Voor VMware Aria Automation-installaties in geïsoleerde netwerken zonder directe internettoegang kunt u een internetproxyserver gebruiken om de functionaliteit Internet via proxy toe te staan. De internetproxyserver ondersteunt HTTP en HTTPS.

Als u publieke cloudproviders zoals Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform (GCP) evenals externe integratiepunten, zoals IPAM, Ansible en Puppet, met VMware Aria Automation wilt configureren en gebruiken, moet u een internetproxyserver configureren om toegang te krijgen tot de interne VMware Aria Automation-internetproxyserver.

VMware Aria Automation bevat een interne proxyserver die communiceert met uw internetproxyserver. Deze server communiceert met uw proxyserver als deze is geconfigureerd met de opdracht vracli proxy set .... Als u geen internetproxyserver hebt geconfigureerd voor uw organisatie, probeert de interne VMware Aria Automation-proxyserver direct verbinding te maken met internet.

U kunt VMware Aria Automation instellen om een internetproxyserver te gebruiken door het meegeleverde opdrachtregelprogramma vracli te gebruiken. Informatie over het gebruik van de vracli API is beschikbaar door het argument --help op de opdrachtregel vracli , bijvoorbeeld vracli proxy –-help, te gebruiken.

Voor toegang tot de internetproxyserver is gebruik van de ingesloten besturingselementen op locatie voor actiegebaseerde uitbreidbaarheid (ABX) vereist die zijn ingebouwd in VMware Aria Automation.

Opmerking:

Toegang tot Workspace ONE Access wordt niet ondersteund door de internetproxy. U kunt het commando vracli set vidm niet gebruiken om toegang te krijgen tot Workspace ONE Access via de internetproxyserver.

Voor de interne proxyserver is IPv4 als standaard-IP-indeling vereist. Hiervoor zijn geen internetprotocolbeperkingen, verificatie of man-in-the-middle-acties op TLS-certificaatverkeer (HTTPS) vereist.

Al het externe netwerkverkeer gaat via de internetproxyserver. Intern netwerkverkeer omzeilt de proxy.

Voorwaarden

  • Controleer of u een bestaande HTTP- of HTTPS-server hebt, die u kunt gebruiken als internetproxyserver, in het VMware Aria Automation-netwerk waarmee uitgaand verkeer naar externe sites kan worden doorgegeven. De verbinding moet worden geconfigureerd voor IPv4.
  • Controleer of de doelinternetproxyserver is geconfigureerd om IPv4 als standaard-IP-indeling te ondersteunen.
  • Als de internetproxyserver gebruikmaakt van TLS en een HTTPS-verbinding met clients vereist, moet u het servercertificaat importeren met een van de volgende commando's, voordat u de proxyconfiguratie instelt.
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      Gebruik de stdin-parameter voor interactieve invoer.

Procedure

  1. Maak een proxyconfiguratie voor de pods of containers die worden gebruikt door Kubernetes. In dit voorbeeld is de proxyserver toegankelijk via het HTTP-schema.

    vracli proxy set --host http://proxy.vmware.com:3128

  2. Geef de proxyconfiguratie weer.

    vracli proxy show

    Het resultaat is vergelijkbaar met:
    {
        "enabled": true,
        "host": "10.244.4.51",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|10.244.*|192.168.*|172.16.*|kubernetes|sc2-rdops-vm06-dhcp-198-120.eng.vmware.com|10.192.204.9|*.eng.vmware.com|sc2-rdops-vm06-dhcp-204-9.eng.vmware.com|10.192.213.146|sc2-rdops-vm06-dhcp-213-146.eng.vmware.com|10.192.213.151|sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy-exclude": ".local,.localdomain,localhost,10.244.,192.168.,172.16.,kubernetes,sc2-rdops-vm06-dhcp-198-120.eng.vmware.com,10.192.204.9,.eng.vmware.com,sc2-rdops-vm06-dhcp-204-9.eng.vmware.com,10.192.213.146,sc2-rdops-vm06-dhcp-213-146.eng.vmware.com,10.192.213.151,sc2-rdops-vm06-dhcp-213-151.eng.vmware.com",
        "scheme": "http",
        "upstream_proxy_host": null,
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": null,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "internal.proxy.config": "dns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\naccess_log stdio:/tmp/logger squid\ncoredump_dir /\ncache deny all \nappend_domain .prelude.svc.cluster.local\nacl mylan src 10.0.0.0/8\nacl mylan src 127.0.0.0/8\nacl mylan src 192.168.3.0/24\nacl proxy-exclude dstdomain .local\nacl proxy-exclude dstdomain .localdomain\nacl proxy-exclude dstdomain localhost\nacl proxy-exclude dstdomain 10.244.\nacl proxy-exclude dstdomain 192.168.\nacl proxy-exclude dstdomain 172.16.\nacl proxy-exclude dstdomain kubernetes\nacl proxy-exclude dstdomain 10.192.204.9\nacl proxy-exclude dstdomain .eng.vmware.com\nacl proxy-exclude dstdomain 10.192.213.146\nacl proxy-exclude dstdomain 10.192.213.151\nalways_direct allow proxy-exclude\nhttp_access allow mylan\nhttp_access deny all\n# End autogen configuration\n",
        "internal.proxy.config.type": "default"
    }
    
