Конфигурации VMware Aria Automation с несколькими арендаторами строятся на основе согласованной конфигурации между несколькими продуктами. Убедитесь, что сертификаты и параметры DNS, необходимые для работы конфигурации с несколькими арендаторами, настроены правильно.
- VMware Aria Suite Lifecycle
- Workspace ONE Access Identity Manager
- VMware Aria Automation
Кроме того, она предполагает, что начать следует с арендатора по умолчанию, который представляет собой организацию поставщика, и затем создать два субарендатора с названиями tenant-1 и tenant-2.
Создать и применить сертификаты можно с помощью службы Locker в VMware Aria Suite Lifecycle или с помощью другого механизма. VMware Aria Suite Lifecycle также позволяет заменять сертификаты или повторно настраивать для них доверие в VMware Aria Automation или Workspace ONE Access.
Требования к DNS
- Создайте обе основные записи типа A для каждого системного компонента и каждого арендатора, которые будут созданы при включении нескольких арендаторов (многоарендности).
- Создайте записи многоарендности типа A для каждого из создаваемых арендаторов, а также для основного арендатора.
- Создайте записи многоарендности типа CNAME для каждого из создаваемых арендаторов, за исключением основного арендатора.
Требования к сертификатам для развертывания многоарендности с одним узлом
Необходимо создать два сертификата с альтернативным именем субъекта (SAN): один для Workspace ONE Access и второй для VMware Aria Automation.
- Сертификат VMware Aria Automation содержит имя узла сервера VMware Aria Automation и имена создаваемых арендаторов.
- Сертификат Workspace ONE Access содержит имя узла сервера Workspace ONE Access и имена создаваемых арендаторов.
- Если используются выделенные имена SAN, сертификаты необходимо обновлять вручную при добавлении и удалении узлов, а также при изменении имени узла. Кроме того, необходимо обновить записи DNS для арендаторов. Чтобы упростить конфигурацию, для сертификатов Workspace ONE Access и VMware Aria Automation можно использовать подстановочные знаки. Например,
*.example.comи*.vra.example.com.Примечание: VMware Aria Automation поддерживает сертификаты с подстановочными знаками только для DNS-имен, которые соответствуют спецификациям в списке публичных суффиксов в https://publicsuffix.org. Например,*.myorg.comявляется допустимым именем, в то время как*.myorg.local— недопустимое имя.
Обратите внимание, что VMware Aria Suite Lifecycle не создает отдельные сертификаты для каждого арендатора. Вместо этого создается единый сертификат с указанием имен всех узлов арендаторов. В базовых конфигурациях для CNAME арендатора используется следующий формат: имя_арендатора.vrahostname.domain. В конфигурациях с высокой доступностью для имени используется следующий формат: имя_арендатора.vraLBhostname.domain.
Сводка
В следующей таблице приведены требования к DNS и сертификатам для развертывания Workspace ONE Access с одним узлом и VMware Aria Automation с одним узлом.
| Требования к DNS | Требования к сертификатам SAN |
|---|---|
| Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace ONE AccessCertificate Имя узла: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
| Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
VMware Aria Automation Certificate Имя узла: vra.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
