Debe coordinar la configuración de certificados y DNS entre todos los componentes aplicables a fin de configurar una implementación de VMware Aria Automation agrupada en clúster para varias organizaciones.

En una configuración agrupada en clúster típica, hay tres dispositivos de Workspace ONE Access y tres dispositivos de VMware Aria Automation, así como un solo dispositivo de VMware Aria Suite Lifecycle.

Esta configuración asume implementaciones agrupadas en clúster para los siguientes componentes:
  • Dispositivos de Workspace ONE Access Identity Manager:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • Dispositivos de VMware Aria Automation:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Dispositivo de VMware Aria Suite Lifecycle

Requisitos de DNS

Debe crear ambos registros de tipo A principales para cada componente y para cada uno de los tenants que creará cuando habilite la configuración para varios tenants. Asimismo, debe crear registros de tipo CNAME de varios tenants para cada uno de los tenants que creará, sin contar el tenant principal. Por último, también debe crear registros de tipo A principales para los equilibradores de carga de Workspace ONE Access y VMware Aria Automation.

  • Cree registros de tipo A para los tres dispositivos de Workspace ONE Access y para los dispositivos de VMware Aria Automation que apunten a sus respectivos FQDN.
  • Además, cree registros de tipo A para el equilibrador de carga de Workspace ONE Access y el equilibrador de carga de VMware Aria Automation que apunten a sus respectivos FQDN.
  • Cree registros de tipo A de varios tenants para el tenant predeterminado y para los tenant-1 y tenant-2 que apunten a la dirección IP del equilibrador de carga de Workspace ONE Access.
  • Cree registros CNAME para los tenant-1 y tenant-2 que apuntan a la dirección IP del equilibrador de carga de VMware Aria Automation.

Requisitos de los certificados de nombre alternativo de asunto (SAN)

Debe crear dos certificados de Workspace ONE Access, uno que se aplique a los dispositivos del clúster y otro que se aplique al equilibrador de carga. Además, cree un certificado que se aplique a los dispositivos de VMware Aria Automation, a los tenants que va a crear (excluyendo el tenant predeterminado) y al equilibrador de carga.
  • Cree un certificado para los dispositivos de Workspace ONE Access que muestren los FQDN de los dispositivos de Workspace ONE Access, así como el tenant predeterminado y otros tenants que cree. Este certificado debe incluir las direcciones IP de los dispositivos de Workspace ONE Access.
  • Se recomienda crear una terminación SSL en el equilibrador de carga. Si desea tener compatibilidad con esta capacidad, cree un certificado para el equilibrador de carga de Workspace ONE Access que enumere los FQDN del equilibrador de carga de Workspace ONE Access, así como el tenant predeterminado y todos los demás tenants que cree. Este certificado debe incluir la dirección IP del equilibrador de carga.
  • Debe crear un certificado para VMware Aria Automation que enumere los nombres de host de los tres dispositivos de VMware Aria Automation, así como el equilibrador de carga relacionado y los tenants que esté creando. Además, debería enumerar las direcciones IP de los tres dispositivos de VMware Aria Automation.
  • Para simplificar la configuración, puede utilizar comodines para los certificados de Workspace ONE Access y de VMware Aria Automation. Por ejemplo, *.example.com, *.vra.example.com y *.vra-lb.example.com.
    Nota: VMware Aria Automation solo admite certificados comodín para nombres DNS que coincidan con las especificaciones de la lista de sufijos públicos en https://publicsuffix.org. Por ejemplo, *.myorg.com es un nombre válido.

Si utiliza una configuración de Workspace ONE Access agrupada en clúster, tenga en cuenta que VMware Aria Suite Lifecycle no puede actualizar los certificados del equilibrador de carga, por lo que debe actualizarlos manualmente. Además, si necesita volver a registrar productos o servicios que son externos a VMware Aria Suite Lifecycle, debe hacerlo de forma manual.

Resumen de las entradas de DNS y los certificados para una configuración de varias organizaciones agrupada en clúster

En las siguientes tablas, se describen los registros de tipo A principales de DNS y los registros de tipo de nombre C, así como los requisitos de certificados para una implementación de varias organizaciones de una instancia de Workspace ONE Access agrupada en clúster y una instancia de VMware Aria Automation agrupada en clúster.

Requisitos de DNS Requisitos del certificado de SAN
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
Workspace ONE Access Certificate
Nombre de host:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Nota: Todos los registros de tipo A de varios tenants deben apuntar a la dirección IP del equilibrador de carga de vIDM/WS1A.
Workspace ONE Access LB Certificate (LB Terminated)
Nombre de host:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
VMware Aria Automation Certificate
Nombre de host:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

No se requiere ningún certificado en el equilibrador de carga VMware Aria Automation, ya que utiliza el acceso directo a SSL.

Nota: Cada tenant adicional que agregue debe aparecer por separado en el certificado de VMware Aria Automation, los registros CNAME de varios tenants, los registros de tipo A de varios tenants, el certificado de Workspace ONE Access y el certificado de Workspace ONE Access LB.
Nota: Los nombres de archivo *.com solo se emplean como ejemplo. Es posible que no se apliquen a la mayoría de los entornos empresariales.