Pour les installations de vRealize Automation sur des réseaux isolés sans accès direct à Internet, vous pouvez utiliser un serveur proxy Internet pour autoriser la fonctionnalité Internet par proxy. Le serveur proxy Internet prend en charge HTTP et HTTPS.

Pour configurer et utiliser des fournisseurs de cloud public tels que Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) ainsi que des points d'intégration externes comme IPAM, Ansible et Puppet avec vRealize Automation, vous devez configurer un serveur proxy Internet afin d'accéder au serveur proxy Internet vRealize Automation interne.

vRealize Automation contient un serveur proxy interne qui communique avec votre serveur proxy Internet. Ce serveur communique avec votre serveur proxy s'il a été configuré avec la commande vracli proxy set .... Si vous n'avez pas configuré de serveur proxy Internet pour votre organisation, le serveur proxy interne vRealize Automation tente de se connecter directement à Internet.

Vous pouvez configurer vRealize Automation pour utiliser un serveur proxy Internet à l'aide de l'utilitaire de ligne de commande vracli fourni. Des informations sur l'utilisation de l'API vracli sont disponibles en utilisant l'argument --help dans la ligne de commande vracli (par exemple, vracli proxy –-help).

L'accès au serveur proxy Internet nécessite l'utilisation des contrôles d'un environnement d'exécution ABX intégré sur site dans vRealize Automation.

Note :

L'accès à Workspace ONE Access (anciennement nommé VMware Identity Manager) n'est pas pris en charge via le proxy Internet. Vous ne pouvez pas utiliser la commande vracli set vidm pour accéder à Workspace ONE Access via le serveur proxy Internet.

Le serveur proxy interne requiert IPv4 comme format d'adresse IP par défaut. Il ne requiert pas de restrictions de protocole Internet, d'authentification ou d'actions de l'intercepteur sur le trafic de certificats TLS (HTTPS).

Conditions préalables

  • Vérifiez que vous disposez d'un serveur HTTP ou HTTPS existant, que vous pouvez utiliser comme serveur proxy Internet, dans le réseau vRealize Automation en mesure de transmettre le trafic sortant vers des sites externes. La connexion doit être configurée pour IPv4.
  • Vérifiez que le serveur proxy Internet cible est configuré pour prendre en charge IPv4 comme format d'adresse IP par défaut et non IPv6.
  • Si le serveur proxy Internet utilise TLS et nécessite une connexion HTTPS avec ses clients, vous devez importer le certificat de serveur à l'aide de l'une des commandes suivantes, avant de définir la configuration du proxy.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Utilisez le paramètre stdin pour l'entrée interactive.

Procédure

  1. Créez une configuration de proxy pour les espaces ou les conteneurs utilisés par Kubernetes. Dans cet exemple, le serveur proxy est accessible à l'aide du schéma HTTP.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Affichez la configuration du proxy.

    vracli proxy show

    Le résultat sera semblable à celui-ci :
    {
        "enabled": true,
        "host": "10.244.4.51",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "scheme": "http",
        "upstream_proxy_host": null,
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": null,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
        "internal.proxy.config.type": "default"
    }
    
    Note : Si vous avez configuré un serveur proxy Internet pour votre organisation, "internal.proxy.config.type": "non-default" apparaît dans l'exemple ci-dessus au lieu de 'default'. Pour des raisons de sécurité, le mot de passe n'est pas affiché.
    Note : Si vous utilisez le paramètre -proxy-exclude, vous devez modifier les valeurs par défaut. Par exemple, si vous souhaitez ajouter acme.com en tant que domaine qui n'est pas accessible à l'aide du serveur proxy Internet, procédez comme suit :
    1. Entrez vracli proxy default-no-proxy pour obtenir les paramètres par défaut de proxy-exclude. Il s'agit d'une liste de domaines et de réseaux générés automatiquement.
    2. Modifiez la valeur pour ajouter .acme.com.
    3. Entrez vracli proxy set .... --proxy-exclude ... pour mettre à jour les paramètres de configuration.
    4. Exécutez la commande /opt/scripts/deploy.sh pour redéployer l'environnement.
  3. (Facultatif) Empêchez l'accès des domaines DNS, des noms de domaine complets et des adresses IP au serveur proxy Internet.

    Modifiez toujours les valeurs par défaut de la variable proxy-exclude à l'aide de la commande parameter --proxy-exclude. Pour ajouter le domaine exclude.vmware.com, utilisez d'abord la commande vrali proxy show, puis copiez la variable proxy-exclude et ajoutez la valeur de domaine à l'aide de la commande vracli proxy set ... comme suit :

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Note : Ajoutez des éléments à proxy-exclude au lieu de remplacer des valeurs. Si vous supprimez les valeurs par défaut de proxy-exclude, vRealize Automation ne fonctionne pas correctement. Si cela se produit, supprimez la configuration du proxy et recommencez.
  4. Après avoir défini le serveur proxy Internet avec la commande vracli proxy set ..., vous pouvez utiliser la commande vracli proxy apply pour mettre à jour la configuration du serveur proxy Internet et faire en sorte que les derniers paramètres de proxy soient actifs.
  5. Si vous ne l'avez pas déjà fait, activez les modifications du script en exécutant la commande suivante :

    /opt/scripts/deploy.sh

  6. (Facultatif) Si nécessaire, configurez le serveur proxy pour qu'il prenne en charge l'accès externe sur le port 22.

    Pour prendre en charge des intégrations telles que Puppet et Ansible, le serveur proxy doit autoriser le port 22 à accéder aux hôtes appropriés.

Exemple : Exemple de configuration Squid

En rapport avec l'étape 1, si vous configurez un proxy Squid, vous pouvez régler votre configuration dans /etc/squid/squid.conf en l'adaptant à l'exemple suivant :

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on