NSX Manager 提供了一个基于 Web 的用户界面,您可以在其中管理 NSX 环境。它还托管用于处理 API 调用的 API 服务器。

NSX Manager 界面提供了两种配置资源的模式:

  • 策略模式
  • 管理器模式

访问策略模式和管理器模式

如果能看到这两个按钮,您可以使用策略管理器按钮在策略模式和管理器模式之间切换。切换模式控制哪些菜单项可供使用。


显示了右上角菜单栏附近处于活动状态的“策略”模式和处于非活动状态的“管理器”模式的切换按钮
  • 默认情况下,如果您的环境仅包含通过策略模式创建的对象,则您的用户界面处于策略模式,并且您看不到策略管理器按钮。
  • 默认情况下,如果您的环境包含通过管理器模式创建的任何对象,您会在右上角看到策略管理器按钮。

可以通过修改用户界面设置来更改这些默认值。有关详细信息,请参见配置用户界面设置

策略界面和管理器界面中使用的系统选项卡是相同的。如果您修改 Edge 节点、Edge 集群或传输区域,则可能最多需要 5 分钟才能在策略模式下显示这些更改。您可以使用 POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload 立即同步。

何时使用策略模式或管理器模式

您使用的模式须保持一致。使用一种模式而不使用另一种模式的原因有以下几项。

  • 如果要部署新 NSX 环境,在大多数情况下使用策略模式创建和管理环境是最佳选择。
    • 某些功能在策略模式下不可用。如果需要这些功能,请使用管理器模式进行所有配置。
  • 如果您计划使用NSX 联合,请使用策略模式创建所有对象。全局管理器仅支持策略模式。
  • 如果要从早期版本的 NSX 进行升级,并且您的配置是使用“高级网络和安全”选项卡创建的,请使用管理器模式。

    “高级网络和安全”选项卡下的菜单项和配置可在管理器模式下的 NSX 3.0 中找到。

重要说明: 如果您决定使用策略模式,请使用该模式创建所有对象。请勿使用管理器模式创建对象。

同样,如果您需要使用管理器模式,请使用该模式创建所有对象。请勿使用策略模式创建对象。

表 1. 何时使用策略模式或管理器模式
策略模式 管理器模式
大多数新部署应使用策略模式。

NSX 联合 仅支持策略模式。如果要使用 NSX 联合,或者将来可能会使用联合,请使用策略模式。

之前使用高级界面创建的部署,例如,从提供策略模式之前的版本进行的升级。
NSX Cloud 部署 与其他插件集成的部署。例如,NSX Container Plugin、OpenStack 和其他云计算管理平台。
仅在策略模下可用的网络连接功能:
  • DNS 服务和 DNS 区域
  • VPN
  • NSX Cloud 转发策略
仅在策略模下可用的安全功能:
  • 端点保护
  • 网络侦测(东西向服务插入)
  • 上下文配置文件
    • L7 应用程序
    • FQDN
  • 新的分布式防火墙和网关防火墙布局
    • 类别
    • 自动服务规则
    • 草稿
仅在管理器模式下可用的安全功能:
  • 网桥防火墙

在策略模式和管理器模式下创建的对象的名称

根据创建对象时所使用的界面,您创建的对象将具有不同的名称。

表 2. 对象名称
使用策略模式创建的对象 使用管理器模式创建的对象
分段 逻辑交换机
Tier-1 网关 Tier-1 逻辑路由器
Tier-0 网关 Tier-0 逻辑路由器
NS 组、IP 集、MAC 集
安全策略 防火墙区域
网关防火墙 Edge 防火墙

策略 API 和管理器 API

NSX Manager 提供了两个 API:策略 API 和管理器 API。
  • 策略 API 包含以 /policy/api 开头的 URI。
  • 管理器 API 包含以 /api 开头的 URI。

有关使用策略 API 的详细信息,请参见《NSX 策略 API 入门指南》

安全性

NSX Manager 具有以下安全功能:
  • NSX Manager 具有一个名为 admin 的内置用户帐户,该帐户具有所有资源的访问权限,但无权访问操作系统以安装软件。NSX 升级文件是唯一允许安装的文件。您可以更改 admin 的用户名和角色权限,但不能删除 admin
  • NSX Manager 支持会话超时和自动用户注销。NSX Manager 不支持会话锁定。启动会话锁定可能是用于访问 NSX Manager 的工作站操作系统的一个功能。在会话终止或用户注销时,用户将重定向到登录页面。
  • NSX 上实施的身份验证机制遵循安全最佳做法,并且可以抵御重放攻击。将系统地部署这些安全措施。例如,在 NSX Manager 上,每个会话的会话 ID 和令牌是唯一的,并在用户注销或处于不活动状态一段时间后过期。此外,每个会话具有一个时间记录,将加密会话通信以防止会话劫持。
您可以使用以下 CLI 命令来查看和更改会话超时值:
  • get service http 命令将显示一个值列表,其中包含会话超时。
  • 要更改会话超时值,请运行以下命令:
    set service http session-timeout <timeout-value-in-seconds>
    restart service ui-service