Um ein neues SDDC auf die Ausführung von auf Konformität überwachten Arbeitslasten vorzubereiten, müssen Sie eine Firewallregel erstellen, mit der Sie eine direkte Verbindung zum lokalen NSX Manager des SDDC herstellen können. Deaktivieren Sie anschließend die VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit und verwalten Sie Ihre SDDC-Netzwerke über den lokalen NSX Manager.

Die Zugriffssteuerungen auf der VMware Cloud-Konsole-Registerkarte Netzwerk und Sicherheit sind für ein SDDC, für das eine Compliance-Härtung vorgenommen wurde, nicht geeignet. Jeder Zugriff auf ein SDDC über die Registerkarte Netzwerk und Sicherheit führt dazu, dass das SDDC nicht mehr konform ist. Um die Konformität sicherzustellen, müssen Sie Ihre SDDC-Netzwerke nur mithilfe des lokalen NSX Manager verwalten, der über ein Authentifizierungs-Framework verfügt, das den Anforderungen der Compliance-Härtung entspricht. Der Zugriff auf die Registerkarte Netzwerk und Sicherheit muss deaktiviert werden, bevor Sie eine Compliance-Überprüfung starten, und muss für die Dauer des Prüfzeitraums deaktiviert bleiben.

Bevor Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit deaktivieren, verwenden Sie sie, um eine VPN-Verbindung zu Ihrem lokalen Datencenter und eine Firewallregel für das Verwaltungs-Gateway zu erstellen, mit der Sie über dieses VPN auf den lokalen NSX Manager zugreifen können. Nachdem Sie sich vergewissert haben, dass Sie auf den NSX Manager zugreifen können, können Sie mit der Vorbereitung des SDDC für die Compliance-Härtung fortfahren, indem Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit deaktivieren. Wenn Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit erneut aktivieren müssen, wenden Sie sich an VMware Support.

Voraussetzungen

  • Sie müssen bei der VMC-Konsole als Benutzer mit der VMC-Dienst-Rolle Administrator oder Administrator (Löschen eingeschränkt) angemeldet sein.

  • Sie benötigen eine VPN-Verbindung zum SDDC. Weitere Informationen erhalten Sie unter Konfigurieren einer VPN-Verbindung zwischen Ihrem SDDC und dem lokalen Datencenter im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit. Nachdem Sie den Zugriff auf die Registerkarte „Netzwerk und Sicherheit“ deaktiviert haben, können Sie Ihr SDDC-Netzwerk ausschließlich über eine VPN-Verbindung mit dem lokalen NSX Manager verwalten. Um sicherzustellen, dass Sie den lokalen NSX Manager bei einem Netzwerkausfall erreichen können, ist es ratsam, als Backup eine redundante Verbindung wie AWS Direct Connect mit einem routenbasierten VPN zu konfigurieren, wie unter Konfigurieren von Direct Connect für eine private virtuelle Schnittstelle für den Datenverkehr des SDDC-Verwaltungs- und Computing-Netzwerks im Handbuch VMware Cloud on AWS – Netzwerk und Sicherheit beschrieben.

  • Compliance-Härtung muss im SDDC aktiviert sein. In VMware Cloud on AWS wird Compliance-Härtung nicht standardmäßig aktiviert. Weitere Informationen erhalten Sie von Ihrem Kundenteam. Compliance-Härtung kann in SDDCs ab Version 1.14 konfiguriert werden, die in einer AWS-Region erstellt werden, die den entsprechenden Support bietet, wie in Auswählen einer Region gezeigt.

