マルチ組織のクラスタ化された vRealize Automation 展開を設定するには、該当するすべてのコンポーネント間で証明書と DNS の構成を調整する必要があります。
標準的なクラスタ構成には、3 台の Workspace ONE Access アプライアンスと 3 台の vRealize Automation アプライアンス、および 1 台の Lifecycle Manager アプライアンスがあります。
- Workspace ONE Access Identity Manager アプライアンス:
- idm1.example.com
- idm2.example.com
- idm3.example.com
- idm-lb.example.com
- vRealize Automation アプライアンス:
- vra-1.example.com
- vra-2.example.com
- vra-3.example.com
- vra-lb.example.com
- Lifecycle Manager アプライアンス
DNS 要件
メインの A タイプ レコードを、マルチテナントを有効にするときに作成する各コンポーネントと各テナントの両方に対して作成する必要があります。さらに、マスター テナント以外の、作成する各テナントに対してマルチ テナントの CNAME タイプ レコードを作成する必要があります。最後に、Workspace ONE Access および vRealize Automation ロード バランサに対するメインの A タイプ レコードも作成する必要があります。
- 3 台の Workspace ONE Access アプライアンスと、それぞれの FQDN を参照する vRealize Automation アプライアンスに対して、A タイプ レコードを作成します。
- また、Workspace ONE Access ロード バランサと、それぞれの FQDN を参照する vRealize Automation ロード バランサに対して、A タイプ レコードを作成します。
- デフォルトのテナントと、Workspace ONE Access ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 に対して、マルチテナントの A タイプ レコードを作成します。
- vRealize Automation ロード バランサの IP アドレスを参照する tenant-1 および tenant-2 の CNAME レコードを作成します。
Subject Alternative Names (SAN) 証明書の要件
- Workspace ONE Access アプライアンスの証明書を作成します。この証明書には、Workspace ONE Access アプライアンスの FQDN およびデフォルトのテナントと作成した他のテナントが一覧表示されます。この証明書には、Workspace ONE Access アプライアンスの IP アドレスが含まれている必要があります。
- ベスト プラクティスとして、ロード バランサで SSL ターミネーションを作成します。このターミネーションをサポートするには、Workspace ONE Access ロード バランサの証明書を作成します。これには、Workspace ONE Access ロード バランサの FQDN、デフォルトのテナント、および作成した他のすべてのテナントが一覧表示されます。この証明書には、ロード バランサの IP アドレスが含まれている必要があります。
- 3 台の vRealize Automation アプライアンスのホスト名、および関連するロード バランサと作成しているテナントを一覧表示する vRealize Automation 用の証明書を作成する必要があります。また、3 台の vRealize Automation アプライアンスの IP アドレスを一覧表示する必要があります。
- 必要に応じて、構成を簡素化するために、Workspace ONE Access および vRealize Automation 証明書にワイルドカードを使用できます。たとえば、
*.example.com
、*.vra.example.com
および*.vra-lb.example.com
のようにします。注: vRealize Automation では、 https://publicsuffix.orgにあるパブリック サフィックス リストの仕様に一致する DNS 名に対してのみ、ワイルドカード証明書をサポートしています。たとえば、*.myorg.com
は有効な名前です。
クラスタ化された Workspace ONE Access 構成を使用している場合は、Lifecycle Manager がロード バランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、Lifecycle Manager の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。
クラスタ化されたマルチ組織構成の DNS エントリと証明書の概要
以下の表に、クラスタ化された Workspace ONE Access およびクラスタ化された vRealize Automation マルチ組織展開における DNS メイン A タイプ レコードおよび CNAME タイプ レコードと証明書の要件の概要を示します。
DNS 要件 | SAN 証明書の要件 |
---|---|
Main A Type Records
|
Workspace One Certificate
ホスト名:
|
Multi-Tenancy A Type Records
注: すべてのマルチテナント A タイプ レコードは、vIDM/WS1A ロード バランサの IP アドレスを参照する必要があります。
|
Workspace One LB Certificate (LB Terminated)
ホスト名:
|
Multi-Tenancy CNAME Type Records
|
vRealize Automation Certificate
ホスト名:
SSL パススルーを使用しているため、vRealize Automation ロード バランサに証明書は必要ありません。 |