要准备新的 SDDC 以运行合规性审核的工作负载,您必须创建一个防火墙规则以允许直接连接到 SDDC 的本地 NSX Manager,然后禁用 VMware Cloud 控制台网络与安全选项卡并使用本地 NSX Manager 管理 SDDC 网络。

VMware Cloud 控制台 网络与安全选项卡上的访问控件不适用于合规性强化 SDDC。使用网络与安全选项卡对 SDDC 进行的任何访问都会导致 SDDC 不合规。要保持合规性,您必须使用本地 NSX Manager 管理 SDDC 网络,本地 NSX Manager 具有自己的身份验证框架,符合合规性强化要求。在开始合规性审核之前,必须禁用对网络与安全选项卡的访问,并且必须在审核期间保持禁用状态。

在禁用对网络和安全选项卡的访问之前,您可以使用该选项卡创建到内部部署数据中心的 VPN 连接以及允许通过该 VPN 访问本地 NSX Manager 的管理网关防火墙规则。在确认可以访问 NSX Manager 后,可以禁用对网络与安全选项卡的访问,继续为合规性强化准备 SDDC。如果您需要重新启用对网络和安全的访问,请联系 VMware 技术支持。

前提条件

  • 您必须以具有管理员管理员(删除限制)VMC 服务角色的用户身份登录到 VMC 控制台。

  • 您必须具有到 SDDC 的 VPN 连接。请参见《VMware Cloud on AWS 网络和安全性》指南中的配置 SDDC 和内部部署数据中心之间的 VPN 连接。禁用“网络和安全”选项卡访问后,通过 VPN 到本地 NSX Manager 的连接是管理 SDDC 网络的唯一方法。为了确保在网络发生故障时可以访问本地 NSX Manager,我们建议使用基于路由的 VPN 将冗余连接(如 AWS Direct Connect)配置为备份,如《VMware Cloud on AWS 网络和安全性》指南中的配置通过 Direct Connect 连接到专用虚拟接口以传输 SDDC 管理和计算网络流量

  • 必须在 SDDC 中启用合规性强化。默认情况下,VMware Cloud on AWS 不启用合规性强化。请联系您的客户团队了解更多信息。可以在 SDDC 版本 1.14 及更高版本中配置合规性强化,该版本是在提供相应支持的 AWS 区域中创建的,如选择区域中所示。

过程

  1. 登录到 VMware Cloud 控制台 (https://vmc.vmware.com)。
  2. 创建一个管理网关防火墙规则,以允许您打开到该 SDDC 的本地 NSX Manager 的 HTTPS 连接。
    请参见 《VMware Cloud on AWS 网络和安全性》指南中的 添加或修改管理网关防火墙规则,以了解有关如何创建管理网关防火墙规则的详细信息。规则必须具有以下参数:
    MGW 防火墙规则属性
    任意,或内部部署网络的特定 IP 地址。
    目标 NSX Manager 系统定义的组。
    服务 HTTPS (TCP 443)
    操作 允许
  3. (必选) 测试防火墙规则。
    在禁用对 网络与安全选项卡的访问之前,您无法访问本地 NSX Manager,所以在进行下一步之前,验证防火墙规则是否有效是很重要的。要测试规则,请验证您能否查看本地 NSX Manager 的 index.html 页面。使用 Web 浏览器打开与 https://NSX-Manager-IP/nsx/index.html 的连接,其中, NSX-Manager-IP 是显示在 SDDC 的 设置选项卡上 NSX Manager 信息通过内部网络访问 NSX Manager 下的 专用 IP。如果您的防火墙规则正确无误,此请求将返回本地 NSX Manager 的 index.html 页面,该页面将显示多个 JSON 键/值对,包括 error_code: 403。您无法在此页上执行任何操作。
  4. 确认防火墙规则正确无误后,可以继续禁用对网络与安全的访问。
    1. 导航到 SDDC 的设置选项卡。
    2. 设置选项卡的合规性强化部分中,展开网络与安全选项卡访问行以显示禁用网络与安全选项卡访问卡视图。
    3. 确认您了解工作流。
      确认可以访问本地 NSX Manager 的 index.html 页面后,选中复选框以确认已创建并测试必要的防火墙规则并准备好继续操作。选中复选框以确认您了解,如果要为此 SDDC 重新启用对 网络与安全选项卡的访问,则需要提交 VMware 支持请求。
    4. 单击禁用以禁用网络和安全访问。
  5. 打开 NSX Manager。
    登录到 VMware Cloud 控制台,然后打开 网络和安全选项卡。单击此选项卡上的 打开 NSX MANAGER 按钮,然后使用 默认 NSX Manager 凭据登录。有关如何使用 NSX Manager 的信息,请参见 《NSX 管理指南》中的 NSX Manager
    注:

    如果要查看(但不修改)此 SDDC 的网络配置,您可以使用 NSX Manager 审核用户帐户的凭据登录,这些凭据位于设置选项卡上的 NSX Manager 信息下。

下一步做什么

禁用“网络和安全”选项卡访问后,必须使用本地 NSX Manager 管理 SDDC 网络。您可以像导航网络和安全选项卡一样导航 NSX Manager。有关如何使用 NSX Manager 的信息,请参见《NSX 管理指南》中的 NSX Manager

重要说明:

如 VMware 知识库文章 83551 中所提到的,要符合 PCI 合规性要求 8.2.4(每 90 天更改一次用户密码/口令),您必须使用 NSX Manager REST API。

如果您需要重新启用对网络和安全的访问,请联系 VMware 技术支持。