要准备新的 SDDC 以运行符合支付卡行业数据安全标准 (PCI DSS) 的工作负载,您必须创建一个防火墙规则以允许直接连接到 SDDC 的本地 NSX Manager,然后禁用 VMC 控制台网络和安全并使用本地 NSX Manager 管理 SDDC 网络。

在禁用对网络和安全选项卡的访问之前,您可以使用该选项卡创建到内部部署数据中心的 VPN 连接以及允许通过该 VPN 访问本地 NSX Manager 的管理网关防火墙规则。在确认可以访问 NSX Manager 后,可以禁用对网络和安全选项卡的访问,继续为 PCI DSS 工作负载准备 SDDC。如果您需要重新启用对网络和安全的访问,请联系 VMware 技术支持。

前提条件

过程

  1. 登录到位于 https://vmc.vmware.comVMC 控制台
  2. 创建一个管理网关防火墙规则,以允许您打开到该 SDDC 的本地 NSX Manager 的 HTTPS 连接。
    请参见 《VMware Cloud on AWS 网络和安全性》指南中的 添加或修改管理网关防火墙规则,以了解有关如何创建管理网关防火墙规则的详细信息。规则必须具有以下参数:
    MGW 防火墙规则属性
    任意,或内部部署网络的特定 IP 地址。
    目标 NSX Manager 系统定义的组。
    服务 HTPS (TCP 443)
    操作 允许
  3. (必选) 测试防火墙规则。
    在浏览器中,打开到 https://NSX-Manager-IP/nsx/index.html 的连接,其中 NSX-Manager-IP 是 SDDC 的 支持信息选项卡上显示的 NSX Manager IP 地址。如果您的防火墙规则正确无误,此请求将返回本地 NSX Manager 的 index.html 页面,该页面将显示多个 JSON 键/值对,包括 error_code: 403。您无法在此页上执行任何操作。
  4. 确认可以连接到 SDDC 的本地 NSX Manager 后,可以禁用对网络和安全的访问。
    1. 导航到 SDDC 的设置选项卡。
    2. 设置选项卡的组件控制部分中,展开网络和安全选项卡访问行以显示禁用网络和安全选项卡访问卡视图。
    3. 确认您了解工作流。
      确认可以连接到 SDDC 的本地 NSX Manager 后,选中复选框以确认已创建必要的防火墙规则并准备好继续操作。选中复选框以确认您了解,如果要为此 SDDC 重新启用 VMware HCX 加载项,则需要提交 VMware 支持请求。
    4. 单击禁用以禁用网络和安全访问。
  5. 打开 NSX Manager。
    登录到 VMC 控制台,然后打开 网络和安全选项卡。单击此选项卡上的 打开 NSX MANAGER 按钮,然后使用 默认 NSX Manager 凭据登录。有关如何使用 NSX Manager 的信息,请参见 《NSX-T Data Center 管理指南》中的 NSX Manager
    注:

    如果要查看(但不修改)此 SDDC 的网络配置,您可以使用 NSX Manager 审核用户帐户的凭据登录,这些凭据位于设置选项卡上的 NSX 信息下。

后续步骤

禁用“网络和安全”选项卡访问后,必须使用本地 NSX Manager 管理 SDDC 网络。您可以像导航网络和安全选项卡一样导航 NSX Manager。有关如何使用 NSX Manager 的信息,请参见《NSX-T Data Center 管理指南》中的 NSX Manager

如果您需要重新启用对网络和安全的访问,请联系 VMware 技术支持。