Es gibt eine globale Einstellung für die FIPS-Übereinstimmung für Load Balancer. Standardmäßig ist die Einstellung deaktiviert, um die Leistung zu verbessern.

Eine Änderung der globalen Konfiguration für die FIPS-Übereinstimmung für Load Balancer wirkt sich auf neue Load Balancer-Instanzen aus, jedoch nicht auf vorhandene Load Balancer-Instanzen.

Wenn die globale Einstellung für FIPS für Load Balancer (lb_fips_enabled) auf true festgelegt ist, verwenden neue Load Balancer-Instanzen Module, die mit FIPS 140-2 konform sind. Vorhandene Load Balancer-Instanzen verwenden möglicherweise nicht kompatible Module.

Damit die Änderung für vorhandene Load Balancer wirksam wird, müssen Sie den Load Balancer vom Tier-1-Gateway trennen und erneut anfügen.

Sie können den globalen FIPS-Übereinstimmungsstatus für den Load Balancer mithilfe von GET /policy/api/v1/compliance/status überprüfen.
        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...
Hinweis: Der Übereinstimmungsbericht zeigt die globale Einstellung für die FIPS-Übereinstimmung für den Load Balancer an. Jede angegebene Load Balancer-Instanz kann über einen FIPS-Übereinstimmungsstatus verfügen, der sich von der globalen Einstellung unterscheidet.

Prozedur

  1. Rufen Sie die globale FIPS-Einstellung für den Load Balancer ab.
    GET https://nsx-mgr1/policy/api/v1/infra/global-config
    Beispielantworttext:
    {
        "fips": {
            "lb_fips_enabled": false
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937915337,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 2
    }
  2. Ändern Sie die globale FIPS-Einstellung für den Load Balancer.
    Die globale Einstellung wird verwendet, wenn Sie neue Load Balancer-Instanzen erstellen. Eine Änderung der Einstellung wirkt sich nicht auf vorhandene Load Balancer-Instanzen aus.
    PUT https://nsx-mgr1/policy/api/v1/infra/global-config

    Beispielanforderungstext:

    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "_revision": 2
    }
    Beispielantworttext:
    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937960950,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 3
    }
  3. Wenn Sie möchten, dass vorhandene Load Balancer-Instanzen diese globale Einstellung verwenden, müssen Sie den Load Balancer vom Tier-1-Gateway trennen und erneut anfügen.
    Vorsicht: Das Trennen eines Load Balancer vom Tier-1-Gateway führt zu einer Unterbrechung des Datenverkehrs für die Load Balancer-Instanz.
    1. Navigieren Sie zu Netzwerk > Load Balancing.
    2. Klicken Sie für den Load Balancer, den Sie trennen möchten, auf das Menü mit den drei Punkten () und dann auf Bearbeiten.
    3. Klicken Sie auf und dann auf Speichern, um den Load Balancer vom Tier-1-Gateway zu trennen.

    4. Klicken Sie auf das Menü mit den drei Punkten () und anschließend auf Bearbeiten.
    5. Wählen Sie das richtige Gateway aus dem Dropdown-Menü Tier-1-Gateway aus und klicken Sie dann auf Speichern, um den Load Balancer erneut an das Tier-1-Gateway anzufügen.