Configurar el modo de cumplimiento global de FIPS para el equilibrador de carga

Existe una configuración global para que los equilibradores de carga cumplan el estándar FIPS. Esta opción está desactivada de forma predeterminada para mejorar el rendimiento.

Si se cambia la configuración global para que los equilibradores de carga cumplan el estándar FIPS, este cambio afectará a las nuevas instancias del equilibrador de carga, pero no a las instancias actuales.

Si la configuración global de FIPS para el equilibrador de carga (lb_fips_enabled) está establecida en true, las nuevas instancias del equilibrador de carga utilizarán módulos que cumplen con FIPS 140-2. Las instancias actuales del equilibrador de carga, en cambio, podrían estar utilizando módulos no conformes.

Para que el cambio se implemente en los equilibradores de carga actuales, debe desconectar el equilibrador de carga de la puerta de enlace de nivel 1 y volver a conectarlo.

Para comprobar el estado de cumplimiento de FIPS global del equilibrador de carga, utilice GET /policy/api/v1/compliance/status.

        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...

Nota: El informe de cumplimiento muestra la configuración global de cumplimiento de FIPS del equilibrador de carga. Cada instancia del equilibrador de carga puede tener un estado de cumplimiento de FIPS distinto al de la configuración global.

Procedimiento

Recupere la configuración de FIPS global del equilibrador de carga.

GET https://nsx-mgr1/policy/api/v1/infra/global-config

Cuerpo de respuesta de ejemplo:

{
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}

Cambie la configuración de FIPS global del equilibrador de carga.

La configuración global se utiliza cuando se crean nuevas instancias del equilibrador de carga. Cambiar la configuración no afecta a las instancias actuales del equilibrador de carga.

PUT https://nsx-mgr1/policy/api/v1/infra/global-config

Cuerpo de solicitud de ejemplo:

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}

Cuerpo de respuesta de ejemplo:

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}

Si desea que las instancias actuales del equilibrador de carga utilicen esta configuración global, debe desconectar el equilibrador de carga de la puerta de enlace de nivel 1 y volver a conectarlo.

Precaución: Al desconectar un equilibrador de carga de la puerta de enlace de nivel 1, se interrumpe el tráfico en la instancia del equilibrador de carga.
1. Desplácese a Redes > Equilibrio de carga.
2. En el equilibrador de carga que desee desconectar, haga clic en el menú de tres puntos ( ) y, a continuación, en Editar.
3. Haga clic en y, a continuación, en Guardar para desconectar el equilibrador de carga de la puerta de enlace de nivel 1.
4. Haga clic en el menú de tres puntos ( ) y, a continuación, en Editar.
5. Seleccione la puerta de enlace correcta en el menú desplegable Puerta de enlace de nivel 1 y, a continuación, haga clic en Guardar para volver a conectar el equilibrador de carga a la puerta de enlace de nivel 1.