VMware Aria Automation에 대한 인터넷 프록시 서버를 구성하는 방법

인터넷에 직접 액세스할 수 없는 격리된 네트워크에 설치된 VMware Aria Automation의 경우, 인터넷 프록시 서버를 사용하여 프록시 기능을 통해 인터넷을 허용할 수 있습니다. 인터넷 프록시 서버는 HTTP 및 HTTPS를 지원합니다.

VMware Aria Automation을 사용하여 AWS(Amazon Web Services), Microsoft Azure, GCP(Google Cloud Platform)와 같은 공용 클라우드 제공자 및 IPAM, Ansible, Puppet과 같은 외부 통합 지점을 구성하고 사용하려면 인터넷 프록시 서버를 구성해야 합니다.

VMware Aria Automation에는 인터넷 프록시 서버와 통신하는 내부 프록시 서버가 포함되어 있습니다. 이 서버는 vracli proxy set ... 명령으로 구성된 경우 프록시 서버와 통신합니다. 조직에 대해 인터넷 프록시 서버를 구성하지 않은 경우 VMware Aria Automation 내부 프록시 서버가 인터넷에 직접 연결하려고 시도합니다.

제공된 vracli 명령줄 유틸리티를 사용하여 인터넷 프록시 서버를 사용하도록 VMware Aria Automation을 설정할 수 있습니다. vracli API를 사용하는 방법에 대한 정보를 보려면 vracli 명령줄에서 --help 인수를 사용하면 됩니다(예: vracli proxy –-help).

참고:

Workspace ONE Access에 대한 액세스는 인터넷 프록시에서 지원되지 않습니다. vracli set vidm 명령을 사용하여 인터넷 프록시 서버를 통해 Workspace ONE Access에 액세스할 수 없습니다.

인터넷 프록시 서버는 기본 IP 형식으로 IPv4가 필요합니다. TLS(HTTPS) 인증서 트래픽에는 인터넷 프로토콜 제한, 인증 또는 중간자(man-in-the-middle) 작업이 필요하지 않습니다.

모든 외부 네트워크 트래픽은 인터넷 프록시 서버를 통과합니다. 내부 네트워크 트래픽은 프록시를 우회합니다.

사전 요구 사항

송신 트래픽을 외부 사이트로 전달할 수 있는 VMware Aria Automation 네트워크에서 인터넷 프록시 서버로 사용할 수 있는 기존의 HTTP 또는 HTTPS 서버가 있는지 확인합니다. IPv4에 대해 연결을 구성해야 합니다.
대상 인터넷 프록시 서버가 IPv4를 기본 IP 형식으로 지원하도록 구성되어 있는지 확인합니다.
인터넷 프록시 서버가 TLS를 사용 중이고 클라이언트와의 HTTPS 연결이 필요한 경우에는 프록시 구성을 설정하기 전에 다음 명령 중 하나를 사용하여 서버 인증서를 가져와야 합니다.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  대화형 입력에 대해 stdin 매개 변수를 사용합니다.

프로시저

Kubernetes에서 사용되는 포드 또는 컨테이너에 대한 프록시 구성을 생성합니다. 이 예에서는 HTTP 체계를 사용하여 프록시 서버에 액세스합니다.

vracli proxy set --host http://proxy.vmware.com:3128

프록시 구성을 표시합니다.

vracli proxy show

결과는 다음과 유사합니다.

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

참고: 조직에 대해 인터넷 프록시 서버를 구성한 경우 위의 예에서 'default' 대신 "internal.proxy.config.type": "non-default"가 표시됩니다. 암호는 보안을 위해 표시되지 않습니다.

(선택 사항) 인터넷 프록시 서버에서 DNS 도메인, FQDN 및 IP 주소에 액세스하지 못하도록 합니다.
vracli proxy set 명령을 실행할 때 --proxy-exclude 매개 변수를 지정하면 인터넷 프록시 서버를 통해 액세스할 수 없는 주소를 지정할 수 있습니다. 예를 들어 인터넷 프록시 서버를 사용하여 액세스할 수 없는 도메인으로 .acme.com을 추가하려는 경우 다음 명령을 실행합니다.
```
vracli proxy set .... --proxy-exclude .acme.com
```
참고: 이 명령은 이전 프록시 제외 설정을 재설정하고 인터넷 프록시 서버를 통하지 않고 직접 액세스해야 하는 도메인 목록에 .acme.com을 추가합니다. 이전 설정을 보존하려면 .acme.com으로 확장된 기존 프록시 제외 목록을 --proxy-exclude 매개 변수의 값으로 전달해야 합니다. vracli proxy show 명령을 실행하고 user-proxy-exclude 속성의 값을 검사하여 현재 설정된 프록시 제외 목록을 확인할 수 있습니다. 예를 들어 이전에 프록시 제외 목록에 exclude.vmware.com을 추가한 경우 vracli proxy show 명령을 실행하면 다음과 유사한 출력이 표시됩니다.
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
exclude.vmware.com을 제외로 유지하면서 제외 목록에 .acme.com을 추가하려면 다음 명령을 실행해야 합니다.
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
vracli proxy set ... 명령으로 인터넷 프록시 서버를 설정한 후에는 vracli proxy apply 명령을 사용하여 인터넷 프록시 서버 구성을 업데이트하고 최신 프록시 설정을 활성화할 수 있습니다.
(선택 사항) 필요하다면 포트 22에서 외부 액세스를 지원하도록 프록시 서버를 구성합니다.

Puppet 및 Ansible과 같은 통합을 지원하려면 프록시 서버에서 포트 22가 관련 호스트에 액세스할 수 있도록 허용해야 합니다.

예: 샘플 Squid 구성

1단계를 기준으로, Squid 프록시를 설정하는 경우 /etc/squid/squid.conf에서 다음 샘플에 맞추어 구성을 조정할 수 있습니다.

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on