Для установленных систем vRealize Automation в изолированных сетях без прямого доступа к Интернету можно использовать прокси-сервер Интернета, чтобы разрешить функцию Интернета через прокси-сервер. Прокси-сервер Интернета поддерживает HTTP и HTTPS.
Чтобы настроить и использовать поставщиков общедоступных облачных служб, таких как Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform (GCP), а также внешние точки интеграции, такие как IPAM, Ansible и Puppet, с vRealize Automation, необходимо настроить прокси-сервер Интернета для доступа к внутреннему прокси-серверу Интернета vRealize Automation.
vRealize Automation содержит внутренний прокси-сервер, который взаимодействует с прокси-сервером Интернета. Данный сервер взаимодействует с прокси-сервером, если он настроен с помощью команды vracli proxy set ...
. Если для организации прокси-сервер Интернета не настроен, то внутренний прокси-сервер vRealize Automation будет пытаться подключиться к Интернету напрямую.
vRealize Automation можно настроить на использование прокси-сервера Интернета с помощью служебной программы командной строки vracli. Сведения об использовании API-интерфейса vracli доступны при использовании аргумента --help
в командной строке vracli , например vracli proxy –-help
.
Для доступа к прокси-серверу Интернета требуется использовать локальные элементы управления расширяемости на основе действий (ABX), встроенные в vRealize Automation.
Доступ к Workspace ONE Access (который раньше назывался VMware Identity Manager) через прокси-сервер Интернета не поддерживается. Для доступа к Workspace ONE Access через прокси-сервер Интернета команду vracli set vidm
использовать нельзя.
Для внутреннего прокси-сервера в качестве IP-формата по умолчанию требуется IPv4. Данный протокол не требует ограничений для IP-протокола, проверки подлинности или действий по защите «злоумышленник посередине» для трафика сертификата TLS (HTTPS).
Необходимые условия
- Убедитесь, что в сети vRealize Automation, способной передавать исходящий трафик на внешние сайты, у вас есть существующий сервер HTTP или HTTPS, который можно использовать в качестве прокси-сервера Интернета. Подключение должно быть настроено для IPv4.
- Убедитесь, что целевой прокси-сервер в Интернете настроен на поддержку протокола IPv4 в качестве IP-формата по умолчанию, а не IPv6.
- Если прокси-сервер Интернета использует протокол TLS и требует подключение по протоколу HTTPS к своим клиентам, то перед его настройкой необходимо импортировать сертификат сервера с помощью одной из следующих команд.
vracli certificate proxy --set path_to_proxy_certificate.pem
vracli certificate proxy --set stdin
Для интерактивного ввода используйте параметр
stdin
.
Процедура
Пример: Образец настройки Squid
Применительно к шагу 1: если вы настраиваете прокси-сервер Squid, можно настроить конфигурацию в /etc/squid/squid.conf с учетом следующих изменений:
acl localnet src 192.168.11.0/24 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow !Safe_ports http_access allow CONNECT !SSL_ports http_access allow localnet http_port 0.0.0.0:3128 maximum_object_size 5 GB cache_dir ufs /var/spool/squid 20000 16 256 coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 client_persistent_connections on server_persistent_connections on