Prozedur

  1. Melden Sie sich bei der VMware Cloud-Konsole unter https://vmc.vmware.com an.
  2. Erstellen Sie eine Firewallregel für das Verwaltungs-Gateway, die es Ihnen ermöglicht, eine HTTPS-Verbindung zum lokalen NSX Manager für dieses SDDC zu öffnen.
    Weitere Informationen, wie Sie eine Firewallregel für das Verwaltungs-Gateway erstellen, finden Sie unter Hinzufügen oder Ändern von Firewallregeln für das Verwaltungs-Gateway im VMware Cloud on AWS – Netzwerk und Sicherheit-Handbuch. Die Regel muss die folgenden Parameter aufweisen:
    Eigenschaft der MGW-Firewallregel Wert
    Quellen Beliebig oder eine bestimmte IP-Adresse in Ihrem lokalen Netzwerk.
    Ziele Die systemdefinierte Gruppe im NSX Manager.
    Dienste HTTPS (TCP 443)
    Aktion Zulassen
  3. (Erforderlich) Testen Sie die Firewallregel.
    Sie können erst auf den lokalen NSX Manager zugreifen, wenn Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit deaktiviert haben. Daher ist es wichtig, zu überprüfen, ob Ihre Firewallregel funktioniert, bevor Sie mit dem nächsten Schritt fortfahren. Stellen Sie zum Testen der Regel sicher, dass Sie die Seite index.html des lokalen NSX Managers anzeigen können. Verwenden Sie einen Webbrowser, um eine Verbindung zu https://NSX-Manager-IP/nsx/index.html herzustellen, wobei NSX-Manager-IP die private IP ist, die unter Auf NSX Manager über internes Netzwerk zugreifen in NSX Manager-Informationen auf der Registerkarte Einstellungen Ihres SDDC angezeigt wird. Wenn Ihre Firewallregel korrekt ist, gibt diese Anforderung die Seite index.html des lokalen NSX Manager zurück, auf der mehrere JSON-Schlüssel-Wert-Paare angezeigt werden, einschließlich error_code: 403. Sie können auf dieser Seite keine Aktionen durchführen.
  4. Nachdem Sie sichergestellt haben, dass Ihre Firewallregel korrekt ist, können Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit deaktivieren.
    1. Navigieren Sie zur Registerkarte Einstellungen für Ihr SDDC.
    2. Erweitern Sie im Abschnitt Compliance-Härtung der Registerkarte Einstellungen die Zeile Zugriff auf die Registerkarte „Netzwerk und Sicherheit“, um die Karte Zugriff auf die Registerkarte „Netzwerk und Sicherheit“ deaktivieren anzuzeigen.
    3. Bestätigen Sie, dass Sie den Workflow verstanden haben.
      Nachdem Sie überprüft haben, ob Sie die Seite index.html des lokalen NSX Managers aufrufen können, aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie die erforderliche Firewallregel erstellt und getestet haben und bereit sind, fortzufahren. Aktivieren Sie das Kontrollkästchen, um zu bestätigen, dass Sie eine VMware-Supportanfrage stellen müssen, wenn Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit für dieses SDDC wieder aktivieren möchten.
    4. Klicken Sie auf DEAKTIVIEREN, um den Zugriff auf „Netzwerk und Sicherheit“ zu deaktivieren.
  5. Öffnen Sie den NSX Manager.
    Melden Sie sich bei VMware Cloud-Konsole an und öffnen Sie die Registerkarte Netzwerk und Sicherheit. Klicken Sie auf NSX MANAGER ÖFFNEN und melden Sie sich mit den NSX Manager-Standardanmeldedaten an. Weitere Informationen zur Verwendung des NSX Manager finden Sie unter NSX Manager im Administratorhandbuch für NSX.
    Hinweis:

    Wenn Sie die Netzwerkkonfiguration für dieses SDDC anzeigen (aber nicht ändern) möchten, können Sie sich mit den Anmeldedaten des Audit-Benutzerkontos für NSX Manager anmelden. Diese finden Sie auf der Registerkarte Einstellungen unter NSX Manager-Informationen.

Nächste Maßnahme

Nachdem Sie den Zugriff auf die Registerkarte „Netzwerk und Sicherheit“ deaktiviert haben, müssen Sie zum Verwalten Ihres SDDC-Netzwerks den lokalen NSX Manager verwenden. Das Navigieren der Benutzeroberfläche des NSX Manager funktioniert auf die gleiche Weise wie auf der Registerkarte Netzwerk und Sicherheit. Weitere Informationen zur Verwendung des NSX Manager finden Sie unter NSX Manager im Administratorhandbuch für NSX.

Wichtig:

Zur Einhaltung der PCI-Compliance-Anforderung 8.2.4 (Benutzerkennwörter/Passphrasen mindestens alle 90 Tage ändern) müssen Sie die NSX Manager-REST API verwenden, wie im VMware-Knowledgebase-Artikel 83551 dokumentiert.

Wenn Sie den Zugriff auf die Registerkarte Netzwerk und Sicherheit erneut aktivieren müssen, wenden Sie sich an VMware Support.