您可以修改 NSX Manager 集群的 API 服务属性,例如 TLS 协议版本、密码套件等。

TLSv1.1 支持的密码包括:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1.2 支持的密码包括:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLSv1.3 支持的密码包括:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

以下过程说明了运行 NSX API 服务调用以禁用 TLS 1.1 协议以及启用或禁用 API 服务配置中的密码套件的工作流。

有关 NSX API 服务的 API 架构、示例请求、示例响应和错误消息的详细信息,请务必参阅NSX API 指南

过程

  1. 运行以下 GET API 以读取 NSX API 服务的配置:
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 响应包含密码套件和 TLS 协议的列表。
  2. 禁用 TLS 1.1 协议。
    1. TLSv1.1 设置为 enabled = false
    2. 运行以下 PUT API 以将所做的更改发送到 NSX API 服务器:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. 启用或禁用密码套件。
    1. 根据需要将一个或多个密码名称设置为 enabled = falseenabled = true
    2. 运行以下 PUT API 以将所做的更改发送到 NSX API 服务器:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

结果

在使用 API 更新 API 服务后,每个 NSX Manager 节点上的 API 服务都将重新启动。从完成 API 调用到新配置生效可能最多出现 1 分钟的延迟。API 服务配置中的更改将应用于 NSX Manager 集群中的所有节点。