启用 FIPS 模式会打开符合 FIPS 的密码套件。因此,往来于 NSX Edge 的所有安全通信均使用 FIPS 允许的加密算法或协议。
小心: 更改 FIPS 模式会重新引导
NSX Edge 设备,从而导致临时流量中断。无论是否启用高可用性均会出现该情况。
依据您的要求,您可以在部分或所有 NSX Edge 设备上启用 FIPS。启用了 FIPS 的 NSX Edge 设备可以与未启用 FIPS 的 NSX Edge 设备进行通信。
如果在没有 NSX Edge 设备的情况下部署逻辑(分布式)路由器,则您无法修改 FIPS 模式。逻辑路由器会自动获取与 NSX Controller 集群相同的 FIPS 模式。如果 NSX Controller 集群为 NSX 6.3.0 或更高版本,则会启用 FIPS。
在主和辅助 NSX Manager 中部署了多个 NSX Edge 设备的跨 vCenter NSX 环境中,要更改通用逻辑(分布式)路由器上的 FIPS 模式,必须更改与主 NSX Manager 上通用逻辑(分布式)路由器关联的所有 NSX Edge 设备上的 FIPS 模式。
如果您在启用了高可用性的 NSX Edge 设备上更改 FIPS 模式,两个设备上都将启用 FIPS,并且这些设备将会逐一重新引导。
如果您要为单独的 Edge 更改 FIPS 模式,请使用 fips enable 或 fips disable 命令。有关详细信息,请参阅NSX 命令行界面参考。
前提条件
- 确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见位于 http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security 的《VMware 兼容性指南》。
- 如果您从较早版本的 NSX 升级,则只有在升级到 NSX 6.3.0 的操作完成之后才能启用 FIPS 模式。请参见NSX 升级指南中的“了解 FIPS 模式和 NSX 升级”。
- 确认 NSX Manager 为 NSX 6.3.0 或更高版本。
- 确认 NSX Controller 群集为 NSX 6.3.0 或更高版本。
- 确认已为 NSX 6.3.0 或更高版本准备好所有运行 NSX 工作负载的主机群集。
- 确认您要启用 FIPS 的所有 NSX Edge 设备均为 6.3.0 或更高版本。
- 确认消息基础架构的状态为绿色。使用 API 方法 GET /api/2.0/nwfabric/status?resource={resourceId},其中 resourceId 为主机或集群的 vCenter 受管对象 ID。在响应正文中查找与 com.vmware.vshield.vsm.messagingInfra 的 featureId 相对应的状态:
<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration> </nwFabricFeatureStatus>