SDDC Manager で SSL Bump を使用する HTTP/HTTPS プロキシ、または HTTPS オフライン デポを使用すると UMDS ESXi コンポーネントの同期に失敗する
search cancel

SDDC Manager で SSL Bump を使用する HTTP/HTTPS プロキシ、または HTTPS オフライン デポを使用すると UMDS ESXi コンポーネントの同期に失敗する

book

Article ID: 434727

calendar_today

Updated On:

Products

VMware SDDC Manager

Issue/Introduction

免責事項: これは英文の記事「UMDS ESXi Components synchronization fails when using an HTTP/HTTPS Proxy with SSL Bump or an HTTPS Offline Depot in SDDC Manager (434146)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

UMDS (Update Manager Download Service) で使用するために、SDDC Manager で SSL Bump (SSL インスペクション) を使用する HTTP/HTTPS プロキシ、または HTTPS オフライン デポを構成すると、UMDS の同期に失敗します。この事象は、SDDC Manager でプロキシまたはデポが正しく構成されている場合でも発生します。

症状:

  • VCF Operations または SDDC Manager UI で UMDS のダウンロード操作に失敗する。

  • lcm-debug.log に、プロキシまたはデポを介した通信試行時のプロトコル エラーまたは接続の問題が記録される。

  • ログに次の SSL 検証エラーが頻繁に出力される:

    cURL Error: SSL peer certificate or SSH remote key was not OK, SSL certificate problem: unable to get local issuer certificate

Environment

VMware Cloud Foundation 9.0.x / 9.1.x

UMDS (Update Manager Download Service)

次のいずれかを使用している環境:

  • カスタム CA 証明書を必要とする SSL-Bump (SSL インスペクション) を実行する HTTP/HTTPS プロキシ。
  • カスタム CA 証明書を必要とする HTTPS オフライン デポ。

 

Cause

この問題は、環境に応じて次の要因が組み合わさることで発生します。

  1. OS のトラスト ストアへの登録不足
    vmware-umds バイナリは、Java キーストアだけでなく、SDDC Manager の OS レベルのトラスト ストアにカスタム CA 証明書を明示的に追加する必要があります。KB 316072 (How to import Proxy server certificate to SDDC manager trust store) に記載されている手順では、OS レベルのトラスト ストアに証明書がインストールされません。

  2. プロキシ プロトコルのギャップ (VCF 9.1)
    UMDS では VCF 9.1 以降、HTTPS プロキシがサポートされています。しかし、SDDC Manager のプロキシ構成転送プロトコル (https://) は、UMDS バイナリに自動的に引き継がれません。

Resolution

Part 1:OS トラスト ストアの更新 (カスタム CA を使用するすべての VCF 9.0 および 9.1 構成で必須)
SSL 証明書エラーを解決するには、CA 証明書を SDDC Manager の OS トラスト ストアに手動で追加する必要があります。

  1. vcf ユーザーとして SDDC Manager アプライアンスに SSH で接続し、root に切り替えます。

  2. プロキシまたはオフライン デポの CA 証明書を、拡張子が .pem の PEM 形式 (例:proxy_ca.pem) で準備します。

  3. .pem ファイルを /etc/ssl/certs/ ディレクトリにコピーします。

  4. 次のシステム スクリプトを実行して、トラスト ストアを更新します:/usr/bin/rehash_ca_certificates.sh

  5. VCF 9.0 の場合はUI から UMDS の同期を再試行します 。HTTPS プロキシを使用する VCF 9.1 の場合は Part 2 へ進んでください 。

Part 2:UMDS の手動実行 (HTTPS プロキシを使用する VCF 9.1 でのみ必須)
VCF 9.1 では、UMDS と SDDC Manager のプロキシ プロトコル構成が完全に統合されていないため、Part 1 の完了後に HTTPS プロキシを明示的に指定して UMDS コマンドを手動で実行する必要があります。
注: この手順は、オフライン デポの構成では不要です。

例: --proxy-ip https://<proxy_ip_or_hostname>

コマンド全体の例:

./vmware-umds -D -m --info-level error --proxy-username proxy_user --proxy-password proxy_password --proxy-port 3131 --proxy-ip https://###.###.###.###
Powered by Wolken Software