VMware Cloud Foundation(VCF)5.2 で Aria Automation をデプロイする準備として、Aria Suite Lifecycle から Workspace ONE Access をデプロイします。
今回の内容です。
- 今回の環境
- 0. Aria Suite Lifecicle へのログイン
- 1. バイナリ マッピング
- 2. 証明書のインポート
- 3. パスワードの追加
- 4. Workspace ONE Access のデプロイ
- デプロイ後の様子
ドキュメントは、下記のあたりが参考になります。
今回の環境
VCF 5.2 の Management Domain に、Workspace ONE Access をデプロイします。本来は 3ノードのクラスタ構成でデプロイしますが、ラボ環境なので Standalone(1ノード)構成にします。
Aria Suite Lifecycle
前提となる Aria Suite Lifecycle は、下記のようにデプロイしてあります。
DNS
DNS サーバに、Aria Suite Lifecycle 仮想アプライアンスの正引き(A)と逆引き(PTR)のリソース レコードを登録しておきます。
今回の Workspace ONE Access 仮想アプライアンスの FQDN です。IP アドレスは、AVN(X リージョン)のレンジから採番します。
- vcf-m01-wsa.c.go-lab.jp ※192.168.79.20 で正引き/逆引き可能にしておく
0. Aria Suite Lifecicle へのログイン
この環境の Aria Suite Lifecycle は、SDDC Manager からデプロイしてあります。
SDDC Manager の「VMware Aria Suite」→「VMware Aria Suite Lifecycle」にあるリンクをクリックします。
VMware Aria Suite Lifecycle の画面が開きます。この時点では Workspace ONE Access が未構築なので、ローカル ユーザ(vcfadmin@local)でログインします。
VMware Aria Suite Lifecycle のログイン直後には、「マイ サービス」が表示されます。ここには、画面左上の「VMware Aria Suite Lifecycle」のあたりをクリックすると戻れます。
1. バイナリ マッピング
Workspace ONE Access の OVA をダウンロードして、バイナリ マッピングを設定します。
1-1. OVA ファイルのダウンロードと配置
2024年の Broadcom サイト移行から、Aria Suite Lifecycle ではソフトウェアの直接ダウンロード機能が利用できなくなったようです。そのため、Broadcom Support Portal からダウンロードしておく必要があります。
Workspace ONE Access の OVA ファイルは下記を利用します。ファイル名は、旧称の Identity Manager のままになっています。
- identity-manager-3.3.7.0-21173100_OVF10.ova
scp で、Aria Suite Lifecycle 仮想アプライアンス(vcf-m01-arialc.c.go-lab.jp)の /data ディレクトリに、OVA ファイルを転送します。
PS> scp C:\work\ova\identity-manager-3.3.7.0-21173100_OVF10.ova root@vcf-m01-arialc.c.go-lab.jp:/data/.
1-2. OVA ファイルのバイナリ マッピング
Aria Suite Lifecycle 仮想アプライアンスに配置した OVA ファイルには、Aria Suite Lifecycle 独自の「バイナリ マッピング」と呼ばれる設定が必要です。
Aria Suite Lifecycle のマイ サービス画面で、「Lifecycle Operations」を開きます。
「設定」→「バイナリ マッピング」を開きます。
「バイナリの追加」をクリックします。
製品バイナリの場所を指定して、「検出」をクリックします。
- 場所のタイプ: ローカル
- 基本の場所: /data
検出された「identity-manager-~」を選択して、「追加」をクリックします。
バイナリ マッピングの処理が開始されたので、メッセージ中の「ここをクリック」を開きます。
「申請」の一覧が表示されるので、Product Source Mapping Request の申請ステータス「処理中」をクリックします。
処理の進捗が確認できるので、完了を待ちます。
バイナリ マッピングが完了すると、「設定」→「バイナリ マッピング」→「製品バイナリ」タブに、マッピングした OVA ファイルが表示されます。
2. 証明書のインポート
Workspace ONE Access の証明書を作成して、Aria Suite Lifecycle に登録しておきます。
2-1. 証明書の作成
今回は、下記のように証明書を作成してあります。ここで作成した、vcf-m01-wsa.2.chain.pem ファイルを使用します。
2-2. 証明書のインポート
Aria Suite Lifecycle の画面左上にある「VMware Aria Suite Lifecycle」のあたりをクリックして「マイ サービス」の画面に戻り、「Locker」を開きます。
「証明書」→「インポート」をクリックします。
証明書のパラメータを下記のように入力して、インポートします。
- 名前: vcf-m01-wsa.c.go-lab.jp ※任意の文字列が入力できる
- パス フレーズ: 証明書作成時に設定したもの
- 証明書ファイルの選択: vcf-m01-wsa.2.chain.pem
これで、証明書がインポートできました。
3. パスワードの追加
Workspace ONE Access で設定するパスワードを、事前に登録しておきます。ユーザー アカウントごとにパスワードを追加できますが、今回はラボ構築なので、共通のパスワードを1件だけ登録しておきます。
Aria Suite Lifecycle の「マイ メニュー」→「Locker」を開き、「パスワード」→「追加」をクリックします。
