从 NSX 6.3.0 开始,您可以启用 FIPS 模式,该模式会打开符合 FIPS 的密码套件。

小心:NSX 6.3.0 之前的 NSX 版本升级到 NSX 6.3.0 或更高版本时,不能在完成升级之前启用 FIPS 模式。如果在升级完成之前启用 FIPS 模式,将中断升级的组件和未升级的组件之间的通信。

NSX 升级和 FIPS 状态

表 1. 从 NSX 6.2 升级到 NSX 6.3 或 NSX 6.4 后,NSX 组件中的 FIPS 模式状态。
NSX 组件 FIPS 模式状态
NSX Manager 升级后,NSX Manager 设备上的 FIPS 模式处于可用状态并且被关闭。在完成所有 NSX 组件升级,并在所有 NSX Edge 设备上启用 FIPS 之前,不要启用 FIPS。
NSX Controller 群集 升级后,NSX Controller 群集与 FIPS 兼容。它是不可配置的。
NSX 主机群集 升级后,NSX 主机群集与 FIPS 兼容。它是不可配置的。
NSX Edge 升级后,NSX Edge 设备上的 FIPS 模式处于可用状态并且被关闭。在完成所有 NSX 组件升级之前,不要启用 FIPS。
Guest Introspection 服务虚拟机 升级后,Guest Introspection 服务虚拟机与 FIPS 兼容。它是不可配置的。

启用 FIPS

如果您要从 NSX 6.2 升级到 NSX 6.3 或 NSX 6.4 并希望启用 FIPS,则必须完成以下步骤:
  1. 确认任何合作伙伴解决方案都已通过 FIPS 模式认证。请参见位于 http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security 的《VMware 兼容性指南》。请查看合作伙伴文档以了解相关信息。
  2. NSX Manager 升级到 NSX 6.3.0 或更高版本。
  3. NSX Controller 群集升级到 NSX 6.3.0 或更高版本。
  4. 将所有运行 NSX 工作负载的主机群集升级到 NSX 6.3.0 或更高版本。
  5. 将所有 NSX Edge 设备升级到 NSX 6.3.0 或更高版本。
  6. 如果安装了 Guest Introspection,则将所有主机群集上的 Guest Introspection 升级到 NSX 6.3.0 或更高版本。
  7. NSX Edge 设备上启用 FIPS 模式。请参见NSX 管理指南中的“在 NSX Edge 上更改 FIPS 模式”。
  8. NSX Manager 设备上启用 FIPS 模式。请参见NSX 管理指南中的“在 NSX Manager 上更改 FIPS 模式和 TLS 设置”。