemaakt waarbij voor elke tenant de hostnaam wordt weergegeven. Voor basisconfiguraties gebruikt u de volgende notatie voor het CNAME-record van de tenant: tenantname.vrahostname.domain. Voor configuraties met hoge beschikbaarheid gebruikt u de volgende notatie voor de hostnaam: tenantname.vraLBhostname.domain.
Samenvatting
In de volgende tabel vindt u een overzicht van de DNS- en certificaatvereisten voor een Workspace ONE Access- en vRealize Automation-implementatie met één knooppunt.
DNS-vereisten | Vereisten voor SAN-certificaten |
---|---|
Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace One Certificate Hostnaam: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
vRealize Automation Certificate Hostnaam: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |