Конфигурации vRealize Automation с несколькими арендаторами строятся на основе согласованной конфигурации между несколькими продуктами. Убедитесь, что сертификаты и параметры DNS, необходимые для работы конфигурации с несколькими арендаторами, настроены правильно.

Данная конфигурация с несколькими арендаторами предполагает развертывания с одним узлом для следующих компонентов.
  • Lifecycle Manager
  • Workspace ONE Access Identity Manager
  • vRealize Automation

Кроме того, она предполагает, что начать следует с арендатора по умолчанию, который представляет собой организацию поставщика, и затем создать два субарендатора с названиями tenant-1 и tenant-2.

Создать и применить сертификаты можно с помощью службы Locker в vRealize Suite Lifecycle Manager или с помощью другого механизма. Lifecycle Manager также позволяет заменять сертификаты или повторно настраивать для них доверие в vRealize Automation или Workspace ONE Access.

Требования к DNS

Для системных компонентов необходимо создать обе основные записи типа A и CNAME, как описано ниже.
  • Создайте обе основные записи типа A для каждого системного компонента и каждого арендатора, которые будут созданы при включении нескольких арендаторов (многоарендности).
  • Создайте записи многоарендности типа A для каждого из создаваемых арендаторов, а также для главного арендатора.
  • Создайте записи многоарендности типа CNAME для каждого из создаваемых арендаторов, за исключением главного арендатора.

Требования к сертификатам для развертывания многоарендности с одним узлом

Необходимо создать два сертификата с альтернативным именем субъекта (SAN): один для Workspace ONE Access и второй для vRealize Automation.

  • Сертификат vRealize Automation содержит имя узла сервера vRealize Automation и имена создаваемых арендаторов.
  • Сертификат Workspace ONE Access содержит имя узла сервера Workspace ONE Access и имена создаваемых арендаторов.
  • Если используются выделенные имена SAN, сертификаты необходимо обновлять вручную при добавлении и удалении узлов, а также при изменении имени узла. Кроме того, необходимо обновить записи DNS для арендаторов. Чтобы упростить конфигурацию, для сертификатов Workspace ONE Access и vRealize Automation можно использовать подстановочные знаки. Например, *.example.com и *.vra.example.com.
    Примечание: vRealize Automation 8.x поддерживает сертификаты с подстановочными знаками только для DNS-имен, которые соответствуют спецификациям в списке публичных суффиксов в https://publicsuffix.org. Например, *.myorg.com является допустимым именем, в то время как *.myorg.local — недопустимое имя.

Обратите внимание, что Lifecycle Manager не создает отдельные сертификаты для каждого арендатора. Вместо этого создается единый сертификат с указанием имен всех узлов арендаторов. В базовых конфигурациях для CNAME арендатора используется следующий формат: имя_арендатора.vrahostname.domain. В конфигурациях с высокой доступностью для имени используется следующий формат: имя_арендатора.vraLBhostname.domain.

Сводка

В следующей таблице приведены требования к DNS и сертификатам для развертывания Workspace ONE Access с одним узлом и vRealize Automation с одним узлом.

Требования к DNS Требования к сертификатам SAN
Main A Type Records

lcm.example.local

WorkspaceOne.example.local

vra.example.local

Workspace One Certificate

Имя узла:

WorkspaceOne.example.local, default-tenant.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local

Multi-tenancy A Type Records

default-tenant.example.local

tenant-1.example.local

tenant-2.example.local

Multi-Tenancy CNAME Type Records

tenant-1.vra.example.local

tenant-2.vra.example.local

vRealize Automation Certificate

Имя узла:

vra.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local