對於不具有直接網際網路存取權的隔離網路上的 VMware Aria Automation 安裝,您可以使用網際網路 Proxy 伺服器以允許「透過 Proxy 存取網際網路」功能。網際網路 Proxy 伺服器支援 HTTP 和 HTTPS。

若要透過 VMware Aria Automation 設定和使用公有雲提供者 (如 Amazon Web Services (AWS)、Microsoft AzureGoogle Cloud Platform (GCP)) 以及外部整合點 (例如 IPAM、Ansible 和 Puppet),則必須設定網際網路 Proxy 伺服器。

VMware Aria Automation 包含與網際網路 Proxy 伺服器進行通訊的內部 Proxy 伺服器。如果您的 Proxy 伺服器已使用 vracli proxy set ... 命令進行設定,則此伺服器會與 Proxy 伺服器進行通訊。如果您尚未設定組織的網際網路 Proxy 伺服器,則 VMware Aria Automation 內部 Proxy 伺服器會嘗試直接連線至網際網路。

您可以使用提供的 vracli 命令列公用程式,將 VMware Aria Automation 設定為使用網際網路 Proxy 伺服器。有關如何使用 vracli API 的資訊,可透過在 vracli 命令列中使用 --help 引數取得,例如 vracli proxy –-help

備註:

不支援透過網際網路 Proxy 存取 Workspace ONE Access。您無法使用 vracli set vidm 命令透過網際網路 Proxy 伺服器存取 Workspace ONE Access

內部 Proxy 伺服器需要 IPv4 做為其預設 IP 格式。不需要對 TLS (HTTPS) 憑證流量設定網際網路通訊協定限制、驗證或攔截式動作。

所有外部網路流量均周遊網際網路 Proxy 伺服器。內部網路流量繞過 Proxy。

必要條件

  • 確認您擁有可在 VMware Aria Automation 網路中用作網際網路 Proxy 伺服器的現有 HTTP 或 HTTPS 伺服器,以將傳出流量傳遞至外部站台。必須針對 IPv4 設定連線。
  • 確認目標網際網路 Proxy 伺服器已設定為支援 IPv4 作為其預設 IP 格式。
  • 如果網際網路 Proxy 伺服器使用 TLS,並且需要與其用戶端建立 HTTPS 連線,您必須在設定 Proxy 組態之前,使用下列其中一個命令匯入伺服器憑證。
    • vracli certificate proxy --set path_to_proxy_certificate.pem
    • vracli certificate proxy --set stdin

