Configurer le mode de conformité FIPS global pour l'équilibreur de charge

Il existe un paramètre global pour la conformité FIPS pour les équilibrages de charge. Par défaut, le paramètre est désactivé pour améliorer les performances.

La modification de la configuration globale pour la conformité FIPS des équilibreurs de charge affecte les nouvelles instances d'équilibreur de charge, mais n'affecte pas les instances d'équilibreur de charge existantes.

Si le paramètre global pour FIPS de l'équilibreur de charge (lb_fips_enabled) est défini sur true, les nouvelles instances d'équilibreur de charge utilisent des modules conformes à FIPS 140-2. Les instances d'équilibreur de charge existantes peuvent utiliser des modules non conformes.

Pour que la modification prenne effet sur les équilibreurs de charge existants, vous devez détacher et rattacher l'équilibreur de charge de la passerelle de niveau 1.

Vous pouvez vérifier l'état de conformité FIPS global pour l'équilibreur de charge à l'aide de GET /policy/api/v1/compliance/status.

        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...

Note : Le rapport de conformité affiche le paramètre global pour la conformité FIPS pour l'équilibreur de charge. Une instance d'équilibreur de charge quelconque peut avoir un état de conformité FIPS différent du paramètre global.

Procédure

Récupérez le paramètre FIPS global pour l'équilibreur de charge.

GET https://nsx-mgr1/policy/api/v1/infra/global-config

Exemple de texte de réponse :

{
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}

Modifiez le paramètre FIPS global pour l'équilibreur de charge.

Le paramètre global est utilisé lorsque vous créez des instances d'équilibreur de charge. La modification du paramètre n'affecte pas les instances d'équilibreur de charge existantes.

PUT https://nsx-mgr1/policy/api/v1/infra/global-config

Exemple de texte de demande :

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}

Exemple de texte de réponse :

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}

Si vous voulez que des instances d'équilibreur de charge existantes utilisent ce paramètre global, vous devez détacher et rattacher l'équilibreur de charge de la passerelle de niveau 1.

Attention : Le détachement d'un équilibreur de charge de la passerelle de niveau 1 entraîne une interruption du trafic pour l'instance d'équilibreur de charge.
1. Accédez à Mise en réseau > Équilibrage de charge.
2. Sur l'équilibreur de charge que vous voulez détacher, cliquez sur le menu ( ), puis cliquez sur Modifier.
3. Cliquez sur , puis sur Enregistrer pour détacher l'équilibreur de charge de la passerelle de niveau 1.
4. Cliquez sur le menu à trois points ( ), puis cliquez sur Modifier.
5. Sélectionnez la passerelle appropriée dans le menu déroulant Passerelle de niveau 1, puis cliquez sur Enregistrer pour rattacher l'équilibreur de charge à la passerelle de niveau 1.