インストールまたはアップグレード後、VMware Cloud Director ネットワークへのアクセスをテナントに許可する前に、セル管理ツールの manage-test-connection-denylist コマンドを使用して、内部ホストへのアクセスをブロックします。

VMware Cloud Director 10.1 以降では、サービス プロバイダとテナントは VMware Cloud Director API を使用して、リモート サーバへの接続をテストし、SSL ハンドシェイク中にサーバ ID を検証できます。

VMware Cloud Director インスタンスが展開されている内部ネットワークを悪意のある攻撃から保護するために、システム プロバイダはテナントにアクセスできない内部ホストの拒否リストを構成することができます。

この方法では、テナントへのアクセス権を持つ悪意のある攻撃者が VMware Cloud Director API の接続テストを使用して VMware Cloud Director がインストールされたネットワークのマッピングを試行しても、拒否リストの内部ホストには接続できません。

インストールまたはアップグレード後、VMware Cloud Director ネットワークへのアクセスをテナントに許可する前に、セル管理ツールの manage-test-connection-denylist コマンドを使用して、内部ホストに対するテナントのアクセスをブロックします。

手順

  1. VMware Cloud Director セルの OS に、root としてログインするか、SSH で接続します。
  2. コマンドを実行して、拒否リストにエントリを追加します。 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option
    表 1. セル管理ツールのオプションと引数、manage-test-connection-denylist サブコマンド
    オプション 引数 説明
    --help (-h) なし このカテゴリで使用可能なコマンドの概要を示します。
    --add-ip IPv4 または IPv6 アドレス IP アドレスを拒否リストに追加します。
    --add-name ホストのサブドメインまたは完全修飾ドメイン名 サブドメインまたはドメイン名を拒否リストに追加します。
    --add-range CIDR またはハイフン区切り形式の IPv4 または IPv6 アドレス範囲 IP アドレス範囲を拒否リストに追加します。
    --list なし アクセスが拒否されている既存のエントリをすべてリストします。