有一个全局设置,用于配置负载均衡器的 FIPS 合规性。默认情况下,将禁用该设置以提高性能。

更改负载均衡器的 FIPS 合规性全局配置会影响新的负载均衡器实例,但不会影响任何现有的负载均衡器实例。

如果将负载均衡器的 FIPS 全局设置 (lb_fips_enabled) 设为 true,则新的负载均衡器实例将使用符合 FIPS 140-2 的模块。现有负载均衡器实例可能使用的是不合规的模块。

要使所做的更改在现有负载均衡器上生效,必须从 tier-1 网关中分离并重新连接负载均衡器。

您可以使用 GET /policy/api/v1/compliance/status 检查负载均衡器的全局 FIPS 合规性状态。 
        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...
注: 合规性报告将显示负载均衡器的 FIPS 合规性全局设置。任何给定的负载均衡器实例都可以具有与全局设置不同的 FIPS 合规性状态。

过程

  1. 检索负载均衡器的全局 FIPS 设置。
    GET https://nsx-mgr1/policy/api/v1/infra/global-config
    响应正文示例: 
    {
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}
  2. 更改负载均衡器的全局 FIPS 设置。
    在创建新的负载均衡器实例时,将使用该全局设置。更改该设置不会影响现有的负载均衡器实例。
    PUT https://nsx-mgr1/policy/api/v1/infra/global-config

    请求正文示例:

    {
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}
    响应正文示例: 
    {
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}
  3. 如果您希望任何现有的负载均衡器实例使用此全局设置,则必须从 tier-1 网关中分离并重新连接负载均衡器。
    小心: 从 tier-1 网关中分离负载均衡器会导致负载均衡器实例出现流量中断。
    1. 导航到 网络 > 负载均衡
    2. 在要分离的负载均衡器上,单击三个圆点菜单 (),然后单击编辑
    3. 单击 ,然后单击保存以从 tier-1 网关中分离该负载均衡器。
    4. 单击三个圆点菜单 (),然后单击编辑
    5. Tier-1 网关下拉菜单中选择正确的网关,然后单击保存以将该负载均衡器重新连接到 tier-1 网关。