vRealize Application Remote Collector 需要使用正常工作的互联网连接来连接到 Wavefront,以发送操作系统和应用程序衡量指标。

如果直接互联网连接不可用,则 vRealize Application Remote Collector可以通过正常工作的 HTTP/HTTPS 代理连接到互联网。vRealize Application Remote Collector 使用纯 HTTPS 连接来连接到 Wavefront。因此,必须配置 HTTP/HTTPS 代理,以便支持 HTTPS 连接。HTTPS 可确保 vRealize Application Remote Collector Wavefront 服务器之间的连接完全加密,并防止中间人攻击。

HTTP/HTTPS 代理服务器通过两种方式处理 HTTPS 连接。

  • 直通模式。在这种模式下,HTTP/HTTPS 代理服务器将 HTTPS 请求直接转发到 Web 服务器,并且不会尝试检查客户端和服务器之间传输的内容。将直接在客户端和服务器之间建立 SSL 连接。
  • 拦截模式。在这种模式下,HTTP/HTTPS 代理服务器充当中间人并建立两个不同的 SSL 连接。客户端和 HTTP/HTTPS 代理之间有一个连接,HTTP/HTTPS 代理和 Web 服务器之间有另一个连接。因此,客户端不直接与 Web 服务器建立 SSL 连接,客户端会将其识别为中间人攻击并终止连接。在这种模式下,必须将 CA 证书添加到客户端的受信任证书颁发机构,以使其接受与 HTTP/HTTPS 代理服务器的 SSL 连接。

过程

  1. /ucp/config/config.properties/ucp/wavefront-proxy/config/wavefront.conf 中添加 HTTP/HTTPS 代理详细信息。
    1. proxyHost。HTTP/HTTPS 代理服务器的 IP 或 FQDN。
    2. proxyPort。HTTP/HTTPS 代理服务器的端口。
    3. proxyUser。用户名。如果 HTTP/HTTPS 代理服务器需要身份验证,您可以提供用户名。
    4. proxyPassword。密码。如果 HTTP/HTTPS 代理服务器需要身份验证,您可以提供密码。
    注: 对于身份验证,如果代理服务器需要用户名和密码,请勿使用 Basic Authentication作为身份验证方法。由于密码是以明文形式在网络上载输的,并不安全,因此不支持基本身份验证。
  2. 将 HTTP/HTTPS 代理服务器的 CA 证书添加到 vRealize Application Remote Collector的信任存储区中。
    1. 从 HTTP/HTTPS 代理服务器导出 CA 证书。您可以参考 HTTP/HTTPS 代理服务器的文档,了解有关如何导出 CA 证书的信息。
    2. 将导出的 CA 证书复制到 vRealize Application Remote Collector
    3. 要将 CA 证书导入到 vRealize Application Remote Collector 的信任存储区中,请运行以下命令:
      • keytool -import -alias charles -keystore /usr/java/jre-vm^Cre/lib/security/cacerts –file PATH_TO_CERT
      • 出现提示时输入密码。密码为 changeit
  3. 重新启动 vRealize Application Remote Collector API 服务器和 Wavefront 代理组件。
    1. docker restart ucp-apis
    2. docker restart wavefront-proxy
      如果您未在 vRealize Operations Manager 中配置 Wavefront 详细信息,则 Wavefront 代理组件不会运行。在这种情况下,无需重新启动 Wavefront 代理组件。