クラスタ化された vRealize Automation 展開での証明書および DNS 構成の管理

マルチ組織のクラスタ化された vRealize Automation 展開を設定するには、該当するすべてのコンポーネント間で証明書と DNS の構成を調整する必要があります。

標準的なクラスタ構成には、3 台の Workspace ONE Access アプライアンスと 3 台の vRealize Automation アプライアンス、および 1 台の Lifecycle Manager アプライアンスがあります。

この構成は、次のコンポーネントによるクラスタ化された展開を前提にしています。

Workspace ONE Access Identity Manager アプライアンス：
- idm1.example.local
- idm2.example.local
- idm3.example.local
- idm-lb.example.local
vRealize Automation アプライアンス：
- vra-1.example.local
- vra-2.example.local
- vra-3.example.local
- vra-lb.example.local
Lifecycle Manager アプライアンス

DNS 要件

メインの A タイプレコードを、マルチテナントを有効にするときに作成する各コンポーネントと各テナントの両方に対して作成する必要があります。さらに、マスターテナント以外の、作成する各テナントに対してマルチテナントの CNAME タイプレコードを作成する必要があります。最後に、Workspace ONE Access および vRealize Automation ロードバランサに対するメインの A タイプレコードも作成する必要があります。

3 台の Workspace ONE Access アプライアンスと、それぞれの FQDN を参照する vRealize Automation アプライアンスに対して、A タイプレコードを作成します。
また、Workspace ONE Access ロードバランサと、それぞれの FQDN を参照する vRealize Automation ロードバランサに対して、A タイプレコードを作成します。
デフォルトのテナントと、Workspace ONE Access ロードバランサの IP アドレスを参照する tenant-1 および tenant-2 に対して、マルチテナントの A タイプレコードを作成します。
vRealize Automation ロードバランサの IP アドレスを参照する tenant-1 および tenant-2 の CNAME レコードを作成します。

Subject Alternative Names (SAN) 証明書の要件

2 つの Workspace ONE Access 証明書を作成する必要があります。1 つはクラスタアプライアンスに適用され、もう 1 つはロードバランサに適用されます。さらに、 vRealize Automation アプライアンス、作成するテナント（デフォルトのテナント以外）、およびロードバランサに適用される証明書を作成します。

Workspace ONE Access アプライアンスの証明書を作成します。この証明書には、Workspace ONE Access アプライアンスの FQDN およびデフォルトのテナントと作成した他のテナントが一覧表示されます。この証明書には、Workspace ONE Access アプライアンスの IP アドレスが含まれている必要があります。
ベストプラクティスとして、ロードバランサで SSL ターミネーションを作成します。このターミネーションをサポートするには、Workspace ONE Access ロードバランサの証明書を作成します。これには、Workspace ONE Access ロードバランサの FQDN、デフォルトのテナント、および作成した他のすべてのテナントが一覧表示されます。この証明書には、ロードバランサの IP アドレスが含まれている必要があります。
3 台の vRealize Automation アプライアンスのホスト名、および関連するロードバランサと作成しているテナントを一覧表示する vRealize Automation 用の証明書を作成する必要があります。また、3 台の vRealize Automation アプライアンスの IP アドレスを一覧表示する必要があります。
必要に応じて、構成を簡素化するために、Workspace ONE Access および vRealize Automation 証明書にワイルドカードを使用できます。たとえば、*.example.com、*.vra.example.com および *.vra-lb.example.com のようにします。
注： vRealize Automation 8.x では、 https://publicsuffix.orgにあるパブリックサフィックスリストの仕様に一致する DNS 名に対してのみ、ワイルドカード証明書をサポートしています。たとえば、 *.myorg.com は有効な名前ですが、 *.myorg.local は無効です。

クラスタ化された Workspace ONE Access 構成を使用している場合は、Lifecycle Manager がロードバランサ証明書を更新できないため、手動で更新する必要があることに注意してください。また、Lifecycle Manager の外部にある製品またはサービスを再登録する必要がある場合、これは手動のプロセスです。

クラスタ化されたマルチ組織構成の DNS エントリと証明書の概要

以下の表に、クラスタ化された Workspace ONE Access およびクラスタ化された vRealize Automation マルチ組織展開における DNS メイン A タイプレコードおよび CNAME タイプレコードと証明書の要件の概要を示します。


DNS 要件	SAN 証明書の要件
Main A Type Records lcm.example.local WorkspaceOne-1.example.local WorkspaceOne-2.example.local WorkspaceOne-3.example.local Workspace.One-lb.example.local vra-1.example.local vra-2.example.local vra-3.example.local vra-lb.example.local	Workspace One Certificate ホスト名： WorkspaceOne-1.example.local WorkspaceOne-2.example.local WorkspaceOne-3.example.local default-tenant.example.local tenant-1.example.local tenant-2.example.local
Multi-Tenancy A Type Records default-tenant.example.local tenant-1.vra.example.local tenant-2.vra.example.local 注：すべてのマルチテナント A タイプレコードは、vIDM/WS1A ロードバランサの IP アドレスを参照する必要があります。	Workspace One LB Certificate (LB Terminated) ホスト名： WorkspaceOne-lb.example.local default-tenant.example.local tenant-1.example.local tenant-2.example.local
Multi-Tenancy CNAME Type Records tenant-1.vra-lb.example.local - vra-lb.example.local tenant-2.vra-lb.example.local - vra-lb.example.local	vRealize Automation Certificate ホスト名： vra-1.example.local vra-2.example.local vra-3.example.local vra-lb.example.local tenant-1.example.local tenant-2.example.local SSL パススルーを使用しているため、vRealize Automation ロードバランサに証明書は必要ありません。

注：追加する各テナントは、vRealize Automation 証明書、マルチテナント CNAME レコード、マルチテナントタイプ A レコード、Workspace ONE 証明書、および Workspace ONE LB 証明書に個別に一覧表示する必要があります。

注： *.local ファイル名は、サンプル専用の名前です。多くのビジネス環境では適用できない可能性があります。