Cómo configuro un servidor proxy de Internet para VMware Aria Automation

Para instalaciones de VMware Aria Automation en redes aisladas sin acceso directo a Internet, puede utilizar un servidor proxy de Internet para permitir la funcionalidad de Internet mediante proxy. El servidor proxy de Internet es compatible con HTTP y HTTPS.

Para configurar y utilizar proveedores de nube pública, como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP), y también puntos de integración externos, como IPAM, Ansible y Puppet, con VMware Aria Automation, debe configurar un servidor proxy de Internet.

VMware Aria Automation contiene un servidor proxy interno que se comunica con el servidor proxy de Internet. Este servidor se comunica con el servidor proxy si se ha configurado con el comando vracli proxy set .... Si no ha configurado un servidor proxy de Internet para su organización, el servidor proxy de VMware Aria Automation interno intenta conectarse directamente a Internet.

Puede configurar VMware Aria Automation para utilizar un servidor proxy de Internet mediante la utilidad de línea de comandos vracli proporcionada. Para obtener información sobre cómo utilizar la API de vracli, utilice el argumento --help en la línea de comandos vracli , por ejemplo vracli proxy –-help.

Nota:

El acceso a Workspace ONE Access no es compatible con el proxy de Internet. No se puede utilizar el comando vracli set vidm para acceder a Workspace ONE Access a través del servidor proxy de Internet.

El servidor proxy interno requiere IPv4 como formato de IP predeterminado. No requiere restricciones de protocolo de Internet, autenticación ni acciones de intermediario en el tráfico de certificado TLS (HTTPS).

Todo el tráfico de red externa atraviesa el servidor proxy de Internet. El tráfico de red interno omite el proxy.

Requisitos previos

Compruebe que en la red de VMware Aria Automation tenga un servidor HTTP o HTTPS existente, que pueda utilizar como servidor proxy de Internet y que pueda transferir tráfico saliente a sitios externos. La conexión debe configurarse para IPv4.
Compruebe que el servidor proxy de Internet de destino esté configurado para admitir IPv4 como el formato de IP predeterminado.
Si el servidor proxy de Internet utiliza TLS y necesita una conexión HTTPS con los clientes, antes de establecer la configuración del proxy, debe importar el certificado de servidor mediante uno de los siguientes comandos.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Utilice el parámetro stdin para entrada interactiva.

Procedimiento

Cree una configuración de proxy para los pods o los contenedores que utilizan los Kubernetes. En este ejemplo, se accede al servidor proxy mediante el esquema HTTP.

vracli proxy set --host http://proxy.vmware.com:3128

Muestre la configuración del proxy.

vracli proxy show

El resultado será similar al siguiente:

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Nota: Si ha configurado un servidor proxy de Internet para su organización, "internal.proxy.config.type": "non-default" aparece en el ejemplo anterior en lugar de 'default'. Por motivos de seguridad, no se muestra la contraseña.

(opcional) Excluya los dominios de DNS, los FQDN y las direcciones IP para que el servidor proxy de Internet no acceda a ellos.
Para especificar direcciones a las que no se puede acceder a través del servidor proxy de Internet, especifique el parámetro --proxy-exclude al ejecutar el comando vracli proxy set. Por ejemplo, si desea agregar .acme.com como dominio al que no se puede acceder a través del servidor proxy de Internet, ejecute este comando:
```
vracli proxy set .... --proxy-exclude .acme.com
```
Nota: Este comando restablece los ajustes anteriores de exclusión de proxy y agrega .acme.com a la lista de dominios a los que se debe acceder directamente en lugar de hacerlo a través del servidor proxy de Internet. Si desea conservar los ajustes anteriores, debe pasar la lista de exclusión del proxy existente anteriormente, ampliada con .acme.com, como un valor para el parámetro --proxy-exclude. Para comprobar la lista de exclusión del proxy establecida actualmente, ejecute el comando vracli proxy show e inspeccione el valor de la propiedad user-proxy-exclude. Por ejemplo, si ha agregado previamente exclude.vmware.com a la lista de exclusión del proxy, el comando vracli proxy show dará un resultado similar al siguiente:
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Para agregar .acme.com a la lista de exclusiones sin perder exclude.vmware.com como exclusión, debe ejecutar el siguiente comando:
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Después de configurar el servidor proxy de Internet con el comando vracli proxy set ..., puede utilizar el comando vracli proxy apply para actualizar la configuración del servidor proxy de Internet y activar la última configuración del proxy.
(opcional) Si es necesario, configure el servidor proxy para que admita acceso externo en el puerto 22.

Para admitir integraciones como Puppet y Ansible, el servidor proxy debe permitir que el puerto 22 acceda a los hosts pertinentes.

Ejemplo: Configuración de Squid de ejemplo

En relación con el paso 1, si está configurando un proxy Squid, puede ajustar la configuración en /etc/squid/squid.conf para adaptarla a la siguiente muestra:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on