Sie müssen die Zertifikat- und DNS-Konfiguration zwischen allen zutreffenden Komponenten koordinieren, um eine geclusterte VMware Aria Automation-Bereitstellung mit mehrere Organisationen einzurichten.

In einer typischen geclusterten Konfiguration gibt es drei Workspace ONE Access-Appliances und drei VMware Aria Automation-Appliances sowie eine einzelne VMware Aria Suite Lifecycle-Appliance.

Diese Konfiguration setzt Clusterbereitstellungen für die folgenden Komponenten voraus:
  • Workspace ONE Access Identity Manager-Appliances:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • VMware Aria Automation-Appliances:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • VMware Aria Suite Lifecycle-Appliance

DNS-Anforderungen

Sie müssen Datensätze vom Typ „Main A“ sowohl für jede Komponente als auch für jeden der Mandanten erstellen, die Sie beim Aktivieren der Mehrmandantenfähigkeit erstellen. Darüber hinaus müssen Sie mehrmandantenfähige Datensätze des Typs CNAME für jeden erstellten Mandanten außer dem Mastermandanten erstellen. Schließlich müssen Sie auch Datensätze vom Typ „Main A“ für die Workspace ONE Access- und VMware Aria Automation-Lastausgleichsdienste erstellen.

  • Erstellen Sie Datensätze des Typs A für die drei Workspace ONE Access-Appliances und für die VMware Aria Automation-Appliances, die auf die jeweiligen FQDNs verweisen.
  • Erstellen Sie außerdem Datensätze des Typs A für die Workspace ONE Access- und VMware Aria Automation-Lastausgleichsdienste, die auf die jeweiligen FQDNs verweisen.
  • Erstellen Sie mehrmandantenfähige Datensätze des Typs A für den Standardmandanten und für Mandant-1 und Mandant-2, die auf die IP-Adresse des Workspace ONE Access-Lastausgleichsdiensts verweisen.
  • Erstellen Sie CNAME-Datensätze für Mandant-1 und Mandant-2, die auf die IP-Adresse des VMware Aria Automation-Lastausgleichsdiensts verweisen.

Anforderungen für SAN-Zertifikate (Subject Alternative Name)

Sie müssen zwei Workspace ONE Access-Zertifikate erstellen, eines für die Clusteranwendungen und eines für den Lastausgleichsdienst. Erstellen Sie außerdem ein Zertifikat, das für die VMware Aria Automation-Appliances, die von Ihnen erstellten Mandanten (ausschließlich des Standardmandanten) und den Lastausgleichsdienst gilt.
  • Erstellen Sie ein Zertifikat für die Workspace ONE Access-Appliances, das die FQDNs der Workspace ONE Access-Appliances sowie den Standardmandanten und andere von Ihnen erstellte Mandanten auflistet. Dieses Zertifikat muss die IP-Adressen der Workspace ONE Access-Appliances enthalten.
  • Erstellen Sie als Best Practice eine SSL-Terminierung auf dem Lastausgleichsdienst. Erstellen Sie zur Unterstützung dieser Funktion ein Zertifikat für den Workspace ONE Access-Lastausgleichsdienst, das den FQDN des Workspace ONE Access-Lastausgleichsdiensts sowie den Standardmandanten und alle anderen von Ihnen erstellten Mandanten auflistet. Dieses Zertifikat muss die IP-Adresse des Lastausgleichsdiensts enthalten.
  • Sie müssen ein Zertifikat für VMware Aria Automation erstellen, in dem die Hostnamen der drei VMware Aria Automation-Appliances sowie der dazugehörige Lastausgleichsdienst und die von Ihnen erstellten Mandanten aufgelistet werden. Darüber hinaus müssen die IP-Adressen der drei VMware Aria Automation-Appliances aufgelistet werden.
  • Als Option zur Vereinfachung der Konfiguration können Sie Platzhalter für die Workspace ONE Access- und VMware Aria Automation-Zertifikate verwenden. Beispiel: *.example.com, *.vra.example.com und *.vra-lb.example.com.
    Hinweis: VMware Aria Automation unterstützt Platzhalterzertifikate nur für DNS-Namen, die mit den Spezifikationen in der Liste der öffentlichen Suffixe unter https://publicsuffix.org übereinstimmen. Beispielsweise ist *.myorg.com ein gültiger Name.

Beachten Sie bei Verwendung einer Workspace ONE Access-Clusterkonfiguration, dass VMware Aria Suite Lifecycle die Zertifikate des Lastausgleichsdiensts nicht aktualisieren kann. Die Zertifikate müssen in diesem Fall manuell aktualisiert werden. Darüber hinaus müssen Produkte oder Dienste, die sich außerhalb von VMware Aria Suite Lifecycle befinden, manuell neu registriert werden.

Zusammenfassung der DNS-Einträge und -Zertifikate für eine Clusterkonfiguration mit mehreren Organisationen

In den folgenden Tabellen werden DNS-Hauptdatensätze des Typs A und Datensätze des Typs CNAME für eine geclusterte Workspace ONE Access- und geclusterte VMware Aria Automation-Bereitstellung mit mehreren Organisationen beschrieben.

DNS-Anforderungen Anforderungen an SAN-Zertifikate
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace ONE Access Certificate
Hostname:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Hinweis: Alle mehrmandantenfähige Datensätze des Typs A müssen auf die IP-Adresse des vIDM/WS1A-Lastausgleichsdiensts verweisen.
Workspace ONE Access LB Certificate (LB Terminated)
Hostname:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com – vra-lb.example.com
  • tenant-2.vra-lb.example.com – vra-lb.example.com
 VMware Aria Automation Certificate
Hostname:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Für den VMware Aria Automation-Lastausgleichsdienst ist kein Zertifikat erforderlich, da es SSL Passthrough verwendet.
Hinweis: Jeder zusätzliche Mandant, den Sie hinzufügen, muss separat im VMware Aria Automation-Zertifikat, in den mehrmandantenfähigen CNAME-Datensätzen, den mehrmandantenfähigen Datensätzen des Typs A, im Workspace ONE Access-Zertifikat und im Workspace ONE Access LB-Zertifikat aufgelistet werden.
Hinweis: Die *.com-Dateinamen werden nur als Beispiel verwendet. Sie gelten möglicherweise nicht für die meisten Geschäftsumgebungen.