安装或升级后,请使用单元管理工具的 manage-test-connection-denylist 命令阻止对内部主机的访问,然后再向租户提供对 VMware Cloud Director 网络的访问权限。

VMware Cloud Director 10.1 开始,服务提供商和租户可以使用 VMware Cloud Director API 测试与远程服务器的连接,并在 SSL 握手过程中验证服务器身份。

为保护内部网络(其中部署了 VMware Cloud Director 实例)免遭恶意攻击,系统提供商可以配置租户无法访问的内部主机的拒绝列表。

这样,如果具有租户访问权限的恶意攻击者尝试使用连接测试 VMware Cloud Director API 映射安装了 VMware Cloud Director 的网络,他们将无法连接到拒绝列表上的内部主机。

安装或升级后,请使用单元管理工具的 manage-test-connection-denylist 命令拒绝租户对内部主机的访问,然后再向租户提供对 VMware Cloud Director 网络的访问权限。

过程

  1. 以 root 身份直接或通过 SSH 登录到 VMware Cloud Director 单元的操作系统。
  2. 运行以下命令向拒绝列表添加一个条目。
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option   
    表 1. 单元管理工具选项和参数,manage-test-connection-denylist 子命令
    选项 参数 描述
    --help (-h) 提供此类别中可用命令的摘要。
    --add-ip IPv4 或 IPv6 地址 将 IP 地址添加到拒绝列表。
    --add-name 主机的子域或完全限定域名 将子域或域名添加到拒绝列表。
    --add-range 采用 CIDR 或连字符格式的 IPv4 或 IPv6 地址范围 将 IP 地址范围添加到拒绝列表。
    --list 列出所有已拒绝访问的现有条目。