NSX Manager 提供了一个基于 Web 的用户界面,您可以在其中管理 NSX 环境。它还托管用于处理 API 调用的 API 服务器。
NSX Manager 界面提供了两种配置资源的模式:
- 策略模式
- 管理器模式
访问策略模式和管理器模式
如果能看到这两个按钮,您可以使用策略和管理器按钮在策略模式和管理器模式之间切换。切换模式控制哪些菜单项可供使用。
- 默认情况下,如果您的环境仅包含通过策略模式创建的对象,则您的用户界面处于策略模式,并且您看不到策略和管理器按钮。
- 默认情况下,如果您的环境包含通过管理器模式创建的任何对象,您会在右上角看到策略和管理器按钮。
可以通过修改用户界面设置来更改这些默认值。有关详细信息,请参见配置用户界面设置。
策略界面和管理器界面中使用的系统选项卡是相同的。如果您修改 Edge 节点、Edge 集群或传输区域,则可能最多需要 5 分钟才能在策略模式下显示这些更改。您可以使用 POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload 立即同步。
何时使用策略模式或管理器模式
您使用的模式须保持一致。使用一种模式而不使用另一种模式的原因有以下几项。
- 如果要部署新 NSX 环境,在大多数情况下使用策略模式创建和管理环境是最佳选择。
- 某些功能在策略模式下不可用。如果需要这些功能,请使用管理器模式进行所有配置。
- 如果您计划使用NSX 联合,请使用策略模式创建所有对象。全局管理器仅支持策略模式。
- 如果要从早期版本的 NSX 进行升级,并且您的配置是使用“高级网络和安全”选项卡创建的,请使用管理器模式。
“高级网络和安全”选项卡下的菜单项和配置可在管理器模式下的 NSX 3.0 中找到。
重要说明: 如果您决定使用策略模式,请使用该模式创建所有对象。请勿使用管理器模式创建对象。
同样,如果您需要使用管理器模式,请使用该模式创建所有对象。请勿使用策略模式创建对象。
策略模式 | 管理器模式 |
---|---|
大多数新部署应使用策略模式。 NSX 联合 仅支持策略模式。如果要使用 NSX 联合,或者将来可能会使用联合,请使用策略模式。 |
之前使用高级界面创建的部署,例如,从提供策略模式之前的版本进行的升级。 |
NSX Cloud 部署 | 与其他插件集成的部署。例如,NSX Container Plugin、OpenStack 和其他云计算管理平台。 |
仅在策略模下可用的网络连接功能:
|
|
仅在策略模下可用的安全功能:
|
仅在管理器模式下可用的安全功能:
|
在策略模式和管理器模式下创建的对象的名称
根据创建对象时所使用的界面,您创建的对象将具有不同的名称。
使用策略模式创建的对象 | 使用管理器模式创建的对象 |
---|---|
分段 | 逻辑交换机 |
Tier-1 网关 | Tier-1 逻辑路由器 |
Tier-0 网关 | Tier-0 逻辑路由器 |
组 | NS 组、IP 集、MAC 集 |
安全策略 | 防火墙区域 |
网关防火墙 | Edge 防火墙 |
策略 API 和管理器 API
NSX Manager 提供了两个 API:策略 API 和管理器 API。
- 策略 API 包含以
/policy/api
开头的 URI。 - 管理器 API 包含以
/api
开头的 URI。
有关使用策略 API 的详细信息,请参见《NSX 策略 API 入门指南》。
安全性
NSX Manager 具有以下安全功能:
- NSX Manager 具有一个名为 admin 的内置用户帐户,该帐户具有所有资源的访问权限,但无权访问操作系统以安装软件。NSX 升级文件是唯一允许安装的文件。您可以更改 admin 的用户名和角色权限,但不能删除 admin。
- NSX Manager 支持会话超时和自动用户注销。NSX Manager 不支持会话锁定。启动会话锁定可能是用于访问 NSX Manager 的工作站操作系统的一个功能。在会话终止或用户注销时,用户将重定向到登录页面。
- 在 NSX 上实施的身份验证机制遵循安全最佳做法,并且可以抵御重放攻击。将系统地部署这些安全措施。例如,在 NSX Manager 上,每个会话的会话 ID 和令牌是唯一的,并在用户注销或处于不活动状态一段时间后过期。此外,每个会话具有一个时间记录,将加密会话通信以防止会话劫持。
您可以使用以下 CLI 命令来查看和更改会话超时值:
- get service http 命令将显示一个值列表,其中包含会话超时。
- 要更改会话超时值,请运行以下命令:
set service http session-timeout <timeout-value-in-seconds> restart service ui-service