クラスタ化された VMware Aria Automation 展開での証明書および DNS 構成の管理

マルチ組織のクラスタ化された VMware Aria Automation 展開を設定するには、該当するすべてのコンポーネント間で証明書と DNS の構成を調整する必要があります。

標準的なクラスタ構成には、3 台の Workspace ONE Access アプライアンスと 3 台の VMware Aria Automation アプライアンス、および 1 台の VMware Aria Suite Lifecycle アプライアンスがあります。

この構成は、次のコンポーネントによるクラスタ化された展開を前提にしています。

Workspace ONE Access Identity Manager アプライアンス：
- idm1.example.com
- idm2.example.com
- idm3.example.com
- idm-lb.example.com
VMware Aria Automation アプライアンス：
- vra-1.example.com
- vra-2.example.com
- vra-3.example.com
- vra-lb.example.com
VMware Aria Suite Lifecycle アプライアンス

DNS 要件

メインの A タイプレコードを、マルチテナントを有効にするときに作成する各コンポーネントと各テナントの両方に対して作成する必要があります。さらに、マスターテナント以外の、作成する各テナントに対してマルチテナントの CNAME タイプレコードを作成する必要があります。最後に、Workspace ONE Access および VMware Aria Automation ロードバランサに対するメインの A タイプレコードも作成する必要があります。

3 台の Workspace ONE Access アプライアンスと、それぞれの FQDN を参照する VMware Aria Automation アプライアンスに対して、A タイプレコードを作成します。
また、Workspace ONE Access ロードバランサと、それぞれの FQDN を参照する VMware Aria Automation ロードバランサに対して、A タイプレコードを作成します。
デフォルトのテナントと、Workspace ONE Access ロードバランサの IP アドレスを参照する tenant-1 および tenant-2 に対して、マルチテナントの A タイプレコードを作成します。
VMware Aria Automation ロードバランサの IP アドレスを参照する tenant-1 および tenant-2 の CNAME レコードを作成します。

Subject Alternative Names (SAN) 証明書の要件

2 つの Workspace ONE Access 証明書を作成する必要があります。1 つはクラスタアプライアンスに適用され、もう 1 つはロードバランサに適用されます。さらに、 VMware Aria Automation アプライアンス、作成するテナント（デフォルトのテナント以外）、およびロードバランサに適用される証明書を作成します。

Workspace ONE Access アプライアンスの証明書を作成します。この証明書には、Workspace ONE Access アプライアンスの FQDN およびデフォルトのテナントと作成した他のテナントが一覧表示されます。この証明書には、Workspace ONE Access アプライアンスの IP アドレスが含まれている必要があります。
ベストプラクティスとして、ロードバランサで SSL ターミネーションを作成します。この機能をサポートするには、Workspace ONE Access ロードバランサの証明書を作成します。これには、Workspace ONE Access ロードバランサの FQDN、デフォルトのテナント、および作成した他のすべてのテナントが一覧表示されます。この証明書には、ロードバランサの IP アドレスが含まれている必要があります。
3 台の VMware Aria Automation アプライアンスのホスト名、および関連するロードバランサと作成しているテナントを一覧表示する VMware Aria Automation 用の証明書を作成する必要があります。また、3 台の VMware Aria Automation アプライアンスの IP アドレスを一覧表示する必要があります。
必要に応じて、構成を簡素化するために、Workspace ONE Access および VMware Aria Automation 証明書にワイルドカードを使用できます。たとえば、*.example.com、*.vra.example.com および *.vra-lb.example.com のようにします。
注： VMware Aria Automation では、 https://publicsuffix.orgにあるパブリックサフィックスリストの仕様に一致する DNS 名に対してのみ、ワイルドカード証明書をサポートしています。たとえば、 *.myorg.com は有効な名前です。

クラスタ化された Workspace ONE Access 構成を使用している場合は、VMware Aria Suite Lifecycle がロードバランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、VMware Aria Suite Lifecycle の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。

クラスタ化されたマルチ組織構成の DNS エントリと証明書の概要

以下の表に、クラスタ化された Workspace ONE Access およびクラスタ化された VMware Aria Automation マルチ組織展開における DNS メイン A タイプレコードおよび CNAME タイプレコードと証明書の要件の概要を示します。


DNS 要件	SAN 証明書の要件
Main A Type Records lcm.example.com WorkspaceOne-1.example.com WorkspaceOne-2.example.com WorkspaceOne-3.example.com Workspace.One-lb.example.com vra-1.example.com vra-2.example.com vra-3.example.com vra-lb.example.com	Workspace ONE Access Certificate ホスト名： WorkspaceOne-1.example.com WorkspaceOne-2.example.com WorkspaceOne-3.example.com default-tenant.example.com tenant-1.example.com tenant-2.example.com
Multi-Tenancy A Type Records default-tenant.example.com tenant-1.vra.example.com tenant-2.vra.example.com 注：すべてのマルチテナント A タイプレコードは、vIDM/WS1A ロードバランサの IP アドレスを参照する必要があります。	Workspace ONE Access LB Certificate (LB Terminated) ホスト名： WorkspaceOne-lb.example.com default-tenant.example.com tenant-1.example.com tenant-2.example.com
Multi-Tenancy CNAME Type Records tenant-1.vra-lb.example.com - vra-lb.example.com tenant-2.vra-lb.example.com - vra-lb.example.com	VMware Aria Automation Certificate ホスト名： vra-1.example.com vra-2.example.com vra-3.example.com vra-lb.example.com tenant-1.example.com tenant-2.example.com SSL パススルーを使用しているため、VMware Aria Automation ロードバランサに証明書は必要ありません。

注：追加する各テナントは、 VMware Aria Automation 証明書、マルチテナント CNAME レコード、マルチテナントタイプ A レコード、 Workspace ONE Access 証明書、および Workspace ONE Access LB 証明書に個別に一覧表示する必要があります。

注： *.com ファイル名は、サンプル専用の名前です。多くのビジネス環境では適用できない可能性があります。