Es gibt eine globale Einstellung für die FIPS-Übereinstimmung für Load Balancer. Standardmäßig ist die Einstellung deaktiviert, um die Leistung zu verbessern.

Eine Änderung der globalen Konfiguration für die FIPS-Übereinstimmung für Load Balancer wirkt sich auf neue Load Balancer-Instanzen aus, jedoch nicht auf vorhandene Load Balancer-Instanzen.

Wenn die globale Einstellung für FIPS für Load Balancer (lb_fips_enabled) auf true festgelegt ist, verwenden neue Load Balancer-Instanzen Module, die mit FIPS 140-2 konform sind. Vorhandene Load Balancer-Instanzen verwenden möglicherweise nicht kompatible Module.

Damit die Änderung für vorhandene Load Balancer wirksam wird, müssen Sie den Load Balancer vom Tier-1-Gateway trennen und erneut anfügen.

Sie können den globalen FIPS-Übereinstimmungsstatus für den Load Balancer mithilfe von GET /policy/api/v1/compliance/status überprüfen. 
        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...
Hinweis: Der Übereinstimmungsbericht zeigt die globale Einstellung für die FIPS-Übereinstimmung für den Load Balancer an. Jede angegebene Load Balancer-Instanz kann über einen FIPS-Übereinstimmungsstatus verfügen, der sich von der globalen Einstellung unterscheidet.

Prozedur

  1. Rufen Sie die globale FIPS-Einstellung für den Load Balancer ab.
    GET https://nsx-mgr1/policy/api/v1/infra/global-config
    Beispielantworttext: 
    {
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}
  2. Ändern Sie die globale FIPS-Einstellung für den Load Balancer.
    Die globale Einstellung wird verwendet, wenn Sie neue Load Balancer-Instanzen erstellen. Eine Änderung der Einstellung wirkt sich nicht auf vorhandene Load Balancer-Instanzen aus.
    PUT https://nsx-mgr1/policy/api/v1/infra/global-config

    Beispielanforderungstext:

    {
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}
    Beispielantworttext: 
    {
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}
  3. Wenn Sie möchten, dass vorhandene Load Balancer-Instanzen diese globale Einstellung verwenden, müssen Sie den Load Balancer vom Tier-1-Gateway trennen und erneut anfügen.
    Vorsicht: Das Trennen eines Load Balancer vom Tier-1-Gateway führt zu einer Unterbrechung des Datenverkehrs für die Load Balancer-Instanz.
    1. Navigieren Sie zu Netzwerk > Load Balancing.
    2. Klicken Sie für den Load Balancer, den Sie trennen möchten, auf das Menü mit den drei Punkten (Symbol Menü mit drei Punkten ) und dann auf Bearbeiten.
    3. Klicken Sie auf das X-Symbol und dann auf Speichern, um den Load Balancer vom Tier-1-Gateway zu trennen.
      Screenshot mit dem X-Symbol
    4. Klicken Sie auf das Menü mit den drei Punkten ( Symbol Menü mit drei Punkten ) und dann auf Bearbeiten.
    5. Wählen Sie das richtige Gateway aus dem Dropdown-Menü Tier-1-Gateway aus und klicken Sie dann auf Speichern, um den Load Balancer erneut an das Tier-1-Gateway anzufügen.