Per preparare un nuovo SDDC per l'esecuzione dei carichi di lavoro ad audit di conformità, è necessario creare una regola del firewall che consenta di connettersi direttamente all'NSX Manager locale dell'SDDC, e successivamente disattivare la scheda Console VMC Rete e sicurezza e utilizzare l'NSX Manager locale per gestire le reti dell'SDDC.

I controlli degli accessi nella scheda Console VMC Rete e sicurezza non sono appropriati per un SDDC con protezione della conformità. Qualsiasi accesso a un SDDC mediante la scheda Rete e sicurezza rende l'SDDC non conforme. Per garantire la conformità, è necessario gestire le reti dell'SDDC utilizzando solo gli NSX Manager locali, che dispongono di un framework di autenticazione che soddisfa i requisiti sulla protezione della conformità. L'accesso alla scheda Rete e sicurezza deve essere disattivato prima di iniziare un audit di conformità e rimanere disabilitato per tutta la durata del periodo di verifica.

Prima di disattivare l'accesso alla scheda Rete e sicurezza, la suddetta verrà utilizzata per creare una connessione VPN al data center in locale e una regola del firewall del gateway di gestione che consenta di accedere all'NSX Manager locale tramite tale VPN. Dopo aver verificato di poter accedere all'NSX Manager, è possibile procedere con la preparazione dell'SDDC per la protezione della conformità disabilitando l'accesso alla scheda Rete e sicurezza. Se è necessario riattivare l'accesso alla scheda Rete e sicurezza, contattare l'Assistenza VMware.

Prerequisiti

  • È necessario accedere alla console VMC come utente con un ruolo di servizio VMC di Amministratore o Amministratore (limitazioni di eliminazione) .

  • È necessario disporre di una connessione VPN all'SDDC. Vedere Configurazione di una connessione VPN tra l'SDDC e il data center in locale nella guida Rete e sicurezza di VMware Cloud on AWS. Dopo aver disattivato l'accesso alla scheda Rete e sicurezza, una connessione all'NSX Manager locale su una VPN è l'unico modo per gestire la rete dell'SDDC. Per assicurarsi che sia possibile raggiungere l'NSX Manager locale in caso di errore della rete, è consigliabile configurare una connessione ridondante, ad esempio AWS Direct Connect a con una VPN basata su route come backup, come descritto in Configurazione di Direct Connect in un'interfaccia virtuale privata per il traffico di rete di gestione ed elaborazione dell'SDDC nella guida Rete e sicurezza di VMware Cloud on AWS.

  • Nell'SDDC è necessario abilitare la protezione della conformità. VMware Cloud on AWS non abilita la protezione della conformità per impostazione predefinita. Per ulteriori informazioni, contattare il team dell'account. La protezione della conformità può essere configurata negli SDDC versione 1.14 e successive creati in una regione AWS che fornisce il supporto appropriato, come illustrato in Regioni AWS disponibili.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Creare una regola del firewall del Gateway di gestione che consenta di aprire una connessione HTTPS all'NSX Manager locale per questo SDDC.
    Vedere Aggiunta o modifica delle regole del firewall del Gateway di gestione nella guida Rete e sicurezza di VMware Cloud on AWS per ulteriori informazioni su come creare una regola del firewall del Gateway di gestione. La regola deve avere i seguenti parametri:
    Proprietà regola del firewall MGW Valore
    Fonti Qualsiasi o un indirizzo IP specifico nella rete locale.
    Destinazioni Il gruppo definito dal sistema NSX Manager.
    Servizi HTTPS (TCP 443)
    Azione Consenti
  3. (Obbligatorio) Verificare la regola del firewall.
    Non è possibile ottenere l'accesso all'NSX manager locale finché non si disattiva l'accesso alla scheda Rete e sicurezza. È quindi importante verificare che la regola del firewall funzioni prima di procedere con il passaggio successivo. Per testare la regola, verificare che sia possibile visualizzare la pagina index.html dell'NSX Manager locale. Utilizzare un browser Web per aprire una connessione a https://NSX-Manager-IP/nsx/index.html, in cui NSX-Manager-IP è l' IP privato mostrato in Accedi a NSX Manager tramite la rete interna in Informazioni su NSX Manager nella scheda Impostazioni dell'SDDC. Se la regola del firewall è corretta, la richiesta restituirà la pagina index.html dell'NSX Manager locale, in cui sono visualizzate diverse coppie chiave/valore JSON, tra cui error_code: 403. Non è possibile eseguire alcuna azione in questa pagina.
  4. Dopo aver verificato la correttezza della regola del firewall, è possibile procedere alla disattivazione dell'accesso alla scheda Rete e sicurezza.
    1. Andare alla scheda Impostazioni dell'SDDC.
    2. Nella sezione Protezione della conformità della scheda Impostazioni, espandere la riga di accesso alla scheda Rete e sicurezza per visualizzare la scheda Disattiva l'accesso alla scheda Servizi di rete e sicurezza.
    3. Verificare di aver compreso il workflow.
      Dopo aver verificato che è possibile accedere alla pagina index.html dell'NSX Manager locale, selezionare la casella di controllo per confermare di aver creato e testato la regola del firewall necessaria e di essere pronti per procedere. Selezionare la casella di controllo per confermare di aver compreso la necessità di inviare una richiesta di assistenza a VMware se si desidera attivare nuovamente l'accesso alla scheda Rete e sicurezza per questo SDDC.
    4. Fai clic su DISATTIVA per disattivare l'acceso a Rete e sicurezza.
  5. Aprire NSX Manager.
    Accedere a Console VMC e aprire la scheda Rete e sicurezza. Fare clic sul pulsante APRI NSX MANAGER della scheda e accedere con le Credenziali NSX Manager predefinite. Vedere NSX Manager nella Guida all'amministrazione di NSX-T Data Center per informazioni sull'utilizzo di NSX Manager.
    Nota:

    Se si desidera visualizzare (ma non modificare) la configurazione di rete per questo SDDC, è possibile accedere con le credenziali dell'Account utente di controllo di NSX Manager, disponibili in Informazioni su NSX Manager nella scheda Impostazioni.

Operazioni successive

Dopo aver disabilitato l'accesso alla scheda Rete e sicurezza, è necessario utilizzare l'NSX Manager locale per gestire la rete dell'SDDC. È possibile navigare nell'interfaccia utente di NSX Manager nello stesso modo in cui si naviga nella scheda Rete e sicurezza. Vedere NSX Manager nella Guida all'amministrazione di NSX-T Data Center per informazioni sull'utilizzo di NSX Manager.

Importante:

Per rispettare il requisito di conformità PCI 8.2.4 (Modificare la password/passphrase dell'utente almeno una volta ogni 90 giorni), è necessario utilizzare la REST API di NSX Manager, come indicato nell'articolo della knowledge base su VMware 83551.

Se è necessario riattivare l'accesso alla scheda Rete e sicurezza, contattare l'Assistenza VMware.