ロード バランサには、FIPS コンプライアンス用のグローバル設定があります。デフォルトでは、パフォーマンスを向上させるため、この設定はオフになっています。

ロード バランサの FIPS コンプライアンス用のグローバル構成を変更した場合、新しいロード バランサ インスタンスに影響しますが、既存のロード バランサ インスタンスには影響しません。

ロード バランサ (lb_fips_enabled) の FIPS 用のグローバル設定が true に設定されている場合、新しいロード バランサ インスタンスは FIPS 140-2 準拠のモジュールを使用します。既存のロード バランサ インスタンスで、非準拠のモジュールが使用されている可能性があります。

既存のロード バランサに変更を適用するには、ロード バランサを Tier-1 ゲートウェイから接続解除し、再度接続する必要があります。

ロード バランサのグローバル FIPS コンプライアンス 状態を確認するには、 GET /policy/api/v1/compliance/status を使用します。
        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...
注: コンプライアンス レポートには、ロード バランサの FIPS コンプライアンスのグローバル設定が表示されます。特定のロード バランサ インスタンスの FIPS コンプライアンス 状態がグローバル設定と異なる場合があります。

手順

  1. ロード バランサのグローバル FIPS 設定を取得します。
    GET https://nsx-mgr1/policy/api/v1/infra/global-config
    応答の本文の例:
    {
        "fips": {
            "lb_fips_enabled": false
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937915337,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 2
    }
  2. ロード バランサのグローバル FIPS 設定を変更します。
    グローバル設定は、新しいロード バランサ インスタンスの作成時に使用されます。設定を変更しても、既存のロード バランサ インスタンスには影響しません。
    PUT https://nsx-mgr1/policy/api/v1/infra/global-config

    要求の本文の例:

    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "_revision": 2
    }
    応答の本文の例:
    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937960950,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 3
    }
  3. このグローバル設定を既存のロード バランサ インスタンスで使用する場合は、ロード バランサを Tier-1 ゲートウェイから接続解除し、再度接続する必要があります。
    注意: ロード バランサを Tier-1 から接続解除すると、ロード バランサ インスタンスのトラフィックが中断します。
    1. [ネットワーク] > [ロード バランシング] に移動します。
    2. 接続解除するロード バランサで、3 つのドット メニュー [(3 つのドット メニュー アイコン)] をクリックしてから、[編集] をクリックします。
    3. X アイコン をクリックしてから、[保存] をクリックしてロード バランサを Tier-1 ゲートウェイから接続解除します。
      X アイコンを示すスクリーン ショット
    4. 3 つのドット メニュー [(3 つのドット メニュー アイコン)] をクリックしてから、[編集] をクリックします。
    5. [Tier-1 ゲートウェイ] ドロップダウン メニューから正しいゲートウェイを選択し、[保存] をクリックしてロード バランサを Tier-1 ゲートウェイに再度接続します。