マルチ組織のクラスタ化された VMware Aria Automation 展開を設定するには、該当するすべてのコンポーネント間で証明書と DNS の構成を調整する必要があります。

標準的なクラスタ構成には、3 台の Workspace ONE Access アプライアンスと 3 台の VMware Aria Automation アプライアンス、および 1 台の VMware Aria Suite Lifecycle アプライアンスがあります。

この構成は、次のコンポーネントによるクラスタ化された展開を前提にしています。
  • Workspace ONE Access Identity Manager アプライアンス:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • VMware Aria Automation アプライアンス:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • VMware Aria Suite Lifecycle アプライアンス

DNS 要件

メインの A タイプ レコードを、マルチテナントを有効にするときに作成する各コンポーネントと各テナントの両方に対して作成する必要があります。さらに、マスター テナント以外の、作成する各テナントに対してマルチ テナントの CNAME タイプ レコードを作成する必要があります。最後に、Workspace ONE Access および VMware Aria Automation ロード バランサに対するメインの A タイプ レコードも作成する必要があります。

  • 3 台の Workspace ONE Access アプライアンスと、それぞれの FQDN を参照する VMware Aria Automation アプライアンスに対して、A タイプ レコードを作成します。
  • また、Workspace ONE Access ロード バランサと、それぞれの FQDN を参照する VMware Aria Automation ロード バランサに対して、A タイプ レコードを作成します。
  • デフォルトのテナントと、Workspace ONE Access ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 に対して、マルチテナントの A タイプ レコードを作成します。
  • VMware Aria Automation ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 の CNAME レコードを作成します。

Subject Alternative Names (SAN) 証明書の要件

2 つの Workspace ONE Access 証明書を作成する必要があります。1 つはクラスタ アプライアンスに適用され、もう 1 つはロード バランサに適用されます。さらに、 VMware Aria Automation アプライアンス、作成するテナント(デフォルトのテナント以外)、およびロード バランサに適用される証明書を作成します。
  • Workspace ONE Access アプライアンスの証明書を作成します。この証明書には、Workspace ONE Access アプライアンスの FQDN およびデフォルトのテナントと作成した他のテナントが一覧表示されます。この証明書には、Workspace ONE Access アプライアンスの IP アドレスが含まれている必要があります。
  • ベスト プラクティスとして、ロード バランサで SSL ターミネーションを作成します。この機能をサポートするには、Workspace ONE Access ロード バランサの証明書を作成します。これには、Workspace ONE Access ロード バランサの FQDN、デフォルトのテナント、および作成した他のすべてのテナントが一覧表示されます。この証明書には、ロード バランサの IP アドレスが含まれている必要があります。
  • 3 台の VMware Aria Automation アプライアンスのホスト名、および関連するロード バランサと作成しているテナントを一覧表示する VMware Aria Automation 用の証明書を作成する必要があります。また、3 台の VMware Aria Automation アプライアンスの IP アドレスを一覧表示する必要があります。
  • 必要に応じて、構成を簡素化するために、Workspace ONE Access および VMware Aria Automation 証明書にワイルドカードを使用できます。たとえば、*.example.com*.vra.example.com および *.vra-lb.example.com のようにします。
    注: VMware Aria Automation では、 https://publicsuffix.orgにあるパブリック サフィックス リストの仕様に一致する DNS 名に対してのみ、ワイルドカード証明書をサポートしています。たとえば、 *.myorg.com は有効な名前です。

クラスタ化された Workspace ONE Access 構成を使用している場合は、VMware Aria Suite Lifecycle がロード バランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、VMware Aria Suite Lifecycle の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。

クラスタ化されたマルチ組織構成の DNS エントリと証明書の概要

以下の表に、クラスタ化された Workspace ONE Access およびクラスタ化された VMware Aria Automation マルチ組織展開における DNS メイン A タイプ レコードおよび CNAME タイプ レコードと証明書の要件の概要を示します。

DNS 要件 SAN 証明書の要件
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
Workspace ONE Access Certificate
ホスト名:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
注: すべてのマルチテナント A タイプ レコードは、vIDM/WS1A ロード バランサの IP アドレスを参照する必要があります。
Workspace ONE Access LB Certificate (LB Terminated)
ホスト名:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
VMware Aria Automation Certificate
ホスト名:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

SSL パススルーを使用しているため、VMware Aria Automation ロード バランサに証明書は必要ありません。

注: 追加する各テナントは、 VMware Aria Automation 証明書、マルチテナント CNAME レコード、マルチテナント タイプ A レコード、 Workspace ONE Access 証明書、および Workspace ONE Access LB 証明書に個別に一覧表示する必要があります。
注: *.com ファイル名は、サンプル専用の名前です。多くのビジネス環境では適用できない可能性があります。