Como configurar um servidor proxy de Internet para o VMware Aria Automation

Para instalações do VMware Aria Automation em redes isoladas sem acesso direto à Internet, você pode usar um servidor proxy de Internet para permitir a funcionalidade Internet por proxy. O servidor proxy de Internet é compatível com HTTP e HTTPS.

Para configurar e usar provedores de nuvem pública, como a Amazon Web Services (AWS), o Microsoft Azure e o Google Cloud Platform (GCP), e também pontos de integração externos, como IPAM, Ansible e Puppet, com o VMware Aria Automation, você deve configurar um servidor proxy da Internet.

O VMware Aria Automation contém um servidor proxy interno que se comunica com o seu servidor proxy de Internet. Esse servidor se comunicará com o servidor proxy se tiver sido configurado com o comando vracli proxy set .... Se você não tiver configurado um servidor proxy de Internet para a sua organização, o servidor proxy interno do VMware Aria Automation tentará se conectar diretamente à Internet.

É possível configurar o VMware Aria Automation para usar um servidor proxy de Internet usando o utilitário de linha de comando vracli fornecido. Informações sobre como usar a API do vracli estão disponíveis usando o argumento --help na linha de comando vracli , por exemplovracli proxy –-help.

Observação:

O acesso ao Workspace ONE Access não é compatível com o proxy de Internet. Não é possível usar o comando vracli set vidm para acessar o Workspace ONE Access por meio do servidor proxy de Internet.

O servidor proxy interno requer IPv4 como formato de IP padrão. Ele não exige restrições de protocolo de Internet, autenticação ou ações de "Man-in-the-middle" no tráfego de certificado TLS (HTTPS).

Todo o tráfego de rede externa atravessa o servidor proxy de Internet. O tráfego interno da rede ignora o proxy.

Pré-requisitos

Verifique se você tem um servidor HTTP ou HTTPS, que possa ser usado como o servidor proxy de Internet, na rede do VMware Aria Automation e que seja capaz de transmitir o tráfego de saída para sites externos. A conexão deve ser configurada para IPv4.
Certifique-se de que o servidor proxy de Internet de destino esteja configurado para oferecer suporte ao IPv4 como seu formato IP padrão.
Se o servidor proxy de Internet usar TLS e exigir uma conexão HTTPS com seus clientes, você deverá importar o certificado de servidor usando um dos seguintes comandos antes de definir a configuração de proxy.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Use o parâmetro stdin para entrada interativa.

Procedimento

Crie uma configuração de proxy para os pods ou contêineres que são usados pelo Kubernetes. Neste exemplo, o servidor proxy é acessado usando o esquema HTTP.

vracli proxy set --host http://proxy.vmware.com:3128

Mostre a configuração de proxy.

vracli proxy show

O resultado será semelhante ao seguinte:

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Observação: Se você tiver configurado um servidor proxy de Internet para a sua organização, "internal.proxy.config.type": "non-default" aparecerá no exemplo acima em vez de 'default'. Por segurança, a senha não é exibida.

(Opcional) Exclua domínios DNS, FQDNs e endereços IP para impedir que eles sejam acessados pelo servidor proxy de Internet.
Você pode especificar endereços que não podem ser acessados através do servidor proxy da Internet, especificando o parâmetro --proxy-exclude ao executar o comando vracli proxy set. Por exemplo, se quiser adicionar .acme.com como um domínio que não pode ser acessado usando o servidor proxy da Internet, execute o seguinte comando:
```
vracli proxy set .... --proxy-exclude .acme.com
```
Observação: Esse comando redefine suas configurações de exclusão de proxy anteriores e adiciona .acme.com à lista de domínios que devem ser acessados diretamente em vez de por meio do servidor proxy da Internet. Se quiser preservar configurações anteriores, você deve passar a lista de exclusão de proxy existente anteriormente, estendida com .acme.com, como um valor para o parâmetro --proxy-exclude. Você pode verificar a lista de exclusão de proxy definida atualmente executando o comando vracli proxy show e inspecionando o valor da propriedade user-proxy-exclude. Por exemplo, se você adicionou anteriormente exclude.vmware.com à lista de exclusão de proxy, o comando vracli proxy show terá uma saída semelhante à seguinte:
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Para adicionar .acme.com à lista de exclusões, sem perder exclude.vmware.com como exclusão, você deve executar o seguinte comando:
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Depois de definir o servidor proxy de Internet com o comando vracli proxy set ..., você poderá usar o comando vracli proxy apply para atualizar a configuração do servidor proxy de Internet e tornar as configurações de proxy mais recentes ativas.
(Opcional) Se necessário, configure o servidor proxy para oferecer suporte ao acesso externo na porta 22.

Para oferecer suporte a integrações como o Puppet e o Ansible, o servidor proxy deve permitir que a porta 22 acesse os hosts relevantes.

Exemplo: Amostra de configuração do Squid

Em relação à etapa 1, se você estiver configurando um proxy Squid, poderá ajustar sua configuração em /etc/squid/squid.conf adaptando-a à seguinte amostra:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on