Você deve coordenar o certificado e a configuração de DNS entre todos os componentes aplicáveis para configurar uma implantação do VMware Aria Automation com cluster de várias organizações.

Em uma configuração típica agrupado em cluster, existem três dispositivos do Workspace ONE Access e três dispositivos do VMware Aria Automation, bem como um único dispositivo do VMware Aria Suite Lifecycle.

Essa configuração pressupõe implantações com cluster para os seguintes componentes:
  • Dispositivos Workspace ONE Access Identity Manager:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • Dispositivos VMware Aria Automation:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • appliance do VMware Aria Suite Lifecycle

Requisitos de DNS

Você deve criar os dois registros principais de tipo A para cada componente e para cada um dos tenants que você criará ao habilitar a multilocação. Além disso, você deve criar registros de tipo CNAME de multilocação para cada um dos tenants que criar, sem incluir o tenant mestre. Por fim, você também deve criar registros de tipo A principais para os balanceadores de carga do Workspace ONE Access e do VMware Aria Automation.

  • Crie registros de tipo A para os três dispositivos Workspace ONE Access e para os dispositivos VMware Aria Automation que apontam para seus respectivos FQDNs.
  • Além disso, crie registros de tipo A para o balanceador de carga do Workspace ONE Access e o balanceador de carga VMware Aria Automation que apontem para seus respectivos FQDNs.
  • Crie registros de Tipo A de multilocação para o tenant padrão e para tenant-1 e tenant-2 que apontem para o endereço IP do balanceador de carga do Workspace ONE Access.
  • Crie registros CNAME para tenant-1 e tenant-2 que apontem para o endereço IP do balanceador de carga do VMware Aria Automation.

Requisitos de certificado de Nome alternativo do requerente (SAN)

Você deve criar dois certificados do Workspace ONE Access, um aplicável aos dispositivos de cluster e outro aplicável ao balanceador de carga. Além disso, crie um certificado que se aplique aos dispositivos VMware Aria Automation, aos tenants que você está criando, excluindo o tenant padrão, e ao balanceador de carga.
  • Crie um certificado para os dispositivos Workspace ONE Access que liste os FQDNs dos dispositivos Workspace ONE Access, bem como o tenant padrão e outros tenants que você criar. Esse certificado deve incluir os endereços IP dos dispositivos Workspace ONE Access.
  • Como prática recomendada, crie uma terminação SSL no balanceador de carga. Para oferecer suporte a essa capacidade, crie um certificado para o balanceador de carga do Workspace ONE Access que liste o FQDN do balanceador de carga do Workspace ONE Access, bem como o tenant padrão e todos os outros tenants que você criar. Esse certificado deve incluir o endereço IP do balanceador de carga.
  • Você deve criar um certificado para o VMware Aria Automation que liste os nomes de host dos três dispositivos VMware Aria Automation, bem como o balanceador de carga relacionado e os tenants que você está criando. Além disso, ele deve listar os endereços IP dos três dispositivos VMware Aria Automation.
  • Como uma opção para simplificar a configuração, você pode usar curingas para os certificados do Workspace ONE Access e do VMware Aria Automation. Por exemplo, *.example.com, *.vra.example.com e *.vra-lb.example.com.
    Observação: O VMware Aria Automation oferece suporte a certificados curinga apenas para nomes DNS que correspondem às especificações na lista de Sufixos Públicos em https://publicsuffix.org. Por exemplo, *.myorg.com é um nome válido.

Se você estiver usando uma configuração do Workspace ONE Access agrupado em cluster, observe que o VMware Aria Suite Lifecycle não poderá atualizar os certificados do balanceador de carga e, portanto, você deverá atualizá-los manualmente. Além disso, se você precisar registrar novamente produtos ou serviços externos ao VMware Aria Suite Lifecycle, este será um processo manual.

Resumo das entradas de DNS e dos certificados para uma configuração de cluster de várias organizações

As tabelas a seguir descrevem Registros de Tipo A Principais de DNS e registros do Tipo de Nome C e os requisitos de certificado para uma implantação do Workspace ONE Access em cluster e uma implantação de várias organizações do VMware Aria Automation em cluster.

Requisitos de DNS Requisitos de certificado SAN
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace ONE Access Certificate
Nome do host:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Observação: Todos os registros de Tipo A de multilocação devem apontar para o endereço IP do balanceador de carga vIDM/WS1A.
Workspace ONE Access LB Certificate (LB Terminated)
Nome do host:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
 VMware Aria Automation Certificate
Nome do host:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Nenhum certificado é exigido no balanceador de carga do VMware Aria Automation, pois ele usa a passagem SSL.
Observação: Cada tenant adicional que você adicionar deverá ser listado separadamente no Certificado do VMware Aria Automation, nos registros CNAME de Vários Recursos Multiempresa, em registros de Tipo A de Vários Recursos Multiempresa, no Certificado do Workspace ONE Access e no Certificado LB do Workspace ONE Access.
Observação: Os nomes de arquivo *.com são apenas para uso como exemplo. Eles podem não ser aplicáveis à maioria dos ambientes de negócios.