Per le installazioni di VMware Aria Automation in reti isolate senza accesso diretto a Internet, è possibile utilizzare un server proxy Internet per consentire la funzionalità Internet tramite proxy. Il server proxy Internet supporta HTTP e HTTPS.

Per configurare e utilizzare provider di cloud pubblici come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP), nonché punti di integrazione esterni come IPAM, Ansible e Puppet, con VMware Aria Automation, è necessario configurare un server proxy Internet per accedere al server proxy Internet interno di VMware Aria Automation.

VMware Aria Automation contiene un server proxy interno che comunica con il server proxy Internet. Questo server comunica con il server proxy se è stato configurato con il comando vracli proxy set .... Se non è stato configurato un server proxy Internet per l'organizzazione, il server proxy interno di VMware Aria Automation tenta di connettersi direttamente a Internet.

È possibile configurare VMware Aria Automation affinché utilizzi un server proxy Internet tramite l'utilità della riga di comando vracli specificata. Le informazioni su come utilizzare l'API vracli possono essere visualizzate utilizzando l'argomento --help nella riga di comando vracli , ad esempio vracli proxy –-help.

L'accesso al server proxy Internet richiede l'utilizzo dei controlli incorporati locali di estendibilità basata su azioni (ABX) integrati in VMware Aria Automation.

Nota:

L'accesso a Workspace ONE Access non è supportato dal proxy Internet. Non è possibile utilizzare il comando vracli set vidm per accedere a Workspace ONE Access tramite il server proxy Internet.

Il server proxy interno richiede IPv4 come formato IP predefinito. Non richiede autenticazione, azioni man-in-the-middle o limitazioni del protocollo Internet nel traffico di certificati TLS (HTTPS).

Tutto il traffico di rete esterno attraversa il server proxy Internet. Il traffico della rete interna ignora il proxy.

Prerequisiti

  • Verificare di disporre di un server HTTP o HTTPS esistente, che possa essere utilizzato come server proxy Internet, nella rete di VMware Aria Automation in grado di passare il traffico in uscita ai siti esterni. La connessione deve essere configurata per IPv4.
  • Verificare che il server proxy Internet di destinazione sia configurato per supportare IPv4 come formato IP predefinito.
  • Se il server proxy Internet utilizza TLS e richiede una connessione HTTPS con i propri client, è necessario importare il certificato del server utilizzando uno dei comandi seguenti, prima di impostare la configurazione del proxy.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Utilizzare il parametro stdin per l'input interattivo.

Procedura

  1. Creare una configurazione proxy per i pod o i contenitori utilizzati da Kubernetes. In questo esempio, si accede al server proxy utilizzando lo schema HTTP.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Visualizzare la configurazione del proxy.

    vracli proxy show

    Il risultato sarà simile a:
    {
        "enabled": true,
        "host": "10.244.4.51",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "scheme": "http",
        "upstream_proxy_host": null,
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": null,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
        "internal.proxy.config.type": "default"
    }
    
    Nota: Se è stato configurato un server proxy Internet per l'organizzazione, nell'esempio precedente viene visualizzato "internal.proxy.config.type": "non-default" anziché 'default'. Per motivi di sicurezza, la password non viene visualizzata.
    Nota: Se si utilizza il parametro -proxy-exclude, è necessario modificare i valori predefiniti. Ad esempio, se si desidera aggiungere acme.com come dominio a cui non è possibile accedere utilizzando il server proxy Internet, eseguire i passaggi seguenti:
    1. Immettere vracli proxy default-no-proxy per ottenere le impostazioni proxy-exclude predefinite. Si tratta di un elenco di domini e reti generati automaticamente.
    2. Modificare il valore per aggiungere .acme.com.
    3. Immettere vracli proxy set .... --proxy-exclude ... per aggiornare le impostazioni di configurazione.
    4. Eseguire il comando /opt/scripts/deploy.sh per ridistribuire l'ambiente.
  3. (Facoltativo) Escludere i domini DNS, i nomi di dominio completi e gli indirizzi IP a cui il server proxy Internet non deve accedere.

    Modificare i valori predefiniti della variabile proxy-exclude sempre utilizzando parameter --proxy-exclude. Per aggiungere il dominio exclude.vmware.com, utilizzare innanzitutto il comando vrali proxy show, quindi copiare la variabile proxy-exclude e aggiungere il valore del dominio utilizzando il comando vracli proxy set ... come indicato di seguito:

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Nota: Aggiungere elementi a proxy-exclude anziché sostituire i valori. Se si eliminano i valori predefiniti di proxy-exclude, VMware Aria Automation non funzionerà correttamente. Se succede, eliminare la configurazione del proxy e ricominciare.
  4. Dopo aver impostato il server proxy Internet con il comando vracli proxy set ..., è possibile utilizzare il comando vracli proxy apply per aggiornare la configurazione del server proxy Internet e rendere attive le impostazioni del proxy più recenti.
  5. Se non è già stato fatto, attivare le modifiche dello script eseguendo il comando seguente:

    /opt/scripts/deploy.sh

  6. (Facoltativo) Se necessario, configurare il server proxy per supportare l'accesso esterno sulla porta 22.

    Per supportare integrazioni come Puppet e Ansible, il server proxy deve consentire alla porta 22 di accedere agli host pertinenti.

Esempio: Esempio di configurazione di Squid

Rispetto al passaggio 1, se si sta configurando un proxy Squid, è possibile modificare la configurazione in /etc/squid/squid.conf adattandola all'esempio seguente:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on