マルチ組織のクラスタ化された vRealize Automation 展開を設定するには、該当するすべてのコンポーネント間で証明書と DNS の構成を調整する必要があります。

標準的なクラスタ構成には、3 台の Workspace ONE Access アプライアンスと 3 台の vRealize Automation アプライアンス、および 1 台の Lifecycle Manager アプライアンスがあります。

この構成は、次のコンポーネントによるクラスタ化された展開を前提にしています。
  • Workspace ONE Access Identity Manager アプライアンス:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • vRealize Automation アプライアンス:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • Lifecycle Manager アプライアンス

DNS 要件

メインの A タイプ レコードを、マルチテナントを有効にするときに作成する各コンポーネントと各テナントの両方に対して作成する必要があります。さらに、マスター テナント以外の、作成する各テナントに対してマルチ テナントの CNAME タイプ レコードを作成する必要があります。最後に、Workspace ONE Access および vRealize Automation ロード バランサに対するメインの A タイプ レコードも作成する必要があります。

  • 3 台の Workspace ONE Access アプライアンスと、それぞれの FQDN を参照する vRealize Automation アプライアンスに対して、A タイプ レコードを作成します。
  • また、Workspace ONE Access ロード バランサと、それぞれの FQDN を参照する vRealize Automation ロード バランサに対して、A タイプ レコードを作成します。
  • デフォルトのテナントと、Workspace ONE Access ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 に対して、マルチテナントの A タイプ レコードを作成します。
  • vRealize Automation ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 の CNAME レコードを作成します。

Subject Alternative Names (SAN) 証明書の要件

2 つの Workspace ONE Access 証明書を作成する必要があります。1 つはクラスタ アプライアンスに適用され、もう 1 つはロード バランサに適用されます。さらに、 vRealize Automation アプライアンス、作成するテナント(デフォルトのテナント以外)、およびロード バランサに適用される証明書を作成します。
  • Workspace ONE Access アプライアンスの証明書を作成します。この証明書には、Workspace ONE Access アプライアンスの FQDN およびデフォルトのテナントと作成した他のテナントが一覧表示されます。この証明書には、Workspace ONE Access アプライアンスの IP アドレスが含まれている必要があります。
  • ベスト プラクティスとして、ロード バランサで SSL ターミネーションを作成します。このターミネーションをサポートするには、Workspace ONE Access ロード バランサの証明書を作成します。これには、Workspace ONE Access ロード バランサの FQDN、デフォルトのテナント、および作成した他のすべてのテナントが一覧表示されます。この証明書には、ロード バランサの IP アドレスが含まれている必要があります。
  • 3 台の vRealize Automation アプライアンスのホスト名、および関連するロード バランサと作成しているテナントを一覧表示する vRealize Automation 用の証明書を作成する必要があります。また、3 台の vRealize Automation アプライアンスの IP アドレスを一覧表示する必要があります。
  • 必要に応じて、構成を簡素化するために、Workspace ONE Access および vRealize Automation 証明書にワイルドカードを使用できます。たとえば、*.example.com*.vra.example.com および *.vra-lb.example.com のようにします。
    注: vRealize Automation では、 https://publicsuffix.orgにあるパブリック サフィックス リストの仕様に一致する DNS 名に対してのみ、ワイルドカード証明書をサポートしています。たとえば、 *.myorg.com は有効な名前です。

クラスタ化された Workspace ONE Access 構成を使用している場合は、Lifecycle Manager がロード バランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、Lifecycle Manager の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。

クラスタ化されたマルチ組織構成の DNS エントリと証明書の概要

以下の表に、クラスタ化された Workspace ONE Access およびクラスタ化された vRealize Automation マルチ組織展開における DNS メイン A タイプ レコードおよび CNAME タイプ レコードと証明書の要件の概要を示します。

DNS 要件 SAN 証明書の要件
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
Workspace One Certificate
ホスト名:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
注: すべてのマルチテナント A タイプ レコードは、vIDM/WS1A ロード バランサの IP アドレスを参照する必要があります。
Workspace One LB Certificate (LB Terminated)
ホスト名:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
vRealize Automation Certificate
ホスト名:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

SSL パススルーを使用しているため、vRealize Automation ロード バランサに証明書は必要ありません。

注: 追加する各テナントは、 vRealize Automation 証明書、マルチテナント CNAME レコード、マルチテナント タイプ A レコード、Workspace ONE 証明書、および Workspace ONE LB 証明書に個別に一覧表示する必要があります。
注: *.com ファイル名は、サンプル専用の名前です。多くのビジネス環境では適用できない可能性があります。