設定負載平衡器的全域 FIPS 符合性模式

負載平衡器的 FIPS 符合性具有全域設定。依預設，此設定會關閉以提升效能。

變更負載平衡器 FIPS 符合性的全域組態會影響新的負載平衡器執行個體，但不會影響任何現有負載平衡器執行個體。

如果負載平衡器 FIPS 的全域設定 (lb_fips_enabled) 設定為 true，新的執行個體負載平衡器會使用符合 FIPS 140-2 的模組。現有負載平衡器執行個體可能會使用不符合的模組。

若要讓變更在現有負載平衡器上生效，您必須從第 1 層閘道中斷連結，然後重新連結負載平衡器。

您可以使用 GET /policy/api/v1/compliance/status 檢查負載平衡器的全域 FIPS 符合性狀態。

        ...
        {
            "non_compliance_code": 72024,
            "description": "Load balancer FIPS global setting is disabled.",
            "reported_by": {
                "target_id": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_display_name": "971ca477-df1a-4108-8187-7918c2f8c3ba",
                "target_type": "FipsGlobalConfig",
                "is_valid": true
            },
            "affected_resources": [
                {
                    "path": "/infra/lb-services/LB_Service",
                    "target_id": "/infra/lb-services/LB_Service",
                    "target_display_name": "LB_1",
                    "target_type": "LBService",
                    "is_valid": true
                }
            ]
        },
        ...

備註：符合性報告會顯示負載平衡器 FIPS 符合性的全域設定。任何指定的負載平衡器執行個體都可以有不同於全域設定的 FIPS 符合性狀態。

程序

擷取負載平衡器的全域 FIPS 設定。

GET https://nsx-mgr1/policy/api/v1/infra/global-config

回應本文範例：

{
    "fips": {
        "lb_fips_enabled": false
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937915337,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 2
}

變更負載平衡器的全域 FIPS 設定。

當您建立新的負載平衡器執行個體時，會使用全域設定。變更此設定不會影響現有的負載平衡器執行個體。

PUT https://nsx-mgr1/policy/api/v1/infra/global-config

要求本文範例：

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "_revision": 2
}

回應本文範例：

{
    "fips": {
        "lb_fips_enabled": true
    },
    "resource_type": "GlobalConfig",
    "id": "global-config",
    "display_name": "global-config",
    "path": "/infra/global-config",
    "relative_path": "global-config",
    "marked_for_delete": false,
    "_create_user": "system",
    "_create_time": 1561225479619,
    "_last_modified_user": "admin",
    "_last_modified_time": 1561937960950,
    "_system_owned": true,
    "_protection": "NOT_PROTECTED",
    "_revision": 3
}

如果您想讓任何現有負載平衡器執行個體使用此全域設定，您必須從第 1 層閘道中斷連結，然後重新連結負載平衡器。

注意：從第 1 層閘道中斷連結負載平衡器會導致負載平衡器執行個體的流量中斷。
1. 導覽至網路 > 負載平衡。
2. 在您要中斷連結的負載平衡器上，按一下三個點功能表 ()，然後按一下編輯。
3. 按一下，然後按一下儲存，從第 1 層閘道中斷連結該負載平衡器。
4. 按一下三個點功能表 ()，然後按一下編輯。
5. 從第 1 層閘道下拉式功能表中，選取正確的閘道，然後按一下儲存將負載平衡器重新連結至第 1 層閘道。