若要準備新的 SDDC 以執行合規性稽核的工作負載,您必須建立一個防火牆規則以允許直接連線到 SDDC 的本機 NSX Manager,然後停用 VMware Cloud 主控台中的網路與安全性索引標籤並使用本機 NSX Manager 管理 SDDC 網路。

VMware Cloud 主控台中的網路與安全性索引標籤上的存取控制不適用於合規性強化 SDDC。使用網路與安全性索引標籤對 SDDC 進行的任何存取均會導致 SDDC 不符合標準。若要保持合規性,必須僅使用具有符合合規性強化需求的驗證架構的本機 NSX Manager 來管理 SDDC 網路。開始合規性稽核之前,必須停用對網路與安全性索引標籤的存取,並且在稽核期間必須保持停用狀態。

停用對網路與安全性索引標籤的存取之前,您將使用它來建立與內部部署資料中心的 VPN 連線,以及允許您透過該 VPN 存取本機 NSX Manager 的管理閘道防火牆規則。確認您可以存取 NSX Manager 之後,可以透過停用對網路與安全性索引標籤的存取,以繼續為合規性強化準備 SDDC。如果需要重新啟用對網路與安全性索引標籤的存取,請連絡 VMware 支援。

必要條件

  • 您必須以具有 VMC 服務角色 (管理員管理員 (限制刪除)) 的使用者身分登入 VMC 主控台。

  • 您必須具有與 SDDC 的 VPN 連線。請參閱 VMware Cloud on AWS 網路與安全性指南中的〈設定 SDDC 和內部部署資料中心之間的 VPN 連線〉。停用 [網路與安全性] 索引標籤存取後,透過 VPN 連線至本機 NSX Manager 是管理 SDDC 網路的唯一方式。為確保在發生網路故障時能夠連線至本機 NSX Manager,我們建議您使用路由型 VPN 將 AWS Direct Connect 等冗餘連線設定為備份,如 VMware Cloud on AWS 網路與安全性指南中的〈設定透過 Direct Connect 連線至私人虛擬介面以傳輸 SDDC 管理和計算網路流量〉中所述。

  • 必須在 SDDC 中啟用合規性強化。依預設,VMware Cloud on AWS 不啟用合規性強化。如需詳細資訊,請連絡您的客戶團隊。可以在提供適當支援的 AWS 區域中建立的 1.14 版及更新版本的新 SDDC 中設定合規性強化,如選擇區域中所示。

程序

  1. 登入 VMware Cloud 主控台,網址為 https://vmc.vmware.com
  2. 建立管理閘道防火牆規則,以允許您針對此 SDDC 開啟與本機 NSX Manager 的 HTTPS 連線。
    如需有關如何建立管理閘道防火牆規則的詳細資訊,請參閱 VMware Cloud on AWS 網路與安全性指南中的 〈新增或修改管理閘道防火牆規則〉。此規則必須具有以下參數:
    MGW 防火牆規則內容
    來源 內部部署網路中的任何或特定 IP 位址。
    目的地 NSX Manager 系統定義的群組。
    服務 HTTPS (TCP 443)
    動作 允許
  3. (必要) 測試防火牆規則。
    停用對 網路與安全性索引標籤的存取之前,您無法存取本機 NSX Manager,因此在繼續進行下一個步驟之前,請務必確認防火牆規則是否有效。若要測試規則,請確認您可以檢視本機 NSX Manager 的 index.html 頁面。使用網頁瀏覽器開啟與 https://NSX-Manager-IP/nsx/index.html 的連線,其中, NSX-Manager-IP 是顯示在 SDDC 的 設定索引標籤上 NSX Manager 資訊透過內部網路存取 NSX Manager 下的 私人 IP。如果您的防火牆規則正確,此請求會傳回本機 NSX Manager 的 index.html 頁面,其中顯示了包括 error_code: 403 在內的多個 JSON 索引鍵/值配對。您無法在此頁面上執行任何動作。
  4. 確認防火牆規則正確無誤後,您可以繼續停用對網路與安全性索引標籤的存取。
    1. 導覽至 SDDC 的設定索引標籤。
    2. 設定索引標籤的合規性強化區段上,展開 [網路與安全性] 索引標籤存取行,以顯示停用 [網路與安全性] 索引標籤存取卡。
    3. 確認您瞭解工作流程。
      確認您可以存取本機 NSX Manager 的 index.html 頁面之後,選取核取方塊以確認您已建立並測試必要的防火牆規則並準備好繼續。選取此核取方塊,以確認您瞭解如果要為此 SDDC 重新啟用對 網路與安全性索引標籤的存取,將需要提出 VMware 支援請求。
    4. 按一下停用,以停用 [網路與安全性] 存取。
  5. 開啟 NSX Manager。
    登入 VMware Cloud 主控台,然後開啟 網路與安全性索引標籤。按一下此索引標籤上的 開啟 NSX MANAGER 按鈕,然後使用 預設 NSX Manager 認證登入。如需如何使用 NSX Manager 的相關資訊,請參閱 《NSX 管理指南》中的 〈NSX Manager〉
    備註:

    如果您要檢視 (但不修改) 此 SDDC 的網路組態,可以使用設定索引標籤上 NSX Manager 資訊下提供的 NSX Manager 稽核使用者帳戶認證登入。

下一步

停用 [網路與安全性] 索引標籤存取後,必須使用本機 NSX Manager 才能管理 SDDC 網路。導覽 NSX Manager 使用者介面的方式可與導覽網路與安全性索引標籤的方式大致相同。如需如何使用 NSX Manager 的相關資訊,請參閱《NSX 管理指南》中的〈NSX Manager〉

重要:

若要符合 PCI 合規性需求 8.2.4 (使用者密碼/複雜密碼每 90 天至少變更一次),則必須使用 NSX Manager REST API,如 VMware 知識庫文章 83551 所記錄。

如果需要重新啟用對網路與安全性索引標籤的存取,請連絡 VMware 支援。