Hoe configureer ik een internetproxyserver voor VMware Aria Automation

Voor VMware Aria Automation-installaties in geïsoleerde netwerken zonder directe internettoegang kunt u een internetproxyserver gebruiken om de functionaliteit Internet via proxy toe te staan. De internetproxyserver ondersteunt HTTP en HTTPS.

Als u publieke cloudproviders zoals Amazon Web Services (AWS), Microsoft Azure en Google Cloud Platform (GCP) evenals externe integratiepunten, zoals IPAM, Ansible en Puppet, met VMware Aria Automation wilt configureren en gebruiken, moet u een internetproxyserver configureren.

VMware Aria Automation bevat een interne proxyserver die communiceert met uw internetproxyserver. Deze server communiceert met uw proxyserver als deze is geconfigureerd met de opdracht vracli proxy set .... Als u geen internetproxyserver hebt geconfigureerd voor uw organisatie, probeert de interne VMware Aria Automation-proxyserver direct verbinding te maken met internet.

U kunt VMware Aria Automation instellen om een internetproxyserver te gebruiken door het meegeleverde opdrachtregelprogramma vracli te gebruiken. Informatie over het gebruik van de vracli API is beschikbaar door het argument --help op de opdrachtregel vracli , bijvoorbeeld vracli proxy –-help, te gebruiken.

Opmerking:

Toegang tot Workspace ONE Access wordt niet ondersteund door de internetproxy. U kunt het commando vracli set vidm niet gebruiken om toegang te krijgen tot Workspace ONE Access via de internetproxyserver.

Voor de interne proxyserver is IPv4 als standaard-IP-indeling vereist. Hiervoor zijn geen internetprotocolbeperkingen, verificatie of man-in-the-middle-acties op TLS-certificaatverkeer (HTTPS) vereist.

Al het externe netwerkverkeer gaat via de internetproxyserver. Intern netwerkverkeer omzeilt de proxy.

Voorwaarden

Controleer of u een bestaande HTTP- of HTTPS-server hebt, die u kunt gebruiken als internetproxyserver, in het VMware Aria Automation-netwerk waarmee uitgaand verkeer naar externe sites kan worden doorgegeven. De verbinding moet worden geconfigureerd voor IPv4.
Controleer of de doelinternetproxyserver is geconfigureerd om IPv4 als standaard-IP-indeling te ondersteunen.
Als de internetproxyserver gebruikmaakt van TLS en een HTTPS-verbinding met clients vereist, moet u het servercertificaat importeren met een van de volgende commando's, voordat u de proxyconfiguratie instelt.
- vracli certificate proxy --set path_to_proxy_certificate.pem
- vracli certificate proxy --set stdin
  Gebruik de stdin-parameter voor interactieve invoer.

Procedure

Maak een proxyconfiguratie voor de pods of containers die worden gebruikt door Kubernetes. In dit voorbeeld is de proxyserver toegankelijk via het HTTP-schema.

vracli proxy set --host http://proxy.vmware.com:3128

Geef de proxyconfiguratie weer.

vracli proxy show

Het resultaat is vergelijkbaar met het volgende:

{
    "config_timestamp": "1709214693",
    "enabled": true,
    "generation": "1709214693",
    "host": "proxy-service.prelude.svc.cluster.local",
    "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
    "java-user": null,
    "password": null,
    "port": 3128,
    "proxy_connection_read_timeout": 15,
    "proxy_dns_query_timeout": 60,
    "scheme": "http",
    "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
    "upstream_proxy_host": "proxy.vmware.com",
    "upstream_proxy_password_encoded": "",
    "upstream_proxy_port": 3128,
    "upstream_proxy_user_encoded": "",
    "user": null,
    "user-proxy-exclude": "",
    "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
    "internal.proxy.config.type": "non-default"
}

Opmerking: Als u een internetproxyserver voor uw organisatie hebt geconfigureerd, wordt "internal.proxy.config.type": "non-default" in het bovenstaande voorbeeld weergegeven in plaats van 'default'. Om veiligheidsredenen wordt het wachtwoord niet weergegeven.

(Optioneel) U kunt geen DNS-domeinen, FQDN's en IP-adressen uitsluiten van toegang door de internetproxyserver.
U kunt adressen opgeven die niet toegankelijk zijn via de internetproxyserver door de parameter --proxy-exclude op te geven wanneer u het commando vracli proxy set uitvoert. Als u bijvoorbeeld .acme.com wilt toevoegen als domein dat niet toegankelijk is via de internetproxyserver, voert u het volgende commando uit:
```
vracli proxy set .... --proxy-exclude .acme.com
```
Opmerking: Met dit commando worden uw vorige uitsluitingsinstellingen voor proxy's opnieuw ingesteld en wordt .acme.com toegevoegd aan de lijst met domeinen die direct moeten worden geopend in plaats van via de internetproxyserver. Als u vorige instellingen wilt behouden, moet u de eerder bestaande uitsluitingslijst voor proxy's, uitgebreid met .acme.com, doorgeven als waarde voor de parameter --proxy-exclude. U kunt de huidige lijst met proxy's controleren door het commando vracli proxy show uit te voeren en de waarde van de eigenschap user-proxy-exclude te controleren. Als u bijvoorbeeld eerder exclude.vmware.com heeft toegevoegd aan de lijst met uitsluitingen voor proxy's, krijgt u met het commando vracli proxy show uitvoer zoals de volgende:
```
{
...
    "user-proxy-exclude": "exclude.vmware.com",
...
}
```
Om .acme.com toe te voegen aan de lijst met uitsluitingen zonder exclude.vmware.com als uitsluiting te verliezen, moet u het volgende commando uitvoeren:
```
vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
```
Nadat u de internetproxyserver met de opdracht vracli proxy set ... hebt ingesteld, kunt u de opdracht vracli proxy apply gebruiken om de configuratie van de internetproxyserver bij te werken en de meest recente proxyinstellingen te activeren.
(Optioneel) Configureer zo nodig de proxyserver om externe toegang op poort 22 te ondersteunen.

Om integraties zoals Puppet en Ansible te ondersteunen, moet de proxyserver poort 22 toestaan om toegang te krijgen tot de relevante hosts.

Voorbeeld: Voorbeeld van Squid-configuratie

Als u een Squid-proxy instelt, kunt u (gerelateerd aan stap 1) uw configuratie in /etc/squid/squid.conf verfijnen door deze aan het volgende voorbeeld aan te passen:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on