NSX Manager proporciona una interfaz de usuario basada en web en la que puede administrar su entorno de NSX. También aloja el servidor de API que procesa las llamadas API.
La interfaz de NSX Manager ofrece dos modos de configuración de recursos:
- Modo Directiva
- El modo Manager
El modo Directiva es el modo predeterminado y recomendado. El modo Manager quedará obsoleto en un futuro, ya que todas las funciones o funcionalidades se pasarán a Directiva.
Nota: para obtener más información sobre la promoción de objetos de Manager a objetos de Directiva, consulte el tema Promocionar objetos de Manager a objetos de Directiva en la Guía de administración de NSX.
Acceder al modo Directiva y al modo Manager
Si aparecen los botones Directiva y Manager, utilícelos para cambiar entre los modos Directiva y Manager. Al cambiar de modo puede controlan los menús que están disponibles.
- De forma predeterminada, si su entorno solo contiene objetos creados a través del modo Directiva, su interfaz de usuario estará en modo Directiva y no verá los botones Directiva y Manager.
- De forma predeterminada, si su entorno contiene algún objeto creado a través del modo Administrador, se mostrarán los botones Directiva y Manager en la esquina superior derecha.
Estos valores predeterminados se pueden cambiar modificando la configuración de la interfaz de usuario. Consulte Configurar los ajustes de la interfaz de usuario para obtener más información.
En las interfaces de Directiva y Manager se utiliza la misma pestaña Sistema. Si modifica los nodos de Edge, los clústeres de Edge o las zonas de transporte, esos cambios pueden tardar hasta 5 minutos en verse en el modo Directiva. Puede sincronizar inmediatamente mediante POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload.
Cuándo utilizar el modo Directiva o el modo Manager
VMware recomienda utilizar la interfaz de usuario de Directiva de NSX, ya que las funciones nuevas solo se implementarán en la API o la interfaz de usuario de Directiva.
Sea coherente con el modo que utilice.c Existen algunos motivos para usar un modo en lugar del otro.
- Si va a implementar un nuevo entorno de NSX, la mejor opción en la mayoría de las situaciones es utilizar el modo Directiva para crear y administrar su entorno.
- Algunas funciones no están disponibles en el modo Directiva. Si necesita estas funciones, utilice el modo Manager para todas las configuraciones.
- Si tiene pensado utilizar NSX Federation, utilice el modo Directiva para crear todos los objetos. Global Manager solo admite el modo Directiva.
- Si va a actualizar desde una versión anterior de NSX y las configuraciones se crearon con la pestaña Opciones avanzadas de redes y seguridad, utilice el modo de Manager.
Los elementos de menú y las configuraciones que se encuentran en la pestaña Opciones avanzadas de redes y seguridad están disponibles en NSX 3.0 en el modo de Manager.
De forma similar, si necesita utilizar el modo Manager, úselo para crear todos los objetos. No utilice el modo Directiva para crear objetos.
El modo Directiva | El modo Manager |
---|---|
La mayoría de las nuevas implementaciones deben utilizar el modo Directiva. NSX Federation solo admite el modo Directiva. Si desea utilizar NSX Federation, o es posible que la use en un futuro, utilice el modo Directiva. |
Las implementaciones que se crearon con la interfaz avanzada, por ejemplo, se actualizan desde versiones anteriores en las que el modo Directiva no estaba disponible. |
Implementaciones de NSX Cloud | Implementaciones que se integran con otros complementos. Por ejemplo, NSX Container Plugin, OpenStack y otras plataformas de administración de la nube. |
Funciones de redes disponibles solo en el modo Directiva:
|
Temporizador de reenvío |
Funciones de seguridad disponibles solo en el modo Directiva:
|
Funciones de seguridad disponibles solo en el modo Manager:
|
Nombres de objetos creados en el modo Directiva y el modo Manager
Los objetos que cree tienen nombres diferentes según la interfaz que se utilizó para crearlos.
Objetos creados con el modo Directiva | Objetos creados con el modo Manager |
---|---|
Segmento | Conmutador lógico |
Puerta de enlace de nivel 1 | Enrutador lógico de nivel 1 |
Puerta de enlace de nivel 0 | Enrutador lógico de nivel 0 |
Grupo | Grupo de NS, conjuntos de direcciones IP, conjuntos de direcciones MAC |
Directiva de seguridad | Sección de firewall |
Firewall de puerta de enlace | Firewall de Edge |
API de Directiva y Manager
- La API Directiva contiene URI que comienzan con
/policy/api
. - La API Manager contiene URI que comienzan con
/api
.
Las API de Directiva admiten la aplicación de revisiones parciales de objetos. Esta función debe habilitarse explícitamente. Si se habilita, puede proporcionar la carga útil parcial para actualizar el objeto existente mediante las API PATCH.
Para habilitar la función, utilice la API de configuración de revisión parcial
PATCH /policy/api/v1/system-config/nsx-partial-patch-config
{ "enable_partial_patch": "true" }
El valor predeterminado es 'false'.
Para obtener más información sobre el uso de la API de Directiva, consulte la Guía de introducción de la API de directiva de NSX.
Seguridad
- NSX Manager tiene una cuenta de usuario integrada llamada admin que tiene derechos de acceso a todos los recursos, pero no tiene derechos para instalar software. Los archivos de actualización de NSX son los únicos archivos con permiso de instalación.
- NSX Manager admite el tiempo de espera de sesión y el cierre de sesión automático del usuario. NSX Manager no admite el bloqueo de sesión. Iniciar un bloqueo de sesión puede ser una función del sistema operativo de la estación de trabajo que se utiliza para acceder a NSX Manager. Tras la finalización o el cierre de sesión del usuario, los usuarios accederán a la página de inicio de sesión.
- Los mecanismos de autenticación implementados en NSX siguen las prácticas recomendadas de seguridad y son resistentes a los ataques de reproducción. Las prácticas de seguridad se implementan de forma sistemática. Por ejemplo, los identificadores de sesiones y los tokens de NSX Manager en cada sesión son únicos y caducan después de que el usuario cierre sesión o después de un período de inactividad. Además, cada sesión tiene un registro de hora y las comunicaciones de la sesión se cifran para evitar la apropiación de la sesión.
- El comando get service http permite mostrar una lista de valores que incluyen el tiempo de espera de la sesión.
- Para cambiar el valor de tiempo de espera de la sesión, ejecute los siguientes comandos:
set service http session-timeout <timeout-value-in-seconds> restart service ui-service