Vous devez coordonner la configuration des certificats et de DNS entre tous les composants applicables pour configurer un déploiement VMware Aria Automation en cluster à plusieurs organisations.

Dans une configuration en cluster classique, il y a trois dispositifs Workspace ONE Access et trois dispositifs VMware Aria Automation, ainsi qu'un dispositif VMware Aria Suite Lifecycle unique.

Cette configuration suppose des déploiements en cluster pour les composants suivants :
  • Dispositifs Workspace ONE Access Identity Manager :
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • Dispositifs VMware Aria Automation :
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Dispositif VMware Aria Suite Lifecycle

Conditions requises de DNS

Vous devez créer des enregistrements de type A principaux pour chaque composant et pour chacun des locataires que vous créerez lorsque vous activez l'architecture mutualisée. En outre, vous devez créer des enregistrements de type CNAME à locataires multiples pour chacun des locataires que vous allez créer, sans inclure le locataire principal. Enfin, vous devez également créer des enregistrements de type A principaux pour les équilibrages de charge Workspace ONE Access et VMware Aria Automation.

  • Créez des enregistrements de type A pour les trois dispositifs Workspace ONE Access et pour les dispositifs VMware Aria Automation qui pointent vers leurs noms de domaine complets respectifs.
  • En outre, créez des enregistrements de type A pour l'équilibrage de charge Workspace ONE Access et l'équilibrage de charge VMware Aria Automation qui pointent vers leurs noms de domaine complets respectifs.
  • Créez des enregistrements de type A à locataires multiples pour le locataire par défaut et pour les locataires tenant-1 et tenant-2 qui pointent vers l'adresse IP de l'équilibrage de charge Workspace ONE Access.
  • Créez des enregistrements CNAME pour les locataires tenant-1 et tentant-2 qui pointent vers l'adresse IP de l'équilibrage de charge VMware Aria Automation.

Conditions requises des certificats SAN (Subject Alternative Name)

Vous devez créer deux certificats Workspace ONE Access, un premier qui s'applique aux dispositifs de cluster, un autre qui s'applique à l'équilibrage de charge. En outre, créez un certificat qui s'applique aux dispositifs VMware Aria Automation, aux locataires que vous créez (à l'exception du locataire par défaut) et à l'équilibrage de charge.
  • Créez un certificat pour les dispositifs Workspace ONE Access qui répertorient les noms de domaine complets des dispositifs Workspace ONE Access, ainsi que le locataire par défaut et d'autres locataires que vous créez. Ce certificat doit inclure les adresses IP des dispositifs Workspace ONE Access.
  • Nous vous recommandons de créer une terminaison SSL sur l'équilibrage de charge. Pour prendre en charge cette fonctionnalité, créez un certificat pour l'équilibreur de charge Workspace ONE Access qui répertorie le nom de domaine complet de l'équilibreur de charge Workspace ONE Access ainsi que le locataire par défaut et tous les autres locataires que vous créez. Ce certificat doit inclure l'adresse IP de l'équilibrage de charge.
  • Vous devez créer un certificat pour VMware Aria Automation qui répertorie les noms d'hôte des trois dispositifs VMware Aria Automation, ainsi que l'équilibrage de charge associé et les locataires que vous créez. En outre, il doit répertorier les adresses IP des trois dispositifs VMware Aria Automation.
  • Pour simplifier la configuration, vous pouvez utiliser des caractères génériques pour les certificats Workspace ONE Access et VMware Aria Automation. Par exemple, *.example.com, *.vra.example.com et *.vra-lb.example.com.
    Note : VMware Aria Automation prend en charge les certificats génériques uniquement pour les noms DNS qui correspondent aux spécifications de la liste de suffixes publics sur https://publicsuffix.org. Par exemple, *.myorg.com est un nom valide.

Si vous utilisez une configuration de Workspace ONE Access en cluster, notez que VMware Aria Suite Lifecycle ne peut pas mettre à jour les certificats de l'équilibreur de charge. Vous devez donc les mettre à jour manuellement. En outre, si vous devez réenregistrer des produits ou des services externes à VMware Aria Suite Lifecycle, il s'agit d'un processus manuel.

Résumé des entrées DNS et des certificats pour une configuration à plusieurs organisations en cluster

Les tableaux suivants décrivent les enregistrements DNS de type A principaux et de type de nom C, et les exigences de certificat pour un déploiement de Workspace ONE Access et VMware Aria Automation en cluster à plusieurs organisations.

Conditions requises de DNS Conditions requises des certificats SAN
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace ONE Access Certificate
Nom de l'hôte :
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Note : Tous les enregistrements de type A à plusieurs locataires doivent pointer vers l'adresse IP de l'équilibrage de charge vIDM/WS1A.
Workspace ONE Access LB Certificate (LB Terminated)
Nom de l'hôte :
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
 VMware Aria Automation Certificate
Nom de l'hôte :
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Aucun certificat n'est requis sur l'équilibrage de charge de VMware Aria Automation, car il utilise le relais SSL.
Note : Chaque locataire supplémentaire que vous ajoutez doit être répertorié séparément dans le certificat VMware Aria Automation, les enregistrements CNAME à plusieurs locataires, les enregistrements de type A à plusieurs locataires, le certificat Workspace ONE Access et le certificat de l'équilibreur de charge Workspace ONE Access.
Note : Les noms de fichier *. com sont uniquement utilisés en tant qu'exemple. Ils peuvent ne pas s'appliquer à la plupart des environnements d'entreprise.