De instelling van een geclusterde vRealize Automation-implementatie met meerdere organisaties vereist een goede coördinatie van de certificaat- en DNS-configuratie tussen alle toepasselijke onderdelen.

Een geclusterde configuratie bestaat doorgaans uit drie Workspace ONE Access-appliances, drie vRealize Automation-appliances en één Lifecycle Manager-appliance.

In deze configuratie wordt aangenomen dat de volgende onderdelen geclusterd zijn geïmplementeerd:
  • Workspace ONE Access Identity Manager-appliances:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • vRealize Automation-appliances:
    • vra1.example.local
    • vra2.example.local
    • vra3.example.local
    • vra-lb.example.local
  • Lifecycle Manager-appliance

DNS-vereisten

U moet de A-hoofdrecords niet alleen voor alle onderdelen maken, maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt. Tevens moet u de records van het type CNAME maken voor alle gewenste tenants, met uitzondering van de hoofdtenant. Ten slotte moet u ook A-hoofdrecords maken voor de Workspace ONE Access- en vRealize Automation-load balancers.

  • Maak voor de drie Workspace ONE Access-appliances en voor de vRealize Automation-appliances A-records inclusief verwijzing naar hun bijbehorende FQDN.
  • Maak daarnaast A-records voor de load balancers van Workspace ONE Access en vRealize Automation met een verwijzing naar hun bijbehorende FQDN.
  • Maak multitenancy A-records voor zowel de standaardtenant als tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de Workspace ONE Access-load balancer.
  • Maak CNAME-records voor tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de vRealize Automation-load balancer.

Vereisten voor SAN-certificaten (met alternatieve namen)

U moet twee Workspace ONE Access-certificaten maken: één voor de clusterappliances en één voor de load balancer. Daarnaast maakt u een certificaat voor de vRealize Automation-appliances (de gemaakte tenants), met uitzondering van de standaardtenant en de load balancer.
  • Maak een certificaat voor de Workspace ONE Access-appliances waarin de FQDN's worden vermeld van zowel Workspace ONE Access-appliances als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet de IP-adressen van de Workspace ONE Access-appliances bevatten.
  • Het is aan te bevelen om een SSL-beëindiging te maken op de load balancer. Om deze beëindiging mogelijk te maken, maakt u een certificaat voor de Workspace ONE Access-load balancer waarin de FQDN wordt vermeld van zowel Workspace ONE Access-load balancer als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet het IP-adres van de load balancer bevatten.
  • U moet een certificaat maken voor vRealize Automation waarin de hostnamen worden vermeld van zowel de drie vRealize Automation-appliances als van de gerelateerde load balancer en gemaakte tenants. Daarnaast moeten de IP-adressen van de drie vRealize Automation-appliances worden vermeld.
  • U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en vRealize Automation-certificaten. Bijvoorbeeld *.example.com, *.vra.example.com en *.vra-lb.example.com.
    Opmerking: vRealize Automation 8.x ondersteunt alleen wildcard-certificaten voor DNS-namen die voldoen aan de specificaties in de lijst met Openbare achtervoegsels bij https://publicsuffix.org. *.myorg.com is bijvoorbeeld een geldige naam, terwijl *.myorg.local ongeldig is.

Als u een geclusterde Workspace ONE Access-configuratie gebruikt, moet u er rekening mee houden dat Lifecycle Manager de load balancer-certificaten niet kan bijwerken, zodat u dit handmatig moet doen. Ook een eventuele hernieuwde registratie van externe producten of services van Lifecycle Manager moet u handmatig doen.

Samenvatting van DNS-vermeldingen en certificaten voor een geclusterde configuratie met meerdere organisaties

In de volgende tabel vindt u een overzicht van de vereisten voor DNS en certificaten voor een geclusterde Workspace ONE Access- en geclusterde vRealize Automation-implementatie met meerdere organisaties.

DNS-vereisten Vereisten voor SAN-certificaten
Main A Type Records

lcm.example.local

WorkspaceOne-1.example.local

WorkspaceOne-2.example.local

WorkspaceOne-3.example.local

vra.example-1.local

vra.example-2.local

vra.example-3.local

Workspace One Certificate

Hostnaam:

WorkspaceOne.example.local, default-tenant,example.local, tenant-1.example.local, tenant-2.example.local

Multi-Tenancy A Type Records

default-tenant.example.local

tenant-1.vra.example.local

tenant-2.vra.example.local

Workspace One LB Certificate (LB Terminated)

Hostnaam:

WorkSpaceOne-lb.example.local, default-tenant.example.local, vra.example.local, tenant-1.example.local, tenant-2.example.local

Multi-Tenancy CNAME Type Records

tenant-1.vra-lb.example.local - vra-lb.example.local

tenant-2.vra-lb.example.local - vra.lb.exmple.local

vRealize Automation Certificate

Hostnaam:

vra-1.example.local, vra-2.example.local, vra-3.example.local, vra-lb.example.local, tenant-1.example.local, tenant-2.example.local

Door het gebruik van SSL-passthrough is hier geen certificaat vereist voor de vRealize Automation-load balancer.