Für VMware Aria Automation-Installationen in isolierten Netzwerken ohne direkten Internetzugriff können Sie einen Internet-Proxyserver so einsetzen, dass die „Internet gemäß Proxy“-Funktionen zugelassen werden. Der Internet-Proxyserver unterstützt HTTP und HTTPS.

Um Public Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) und externe Integrationspunkte wie IPAM, Ansible und Puppet mit VMware Aria Automation zu konfigurieren und zu verwenden, müssen Sie einen Internet-Proxyserver für den Zugriff auf einen internen VMware Aria Automation-Internet-Proxyserver konfigurieren.

VMware Aria Automation enthält einen internen Proxyserver, der mit Ihrem Internet-Proxyserver kommuniziert. Dieser Server kommuniziert mit Ihrem Proxyserver, wenn er mit dem Befehl vracli proxy set ... konfiguriert wurde. Wenn Sie keinen Internet-Proxyserver für Ihre Organisation konfiguriert haben, versucht der interne VMware Aria Automation-Proxyserver, eine direkte Verbindung mit dem Internet herzustellen.

Sie können VMware Aria Automation so einrichten, dass ein Internet-Proxyserver mithilfe des bereitgestellten Befehlszeilen-Dienstprogramms vracli verwendet wird. Informationen zur Verwendung der vracli-API finden Sie unter Verwendung des --help-Arguments in der vracli -Befehlszeile, z. B. vracli proxy –-help.

Der Zugriff auf den Internet-Proxyserver erfordert die Verwendung von lokalen eingebetteten Steuerelementen mit aktionsbasierter Erweiterbarkeit (ABX), die in VMware Aria Automation integriert sind.

Hinweis:

Der Zugriff auf Workspace ONE Access wird vom Internet-Proxy nicht unterstützt. Sie können den Befehl vracli set vidm nicht für den Zugriff auf Workspace ONE Access über den Internet-Proxyserver verwenden.

Der interne Proxyserver erfordert IPv4 als Standard-IP-Format. Es sind keine Internet-Protokolleinschränkungen, Authentifizierungs- oder Man-in-the-Middle-Aktionen für den TLS (HTTPS)-zertifizierten Datenverkehr erforderlich.

Der gesamte externe Netzwerkdatenverkehr durchläuft den Internet-Proxyserver. Interner Netzwerkdatenverkehr umgeht den Proxy.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über einen vorhandenen als Internet-Proxyserver zu verwendenden HTTP- oder HTTPS-Server in dem VMware Aria Automation-Netzwerk verfügen, das den ausgehenden Datenverkehr an externe Sites weiterleiten kann. Die Verbindung muss für IPv4 konfiguriert sein.
  • Stellen Sie sicher, dass der zielseitige Internet-Proxyserver für die Unterstützung von IPv4 als IP-Standardformat konfiguriert ist.
  • Wenn der Internet-Proxyserver TLS verwendet und eine HTTPS-Verbindung mit seinen Clients benötigt, müssen Sie das Serverzertifikat mithilfe eines der folgenden Befehle importieren, bevor Sie die Proxy-Konfiguration festlegen.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Verwenden Sie den Parameter stdin für die interaktive Eingabe.

Prozedur

  1. Erstellen Sie eine Proxy-Konfiguration für die Pods oder Container, die von den Kubernetes verwendet werden. In diesem Beispiel wird über das HTTP-Schema auf den Proxyserver zugegriffen.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Zeigen Sie die Proxy-Konfiguration an.

    vracli proxy show

    Das Ergebnis ähnelt Folgendem: 
    {
    "enabled": true,
    "host": "10.244.4.51",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
    "scheme": "http",
    "upstream_proxy_host": null,
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": null,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
    "internal.proxy.config.type": "default"
}
    Hinweis: Wenn Sie einen Internet-Proxyserver für Ihre Organisation konfiguriert haben, wird im obigen Beispiel "internal.proxy.config.type": "non-default" anstelle von 'default' angezeigt. Aus Sicherheitsgründen wird das Kennwort nicht angezeigt.
    Hinweis: Wenn Sie den Parameter -proxy-exclude verwenden, müssen Sie die Standardwerte bearbeiten. Wenn Sie z. B. acme.com als Domäne hinzufügen möchten, auf die über den Internet-Proxyserver nicht zugegriffen werden kann, führen Sie die folgenden Schritte aus:
    1. Geben Sie vracli proxy default-no-proxy ein, um die standardmäßigen proxy-exclude-Einstellungen zu erhalten. Dies ist eine Liste der automatisch erstellten Domänen und Netzwerke.
    2. Bearbeiten Sie den Wert, der .acme.com hinzugefügt werden soll.
    3. Geben Sie vracli proxy set .... --proxy-exclude ... ein, um die aktuellen Konfigurationseinstellungen zu aktualisieren.
    4. Führen Sie den Befehl /opt/scripts/deploy.sh aus, um die Umgebung erneut bereitzustellen.
  3. (Optional) Schließen Sie DNS-Domänen, FQDNs und IP-Adressen vom Zugriff durch den Internet-Proxyserver aus.

    Ändern Sie immer die Standardwerte der proxy-exclude-Variablen mithilfe von parameter --proxy-exclude. Um die Domäne exclude.vmware.com hinzuzufügen, verwenden Sie zuerst den Befehl vrali proxy show, kopieren Sie dann die Variable proxy-exclude und fügen Sie den Domänenwert mithilfe des Befehls vracli proxy set ... wie folgt hinzu:

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Hinweis: Fügen Sie proxy-exclude Elemente hinzu, anstatt Werte zu ersetzen. Wenn Sie proxy-exclude-Standardwerte löschen, funktioniert VMware Aria Automation nicht ordnungsgemäß. Sollte dies geschehen, löschen Sie die Proxy-Konfiguration und beginnen Sie von vorn.
  4. Nachdem Sie den Internet-Proxyserver mit dem Befehl vracli proxy set ... festgelegt haben, können Sie mithilfe des Befehls vracli proxy apply die Konfiguration des Internet-Proxyservers aktualisieren und die neuesten Proxy-Einstellungen aktivieren.
  5. Sollten Sie dies noch nicht getan haben, aktivieren Sie die Skriptänderungen, indem Sie den folgenden Befehl ausführen:

    /opt/scripts/deploy.sh

  6. (Optional) Konfigurieren Sie bei Bedarf den Proxyserver, um den externen Zugriff auf Port 22 zu unterstützen.

    Zur Unterstützung von Integrationen wie Puppet und Ansible muss der Proxyserver zulassen, dass Port 22 auf die relevanten Hosts zugreift.

Beispiel: Beispiel für Squid-Konfiguration

In Bezug auf Schritt 1 können Sie, falls Sie einen Squid-Proxy einrichten, Ihre Konfiguration in /etc/squid/squid.conf optimieren, indem Sie sie an das folgende Beispiel anpassen:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on