必须协调所有适用组件之间的证书和 DNS 配置,才能设置多组织集群 VMware Aria Automation 部署。
在典型的集群配置中,有三个 Workspace ONE Access 设备和三个 VMware Aria Automation 设备以及一个 VMware Aria Suite Lifecycle 设备。
此配置为以下组件采用集群部署:
- Workspace ONE Access Identity Manager 设备:
- idm1.example.com
- idm2.example.com
- idm3.example.com
- idm-lb.example.com
- VMware Aria Automation 设备:
- vra-1.example.com
- vra-2.example.com
- vra-3.example.com
- vra-lb.example.com
- VMware Aria Suite Lifecycle 设备
DNS 要求
您必须为每个组件和将在启用多租户时创建的每个租户同时创建两个主 A 类型记录。此外,您还必须为将要创建的每个租户(不包括主租户)创建多租户 CNAME 类型记录。最后,您还必须为 Workspace ONE Access 和 VMware Aria Automation 负载均衡器创建主 A 类型的记录。
- 为三个 Workspace ONE Access 设备以及指向各自 FQDN 的 VMware Aria Automation 设备创建 A 类型记录。
- 此外,为 Workspace ONE Access 负载均衡器以及指向各自 FQDN 的 VMware Aria Automation 负载均衡器创建 A 类型记录。
- 为默认租户以及指向 Workspace ONE Access 负载均衡器 IP 地址的 tenant-1 和 tenant-2 创建多租户 A 类型记录。
- 为指向 VMware Aria Automation 负载均衡器 IP 地址的 tenant-1 和 tenant-2 创建 CNAME 记录。
主体备用名称 (SAN) 证书要求
您必须创建两个
Workspace ONE Access 证书,一个证书应用于集群设备,另一个应用于负载均衡器。此外,还需创建一个应用于
VMware Aria Automation 设备、您将要创建的租户(不包括默认租户)和负载均衡器的证书。
- 为 Workspace ONE Access 设备创建一个证书,该证书将列出 Workspace ONE Access 设备的 FQDN 以及默认租户和您创建的其他租户。此证书应包含 Workspace ONE Access 设备的 IP 地址。
- 最佳做法是在负载均衡器上创建 SSL 终端。要支持此功能,请为 Workspace ONE Access 负载均衡器创建一个证书,该证书将列出 Workspace ONE Access 负载均衡器的 FQDN 以及默认租户和您创建的所有其他租户。此证书应包含负载均衡器的 IP 地址。
- 您必须为 VMware Aria Automation 创建一个证书,该证书将列出三个 VMware Aria Automation 设备的主机名、相关负载均衡器和您要创建的租户。此外,它还应列出三个 VMware Aria Automation 设备的 IP 地址。
- 作为简化配置的选项,您可以对 Workspace ONE Access 和 VMware Aria Automation 证书使用通配符。例如,
*.example.com
、*.vra.example.com
和*.vra-lb.example.com
。注: VMware Aria Automation 仅对符合公共后缀列表 ( https://publicsuffix.org) 中的规范的 DNS 名称支持通配符证书。例如,*.myorg.com
是有效的名称。
请注意,如果使用的是集群 Workspace ONE Access 配置,则 VMware Aria Suite Lifecycle 无法更新负载均衡器证书,因此您必须手动进行更新。此外,如果您需要重新注册 VMware Aria Suite Lifecycle 外部的产品或服务,这是一个手动过程。
集群多组织配置的 DNS 条目和证书汇总
下表概述了集群 Workspace ONE Access 和集群 VMware Aria Automation 多组织部署的 DNS 主 A 类型记录和 C 名称类型记录以及证书的要求。
DNS 要求 | SAN 证书要求 |
---|---|
Main A Type Records
|
Workspace ONE Access Certificate
主机名称:
|
Multi-Tenancy A Type Records
注: 所有多租户 A 类型记录必须指向 vIDM/WS1A 负载均衡器 IP 地址。
|
Workspace ONE Access LB Certificate (LB Terminated)
主机名称:
|
Multi-Tenancy CNAME Type Records
|
VMware Aria Automation Certificate
主机名称:
在 VMware Aria Automation 负载均衡器上,不需要任何证书,因为它使用 SSL 直通。 |
注: 添加的每个额外租户都必须在
VMware Aria Automation 证书、多租户 CNAME 记录、多租户类型 A 记录、
Workspace ONE Access 证书和
Workspace ONE Access LB 证书中单独列出。
注:
*.com 文件名仅用作示例,可能不适用于大多数业务环境。