Управление сертификатами и конфигурацией DNS в кластерных развертываниях vRealize Automation

Чтобы настроить кластерное развертывание vRealize Automation с несколькими организациями, необходимо согласовать сертификаты и конфигурацию DNS между всеми применимыми компонентами.

В типовой кластерной конфигурации содержится три устройства Workspace ONE Access, три устройства vRealize Automation и одно устройство Lifecycle Manager.

Данная конфигурация предполагает кластерные развертывания для следующих компонентов.

Устройства Workspace ONE Access Identity Manager:
- idm1.example.local
- idm2.example.local
- idm3.example.local
- idm-lb.example.local
Устройства vRealize Automation:
- vra-1.example.local
- vra-2.example.local
- vra-3.example.local
- vra-lb.example.local
Устройство Lifecycle Manager

Требования к DNS

Создайте обе основные записи типа A для каждого компонента и для каждого арендатора, которые будут созданы при включении множественной аренды. Кроме того, создайте записи множественной аренды типа CNAME для каждого из создаваемых арендаторов, кроме главного арендатора. И наконец, создайте основные записи типа A для подсистем балансировки нагрузки Workspace ONE Access и vRealize Automation.

Создайте записи типа A для трех устройств Workspace ONE Access и для устройств vRealize Automation, которые указывают на соответствующие полные доменные имена.
Кроме того, создайте записи типа А для подсистем балансировки нагрузки Workspace ONE Access и vRealize Automation, указывающие на соответствующие полные доменные имена.
Создайте записи множественной аренды типа А для арендатора по умолчанию и арендаторов tenant-1 и tenant-2, которые указывают на IP-адрес подсистемы балансировки нагрузки Workspace ONE Access.
Создайте записи CNAME для арендаторов tenant-1 и tenant-2, которые указывают на IP-адрес подсистемы балансировки нагрузки vRealize Automation.

Требования к сертификату альтернативных имен субъекта (SAN)

Необходимо создать два сертификата Workspace ONE Access, один из которых применяется на устройствах кластера, а второй — в подсистеме балансировки нагрузки. Кроме того, создайте сертификат, который применяется к устройствам vRealize Automation, создаваемым арендаторам (кроме арендатора по умолчанию) и подсистеме балансировки нагрузки.

Создайте сертификат для устройств Workspace ONE Access, в котором указаны полные доменные имена устройств Workspace ONE Access, а также арендатор по умолчанию и другие создаваемые арендаторы. Этот сертификат должен содержать IP-адреса устройств Workspace ONE Access.
Рекомендуется настроить режим прерывания SSL в подсистеме балансировки нагрузки. Для этого создайте сертификат для подсистемы балансировки нагрузки Workspace ONE Access, в котором указано полное доменное имя подсистемы балансировки нагрузки Workspace ONE Access, а также арендатор по умолчанию и другие создаваемые арендаторы. Этот сертификат должен содержать IP-адрес подсистемы балансировки нагрузки.
Создайте сертификат для vRealize Automation, в котором перечислены имена узлов трех устройств vRealize Automation, а также соответствующие подсистемы балансировки нагрузки и создаваемые арендаторы. Кроме того, в нем должны быть перечислены IP-адреса трех устройств vRealize Automation.
Для упрощения конфигурации для сертификатов Workspace ONE Access и vRealize Automation можно использовать подстановочные знаки. Например, *.example.com, *.vra.example.com и *.vra-lb.example.com.
Примечание: vRealize Automation 8.x поддерживает сертификаты с подстановочными знаками только для DNS-имен, которые соответствуют спецификациям в списке публичных суффиксов в https://publicsuffix.org. Например, *.myorg.com является допустимым именем, в то время как *.myorg.local — недопустимое имя.

Если используется кластерная конфигурация Workspace ONE Access, Lifecycle Manager не сможет обновить сертификаты подсистемы балансировки нагрузки, поэтому их необходимо обновить вручную. Кроме того, если необходимо повторно зарегистрировать продукты или службы, которые являются внешними по отношению к Lifecycle Manager, этот процесс выполняется вручную.

Сводка сертификатов и записей DNS для кластерной конфигурации с несколькими организациями

В следующих таблицах приведены основные записи типа А в DNS и записи «Тип имени С» и требования к сертификатам для кластерного развертывания Workspace ONE Access и кластерного развертывания vRealize Automation с несколькими организациями.


Требования к DNS	Требования к сертификатам SAN
Main A Type Records lcm.example.local WorkspaceOne-1.example.local WorkspaceOne-2.example.local WorkspaceOne-3.example.local Workspace.One-lb.example.local vra-1.example.local vra-2.example.local vra-3.example.local vra-lb.example.local	Workspace One Certificate Имя узла: WorkspaceOne-1.example.local WorkspaceOne-2.example.local WorkspaceOne-3.example.local default-tenant.example.local tenant-1.example.local tenant-2.example.local
Multi-Tenancy A Type Records default-tenant.example.local tenant-1.vra.example.local tenant-2.vra.example.local Примечание: Все записи типа A с несколькими клиентами должны указывать на IP-адрес подсистемы балансировки нагрузки vIDM/WS1A.	Workspace One LB Certificate (LB Terminated) Имя узла: WorkspaceOne-lb.example.local default-tenant.example.local tenant-1.example.local tenant-2.example.local
Multi-Tenancy CNAME Type Records tenant-1.vra-lb.example.local - vra-lb.example.local tenant-2.vra-lb.example.local - vra-lb.example.local	vRealize Automation Certificate Имя узла: vra-1.example.local vra-2.example.local vra-3.example.local vra-lb.example.local tenant-1.example.local tenant-2.example.local В подсистеме балансировки нагрузки vRealize Automation сертификат не требуется, так как используется транзитный режим SSL.

Примечание: Каждый дополнительный добавляемый клиент должен быть указан отдельно в сертификате vRealize Automation, записях CNAME с множественной арендой, записях типа А с множественной арендой, сертификате Workspace ONE и сертификате подсистемы балансировки нагрузки Workspace ONE.

Примечание: Имена файлов *.local используются только в качестве примера. Они могут быть неприменимы в большинстве бизнес-сред.