NSX Manager fournit une interface utilisateur Web sur laquelle vous pouvez gérer votre environnement NSX-T Data Center. NSX Manager héberge également le serveur API qui traite les appels d'API.
L'interface NSX Manager fournit deux modes de configuration des ressources :
- Mode Stratégie
- Mode Gestionnaire
Accès au mode Stratégie et au mode Gestionnaire
S'ils sont présents, vous pouvez utiliser les boutons Stratégie et Gestionnaire pour basculer entre les modes de stratégie et de gestionnaire. Les modes de commutation contrôlent les éléments de menus disponibles.
- Par défaut, si votre environnement contient uniquement des objets créés via le mode de stratégie, votre interface utilisateur est en mode de stratégie et vous ne voyez pas les boutons Stratégie et Gestionnaire.
- Par défaut, si votre environnement contient des objets créés via le mode de gestionnaire, vous voyez les boutons Stratégie et Gestionnaire dans le coin supérieur droit.
Ces valeurs par défaut peuvent être modifiées en changeant les paramètres de l'interface utilisateur. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de l'interface utilisateur.
Le même onglet Système est utilisé dans les interfaces de Stratégie et de Gestionnaire. Si vous modifiez des nœuds Edge, des clusters Edge ou des zones de transport, l'affichage de ces modifications peut prendre jusqu'à 5 minutes dans le mode Stratégie. Vous pouvez synchroniser immédiatement à l'aide de POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload.
Quand utiliser le mode Stratégie ou le mode Gestionnaire
Soyez cohérent à propos du mode que vous utilisez. Il existe plusieurs raisons d'utiliser un mode plutôt qu'un autre.
- Si vous déployez un nouvel environnement NSX-T Data Center, l'utilisation du mode Stratégie pour créer et gérer votre environnement est le meilleur choix dans la plupart des cas.
- Certaines fonctionnalités ne sont pas disponibles en mode Stratégie. Si vous avez besoin de ces fonctionnalités, utilisez le mode Gestionnaire pour toutes les configurations.
- Si vous envisagez d'utiliser NSX fédération, utilisez le mode Stratégie pour créer tous les objets. Le gestionnaire global prend en charge uniquement le mode Stratégie.
- Si vous effectuez une mise à niveau à partir d'une version antérieure de NSX-T Data Center et que vos configurations ont été créées à l'aide de l'onglet Mise en réseau et sécurité avancées, utilisez le mode Gestionnaire.
Les éléments de menu et les configurations qui ont été trouvés sous l'onglet Mise en réseau et sécurité avancées sont disponibles dans NSX-T Data Center 3.0 en mode Gestionnaire.
De même, si vous avez besoin d'utiliser le mode Gestionnaire, utilisez-le pour créer tous les objets. N'utilisez pas le mode Stratégie pour créer des objets.
Mode Stratégie | Mode Gestionnaire |
---|---|
La plupart des nouveaux déploiements doivent utiliser le mode Stratégie. NSX fédération prend uniquement en charge le mode Stratégie. Si vous souhaitez utiliser NSX fédération ou pensez l'utiliser ultérieurement, utilisez le mode Stratégie. |
Les déploiements qui ont été créés à l'aide de l'interface avancée, par exemple, les mises à niveau de versions antérieures au mode Stratégie sont disponibles. |
Déploiements de NSX Cloud | Déploiements qui s'intègrent à d'autres plug-ins. Par exemple, NSX Container Plugin, OpenStack et d'autres plates-formes de gestion de cloud. |
Fonctionnalités de mise en réseau disponibles en mode Stratégie uniquement :
|
|
Fonctionnalités de sécurité disponibles en mode Stratégie uniquement :
|
Fonctionnalités de sécurité disponibles en mode Gestionnaire uniquement :
|
Noms des objets créés en mode Stratégie et en mode Gestionnaire
Les objets que vous créez ont des noms différents en fonction de l'interface utilisée pour les créer.
Objets créés à l'aide du mode Stratégie | Objets créés à l'aide du mode Gestionnaire |
---|---|
Segment | Commutateur logique |
Passerelle de niveau 1 | Routeur logique de niveau 1 |
Passerelle de niveau 0 | Routeur logique de niveau 0 |
Groupe | NSGroup, ensembles d'adresses IP, ensembles d'adresses MAC |
Stratégie de sécurité | Section de pare-feu |
Pare-feu de passerelle | Pare-feu Edge |
API de stratégie et de gestionnaire
- L'API de stratégie contient des URI qui commencent par
/policy/api
. - L'API de gestionnaire contient des URI qui commencent par
/api
.
Pour plus d'informations sur l'utilisation de l'API de stratégie, reportez-vous au Guide de démarrage de l'API de stratégie NSX.
Sécurité
- NSX Manager dispose d'un compte d'utilisateur intégré appelé admin qui possède des droits d'accès à toutes les ressources, mais qui n'a pas de droits sur le système d'exploitation pour installer des logiciels. Les fichiers de mise à niveau de NSX-T sont les seuls fichiers autorisés pour l'installation. Vous pouvez modifier les autorisations de nom d'utilisateur et de rôle pour admin, mais vous ne pouvez pas supprimer admin.
- NSX Manager prend en charge le délai d'expiration de session et la déconnexion automatique de l'utilisateur. NSX Manager ne prend pas en charge le verrouillage de session. Le lancement d'un verrouillage de session peut être une fonction du système d'exploitation Workstation utilisé pour accéder à NSX Manager. Lors de la fin de la session ou de la déconnexion de l'utilisateur, les utilisateurs sont redirigés vers la page de connexion.
- Les mécanismes d'authentification mis en œuvre sur NSX-T suivent les meilleures pratiques de sécurité et sont résistants aux attaques de relecture. Les pratiques sécurisées sont déployées de manière systématique. Par exemple, les ID de sessions et les jetons sur NSX Manager pour chaque session sont uniques et expirent après la déconnexion de l'utilisateur ou après une période d'inactivité. En outre, chaque session dispose d'un enregistrement de temps et les communications de session sont chiffrées pour empêcher le piratage de session.
- La commande get service http affiche une liste de valeurs, notamment le délai d'expiration de la session.
- Pour modifier la valeur du délai d'expiration de la session, exécutez les commandes suivantes :
set service http session-timeout <timeout-value-in-seconds> restart service ui-service