Symptoms:

•  HTTPS プロキシを使用する vCenter 7.0 または 8.0 にて vSphere Web クライアントから OVF をデプロイできない。
  同様の問題については、「"cannot authenticate SSL certificate for proxy" in Content Library for vCenter HTTPs Proxy Support」を参照してください。
  
  
• 仮想マシンから OVF へのエクスポートの結果がウェブブラウザにてエラー 500 と表示する。

• /var/log/vmware/vpxd.log に次のようなエラーが記録される。
  

  Unrecognized SSL message, plaintext connection?, note that HTTP/s proxy is configured for the transfer

  [YYYY-MM-DDTHH:MM:SS] info vpxd[14866] [Originator@6876 sub=Default opID=2b691553-01] [VpxLRO] -- ERROR task-1978410 -- UPSA913s-x64-VM01-noV
  APP -- ResourcePool.ImportVAppLRO: vim.fault.OvfImportFailed:
  --> Result:
  --> (vim.fault.OvfImportFailed) {
  -->  faultCause = (vmodl.fault.SystemError) {
  -->   faultCause = (vmodl.MethodFault) null,
  -->   faultMessage = (vmodl.LocalizableMessage) [
  -->     (vmodl.LocalizableMessage) {
  -->      key = "com.vmware.ovfs.ovfs-main.ovfs.transfer_failed",
  -->      arg = (vmodl.KeyAnyValue) [
  -->        (vmodl.KeyAnyValue) {
  -->         key = "0",
  -->         value = "Invalid response code: 403, note that HTTP/s proxy is configured for the transfer"
  -->      message = "Transfer failed: Invalid response code: 403, note that HTTP/s proxy is configured for the transfer."
  -->   reason = ""
  -->   msg = "Transfer failed: Invalid response code: 403, note that HTTP/s proxy is configured for the transfer."
  -->  faultMessage = <unset>

現在、解決方法はありません。修正が利用可能になった際に通知を受け取るには、この記事をサブスクライブしてください。

回避策:

0. vCenter VAMI 5480 にてプロキシを無効にし、再度試してみてください。

この問題を回避するには、以下のいずれかの方法を使用します。(大文字と小文字が区別されることに注意してください):

1. HTTP を使用するように HTTPS PROXY 構成を変更します。:

• /etc/sysconfig/proxy ファイルを変更します。 HTTPS_PROXY 行を変更して値を https から http に更新します。　

  変更前
  HTTPS_PROXY="https://proxy.example.com:3128/"

   

  変更後
  HTTPS_PROXY="http://proxy.example.com:3128/" 

   

• プロキシ サーバーの FQDN が機能しない場合は、代わりに IP アドレスを使用できます。

• vCenter Server 7.0 U1 より前のバージョンを使用している場合は VCSA を再起動します。それ以降のバージョンを使用している場合は、次のコマンドを使用してサービスを再起動します。

  # service-control --stop --all && service-control --start --all

   

2. ホストをNO_PROXY 構成に追加してプロキシをバイパスします。

• SSH セッションで vCenter Server に接続します。

• ファイル /etc/sysconfig/proxyの内容を編集し、ESXi ホストの FQDN または IP アドレスを次の行にカンマ区切りで追加します。

例:

NO_PROXY="localhost, 127.0.0.1, <hostname>.example.com"

• コンテンツライブラリおよび vSphere Client から OVF のデプロイを試みます。.

• 設定変更を反映するため、vCenter Server の再起動が必要になることがあります。

注：:

vCenter Server 7.0U1c 以降のコンテンツライブラリでは、CIDR 表記 (1.2.3.4/24)/ネットマスク表記 (1.2.3.4/255.255.255.0) または .*.vmware.com のようなピリオドから始まるワイルドカードの指定がサポートされています。

ワイルドカードエントリは、ピリオド（ドット）で始める必要があることにご注意ください。 

ファイルベースバックアップとリストアでは、明示的に FQDN/IP を指定する必要があります。詳細は、 No_Proxy requirement for vCenter File based Backup and Restore (313480)をご覧ください。

例:

NO_PROXY="localhost, 127.0.0.1, .*.example.com, 10.0.0.1/24"

ワイルドカードの使用には次の制限があります。
- ファイルベースバックアップとリストアに影響を与える可能性があります。
- VMware Appliance Management UI (VAMI) では proxy/no-proxy にワイルドカードを含む設定を追加することはサポートされていません。
- NO_PROXY に記載された ワイルドカード/CIDR/ネットマスク表記 を vCenter Server のコンポーネントすべてが解釈するとは限りません。 例えば、wget や curl のような Linux コマンドは、NO_PROXY 内のワイルドカード/CIDR/ネットマスク表記を含むエントリをサポートしていません。 

この問題はDiagnostics for VMware Cloud Foundationにて確認しています。

確認事項:

• 製品: vCenter
• ログファイル: vpxd.log
• ログ表示チェック "Transfer failed: Invalid response code: 403" AND "HTTP/s proxy is configured for the transfer"