      使用 stdin 參數進行互動式輸入。

程序

  1. 針對 Kubernetes 所使用的網繭或容器建立 Proxy 組態。在此範例中,使用 HTTP 配置存取 Proxy 伺服器。

    vracli proxy set --host http://proxy.vmware.com:3128

  2. 顯示 Proxy 組態。

    vracli proxy show

    結果應類似於以下內容:
    {
        "config_timestamp": "1709214693",
        "enabled": true,
        "generation": "1709214693",
        "host": "proxy-service.prelude.svc.cluster.local",
        "java-proxy-exclude": "*.local|*.localdomain|localhost|127.0.0.1|127.*|kubernetes|*.cluster.local|*.svc.cluster.local|*.prelude.svc.cluster.local|sc2-10-43-195-99.nimbus.eng.vmware.com|10.43.195.99|*.nimbus.eng.vmware.com|10.244.0.*|10.244.1.*|10.244.2.*|10.244.3.*|10.244.4.*|10.244.5.*|10.244.6.*|10.244.7.*",
        "java-user": null,
        "password": null,
        "port": 3128,
        "proxy_connection_read_timeout": 15,
        "proxy_dns_query_timeout": 60,
        "scheme": "http",
        "system-proxy-exclude": ".local,.localdomain,localhost,127.0.0.1,127.,kubernetes,.cluster.local,.svc.cluster.local,.prelude.svc.cluster.local,sc2-10-43-195-99.nimbus.eng.vmware.com,10.43.195.99,.nimbus.eng.vmware.com,10.244.0.,10.244.1.,10.244.2.,10.244.3.,10.244.4.,10.244.5.,10.244.6.,10.244.7.",
        "upstream_proxy_host": "proxy.vmware.com",
        "upstream_proxy_password_encoded": "",
        "upstream_proxy_port": 3128,
        "upstream_proxy_user_encoded": "",
        "user": null,
        "user-proxy-exclude": "",
        "internal.proxy.config": "# Begin autogen configuration\ndns_v4_first on \nhttp_port 0.0.0.0:3128\nlogformat squid %ts.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %[un %Sh/%<a %mt\ncache deny all \nappend_domain .prelude.svc.cluster.local\naccess_log stdio:/tmp/logger\ncoredump_dir /\ndns_timeout 60 seconds\nacl mylan src all\nacl proxy-exclude-domain dstdomain localhost\nacl proxy-exclude-domain dstdomain .nimbus.eng.vmware.com\nacl proxy-exclude-domain dstdomain .local\nacl proxy-exclude-domain dstdomain .localdomain\nacl proxy-exclude-domain dstdomain kubernetes\nacl proxy-exclude-ip dst 10.43.195.99/32\nacl proxy-exclude-ip dst 10.244.0.0/21\nacl proxy-exclude-ip dst 127.0.0.0/8\nalways_direct allow proxy-exclude-ip\nalways_direct allow proxy-exclude-domain\n# Anonymize the proxy server.\nvia off\nforwarded_for delete\nhttp_access allow mylan\nhttp_access deny all\nread_timeout 15 minutes\nmax_filedescriptors 16384\n# End autogen configuration\n# http configuration of remote peer follows\ncache_peer proxy.vmware.com parent 3128 0 no-query default \nnever_direct allow all\n",
        "internal.proxy.config.type": "non-default"
    }
    
    備註: 如果已為組織設定網際網路 Proxy 伺服器,則上述範例中會顯示 "internal.proxy.config.type": "non-default",而不是 'default'。出於安全性考慮,不會顯示密碼。
  3. (選擇性) 將 DNS 網域、FQDN 和 IP 位址排除在網際網路 Proxy 伺服器的存取範圍之外。

    執行 vracli proxy set 命令時,可以透過指定 --proxy-exclude 參數來指定無法透過網際網路 Proxy 伺服器存取的位址。例如,如果您想要新增 .acme.com 作為無法使用網際網路 Proxy 伺服器存取的網域,請執行下列命令:

    vracli proxy set .... --proxy-exclude .acme.com
    備註: 此命令將重設先前的 Proxy 排除設定,並將 .acme.com 新增至必須直接存取而不是透過網際網路 Proxy 伺服器存取的網域清單。如果要保留先前的任何設定,則必須將先前存在的 Proxy 排除清單 (以 .acme.com 擴充) 作為 --proxy-exclude 參數的值進行傳遞。透過執行 vracli proxy show 命令並檢查 user-proxy-exclude 內容的值可以檢查目前設定的 Proxy 排除清單。例如,如果之前已將 exclude.vmware.com 新增至 Proxy 排除清單,則 vracli proxy show 命令將具有類似以下內容的輸出:
    {
    ...
        "user-proxy-exclude": "exclude.vmware.com",
    ...
    }
    
    若要將 .acme.com 新增至排除項目清單,同時仍將 exclude.vmware.com 作為排除項目,則必須執行以下命令:
    vracli proxy set .... --proxy-exclude exclude.vmware.com,.acme.com
  4. 使用 vracli proxy set ... 命令設定網際網路 Proxy 伺服器後,您可以使用 vracli proxy apply 命令更新網際網路 Proxy 伺服器組態,並將最新的 Proxy 設定設為作用中狀態。
  5. (選擇性) 如有需要,請將 Proxy 伺服器設定為支援連接埠 22 上的外部存取權。

    若要支援 Puppet 和 Ansible 等整合,Proxy 伺服器必須允許連接埠 22 存取相關主機。

範例: 範例 Squid 組態

相對於步驟 1,如果您設定的是 Squid Proxy,則可以透過將其調整為下列範例來調整 /etc/squid/squid.conf 中的組態:

acl localnet src 192.168.11.0/24

acl SSL_ports port 443

acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

http_access allow !Safe_ports
http_access allow CONNECT !SSL_ports
http_access allow localnet

http_port 0.0.0.0:3128

maximum_object_size 5 GB
cache_dir ufs /var/spool/squid 20000 16 256
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

client_persistent_connections on
server_persistent_connections on