Конфигурации vRealize Automation с несколькими арендаторами строятся на основе согласованной конфигурации между несколькими продуктами. Убедитесь, что сертификаты и параметры DNS, необходимые для работы конфигурации с несколькими арендаторами, настроены правильно.
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
Кроме того, она предполагает, что начать следует с арендатора по умолчанию, который представляет собой организацию поставщика, и затем создать два субарендатора с названиями tenant-1 и tenant-2.
Создать и применить сертификаты можно с помощью службы Locker в vRealize Suite Lifecycle Manager или с помощью другого механизма. Lifecycle Manager также позволяет заменять сертификаты или повторно настраивать для них доверие в vRealize Automation или Workspace ONE Access.
Требования к DNS
- Создайте обе основные записи типа A для каждого системного компонента и каждого арендатора, которые будут созданы при включении нескольких арендаторов (многоарендности).
- Создайте записи многоарендности типа A для каждого из создаваемых арендаторов, а также для главного арендатора.
- Создайте записи многоарендности типа CNAME для каждого из создаваемых арендаторов, за исключением главного арендатора.
Требования к сертификатам для развертывания многоарендности с одним узлом
Необходимо создать два сертификата с альтернативным именем субъекта (SAN): один для Workspace ONE Access и второй для vRealize Automation.
- Сертификат vRealize Automation содержит имя узла сервера vRealize Automation и имена создаваемых арендаторов.
- Сертификат Workspace ONE Access содержит имя узла сервера Workspace ONE Access и имена создаваемых арендаторов.
- Если используются выделенные имена SAN, сертификаты необходимо обновлять вручную при добавлении и удалении узлов, а также при изменении имени узла. Кроме того, необходимо обновить записи DNS для арендаторов. Чтобы упростить конфигурацию, для сертификатов Workspace ONE Access и vRealize Automation можно использовать подстановочные знаки. Например,
*.example.com
и*.vra.example.com
.Примечание: vRealize Automation 8.x поддерживает сертификаты с подстановочными знаками только для DNS-имен, которые соответствуют спецификациям в списке публичных суффиксов в https://publicsuffix.org. Например,*.myorg.com
является допустимым именем, в то время как*.myorg.local
— недопустимое имя.
Обратите внимание, что Lifecycle Manager не создает отдельные сертификаты для каждого арендатора. Вместо этого создается единый сертификат с указанием имен всех узлов арендаторов. В базовых конфигурациях для CNAME арендатора используется следующий формат: имя_арендатора.vrahostname.domain. В конфигурациях с высокой доступностью для имени используется следующий формат: имя_арендатора.vraLBhostname.domain.
Сводка
В следующей таблице приведены требования к DNS и сертификатам для развертывания Workspace ONE Access с одним узлом и vRealize Automation с одним узлом.
Требования к DNS | Требования к сертификатам SAN |
---|---|
Main A Type Records lcm.example.local WorkspaceOne.example.local vra.example.local |
Workspace One Certificate Имя узла: WorkspaceOne.example.local, default-tenant.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local |
Multi-tenancy A Type Records default-tenant.example.local tenant-1.example.local tenant-2.example.local |
|
Multi-Tenancy CNAME Type Records tenant-1.vra.example.local tenant-2.vra.example.local |
vRealize Automation Certificate Имя узла: vra.example.local, tenant-1.vra.example.local, tenant-2.vra.example.local |