ロードバランサのグローバル FIPS コンプライアンスモードの構成

ロードバランサには、FIPS コンプライアンス用のグローバル設定があります。デフォルトでは、パフォーマンスを向上させるため、この設定はオフになっています。

ロードバランサの FIPS コンプライアンス用のグローバル構成を変更した場合、新しいロードバランサインスタンスに影響しますが、既存のロードバランサインスタンスには影響しません。

ロードバランサ (lb_fips_enabled) の FIPS 用のグローバル設定が true に設定されている場合、新しいロードバランサインスタンスは FIPS 140-2 準拠のモジュールを使用します。既存のロードバランサインスタンスで、非準拠のモジュールが使用されている可能性があります。

既存のロードバランサに変更を適用するには、ロードバランサを Tier-1 ゲートウェイから接続解除し、再度接続する必要があります。

ロードバランサのグローバル FIPS コンプライアンス状態を確認するには、 GET /policy/api/v1/compliance/status を使用します。

        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...

注：コンプライアンスレポートには、ロードバランサの FIPS コンプライアンスのグローバル設定が表示されます。特定のロードバランサインスタンスの FIPS コンプライアンス状態がグローバル設定と異なる場合があります。

手順

ロードバランサのグローバル FIPS 設定を取得します。

GET https://nsx-mgr1/policy/api/v1/infra/global-config

応答の本文の例：

{
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}

ロードバランサのグローバル FIPS 設定を変更します。

グローバル設定は、新しいロードバランサインスタンスの作成時に使用されます。設定を変更しても、既存のロードバランサインスタンスには影響しません。

PUT https://nsx-mgr1/policy/api/v1/infra/global-config

要求の本文の例：

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}

応答の本文の例：

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}

このグローバル設定を既存のロードバランサインスタンスで使用する場合は、ロードバランサを Tier-1 ゲートウェイから接続解除し、再度接続する必要があります。

注意：ロードバランサを Tier-1 から接続解除すると、ロードバランサインスタンスのトラフィックが中断します。
1. [ネットワーク] > [ロードバランシング] に移動します。
2. 接続解除するロードバランサで、3 つのドットメニュー [()] をクリックしてから、[編集] をクリックします。
3. をクリックしてから、[保存] をクリックしてロードバランサを Tier-1 ゲートウェイから接続解除します。
4. 3 つのドットメニュー [()] をクリックしてから、[編集] をクリックします。
5. [Tier-1 ゲートウェイ] ドロップダウンメニューから正しいゲートウェイを選択し、[保存] をクリックしてロードバランサを Tier-1 ゲートウェイに再度接続します。