Управление сертификатами и конфигурацией DNS в кластерных развертываниях VMware Aria Automation

Чтобы настроить кластерное развертывание VMware Aria Automation с несколькими организациями, необходимо согласовать сертификаты и конфигурацию DNS между всеми применимыми компонентами.

В типовой кластерной конфигурации содержится три устройства Workspace ONE Access, три устройства VMware Aria Automation, а также одно устройство VMware Aria Suite Lifecycle.

Данная конфигурация предполагает кластерные развертывания для следующих компонентов.

Устройства Workspace ONE Access Identity Manager:
- idm1.example.com
- idm2.example.com
- idm3.example.com
- idm-lb.example.com
Устройства VMware Aria Automation:
- vra-1.example.com
- vra-2.example.com
- vra-3.example.com
- vra-lb.example.com
Устройство VMware Aria Suite Lifecycle

Требования к DNS

Создайте обе основные записи типа A для каждого компонента и для каждого арендатора, которые будут созданы при включении множественной аренды. Кроме того, создайте записи множественной аренды типа CNAME для каждого из создаваемых арендаторов, кроме главного арендатора. И наконец, создайте основные записи типа A для подсистем балансировки нагрузки Workspace ONE Access и VMware Aria Automation.

Создайте записи типа A для трех устройств Workspace ONE Access и для устройств VMware Aria Automation, которые указывают на соответствующие полные доменные имена.
Кроме того, создайте записи типа А для подсистем балансировки нагрузки Workspace ONE Access и VMware Aria Automation, указывающие на соответствующие полные доменные имена.
Создайте записи множественной аренды типа А для арендатора по умолчанию и арендаторов tenant-1 и tenant-2, которые указывают на IP-адрес подсистемы балансировки нагрузки Workspace ONE Access.
Создайте записи CNAME для арендаторов tenant-1 и tenant-2, которые указывают на IP-адрес подсистемы балансировки нагрузки VMware Aria Automation.

Требования к сертификату альтернативных имен субъекта (SAN)

Необходимо создать два сертификата Workspace ONE Access, один из которых применяется на устройствах кластера, а второй — в подсистеме балансировки нагрузки. Кроме того, создайте сертификат, который применяется к устройствам VMware Aria Automation, создаваемым арендаторам (кроме арендатора по умолчанию) и подсистеме балансировки нагрузки.

Создайте сертификат для устройств Workspace ONE Access, в котором указаны полные доменные имена устройств Workspace ONE Access, а также арендатор по умолчанию и другие создаваемые арендаторы. Этот сертификат должен содержать IP-адреса устройств Workspace ONE Access.
Рекомендуется настроить режим прерывания SSL в подсистеме балансировки нагрузки. Для этого создайте сертификат для подсистемы балансировки нагрузки Workspace ONE Access, в котором указано полное доменное имя подсистемы балансировки нагрузки Workspace ONE Access, а также арендатор по умолчанию и другие создаваемые арендаторы. Этот сертификат должен содержать IP-адрес подсистемы балансировки нагрузки.
Создайте сертификат для VMware Aria Automation, в котором перечислены имена узлов трех устройств VMware Aria Automation, а также соответствующие подсистемы балансировки нагрузки и создаваемые арендаторы. Кроме того, в нем должны быть перечислены IP-адреса трех устройств VMware Aria Automation.
Для упрощения конфигурации для сертификатов Workspace ONE Access и VMware Aria Automation можно использовать подстановочные знаки. Например, *.example.com, *.vra.example.com и *.vra-lb.example.com.
Примечание: VMware Aria Automation поддерживает сертификаты с подстановочными знаками только для DNS-имен, которые соответствуют спецификациям в списке публичных суффиксов в https://publicsuffix.org. Например, *.myorg.com является допустимым именем.

Если используется кластерная конфигурация Workspace ONE Access, VMware Aria Suite Lifecycle не сможет обновить сертификаты подсистемы балансировки нагрузки, поэтому их необходимо обновить вручную. Кроме того, если необходимо повторно зарегистрировать продукты или службы, которые являются внешними по отношению к VMware Aria Suite Lifecycle, этот процесс выполняется вручную.

Сводка сертификатов и записей DNS для кластерной конфигурации с несколькими организациями

В следующих таблицах приведены основные записи типа А в DNS и записи «Тип имени С» и требования к сертификатам для кластерного развертывания Workspace ONE Access и кластерного развертывания VMware Aria Automation с несколькими организациями.


Требования к DNS	Требования к сертификатам SAN
Main A Type Records lcm.example.com WorkspaceOne-1.example.com WorkspaceOne-2.example.com WorkspaceOne-3.example.com Workspace.One-lb.example.com vra-1.example.com vra-2.example.com vra-3.example.com vra-lb.example.com	Workspace ONE Access Certificate Имя узла: WorkspaceOne-1.example.com WorkspaceOne-2.example.com WorkspaceOne-3.example.com default-tenant.example.com tenant-1.example.com tenant-2.example.com
Multi-Tenancy A Type Records default-tenant.example.com tenant-1.vra.example.com tenant-2.vra.example.com Примечание: Все записи типа A с несколькими клиентами должны указывать на IP-адрес подсистемы балансировки нагрузки vIDM/WS1A.	Workspace ONE Access LB Certificate (LB Terminated) Имя узла: WorkspaceOne-lb.example.com default-tenant.example.com tenant-1.example.com tenant-2.example.com
Multi-Tenancy CNAME Type Records tenant-1.vra-lb.example.com - vra-lb.example.com tenant-2.vra-lb.example.com - vra-lb.example.com	VMware Aria Automation Certificate Имя узла: vra-1.example.com vra-2.example.com vra-3.example.com vra-lb.example.com tenant-1.example.com tenant-2.example.com В подсистеме балансировки нагрузки VMware Aria Automation сертификат не требуется, так как используется транзитный режим SSL.

Примечание: Каждый дополнительный добавляемый клиент должен быть указан отдельно в сертификате VMware Aria Automation, записях CNAME с множественной арендой, записях типа А с множественной арендой, сертификате Workspace ONE Access и сертификате подсистемы балансировки нагрузки Workspace ONE Access.

Примечание: Имена файлов вида *.com используются только в качестве примера. Они могут быть неприменимы в большинстве бизнес-сред.