Für vRealize Automation-Installationen in isolierten Netzwerken ohne direkten Internetzugriff können Sie einen Internet-Proxyserver so einsetzen, dass die „Internet gemäß Proxy“-Funktionen zugelassen werden. Der Internet-Proxyserver unterstützt HTTP und HTTPS.
Um Public Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP) sowie externe Integrationspunkte wie IPAM, Ansible und Puppet mit vRealize Automation zu konfigurieren und zu verwenden, müssen Sie einen Internet-Proxyserver für den Zugriff auf einen internen vRealize Automation-Internet-Proxyserver konfigurieren.
vRealize Automation enthält einen internen Proxyserver, der mit Ihrem Internet-Proxyserver kommuniziert. Dieser Server kommuniziert mit Ihrem Proxyserver, wenn er mit dem Befehl vracli proxy set ...
konfiguriert wurde. Wenn Sie keinen Internet-Proxyserver für Ihre Organisation konfiguriert haben, versucht der interne vRealize Automation-Proxyserver, eine direkte Verbindung mit dem Internet herzustellen.
Sie können vRealize Automation so einrichten, dass ein Internet-Proxyserver mithilfe des bereitgestellten Befehlszeilen-Dienstprogramms vracli verwendet wird. Informationen zur Verwendung der vracli-API finden Sie unter Verwendung des --help
-Arguments in der vracli -Befehlszeile, z. B. vracli proxy –-help
.
Der Zugriff auf den Internet-Proxyserver erfordert die Verwendung von lokalen eingebetteten Steuerelementen mit aktionsbasierter Erweiterbarkeit (ABX), die in vRealize Automation integriert sind.
Der Zugriff auf Workspace ONE Access (zuvor VMware Identity Manager) über den Internet-Proxy wird nicht unterstützt. Sie können den Befehl vracli set vidm
nicht für den Zugriff auf Workspace ONE Access über den Internet-Proxyserver verwenden.
Der interne Proxyserver erfordert IPv4 als Standard-IP-Format. Es sind keine Internet-Protokolleinschränkungen, Authentifizierungs- oder Man-in-the-Middle-Aktionen für den TLS (HTTPS)-zertifizierten Datenverkehr erforderlich.
Voraussetzungen
- Stellen Sie sicher, dass Sie über einen vorhandenen als Internet-Proxyserver zu verwendenden HTTP- oder HTTPS-Server in dem vRealize Automation-Netzwerk verfügen, das den ausgehenden Datenverkehr an externe Sites weiterleiten kann. Die Verbindung muss für IPv4 konfiguriert sein.
- Stellen Sie sicher, dass der Ziel-Internet-Proxyserver für die Unterstützung von IPv4 statt IPv6 als IP-Standardformat konfiguriert ist.
- Wenn der Internet-Proxyserver TLS verwendet und eine HTTPS-Verbindung mit seinen Clients benötigt, müssen Sie das Serverzertifikat mithilfe eines der folgenden Befehle importieren, bevor Sie die Proxy-Konfiguration festlegen.
vracli certificate proxy --set path_to_proxy_certificate.pem
vracli certificate proxy --set stdin
Verwenden Sie den Parameter
stdin
für die interaktive Eingabe.
Prozedur
Beispiel: Beispiel für Squid-Konfiguration
In Bezug auf Schritt 1 können Sie, falls Sie einen Squid-Proxy einrichten, Ihre Konfiguration in /etc/squid/squid.conf optimieren, indem Sie sie an das folgende Beispiel anpassen:
acl localnet src 192.168.11.0/24 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow !Safe_ports http_access allow CONNECT !SSL_ports http_access allow localnet http_port 0.0.0.0:3128 maximum_object_size 5 GB cache_dir ufs /var/spool/squid 20000 16 256 coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 client_persistent_connections on server_persistent_connections on