Come configurare un server proxy Internet per VMware Aria Automation

Per le installazioni di VMware Aria Automation in reti isolate senza accesso diretto a Internet, è possibile utilizzare un server proxy Internet per consentire la funzionalità Internet tramite proxy. Il server proxy Internet supporta HTTP e HTTPS.

Per configurare e utilizzare provider di cloud pubblici come Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP), nonché punti di integrazione esterni come IPAM, Ansible e Puppet, con VMware Aria Automation, è necessario configurare un server proxy Internet.

VMware Aria Automation contiene un server proxy interno che comunica con il server proxy Internet. Questo server comunica con il server proxy se è stato configurato con il comando vracli proxy set .... Se non è stato configurato un server proxy Internet per l'organizzazione, il server proxy interno di VMware Aria Automation tenta di connettersi direttamente a Internet.

È possibile configurare VMware Aria Automation affinché utilizzi un server proxy Internet tramite l'utilità della riga di comando vracli specificata. Le informazioni su come utilizzare l'API vracli possono essere visualizzate utilizzando l'argomento --help nella riga di comando vracli , ad esempio vracli proxy –-help.

Nota:

L'accesso a Workspace ONE Access non è supportato dal proxy Internet. Non è possibile utilizzare il comando vracli set vidm per accedere a Workspace ONE Access tramite il server proxy Internet.

Il server proxy interno richiede IPv4 come formato IP predefinito. Non richiede autenticazione, azioni man-in-the-middle o limitazioni del protocollo Internet nel traffico di certificati TLS (HTTPS).

Tutto il traffico di rete esterno attraversa il server proxy Internet. Il traffico della rete interna ignora il proxy.

Prerequisiti

Verificare di disporre di un server HTTP o HTTPS esistente, che possa essere utilizzato come server proxy Internet, nella rete di VMware Aria Automation in grado di passare il traffico in uscita ai siti esterni. La connessione deve essere configurata per IPv4.
Verificare che il server proxy Internet di destinazione sia configurato per supportare IPv4 come formato IP predefinito.
Se il server proxy Internet utilizza TLS e richiede una connessione HTTPS con i propri client, è necessario importare il certificato del server utilizzando uno dei comandi seguenti, prima di impostare la configurazione del proxy.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Utilizzare il parametro stdin per l'input interattivo.

Procedura

Creare una configurazione proxy per i pod o i contenitori utilizzati da Kubernetes. In questo esempio, si accede al server proxy utilizzando lo schema HTTP.

vracli proxy set --host http://proxy.vmware.com:3128

Visualizzare la configurazione del proxy.

vracli proxy show

Il risultato sarà simile al seguente:

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Nota: Se è stato configurato un server proxy Internet per l'organizzazione, nell'esempio precedente viene visualizzato "internal.proxy.config.type": "non-default" anziché 'default'. Per motivi di sicurezza, la password non viene visualizzata.

(Facoltativo) Escludere i domini DNS, i nomi di dominio completi e gli indirizzi IP a cui il server proxy Internet non deve accedere.
È possibile specificare indirizzi a cui non è possibile accedere tramite il server proxy Internet specificando il parametro --proxy-exclude quando si esegue il comando vracli proxy set. Ad esempio, se si desidera aggiungere .acme.com come dominio a cui non è possibile accedere utilizzando il server proxy Internet, eseguire il comando seguente:
```
vracli proxy set .... --proxy-exclude .acme.com
```
Nota: Questo comando reimposta le impostazioni delle esclusioni del proxy precedenti e aggiunge .acme.com all'elenco dei domini a cui è necessario accedere direttamente anziché tramite il server proxy Internet. Se si desidera mantenere le impostazioni precedenti, è necessario passare l'elenco di esclusioni del proxy esistente in precedenza, esteso con .acme.com, come valore per il parametro --proxy-exclude. È possibile controllare l'elenco di esclusioni del proxy attualmente impostato eseguendo il comando vracli proxy show e ispezionando il valore della proprietà user-proxy-exclude. Ad esempio, se in precedenza è stato aggiunto exclude.vmware.com all'elenco di esclusioni del proxy, il comando vracli proxy show avrà un output simile al seguente:
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Per aggiungere .acme.com all'elenco di esclusioni, senza perdere exclude.vmware.com come esclusione, è necessario eseguire il comando seguente:
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Dopo aver impostato il server proxy Internet con il comando vracli proxy set ..., è possibile utilizzare il comando vracli proxy apply per aggiornare la configurazione del server proxy Internet e rendere attive le impostazioni del proxy più recenti.
(Facoltativo) Se necessario, configurare il server proxy per supportare l'accesso esterno sulla porta 22.

Per supportare integrazioni come Puppet e Ansible, il server proxy deve consentire alla porta 22 di accedere agli host pertinenti.

Esempio: Esempio di configurazione di Squid

Rispetto al passaggio 1, se si sta configurando un proxy Squid, è possibile modificare la configurazione in /etc/squid/squid.conf adattandola all'esempio seguente:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on