Dopo l'installazione o l'aggiornamento, utilizzare il comando manage-test-connection-denylist dello strumento di gestione delle celle per bloccare l'accesso agli host interni prima di consentire ai tenant di accedere alla rete di VMware Cloud Director.

A partire da VMware Cloud Director 10.1, i provider di servizi e i tenant possono utilizzare l'API di VMware Cloud Director per testare le connessioni ai server remoti e verificare l'identità del server come parte di un handshake SSL.

Per proteggere la rete interna in cui un'istanza di VMware Cloud Director è distribuita da attacchi dannosi, i provider di sistemi possono configurare un elenco di host interni non consentiti che non sono raggiungibili dai tenant.

In questo modo, se un utente malintenzionato che dispone dell'accesso al tenant tenta di utilizzare l'API di VMware Cloud Director di verifica della connessione per mappare la rete in cui è installato VMware Cloud Director, non sarà in grado di connettersi agli host interni inclusi nell'elenco.

Dopo l'installazione o l'aggiornamento e prima di consentire ai tenant di accedere alla rete di VMware Cloud Director, utilizzare il comando manage-test-connection-denylist dello strumento di gestione delle celle per bloccare l'accesso del tenant agli host interni.

Procedura

  1. Accedere oppure accedere tramite SSH come root al sistema operativo della cella di VMware Cloud Director.
  2. Eseguire il comando per aggiungere una voce all'elenco di elementi non consentiti.
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option   
    Tabella 1. Opzioni e argomenti dello strumento di gestione delle celle, sottocomando manage-test-connection-denylist
    Opzione Argomento Descrizione
    --help (-h) Nessuno Fornisce un riepilogo dei comandi disponibili in questa categoria.
    --add-ip Indirizzo IPv4 o IPv6 Aggiunge un indirizzo IP all'elenco di elementi non consentiti.
    --add-name Un sottodominio o un nome di dominio completo per un host Aggiunge un sottodominio o un nome di dominio all'elenco di elementi non consentiti.
    --add-range Intervallo di indirizzi IPv4 o IPv6 in formato CIDR o con sillabazione Aggiunge un intervallo di indirizzi IP all'elenco di elementi non consentiti.
    --list Nessuno Elenca tutte le voci esistenti con accesso negato.