Configuration d'un serveur proxy Internet pour VMware Aria Automation

Pour les installations de VMware Aria Automation sur des réseaux isolés sans accès direct à Internet, vous pouvez utiliser un serveur proxy Internet pour autoriser la fonctionnalité Internet par proxy. Le serveur proxy Internet prend en charge HTTP et HTTPS.

Pour configurer et utiliser des fournisseurs de cloud public tels que Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP), ainsi que des points d'intégration externes comme IPAM, Ansible et Puppet avec VMware Aria Automation, vous devez configurer un serveur proxy Internet.

VMware Aria Automation contient un serveur proxy interne qui communique avec votre serveur proxy Internet. Ce serveur communique avec votre serveur proxy s'il a été configuré avec la commande vracli proxy set .... Si vous n'avez pas configuré de serveur proxy Internet pour votre organisation, le serveur proxy interne VMware Aria Automation tente de se connecter directement à Internet.

Vous pouvez configurer VMware Aria Automation pour utiliser un serveur proxy Internet à l'aide de l'utilitaire de ligne de commande vracli fourni. Des informations sur l'utilisation de l'API vracli sont disponibles en utilisant l'argument --help dans la ligne de commande vracli (par exemple, vracli proxy –-help).

Note :

L'accès à Workspace ONE Access n'est pas pris en charge par le proxy Internet. Vous ne pouvez pas utiliser la commande vracli set vidm pour accéder à Workspace ONE Access via le serveur proxy Internet.

Le serveur proxy interne requiert IPv4 comme format d'adresse IP par défaut. Il ne requiert pas de restrictions de protocole Internet, d'authentification ou d'actions de l'intercepteur sur le trafic de certificats TLS (HTTPS).

Tout le trafic réseau externe traverse le serveur proxy Internet. Le trafic réseau interne contourne le proxy.

Conditions préalables

Vérifiez que vous disposez d'un serveur HTTP ou HTTPS existant, que vous pouvez utiliser comme serveur proxy Internet, dans le réseau VMware Aria Automation en mesure de transmettre le trafic sortant vers des sites externes. La connexion doit être configurée pour IPv4.
Vérifiez que le serveur proxy Internet cible est configuré pour prendre en charge IPv4 comme format d'adresse IP par défaut.
Si le serveur proxy Internet utilise TLS et nécessite une connexion HTTPS avec ses clients, vous devez importer le certificat de serveur à l'aide de l'une des commandes suivantes avant de définir la configuration du proxy.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Utilisez le paramètre stdin pour l'entrée interactive.

Procédure

Créez une configuration de proxy pour les espaces ou les conteneurs utilisés par Kubernetes. Dans cet exemple, le serveur proxy est accessible à l'aide du schéma HTTP.

vracli proxy set --host http://proxy.vmware.com:3128

Affichez la configuration du proxy.

vracli proxy show

Le résultat doit être semblable à l'exemple suivant :

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Note : Si vous avez configuré un serveur proxy Internet pour votre organisation, "internal.proxy.config.type": "non-default" apparaît dans l'exemple ci-dessus au lieu de 'default'. Pour des raisons de sécurité, le mot de passe n'est pas affiché.

(Facultatif) Empêchez l'accès des domaines DNS, des noms de domaine complets et des adresses IP au serveur proxy Internet.
Vous pouvez spécifier des adresses qui ne sont pas accessibles via le serveur proxy Internet en spécifiant le paramètre --proxy-exclude lors de l'exécution de la commande vracli proxy set. Par exemple, si vous souhaitez ajouter .acme.com en tant que domaine qui n'est pas accessible à l'aide du serveur proxy Internet, exécutez la commande suivante :
```
vracli proxy set .... --proxy-exclude .acme.com
```
Note : Cette commande réinitialise les paramètres d'exclusion de proxy précédents et ajoute .acme.com à la liste de domaines auxquels vous devez accéder directement plutôt que via le serveur proxy Internet. Si vous souhaitez conserver certains paramètres précédents, vous devez transmettre la liste d'exclusion de proxy précédente étendue avec .acme.com en tant que valeur pour le paramètre --proxy-exclude. Vous pouvez vérifier la liste d'exclusion de proxy actuellement définie en exécutant la commande vracli proxy show et en examinant la valeur de la propriété user-proxy-exclude. Par exemple, si vous avez précédemment ajouté exclude.vmware.com à la liste d'exclusion de proxy, la commande vracli proxy show aura un résultat semblable à l'exemple suivant :
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Pour ajouter .acme.com à la liste d'exclusions, sans perdre exclude.vmware.com en tant qu'exclusion, vous devez exécuter la commande suivante :
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Après avoir défini le serveur proxy Internet avec la commande vracli proxy set ..., vous pouvez utiliser la commande vracli proxy apply pour mettre à jour la configuration du serveur proxy Internet et faire en sorte que les derniers paramètres de proxy soient actifs.
(Facultatif) Si nécessaire, configurez le serveur proxy pour qu'il prenne en charge l'accès externe sur le port 22.

Pour prendre en charge des intégrations telles que Puppet et Ansible, le serveur proxy doit autoriser le port 22 à accéder aux hôtes appropriés.

Exemple : Exemple de configuration Squid

En rapport avec l'étape 1, si vous configurez un proxy Squid, vous pouvez régler votre configuration dans /etc/squid/squid.conf en l'adaptant à l'exemple suivant :

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on