您必須協調所有適用元件之間的憑證和 DNS 組態,才能設定多組織叢集化 vRealize Automation 部署。

在典型的叢集化組態中,有三個 Workspace ONE Access 應用裝置和三個 vRealize Automation 應用裝置以及單一 Lifecycle Manager 應用裝置。

此組態假設下列元件採用叢集化部署:
  • Workspace ONE Access Identity Manager 應用裝置:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • vRealize Automation 應用裝置:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Lifecycle Manager 應用裝置

DNS 需求

必須針對每個元件以及將在啟用多租戶時建立的每個承租人建立主要 A 類型記錄。此外,還必須針對將建立的每個承租人 (不包括主要承租人) 建立多租戶 CNAME 類型記錄。最後,還必須為 Workspace ONE AccessvRealize Automation 負載平衡器建立主要 A 類型記錄。

  • 針對三個 Workspace ONE Access 應用裝置以及指向其各自 FQDN 的 vRealize Automation 應用裝置建立 A 類型記錄。
  • 此外,針對 Workspace ONE Access 負載平衡器以及指向其各自 FQDN 的 vRealize Automation 負載平衡器建立 A 類型記錄。
  • 針對預設承租人以及指向 Workspace ONE Access 負載平衡器之 IP 位址的 tenant-1 和 tenant-2 建立多租戶 A 類型記錄。
  • 針對指向 vRealize Automation 負載平衡器之 IP 位址的 tenant-1 和 tenant-2 建立 CNAME 記錄。

主體別名 (SAN) 憑證需求

您必須建立兩個 Workspace ONE Access 憑證,一個套用在叢集應用裝置上,另一個套用在負載平衡器上。此外,請建立一個將套用至 vRealize Automation 應用裝置、您正在建立的承租人 (不包括預設承租人) 以及負載平衡器的憑證。
  • Workspace ONE Access 應用裝置建立憑證,其中列出 Workspace ONE Access 應用裝置的 FQDN 以及您建立的預設承租人和其他承租人。此憑證應包含 Workspace ONE Access 應用裝置的 IP 位址。
  • 最佳做法是在負載平衡器上建立 SSL 終止。若要支援此終止,請為 Workspace ONE Access 負載平衡器建立憑證,其中列出 Workspace ONE Access 負載平衡器的 FQDN 以及您建立的預設承租人和所有其他承租人。此憑證應包含負載平衡器的 IP 位址。
  • 您必須為 vRealize Automation 建立憑證,其中列出三個 vRealize Automation 應用裝置的主機名稱、相關負載平衡器以及您要建立的承租人。此外,還應該列出三個 vRealize Automation 應用裝置的 IP 位址。
  • 作為簡化組態的選項,您可以對 Workspace ONE AccessvRealize Automation 憑證使用萬用字元。例如,*.example.com*.vra.example.com*.vra-lb.example.com
    備註: vRealize Automation 僅對與公用尾碼清單 (網址為 https://publicsuffix.org) 中與規格相符的 DNS 名稱支援萬用字元憑證。例如, *.myorg.com 是有效的名稱。

如果您使用的是叢集化 Workspace ONE Access 組態,請注意,Lifecycle Manager 無法更新負載平衡器憑證,因此必須手動進行更新。此外,如果您需要重新登錄 Lifecycle Manager 外部的產品或服務,則這是一種手動程序。

叢集化多組織組態的 DNS 項目和憑證摘要

下表概述了叢集化 Workspace ONE Access 和叢集化 vRealize Automation 多組織部署的 DNS 主要 A 類型記錄和 C 名稱類型記錄以及憑證的要求。

DNS 需求 SAN 憑證需求
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
Workspace One Certificate
主機名稱:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
備註: 所有多租戶 A 類型記錄必須指向 vIDM/WS1A 負載平衡器 IP 位址。
Workspace One LB Certificate (LB Terminated)
主機名稱:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
vRealize Automation Certificate
主機名稱:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

vRealize Automation 負載平衡器上不需要憑證,因為它使用 SSL 傳遞。

備註: 新增的每個額外承租人都必須在 vRealize Automation 憑證、多租戶 CNAME 記錄、多租戶類型 A 記錄、Workspace One 憑證和 Workspace One LB 憑證中單獨列出。
備註: *.com 檔案名稱僅供範例使用,可能不適用於大多數業務環境。