Après l'installation ou la mise à niveau, utilisez la commande manage-test-connection-denylist de l'outil de gestion des cellules pour bloquer l'accès aux hôtes internes avant de fournir aux locataires un accès au réseau VMware Cloud Director.

À partir de VMware Cloud Director 10.1, les fournisseurs de services et les locataires peuvent utiliser l'API VMware Cloud Director pour tester les connexions à des serveurs distants et vérifier l'identité du serveur dans le cadre d'une connexion à SSL.

Pour protéger le réseau interne dans lequel une instance de VMware Cloud Director est déployée contre les attaques malveillantes, les fournisseurs de systèmes peuvent configurer une liste bloquée des hôtes internes inaccessibles aux locataires.

Ainsi, si un pirate ayant un accès locataire tente d'utiliser l'API de test de connexion VMware Cloud Director pour mapper le réseau sur lequel VMware Cloud Director est installé, il ne pourra pas se connecter aux hôtes internes sur la liste bloquée.

Après l'installation ou la mise à niveau et avant de fournir aux locataires l'accès au réseau VMware Cloud Director, utilisez la commande manage-test-connection-denylist de l'outil de gestion des cellules pour bloquer l'accès des locataires aux hôtes internes.

Procédure

  1. Connectez-vous ou ouvrez une session SSH en tant qu'utilisateur racine à la cellule VMware Cloud Director.
  2. Exécutez la commande pour ajouter une entrée à la liste bloquée.
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option   
    Tableau 1. Options et arguments de l'outil de gestion des cellules, sous-commande manage-test-connection-denylist
    Option Argument Description
    --help (-h) Aucune Fournit un résumé des commandes disponibles dans cette catégorie.
    --add-ip Adresse IPv4 ou IPv6 Ajoute une adresse IP à la liste bloquée.
    --add-name Sous-domaine ou nom de domaine complet pour un hôte Ajoute un sous-domaine ou un nom de domaine à la liste bloquée.
    --add-range Plage d'adresses IPv4 ou IPv6 au format CIDR ou séparées par des tirets. Ajoute une plage d'adresses IP à la liste bloquée.
    --list Aucune Répertorie toutes les entrées existantes avec l'accès refusé.