Verwenden Sie nach der Installation oder dem Upgrade den Befehl manage-test-connection-denylist des Zellenverwaltungstools, um den Zugriff auf interne Hosts zu blockieren, bevor Sie Mandantenzugriff auf das VMware Cloud Director-Netzwerk gewähren.

Ab VMware Cloud Director 10.1 können Dienstanbieter und Mandanten die VMware Cloud Director-API verwenden, um Verbindungen mit Remoteservern zu testen und die Serveridentität als Teil eines SSL-Handshake zu überprüfen.

Um das interne Netzwerk, in dem eine VMware Cloud Director-Instanz bereitgestellt wird, vor böswilligen Angriffen zu schützen, können Systemanbieter eine Negativliste interner Hosts konfigurieren, die für Mandanten nicht erreichbar sind.

Wenn ein böswilliger Angreifer mit Mandantenzugriff versucht, die VMware Cloud Director-API für Verbindungstests zu verwenden, um das Netzwerk, in dem VMware Cloud Director installiert ist, zuzuordnen, kann er keine Verbindung zu den internen Hosts in der Negativliste herstellen.

Verwenden Sie nach der Installation oder dem Upgrade, und bevor Sie Mandanten den Zugriff auf das VMware Cloud Director-Netzwerk ermöglichen, den Befehl manage-test-connection-denylist des Zellenverwaltungstools, um den Mandantenzugriff auf interne Hosts zu blockieren.

Prozedur

  1. Melden Sie sich, bei Bedarf mithilfe von SSH, als „root“ beim Betriebssystem einer der VMware Cloud Director-Zellen an.
  2. Führen Sie den Befehl aus, um der Negativliste einen Eintrag hinzuzufügen.
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option   
    Tabelle 1. Optionen des Zellenverwaltungstools und zugehörige Argumente, Unterbefehl manage-test-connection-denylist
    Option Argument Beschreibung
    --help (-h) Keines Stellt eine Zusammenfassung der verfügbaren Befehle in dieser Kategorie bereit.
    --add-ip IPv4- oder IPv6-Adresse Fügt der Negativliste eine IP-Adresse hinzu.
    --add-name Eine Unterdomäne oder ein vollqualifizierter Domänenname für einen Host Fügt der Negativliste eine Unterdomäne oder einen Domänennamen hinzu.
    --add-range IPv4- oder IPv6-Adressbereich im CIDR- oder Bindestrichformat Fügt der Negativliste einen IP-Adressbereich hinzu.
    --list Keines Listet alle vorhandenen Einträge mit verweigertem Zugriff auf.