È necessario coordinare la configurazione del certificato e di DNS fra tutti i componenti applicabili per configurare una distribuzione di più organizzazioni di VMware Aria Automation in cluster.

In una tipica configurazione in cluster, sono presenti tre appliance Workspace ONE Access, tre appliance VMware Aria Automation e una singola appliance VMware Aria Suite Lifecycle.

Questa configurazione presuppone distribuzioni in cluster per i seguenti componenti:
  • Appliance Workspace ONE Access Identity Manager:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • Appliance VMware Aria Automation:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Appliance VMware Aria Suite Lifecycle

Requisiti DNS

È necessario creare entrambi i record di tipo A principali per ciascun componente e per ognuno dei tenant che verranno creati quando si abilita il multi-tenancy. Inoltre, è necessario creare record di tipo CNAME multi-tenancy per ogni tenant che verrà creato, senza includere il tenant master. Infine, è inoltre necessario creare record di tipo A principali per i bilanciamenti del carico di Workspace ONE Access e VMware Aria Automation.

  • Creare record di tipo A per le tre appliance Workspace ONE Access e per le appliance VMware Aria Automation che puntino ai loro nomi di dominio completi.
  • Creare inoltre record di tipo A per il bilanciamento del carico di Workspace ONE Access e il bilanciamento del carico di VMware Aria Automation che puntino ai loro nomi di dominio completi.
  • Creare record di tipo A multi-tenancy per il tenant predefinito e per tenant-1 e tenant-2 che puntino all'indirizzo IP del bilanciamento del carico di Workspace ONE Access.
  • Creare record CNAME per tenant-1 e tenant-2 che puntino all'indirizzo IP del bilanciamento del carico di VMware Aria Automation.

Requisiti del certificato SAN (Subject Alternative Name)

È necessario creare due certificati di Workspace ONE Access, uno da applicare alle appliance del cluster e uno da applicare al bilanciamento del carico. Creare inoltre un certificato da applicare alle appliance VMware Aria Automation, ai tenant che si stanno creando, escludendo il tenant predefinito, e al bilanciamento del carico.
  • Creare un certificato per le appliance Workspace ONE Access in cui siano elencati i nomi di dominio completi delle appliance Workspace ONE Access, nonché il tenant predefinito e gli altri tenant creati. Questo certificato deve includere gli indirizzi IP delle appliance Workspace ONE Access.
  • È consigliabile creare una terminazione SSL nel bilanciamento del carico. Per supportare questa funzionalità, creare un certificato per il bilanciamento del carico di Workspace ONE Access in cui siano elencati il nome di dominio completo del bilanciamento del carico di Workspace ONE Access, nonché il tenant predefinito e tutti gli altri tenant creati. Questo certificato deve includere l'indirizzo IP del bilanciamento del carico.
  • È necessario creare un certificato per VMware Aria Automation in cui siano elencati i nomi host delle tre appliance VMware Aria Automation, nonché il bilanciamento del carico correlato e i tenant che si stanno creando. Deve inoltre includere gli indirizzi IP delle tre appliance VMware Aria Automation.
  • Per semplificare la configurazione, è possibile utilizzare i caratteri jolly per i certificati di Workspace ONE Access e VMware Aria Automation. Ad esempio *.example.com, *.vra.example.com e *.vra-lb.example.com.
    Nota: VMware Aria Automation supporta i certificati con caratteri jolly solo per i nomi DNS che soddisfano le specifiche nell'elenco di suffissi pubblici all'indirizzo https://publicsuffix.org. Ad esempio, *.myorg.com è un nome valido.

Se si utilizza una configurazione di Workspace ONE Access in cluster, si tenga presente che VMware Aria Suite Lifecycle non è in grado di aggiornare i certificati di bilanciamento del carico. È quindi necessario aggiornarli manualmente. Inoltre, se è necessario registrare nuovamente i prodotti o i servizi esterni a VMware Aria Suite Lifecycle, si tratta di un processo manuale.

Riepilogo delle voci DNS e dei certificati per una configurazione di più organizzazioni in cluster

Le tabelle seguenti illustrano i record Record di tipo A principali DNS e Tipo nome C, oltre ai requisiti del certificato, per una distribuzione in più organizzazioni di Workspace ONE Access in cluster e VMware Aria Automation in cluster.

Requisiti DNS Requisiti del certificato SAN
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace ONE Access Certificate
Nome host:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Nota: Tutti i record di tipo A multi-tenancy devono fare riferimento all'indirizzo IP del bilanciamento del carico vIDM/WS1A.
Workspace ONE Access LB Certificate (LB Terminated)
Nome host:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
 VMware Aria Automation Certificate
Nome host:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Non è necessario alcun certificato nel bilanciamento del carico di VMware Aria Automation poiché utilizza il passthrough SSL.
Nota: Ogni ulteriore tenant aggiunto deve essere elencato separatamente nel certificato di VMware Aria Automation, nei record CNAME multi-tenancy, nei record di tipo A multi-tenancy, nel certificato di Workspace ONE Access e nel certificato del bilanciamento del carico di Workspace ONE Access.
Nota: I nomi dei file *.com sono utilizzati solo come esempio. Potrebbero non essere applicabili alla maggior parte degli ambienti aziendali.