O Que É um Forward Proxy? Intermediário de Tráfego de Saída
Um forward proxy fica entre os clientes internos e a internet mais ampla, enviando requisições de saída em nome deles para que a organização possa filtrar, registrar e controlar o tráfego de egress.
Um forward proxy é a imagem espelhada de um reverse proxy: ele representa os clientes que estão saindo, não os servidores que recebem tráfego. As empresas roteiam o egress dos runners através de forward proxies para aplicar políticas e inspecionar o que sai da rede. Quando o CI vive atrás de um, toda instalação de pacote e chamada de API precisa passar por ele.
Agindo pelo cliente
Quando um runner atrás de um forward proxy busca uma URL, ele na verdade envia a requisição para o proxy, que busca o destino e retorna o resultado. O destino vê o proxy, não o runner.
Por que as organizações usam um
- Filtrar quais hosts externos são alcançáveis.
- Registrar e auditar o tráfego de saída.
- Fazer cache de downloads comuns para economizar banda.
- Aplicar a política de segurança de egress.
Configurando o CI para usá-lo
As ferramentas leem as configurações de proxy de variáveis de ambiente como HTTP_PROXY e HTTPS_PROXY, além de NO_PROXY para exceções. Um runner que ignora essas variáveis falhará em alcançar a internet em um ambiente com proxy.
Forward proxies e controle de egress
As equipes de segurança frequentemente colocam destinos em uma allowlist no forward proxy. Se o host de uma nova dependência não estiver na lista, a instalação falha com um connection refused mesmo que o pacote seja válido.
Depurando problemas de proxy
Os sintomas incluem 407 proxy authentication required, hosts bloqueados e interceptação TLS que troca uma autoridade certificadora customizada que o runner precisa confiar. Esses são problemas de configuração, não instabilidades transitórias.
Transitório vs bloqueado
Um proxy que derruba uma conexão momentaneamente é uma falha transitória; um host bloqueado por política falha toda vez. Os runners da Latchkey repetem as quedas transitórias de proxy, mas expõem claramente os bloqueios de política para que você possa corrigir a allowlist.
Principais conclusões
- Um forward proxy intermedia requisições de saída em nome de clientes internos.
- As ferramentas de CI devem respeitar as configurações HTTP_PROXY, HTTPS_PROXY e NO_PROXY.
- Hosts bloqueados e erros de autenticação de proxy são problemas de configuração, não instabilidades repetíveis.