Vorgehensweise zum Integrieren eines Internet-Proxyservers für VMware Aria Automation

Für VMware Aria Automation-Installationen in isolierten Netzwerken ohne direkten Internetzugriff können Sie einen Internet-Proxyserver so einsetzen, dass die „Internet gemäß Proxy“-Funktionen zugelassen werden. Der Internet-Proxyserver unterstützt HTTP und HTTPS.

Um Public Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) sowie externe Integrationspunkte wie IPAM, Ansible und Puppet mit VMware Aria Automation zu konfigurieren und zu verwenden, müssen Sie einen Internet-Proxyserver konfigurieren.

VMware Aria Automation enthält einen internen Proxyserver, der mit Ihrem Internet-Proxyserver kommuniziert. Dieser Server kommuniziert mit Ihrem Proxyserver, wenn er mit dem Befehl vracli proxy set ... konfiguriert wurde. Wenn Sie keinen Internet-Proxyserver für Ihre Organisation konfiguriert haben, versucht der interne VMware Aria Automation-Proxyserver, eine direkte Verbindung mit dem Internet herzustellen.

Sie können VMware Aria Automation so einrichten, dass ein Internet-Proxyserver mithilfe des bereitgestellten Befehlszeilen-Dienstprogramms vracli verwendet wird. Informationen zur Verwendung der vracli-API finden Sie unter Verwendung des --help-Arguments in der vracli -Befehlszeile, z. B. vracli proxy –-help.

Hinweis:

Der Zugriff auf Workspace ONE Access wird vom Internet-Proxy nicht unterstützt. Sie können den Befehl vracli set vidm nicht für den Zugriff auf Workspace ONE Access über den Internet-Proxyserver verwenden.

Der interne Proxyserver erfordert IPv4 als Standard-IP-Format. Es sind keine Internet-Protokolleinschränkungen, Authentifizierungs- oder Man-in-the-Middle-Aktionen für den TLS (HTTPS)-zertifizierten Datenverkehr erforderlich.

Der gesamte externe Netzwerkdatenverkehr durchläuft den Internet-Proxyserver. Interner Netzwerkdatenverkehr umgeht den Proxy.

Voraussetzungen

Stellen Sie sicher, dass Sie über einen vorhandenen als Internet-Proxyserver zu verwendenden HTTP- oder HTTPS-Server in dem VMware Aria Automation-Netzwerk verfügen, das den ausgehenden Datenverkehr an externe Sites weiterleiten kann. Die Verbindung muss für IPv4 konfiguriert sein.
Stellen Sie sicher, dass der zielseitige Internet-Proxyserver für die Unterstützung von IPv4 als IP-Standardformat konfiguriert ist.
Wenn der Internet-Proxyserver TLS verwendet und eine HTTPS-Verbindung mit seinen Clients benötigt, müssen Sie das Serverzertifikat mithilfe eines der folgenden Befehle importieren, bevor Sie die Proxy-Konfiguration festlegen.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Verwenden Sie den Parameter stdin für die interaktive Eingabe.

Prozedur

Erstellen Sie eine Proxy-Konfiguration für die Pods oder Container, die von den Kubernetes verwendet werden. In diesem Beispiel wird über das HTTP-Schema auf den Proxyserver zugegriffen.

vracli proxy set --host http://proxy.vmware.com:3128

Zeigen Sie die Proxy-Konfiguration an.

vracli proxy show

Das Ergebnis entspricht in etwa Folgendem:

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Hinweis: Wenn Sie einen Internet-Proxyserver für Ihre Organisation konfiguriert haben, wird im obigen Beispiel "internal.proxy.config.type": "non-default" anstelle von 'default' angezeigt. Aus Sicherheitsgründen wird das Kennwort nicht angezeigt.

(Optional) Schließen Sie DNS-Domänen, FQDNs und IP-Adressen vom Zugriff durch den Internet-Proxyserver aus.
Sie können Adressen angeben, auf die nicht über den Internet-Proxyserver zugegriffen werden kann, indem Sie den Parameter --proxy-exclude beim Ausführen des Befehls vracli proxy set angeben. Wenn Sie .acme.com beispielsweise als Domäne hinzufügen möchten, auf die über den Internet-Proxyserver nicht zugegriffen werden kann, führen Sie folgenden Befehl aus:
```
vracli proxy set .... --proxy-exclude .acme.com
```
Hinweis: Dieser Befehl setzt die vorherigen Proxy-Ausschlusseinstellungen zurück und fügt .acme.com zur Liste der Domänen hinzu, auf die direkt und nicht über den Internet-Proxyserver zugegriffen werden muss. Wenn Sie vorherige Einstellungen beibehalten möchten, müssen Sie die um .acme.com erweiterte Proxy-Ausschlussliste als Wert für den Parameter --proxy-exclude übergeben. Sie können die aktuell festgelegte Proxy-Ausschlussliste überprüfen, indem Sie den Befehl vracli proxy show ausführen und den Wert der Eigenschaft user-proxy-exclude überprüfen. Beispiel: Wenn Sie exclude.vmware.com bereits zur Proxy-Ausschlussliste hinzugefügt haben, wird für den Befehl vracli proxy show eine Ausgabe ähnlich der folgenden zurückgegeben:
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Um .acme.com zur Liste der Ausschlüsse hinzuzufügen, ohne exclude.vmware.com als Ausschluss zu verlieren, müssen Sie den folgenden Befehl ausführen:
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Nachdem Sie den Internet-Proxyserver mit dem Befehl vracli proxy set ... festgelegt haben, können Sie mithilfe des Befehls vracli proxy apply die Konfiguration des Internet-Proxyservers aktualisieren und die neuesten Proxy-Einstellungen aktivieren.
(Optional) Konfigurieren Sie bei Bedarf den Proxyserver, um den externen Zugriff auf Port 22 zu unterstützen.

Zur Unterstützung von Integrationen wie Puppet und Ansible muss der Proxyserver zulassen, dass Port 22 auf die relevanten Hosts zugreift.

Beispiel: Beispiel für Squid-Konfiguration

In Bezug auf Schritt 1 können Sie, falls Sie einen Squid-Proxy einrichten, Ihre Konfiguration in /etc/squid/squid.conf optimieren, indem Sie sie an das folgende Beispiel anpassen:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on