多組織租戶 vRealize Automation 組態依賴於數個產品之間的協調組態,您必須確保已正確設定 DNS 設定和憑證,多組織租戶組態才能正常運作。
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
此外,假設您從預設承租人 (即提供者組織) 開始,然後建立兩個子承租人,稱為 tenant-1 和 tenant-2。
可以在 vRealize Suite Lifecycle Manager 中使用鎖定器服務建立和套用憑證,也可以使用其他機制。還可以透過 Lifecycle Manager 在 vRealize Automation 或 Workspace ONE Access 上取代或重新信任憑證。
DNS 需求
- 針對每個系統元件以及將在啟用多租戶時建立的每個承租人同時建立兩個主要 A 類型記錄。
- 針對將要建立的每個承租人以及主要承租人建立多租戶 A 類型記錄。
- 針對將建立的每個承租人 (不包括主要承租人) 建立多租戶 CNAME 類型記錄。
單一節點多租戶部署的憑證需求
必須建立兩個主體別名 (SAN) 憑證,一個用於 Workspace ONE Access,一個用於 vRealize Automation。
- vRealize Automation 憑證會列出 vRealize Automation 伺服器的主機名稱以及您將建立之承租人的名稱。
- Workspace ONE Access 憑證會列出 Workspace ONE Access 伺服器的主機名稱以及您要建立的承租人名稱。
- 如果您使用專用 SAN 名稱,則在新增或刪除主機或變更主機名稱時,必須手動更新憑證。您還必須更新承租人的 DNS 項目。作為簡化組態的選項,您可以對 Workspace ONE Access 和 vRealize Automation 憑證使用萬用字元。例如,
*.example.com和*.vra.example.com。備註: vRealize Automation 8.x 僅對與公用尾碼清單 (網址為 https://publicsuffix.org) 中與規格相符的 DNS 名稱支援萬用字元憑證。例如,*.myorg.com是有效的名稱,而*.myorg.local無效。
請注意,Lifecyle Manager 不會為每個承租人建立單獨的憑證。相反,它會使用列出的每個承租人主機名稱建立單一憑證。對於基本組態,承租人的 CNAME 使用下列格式:tenantname.vrahostname.domain。對於高可用性組態,名稱使用下列格式:tenantname.vraLBhostname.domain。
摘要
下表概述了單一節點 Workspace ONE Access 和單一節點 vRealize Automation 部署的 DNS 和憑證需求。
| DNS 需求 | SAN 憑證需求 |
|---|---|
| Main A Type Records lcm.example.local WorkspaceOne.example.local vra.example.local |
Workspace One Certificate 主機名稱: WorkspaceOne.example.local、default-tenant.example.local、tenant-1.vra.example.local、tenant-2.vra.example.local |
| Multi-tenancy A Type Records default-tenant.example.local tenant-1.example.local tenant-2.example.local |
|
| Multi-Tenancy CNAME Type Records tenant-1.vra.example.local tenant-2.vra.example.local |
vRealize Automation Certificate 主機名稱: vra.example.local、tenant-1.vra.example.local、tenant-2.vra.example.local |
