설치 또는 업그레이드 후에는 VMware Cloud Director 네트워크에 대한 액세스 권한을 테넌트에게 제공하기 전에 먼저 셀 관리 도구의 manage-test-connection-denylist 명령을 사용하여 내부 호스트에 대한 액세스를 차단합니다.

VMware Cloud Director 10.1부터 서비스 제공자 및 테넌트가 VMware Cloud Director API를 사용하여 원격 서버에 대한 연결을 테스트하고 SSL 핸드셰이크의 일부로 서버 ID를 확인할 수 있습니다.

악의적인 공격으로부터 VMware Cloud Director 인스턴스가 배포된 내부 네트워크를 보호하기 위해 시스템 제공자는 테넌트가 연결할 수 없는 내부 호스트의 거부 목록을 구성할 수 있습니다.

이렇게 하면 테넌트 액세스 권한이 있는 악의적인 공격자가 연결 테스트 VMware Cloud Director API를 사용하여 VMware Cloud Director가 설치된 네트워크를 매핑하려고 하면 거부 목록에 있는 내부 호스트에 연결할 수 없습니다.

설치 또는 업그레이드 후 VMware Cloud Director 네트워크에 대한 액세스 권한을 테넌트에게 제공하기 전에 셀 관리 도구의 manage-test-connection-denylist 명령을 사용하여 내부 호스트에 대한 테넌트 연결을 차단합니다.

프로시저

  1. VMware Cloud Director 셀의 OS에 root로 로그인하거나 SSH를 통해 연결합니다.
  2. 다음 명령을 실행하여 거부 목록에 항목을 추가합니다. 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option
    표 1. 셀 관리 도구 옵션과 인수, manage-test-connection-denylist 하위 명령
    옵션 인수 설명
    --help (-h) 없음 이 범주에서 사용할 수 있는 명령에 대한 요약을 보여 줍니다.
    --add-ip IPv4 또는 IPv6 주소 거부 목록에 IP 주소를 추가합니다.
    --add-name 호스트에 대한 하위 도메인 또는 정규화된 도메인 이름 거부 목록에 하위 도메인 또는 도메인 이름을 추가합니다.
    --add-range CIDR 또는 하이픈 형식의 IPv4 또는 IPv6 주소 범위 거부 목록에 IP 주소 범위를 추가합니다.
    --list 없음 액세스가 거부된 기존 항목을 모두 나열합니다.