安裝或升級後,請使用儲存格管理工具的 manage-test-connection-denylist 命令來封鎖內部主機的存取權,然後再為承租人提供對 VMware Cloud Director 網路的存取權。

VMware Cloud Director 10.1 開始,服務提供者和承租人可以使用 VMware Cloud Director API 來測試與遠端伺服器的連線,並在 SSL 信號交換過程中驗證伺服器身分識別。

若要保護已部署 VMware Cloud Director 執行個體免遭惡意攻擊的內部網路,系統提供者可設定無法連線到承租人的內部主機封鎖清單。

如此一來,如果具有承租人存取的惡意攻擊者嘗試使用連線測試 VMware Cloud Director API 對應安裝 VMware Cloud Director 的網路,他們將無法連線至封鎖清單上的內部主機。

安裝或升級後且在為承租人提供對 VMware Cloud Director 網路的存取權之前,請使用儲存格管理工具的 manage-test-connection-denylist 命令來封鎖內部主機的承租人存取權。

程序

  1. 以 root 身分登入或使用 SSH 登入 VMware Cloud Director 儲存格的作業系統。
  2. 執行命令以將項目新增至封鎖清單。 
    /opt/vmware/vcloud-director/bin/cell-management-tool manage-test-connection-denylist option
    表 1. 儲存格管理工具選項與引數、manage-test-connection-denylist 子命令
    選項 引數 描述
    --help (-h) 提供此類別中可用命令的摘要。
    --add-ip IPv4 或 IPv6 位址 將 IP 位址新增至封鎖清單。
    --add-name 主機的子網域或完整網域名稱 將子網域或網域名稱新增至封鎖清單。
    --add-range IPv4 或 IPv6 位址範圍,採用 CIDR 或含連字號的格式 將 IP 位址範圍新增至封鎖清單。
    --list 列出所有已拒絕存取的現有項目。