로드 밸런서의 FIPS 규정 준수에 대한 글로벌 설정이 있습니다. 기본적으로 이 설정은 성능을 향상시키기 위해 꺼집니다.

로드 밸런서의 FIPS 규정 준수에 대한 글로벌 구성을 변경하면 새 로드 밸런서 인스턴스에 영향을 주지만 기존 로드 밸런서 인스턴스에는 영향을 주지 않습니다.

로드 밸런서의 FIPS에 대한 글로벌 설정(lb_fips_enabled)을 true로 설정하면 새 로드 밸런서 인스턴스가 FIPS 140-2를 준수하는 모듈을 사용합니다. 기존 로드 밸런서 인스턴스는 비준수 모듈을 사용 중일 수 있습니다.

기존 로드 밸런서에 변경 내용을 적용하려면 Tier-1 게이트웨이에서 로드 밸런서를 분리했다가 다시 연결해야 합니다.

GET /policy/api/v1/compliance/status 사용으로 로드 밸런서의 글로벌 FIPS 규정 준수 상태를 확인할 수 있습니다.
        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...
참고: 규정 준수 보고서에는 로드 밸런서의 FIPS 규정 준수에 대한 글로벌 설정이 표시됩니다. 지정된 모든 로드 밸런서 인스턴스에 글로벌 설정과 다른 FIPS 규정 준수 상태가 지정되어 있을 수 있습니다.

프로시저

  1. 로드 밸런서의 글로벌 FIPS 설정을 검색합니다.
    GET https://nsx-mgr1/policy/api/v1/infra/global-config
    응답 본문의 예:
    {
        "fips": {
            "lb_fips_enabled": false
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937915337,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 2
    }
  2. 로드 밸런서의 글로벌 FIPS 설정을 변경합니다.
    글로벌 설정은 새 로드 밸런서 인스턴스를 생성할 때 사용됩니다. 이 설정을 변경해도 기존 로드 밸런서 인스턴스에는 영향을 주지 않습니다.
    PUT https://nsx-mgr1/policy/api/v1/infra/global-config

    요청 본문 예:

    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "_revision": 2
    }
    응답 본문의 예:
    {
        "fips": {
            "lb_fips_enabled": true
        },
        "resource_type": "GlobalConfig",
        "id": "global-config",
        "display_name": "global-config",
        "path": "/infra/global-config",
        "relative_path": "global-config",
        "marked_for_delete": false,
        "_create_user": "system",
        "_create_time": 1561225479619,
        "_last_modified_user": "admin",
        "_last_modified_time": 1561937960950,
        "_system_owned": true,
        "_protection": "NOT_PROTECTED",
        "_revision": 3
    }
  3. 기존 로드 밸런서 인스턴스에 이 글로벌 설정을 사용하려면 로드 밸런서를 Tier-1 게이트웨이에서 분리했다가 다시 연결해야 합니다.
    경고: Tier-1 게이트웨이에서 로드 밸런서를 분리하면 로드 밸런서 인스턴스에 대한 트래픽이 중단됩니다.
    1. 네트워킹 > 로드 밸런싱로 이동합니다.
    2. 분리하려는 로드 밸런서에서 3개 점 메뉴()를 클릭한 다음, 편집을 클릭합니다.
    3. 을 클릭한 다음, 저장을 클릭하여 로드 밸런서를 Tier-1 게이트웨이에서 분리합니다.

    4. 3개 점 메뉴 ()를 클릭한 다음, 편집을 클릭합니다.
    5. Tier-1 게이트웨이 드롭다운 메뉴에서 올바른 게이트웨이를 선택한 다음, 저장을 클릭하여 로드 밸런서를 Tier-1 게이트웨이에 다시 연결합니다.