Cuando complete una instalación o actualización, utilice el comando manage-test-connection-denylist de la herramienta de administración de celdas para bloquear el acceso a los hosts internos antes de proporcionar a los tenants acceso a la red de VMware Cloud Director.

A partir de VMware Cloud Director 10.1, los proveedores de servicios y los tenants pueden utilizar la API de VMware Cloud Director para probar las conexiones a los servidores remotos y comprobar la identidad de estos como parte de un protocolo de intercambio SSL.

Para proteger la red interna en la que se implementa una instancia de VMware Cloud Director frente a ataques malintencionados, los proveedores del sistema pueden configurar una lista de denegación de hosts internos a los que no pueden acceder los tenants.

De esta manera, si un atacante malintencionado con acceso de tenant intenta utilizar la API de VMware Cloud Director de prueba de conexión para asignar la red en la que está instalado VMware Cloud Director, no podrá conectarse a los hosts internos en la lista de denegación.

Tras realizar una instalación o actualización, y antes de proporcionar a los tenants acceso a la red de VMware Cloud Director, utilice el comando manage-test-connection-denylist de la herramienta de administración de celdas para impedir que los tenants puedan acceder a los hosts internos.

Procedimiento

  1. Inicie sesión o utilice SSH como usuario raíz en el sistema operativo de la celda de VMware Cloud Director.
  2. Ejecute el siguiente comando para agregar una entrada a la lista de no permitidos:
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option   
    Tabla 1. Opciones y argumentos de la herramienta de administración de celdas, subcomando manage-test-connection-denylist
    Opción Argumento Descripción
    --help (-h) Ninguno Proporciona un resumen de los comandos disponibles en esta categoría.
    --add-ip Dirección IPv4 o IPv6 Agrega una dirección IP a la lista de no permitidos.
    --add-name Subdominio o nombre de dominio completo para un host Agrega un subdominio o un nombre de dominio a la lista de no permitidos.
    --add-range Rango de direcciones IPv4 o IPv6 en formato CIDR o con guiones Agrega un rango de direcciones IP a la lista de no permitidos.
    --list Ninguno Enumera todas las entradas existentes con acceso denegado.