パスワードの情報を入力して、「追加」をクリックします。
- パスワードのエイリアス: wsa-password
※デプロイ手順では、この名前で指定することになる。 - パスワード: 設定するパスワードを入力する。
- ユーザー名: 空欄のまま
これで、パスワードが追加できました。
4. Workspace ONE Access のデプロイ
Aria Suite Lifecycle のマイ サービス画面で、「Lifecycle Operations」を開きます。
「環境の作成」を開いて、パラメータを入力して画面をスクロールします。
- Identity Manager のインストール: ON
- 環境の名前: globalenvironment ※固定値
※Identity Manager は Workspace ONE Access の旧称です。
残りのパラメータを入力して、「次へ」をクリックします。
- デフォルト パスワード: wsa-password
- データセンター: vcf-m01-dc01 ※Management Domain のデータセンター
- SDDC Manager 統合の有効化: ON ※固定値
「製品の選択」画面では、VMware Identity Manager のチェックを ON にして、「次へ」をクリックします。
ここでのパラメータは、デフォルト値のままにしてあります。
- インストール タイプ: 新規インストール
- バージョン: 3.3.7
- 展開の種類: Standard ※1ノード(Standalone)構成になる
EULA(エンド ユーザー使用許諾契約書)は、「利用規約に同意します」のチェックを ON にして「次へ」をクリックします。
「証明書」では、事前にインポートしておいた証明書を選択して「次へ」をクリックします。
- 証明書の選択: vcf-m01-wsa.c.go-lab.jp
「インフラストラクチャ」では、入力値がグレーアウトされていてあまり変更できないので、デフォルトのまま「次へ」をクリックします。
「ネットワーク」も、あまりパラメータを変更できないので、今回はデフォルトのまま「次へ」をクリックします。
「製品」では、Workspace ONE Access(ここでも旧称のまま)のパラメータを入力して、画面をスクロールします。
- 証明書: vcf-m01-wsa.c.go-lab.jp ※事前にインポートしておいたもの
- ノードサイズ: 中 (推奨サイズは VMware Aria Automation)
- 管理者パスワード (ポート 443): wsa-password
※admin ユーザに設定するパスワード - デフォルト構成の管理者 E メール: 今回はダミーのアドレスを入力
残りのパラメータを入力して、さらに画面をスクロールします。
- デフォルト構成の管理者ユーザー名: configadmin
- デフォルト構成の管理者パスワード: wsa-password
- グループ メンバーの同期: チェックを ON にする
Workspace ONE Access の仮想アプライアンスの情報を入力して、「次へ」をクリックします。
- 仮想マシン名: vcf-m01-wsa
- FQDN: vcf-m01-wsa.c.go-lab.jp
- IP アドレス: 192.168.79.20
「事前チェック」画面で、「事前チェックの実行」をクリックします。
Warning(警告)が数件ありますが、「次へ」をクリックします。
ちなみに Warning は、Workspace ONE Access(vIDM)3.3.7 と vCenter 8.0 U3 / ESXi 8.0 U3 / NSX 4.2 との互換性チェックが微妙なため検出されているようです。
(vCenter / ESXi の警告)
(NSX の警告)
「サマリ」画面では、「設定をエクスポート」をクリックすることで、ここまでの設定情報を JSON ファイルとしてダウンロードできます。デフォルトでは、下記のように<環境名>.json といったファイル名で保存されます。
- globalenvironment.json
「送信」をクリックすると、デプロイ処理が開始されます。
処理の進捗は「申請」画面で確認できるので、完了を待ちます。
デプロイ後の様子
vSphere Client から確認すると、今回は Standard(Standalone)構成なので、仮想アプライアンスが 1台のみデプロイされます。
Aria Suite Lifecycle の「マイ メニュー」→「Lifecycle Operations」→「環境」を開くと、「globalenvironment」という環境に Workspace ONE Access(ここもまだ旧称の VMware Identity Manager)がデプロイされたことがわかります。
SDDC Manager の「管理」→「VMware Aria Suite」にも、「Workspace ONE Access」へのリンクが追加されています。
SDDC Manager の「インベントリ」→「ワークロード ドメイン」→ Management Domain(vcf-m01)を開くと、「サービス」タブにも Workspace ONE Access へのリンクが追加されます。
Workspace ONE Access の画面を開くと、ログイン画面が表示されるので、デプロイのウィザードで指定した「デフォルト構成の管理者ユーザ」でログインしてみます。
- ユーザー名: configadmin
カタログに、Aria Suite Lifecycle へのリンクが追記されています。
ただし、この時点ではまだアクセス権が割り当てられていないため、このアイコンから Aria Suite Lifecycle にログインしてもページは表示できません。これは、のちほど Aria Suite Lifecycle 側でロールを割り当てることでアクセスできるようになります。
このあと、 AD ユーザー/グループで Workspace ONE Access を利用する場合は、下記のように Workspace ONE Access に AD を登録して、ロールを割り当てます。
これで、Aria Suite Lifecycle から Aria Automation をデプロイできるようになります。
つづきはこちら。ちなみに Aria Automation のデプロイは、AD の登録なしでも実施できます。