    Opmerking: Als u een internetproxyserver voor uw organisatie hebt geconfigureerd, wordt "internal.proxy.config.type": "non-default" in het bovenstaande voorbeeld weergegeven in plaats van 'default'. Om veiligheidsredenen wordt het wachtwoord niet weergegeven.
    Opmerking: Als u de parameter -proxy-exclude gebruikt, moet u de standaardwaarden bewerken. Als u bijvoorbeeld acme.com wilt toevoegen als domein dat niet toegankelijk is via de internetproxyserver, gebruikt u de volgende stappen:
    1. Voer vracli proxy default-no-proxy in om de standaarduitsluitingsinstellingen voor proxy's te krijgen. Dit is een lijst met automatisch gegenereerde domeinen en netwerken.
    2. Bewerk de waarde om .acme.com toe te voegen.
    3. Voer vracli proxy set .... --proxy-exclude ... in om de configuratie-instellingen bij te werken.
    4. Voer de opdracht /opt/scripts/deploy.sh uit om de omgeving opnieuw te implementeren.
  3. (Optioneel) U kunt geen DNS-domeinen, FQDN's en IP-adressen uitsluiten van toegang door de internetproxyserver.

    Wijzig altijd de standaardwaarden van de variabele proxy-exclude met parameter --proxy-exclude. Als u het domein exclude.vmware.com wilt toevoegen, gebruikt u eerst de opdracht vrali proxy show, kopieert u de variabele proxy-exclude en voegt u de domeinwaarde toe met de opdracht vracli proxy set ..., zoals u hieronder ziet:

    vracli proxy set --host http://proxy.vmware.com:3128 --proxy-exclude "exclude.vmware.com,docker-registry.prelude.svc.cluster.local,localhost,.local,.cluster.local,10.244.,192.,172.16.,sc-rdops-vm11-dhcp-75-38.eng.vmware.com,10.161.75.38,.eng.vmware.com"
    Opmerking: Voeg elementen toe aan proxy-exclude in plaats van waarden te vervangen. Als u standaardwaarden voor proxy-exclude verwijdert, werkt VMware Aria Automation niet goed. Als dit gebeurt, verwijdert u de proxyconfiguratie en begint u opnieuw.
  4. Nadat u de internetproxyserver met de opdracht vracli proxy set ... hebt ingesteld, kunt u de opdracht vracli proxy apply gebruiken om de configuratie van de internetproxyserver bij te werken en de meest recente proxyinstellingen te activeren.
  5. Als u dit nog niet hebt gedaan, activeert u de scriptwijzigingen door de volgende opdracht uit te voeren:

    /opt/scripts/deploy.sh

  6. (Optioneel) Configureer zo nodig de proxyserver om externe toegang op poort 22 te ondersteunen.

    Om integraties zoals Puppet en Ansible te ondersteunen, moet de proxyserver poort 22 toestaan om toegang te krijgen tot de relevante hosts.

Voorbeeld: Voorbeeld van Squid-configuratie

Als u een Squid-proxy instelt, kunt u (gerelateerd aan stap 1) uw configuratie in /etc/squid/squid.conf verfijnen door deze aan het volgende voorbeeld aan te passen:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on