Pour préparer un nouveau SDDC afin qu'il exécute des charges de travail dont la conformité est vérifiée, vous devez créer une règle de pare-feu qui vous permet de vous connecter directement à l'instance locale de NSX Manager du SDDC. Désactivez ensuite l'onglet Console VMware Cloud Mise en réseau et sécurité et utilisez l'instance locale de NSX Manager pour gérer vos réseaux SDDC.

Les contrôles d'accès de l'onglet Console VMware Cloud Mise en réseau et sécurité ne conviennent pas pour un SDDC à conformité renforcée. Tout accès à un SDDC à l'aide de l'onglet Mise en réseau et sécurité rend le SDDC non conforme. Pour maintenir la conformité, vous devez gérer vos réseaux SDDC en utilisant uniquement l'instance locale de NSX Manager, qui dispose d'une infrastructure d'authentification répondant aux exigences du renforcement de la conformité. L'accès à l'onglet Mise en réseau et sécurité doit être désactivé avant de commencer un audit de conformité et doit le rester pendant la durée de la période auditée.

Avant de désactiver l'accès à l'onglet Mise en réseau et sécurité, vous devez utiliser cet onglet pour créer une connexion VPN à votre centre de données sur site et une règle de pare-feu de passerelle de gestion qui vous permet d'accéder à NSX Manager local sur ce VPN. Après avoir vérifié que vous pouvez accéder à NSX Manager, vous pouvez préparer le SDDC pour le renforcement de la conformité en désactivant l'accès à l'onglet Mise en réseau et sécurité. Si vous devez réactiver l'accès à l'onglet Mise en réseau et sécurité, contactez le support VMware.

Conditions préalables

  • Vous devez être connecté à la console VMC en tant qu'utilisateur disposant d'un des rôles de service VMC suivants : Administrateur ou Administrateur (suppression restreinte).

  • Vous devez disposer d'une connexion VPN au SDDC. Reportez-vous à la section Configurer une connexion VPN entre votre SDDC et le centre de données sur site dans le guide Mise en réseau et sécurité de VMware Cloud on AWS. Une fois l'accès à l'onglet Mise en réseau et sécurité désactivé, seule une connexion à NSX Manager local sur un VPN permet de gérer votre réseau SDDC. Pour vous assurer que vous pourrez accéder à NSX Manager local en cas de panne du réseau, nous vous recommandons de configurer une connexion redondante telle qu'AWS Direct Connect avec un VPN basé sur les routes comme sauvegarde, comme cela est décrit dans la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC du guide Mise en réseau et sécurité de VMware Cloud on AWS.

  • Le renforcement de la conformité doit être activé dans le SDDC. Par défaut, VMware Cloud on AWS n'active pas le renforcement de la conformité. Contactez l'équipe chargée de votre compte pour plus d'informations. Le renforcement de la conformité peut être configuré dans les SDDC de version 1.14 et ultérieures créés dans une région AWS qui fournit la prise en charge appropriée, comme indiqué dans Choix d'une région.

Procédure

  1. Connectez-vous à la Console VMware Cloud à l'adresse https://vmc.vmware.com.
  2. Créez une règle de pare-feu de passerelle de gestion qui vous permet d'ouvrir une connexion HTTPS à NSX Manager local pour ce SDDC.
    Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de gestion dans le guide Mise en réseau et sécurité de VMware Cloud on AWS pour obtenir plus d'informations sur la création d'une règle de pare-feu de passerelle de gestion. La règle doit avoir les paramètres suivants :
    Propriété de règle de pare-feu de MGW Valeur
    Sources N'importe laquelle ou une adresse IP spécifique dans votre réseau sur site.
    Destinations Le groupe NSX Manager défini par le système.
    Services HTTPS (TCP 443)
    Action Autoriser
  3. (Requis) Testez la règle de pare-feu.
    Vous ne pouvez pas accéder à l'instance locale de NSX Manager tant que vous n'avez pas désactivé l'accès à l'onglet Mise en réseau et sécurité ; il est donc important de vérifier que votre règle de pare-feu fonctionne avant de passer à l'étape suivante. Pour tester la règle, vérifiez que vous pouvez afficher la page index.html de l'instance locale de NSX Manager. Utilisez un navigateur Web pour ouvrir une connexion à https://NSX-Manager-IP/nsx/index.htmlNSX-Manager-IP est l' Adresse IP privée indiquée sous Accès à NSX Manager via le réseau interne dans Informations NSX Manager sur l'onglet Paramètres de votre SDDC. Si votre règle de pare-feu est correcte, cette demande renvoie la page index.html de NSX Manager local, qui affiche plusieurs paires de clés/valeurs JSON, notamment error_code: 403. Vous ne pouvez pas prendre d'actions sur cette page.
  4. Après avoir vérifié que la règle de pare-feu est correcte, vous pouvez procéder à la désactivation de l'onglet Mise en réseau et sécurité.
    1. Accédez à l'onglet Paramètres de votre SDDC.
    2. Dans la section Renforcement de la conformité de l'onglet Paramètres, développez la ligne Accès à l'onglet Mise en réseau et sécurité pour afficher la carte Désactiver l'accès à l'onglet Mise en réseau et sécurité.
    3. Confirmez votre compréhension du workflow.
      Une fois que vous avez vérifié que vous avez accès à la page index.html de l'instance locale de NSX Manager, cochez la case pour confirmer que vous avez créé et testé la règle de pare-feu nécessaire et que vous êtes prêt à continuer. Cochez la case pour confirmer que vous comprenez que vous devrez soumettre une demande au support VMware si vous souhaitez réactiver l'accès à l'onglet Mise en réseau et sécurité pour ce SDDC.
    4. Cliquez sur DÉSACTIVER pour désactiver l'accès à Mise en réseau et sécurité.
  5. Ouvrez NSX Manager.
    Connectez-vous à la Console VMware Cloud et ouvrez l'onglet Mise en réseau et sécurité. Cliquez sur le bouton OUVRIR NSX MANAGER dans cet onglet et connectez-vous avec les Informations d'identification de NSX Manager par défaut. Pour plus d'informations sur l'utilisation de NSX Manager, reportez-vous à la section NSX Manager du Guide d'administration de NSX.
    Note :

    Si vous souhaitez afficher (mais sans modifier) la configuration de mise en réseau de ce SDDC, vous pouvez vous connecter avec les informations d'identification du Compte d'utilisateur Audit NSX Manager, disponibles sous Informations NSX Manager dans l'onglet Paramètres.

Que faire ensuite

Après avoir désactivé l'accès à l'onglet Mise en réseau et sécurité, vous devez utiliser le NSX Manager local pour gérer votre réseau SDDC. Vous pouvez accéder à l'interface utilisateur de NSX Manager comme vous accédez à l'onglet Mise en réseau et sécurité. Pour plus d'informations sur l'utilisation de NSX Manager, reportez-vous à la section NSX Manager du Guide d'administration de NSX.

Important :

Pour répondre à l'exigence de conformité PCI 8.2.4 (Modifier les mots de passe/phrases secrètes d'utilisateur au moins une fois tous les 90 jours), vous devez utiliser NSX Manager REST API, comme décrit dans l'article 83551 de la base de connaissances VMware.

Si vous devez réactiver l'accès à l'onglet Mise en réseau et sécurité, contactez le support VMware.