De instelling van een geclusterde VMware Aria Automation-implementatie met meerdere organisaties vereist een goede coördinatie van de certificaat- en DNS-configuratie tussen alle toepasselijke onderdelen.

Een geclusterde configuratie bestaat doorgaans uit drie Workspace ONE Access-appliances, drie VMware Aria Automation-appliances en één VMware Aria Suite Lifecycle-appliance.

In deze configuratie wordt aangenomen dat de volgende onderdelen geclusterd zijn geïmplementeerd:
  • Workspace ONE Access Identity Manager-appliances:
    • idm1.example.com
    • idm2.example.com
    • idm3.example.com
    • idm-lb.example.com
  • VMware Aria Automation-appliances:
    • vra-1.example.com
    • vra-2.example.com
    • vra-3.example.com
    • vra-lb.example.com
  • VMware Aria Suite Lifecycle-toepassing

DNS-vereisten

U moet de A-hoofdrecords niet alleen voor alle onderdelen maken, maar ook voor alle tenants die u maakt wanneer u multitenancy inschakelt. Tevens moet u de records van het type CNAME maken voor alle gewenste tenants, met uitzondering van de hoofdtenant. Ten slotte moet u ook A-hoofdrecords maken voor de Workspace ONE Access- en VMware Aria Automation-load balancers.

  • Maak voor de drie Workspace ONE Access-appliances en voor de VMware Aria Automation-appliances A-records inclusief verwijzing naar hun bijbehorende FQDN.
  • Maak daarnaast A-records voor de load balancers van Workspace ONE Access en VMware Aria Automation met een verwijzing naar hun bijbehorende FQDN.
  • Maak multitenancy A-records voor zowel de standaardtenant als tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de Workspace ONE Access-load balancer.
  • Maak CNAME-records voor tenant-1 en tenant-2 met een verwijzing naar het IP-adres van de VMware Aria Automation-load balancer.

Vereisten voor SAN-certificaten (met alternatieve namen)

U moet twee Workspace ONE Access-certificaten maken: één voor de clusterappliances en één voor de load balancer. Daarnaast maakt u een certificaat voor de VMware Aria Automation-appliances (de gemaakte tenants), met uitzondering van de standaardtenant en de load balancer.
  • Maak een certificaat voor de Workspace ONE Access-appliances waarin de FQDN's worden vermeld van zowel Workspace ONE Access-appliances als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet de IP-adressen van de Workspace ONE Access-appliances bevatten.
  • Het is aan te bevelen om een SSL-beëindiging te maken op de load balancer. Om deze mogelijkheid te ondersteunen, maakt u een certificaat voor de load balancer van Workspace ONE Access waarin de FQDN wordt vermeld van zowel de load balancer van Workspace ONE Access als van de standaardtenant en andere tenants die u maakt. Dit certificaat moet het IP-adres van de load balancer bevatten.
  • U moet een certificaat maken voor VMware Aria Automation waarin de hostnamen worden vermeld van zowel de drie VMware Aria Automation-appliances als van de gerelateerde load balancer en gemaakte tenants. Daarnaast moeten de IP-adressen van de drie VMware Aria Automation-appliances worden vermeld.
  • U kunt de configuratie eventueel vereenvoudigen door jokertekens te gebruiken voor de Workspace ONE Access- en VMware Aria Automation-certificaten. Bijvoorbeeld *.example.com, *.vra.example.com en *.vra-lb.example.com.
    Opmerking: VMware Aria Automation ondersteunt alleen jokertekencertificaten voor DNS-namen die voldoen aan de specificaties in de lijst met Openbare achtervoegsels bij https://publicsuffix.org. Bijvoorbeeld: *.myorg.com is een geldige naam.

Als u een geclusterde Workspace ONE Access-configuratie gebruikt, moet u er rekening mee houden dat VMware Aria Suite Lifecycle de load-balancercertificaten niet kan bijwerken, zodat u dit handmatig moet doen. Ook een eventuele hernieuwde registratie van externe producten of services van VMware Aria Suite Lifecycle moet u handmatig doen.

Samenvatting van DNS-vermeldingen en certificaten voor een geclusterde configuratie met meerdere organisaties

In de volgende tabellen vindt u een overzicht van records van het type DNS Main A en records van het type C Name voor een geclusterde Workspace ONE Access- en geclusterde VMware Aria Automation-implementatie met meerdere organisaties.

DNS-vereisten Vereisten voor SAN-certificaten
Main A Type Records
  • lcm.example.com
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • Workspace.One-lb.example.com
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
 Workspace ONE Access Certificate
Hostnaam:
  • WorkspaceOne-1.example.com
  • WorkspaceOne-2.example.com
  • WorkspaceOne-3.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy A Type Records
  • default-tenant.example.com
  • tenant-1.vra.example.com
  • tenant-2.vra.example.com
Opmerking: Alle multitenancyrecords van type A moeten verwijzen naar het IP-adres van de vIDM/WS1A load balancer.
Workspace ONE Access LB Certificate (LB Terminated)
Hostnaam:
  • WorkspaceOne-lb.example.com
  • default-tenant.example.com
  • tenant-1.example.com
  • tenant-2.example.com
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.com - vra-lb.example.com
  • tenant-2.vra-lb.example.com - vra-lb.example.com
 VMware Aria Automation Certificate
Hostnaam:
  • vra-1.example.com
  • vra-2.example.com
  • vra-3.example.com
  • vra-lb.example.com
  • tenant-1.example.com
  • tenant-2.example.com

Door het gebruik van SSL-passthrough is hier geen certificaat vereist voor de VMware Aria Automation-load balancer.
Opmerking: Elke extra tenant die u toevoegt, moet afzonderlijk worden vermeld in het VMware Aria Automation-certificaat, CNAME-records voor multitenancy, records van het type A voor multitenancy, Workspace ONE Access-certificaat en Workspace ONE Access LB-certificaat.
Opmerking: De namen van *.com-bestanden zijn alleen bedoeld als voorbeeld. Deze zijn mogelijk niet van toepassing op de meeste bedrijfsomgevingen.