FIPS モードを有効にすると、FIPS に準拠した暗号スイートが有効になります。したがって、NSX Edge が送受信するすべてのセキュアな通信には、FIPS で許可された暗号化アルゴリズムまたはプロトコルが使用されます。
要件に応じて、FIPS を一部またはすべての NSX Edge アプライアンスで有効にすることができます。FIPS が有効な NSX Edge アプライアンスは、FIPS が有効でない NSX Edge アプライアンスと通信できます。
分散論理ルーターが NSX Edge アプライアンスなしで展開されている場合、FIPS モードを変更することはできません。分散論理ルーターは、NSX Controller クラスタと同じ FIPS モードを自動的に取得します。NSX Controller クラスタが NSX 6.3.0 以降の場合、FIPS は有効となります。
プライマリおよびセカンダリ NSX Manager に複数の NSX Edge アプライアンスを展開している Cross-vCenter NSX 環境で、ユニバーサル分散論理ルーターの FIPS モードを変更するには、プライマリ NSX Manager で、ユニバーサル分散論理ルーターに関連付けられているすべての NSX Edge アプライアンスで FIPS モードを変更する必要があります。
高可用性が有効な NSX Edge アプライアンスで FIPS モードを変更する場合、FIPS は両方のアプライアンスで有効になり、アプライアンスは次々に再起動されます。
スタンドアローン Edge の FIPS モードを変更する場合、fips enable コマンドまたは fips disable コマンドを使用します。詳細については、『NSX コマンド ライン インターフェイス リファレンス』を参照してください。
前提条件
- パートナー ソリューションが FIPS モード認定であることを確認します。http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security にある『VMware 互換性ガイド』を参照してください。
- NSX の前のバージョンからアップグレードした場合、NSX 6.3.0 へのアップグレードが完了するまで FIPS モードを有効にしないでください。『NSX アップグレード ガイド』の「FIPS モードと NSX アップグレードについて」を参照してください。
- NSX Manager が NSX 6.3.0 以降であることを確認します。
- NSX Controller クラスタが NSX 6.3.0 以降であることを確認します。
- NSX ワークロードを実行しているすべてのホスト クラスタに NSX 6.3.0 以降が準備されていることを確認します。
- FIPS を有効にするすべての NSX Edge アプライアンスがバージョン 6.3.0 以降であることを確認します。
- メッセージング インフラストラクチャのステータスが GREEN であることを確認します。API メソッド GET /api/2.0/nwfabric/status?resource={resourceId} を使用します。ここでは、resourceId はホストまたはクラスタの vCenter Server 管理オブジェクト ID です。応答本文の com.vmware.vshield.vsm.messagingInfra の featureId に対応する status を確認します。
<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration> </nwFabricFeatureStatus>
手順
- 必要な Edge またはルーターを選択して、[アクション (Actions) (
)] をクリックし、[FIPS モードの変更 (Change FIPS mode)] を選択します。
[FIPS モードの変更 (Change FIPS mode)]ダイアログ ボックスが表示されます。
次のタスク
オプションで、NSX Manager での FIPS モードと TLS 設定の変更を行います。
