NSX Manager fournit une interface utilisateur Web sur laquelle vous pouvez gérer votre environnement NSX. NSX Manager héberge également le serveur API qui traite les appels d'API.

L'interface NSX Manager fournit deux modes de configuration des ressources :

  • Mode Stratégie
  • Mode Gestionnaire

Le mode Stratégie est le mode par défaut et recommandé. Le mode Gestionnaire sera obsolète dans le temps, car l'ensemble de ses composants ou fonctionnalités sont transférés vers la stratégie.

Remarque : pour plus d'informations sur la promotion d'objets de gestionnaire en objets de stratégie, reportez-vous à la rubrique Promouvoir les objets de gestionnaire en objets de stratégie dans le Guide d'administration de NSX.

Accès au mode Stratégie et au mode Gestionnaire

S'ils sont présents, vous pouvez utiliser les boutons Stratégie et Gestionnaire pour basculer entre les modes de stratégie et de gestionnaire. Les modes de commutation contrôlent les éléments de menus disponibles.


Affiche les boutons bascule Mode Stratégie actif et Mode Gestionnaire inactif près de la barre de menus en haut à droite
  • Par défaut, si votre environnement contient uniquement des objets créés via le mode de stratégie, votre interface utilisateur est en mode de stratégie et vous ne voyez pas les boutons Stratégie et Gestionnaire.
  • Par défaut, si votre environnement contient des objets créés via le mode de gestionnaire, vous voyez les boutons Stratégie et Gestionnaire dans le coin supérieur droit.

Ces valeurs par défaut peuvent être modifiées en changeant les paramètres de l'interface utilisateur. Pour plus d'informations, reportez-vous à la section Configurer les paramètres de l'interface utilisateur.

Le même onglet Système est utilisé dans les interfaces de Stratégie et de Gestionnaire. Si vous modifiez des nœuds Edge, des clusters Edge ou des zones de transport, l'affichage de ces modifications peut prendre jusqu'à 5 minutes dans le mode Stratégie. Vous pouvez synchroniser immédiatement à l'aide de POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload.

Quand utiliser le mode Stratégie ou le mode Gestionnaire

VMware recommande d'utiliser l'interface utilisateur de stratégie NSX, car toutes les nouvelles fonctionnalités sont mises en œuvre uniquement sur l'interface utilisateur/API de la stratégie.

Soyez cohérent à propos du mode que vous utilisez. Il existe plusieurs raisons d'utiliser un mode plutôt qu'un autre.

  • Si vous déployez un nouvel environnement NSX, l'utilisation du mode Stratégie pour créer et gérer votre environnement est le meilleur choix dans la plupart des cas.
    • Certaines fonctionnalités ne sont pas disponibles en mode Stratégie. Si vous avez besoin de ces fonctionnalités, utilisez le mode Gestionnaire pour toutes les configurations.
  • Si vous envisagez d'utiliser Fédération NSX, utilisez le mode Stratégie pour créer tous les objets. Le gestionnaire global prend en charge uniquement le mode Stratégie.
  • Si vous effectuez une mise à niveau à partir d'une version antérieure de NSX et que vos configurations ont été créées à l'aide de l'onglet Mise en réseau et sécurité avancées, utilisez le mode Gestionnaire.

    Les éléments de menu et les configurations qui ont été trouvés sous l'onglet Mise en réseau et sécurité avancées sont disponibles dans NSX 3.0 en mode Gestionnaire.

Important : Si vous décidez d'utiliser le mode Stratégie, utilisez-le pour créer tous les objets. N'utilisez pas le mode Gestionnaire pour créer des objets.

De même, si vous avez besoin d'utiliser le mode Gestionnaire, utilisez-le pour créer tous les objets. N'utilisez pas le mode Stratégie pour créer des objets.

Tableau 1. Quand utiliser le mode Stratégie ou le mode Gestionnaire
Mode Stratégie Mode Gestionnaire
La plupart des nouveaux déploiements doivent utiliser le mode Stratégie.

Fédération NSX prend uniquement en charge le mode Stratégie. Si vous souhaitez utiliser Fédération NSX ou pensez l'utiliser ultérieurement, utilisez le mode Stratégie.

Les déploiements qui ont été créés à l'aide de l'interface avancée, par exemple, les mises à niveau de versions antérieures au mode Stratégie sont disponibles.
Déploiements de NSX Cloud Déploiements qui s'intègrent à d'autres plug-ins. Par exemple, NSX Container Plugin, OpenStack et d'autres plates-formes de gestion de cloud.
Fonctionnalités de mise en réseau disponibles en mode Stratégie uniquement :
  • Services DNS et zones DNS
  • VPN
  • Stratégies de transfert pour NSX Cloud
Temporisateur d'activation du transfert
Fonctionnalités de sécurité disponibles en mode Stratégie uniquement :
  • Protection du point de terminaison
  • Introspection réseau (Insertion de services Est-Ouest)
  • Profils de contexte
    • Applications L7
    • Nom de domaine complet
  • Nouvelle disposition du pare-feu distribué et du pare-feu de passerelle
    • Catégories
    • Règles de services automatiques
    • Brouillons
Fonctionnalités de sécurité disponibles en mode Gestionnaire uniquement :
  • Pare-feu de pont

Noms des objets créés en mode Stratégie et en mode Gestionnaire

Les objets que vous créez ont des noms différents en fonction de l'interface utilisée pour les créer.

Tableau 2. Noms des objets
Objets créés à l'aide du mode Stratégie Objets créés à l'aide du mode Gestionnaire
Segment Commutateur logique
Passerelle de niveau 1 Routeur logique de niveau 1
Passerelle de niveau 0 Routeur logique de niveau 0
Groupe NSGroup, ensembles d'adresses IP, ensembles d'adresses MAC
Stratégie de sécurité Section de pare-feu
Pare-feu de passerelle Pare-feu Edge

API de stratégie et de gestionnaire

NSX Manager fournit deux API : Stratégie et Gestionnaire.
  • L'API de stratégie contient des URI qui commencent par /policy/api.
  • L'API de gestionnaire contient des URI qui commencent par /api.

Les API de stratégie prennent en charge la correction partielle des objets. Cette fonctionnalité doit être explicitement activée. Si cette option est activée, vous pouvez fournir la charge utile partielle pour la mise à jour de l'objet existant à l'aide des API PATCH.

Pour activer la fonctionnalité, utilisez l'API de configuration de la correction partielle

PATCH /policy/api/v1/system-config/nsx-partial-patch-config

{ "enable_partial_patch": "true" } 

La valeur par défaut est « false ».

Pour plus d'informations sur l'utilisation de l'API de stratégie, reportez-vous au Guide de démarrage de l'API de stratégie NSX.

Sécurité

NSX Manager dispose des fonctionnalités de sécurité suivantes :
  • NSX Manager dispose d'un compte d'utilisateur intégré appelé admin qui possède des droits d'accès à toutes les ressources, mais qui n'a pas de droits sur le système d'exploitation pour installer des logiciels. Les fichiers de mise à niveau de NSX sont les seuls fichiers autorisés pour l'installation.
  • NSX Manager prend en charge le délai d'expiration de session et la déconnexion automatique de l'utilisateur. NSX Manager ne prend pas en charge le verrouillage de session. Le lancement d'un verrouillage de session peut être une fonction du système d'exploitation Workstation utilisé pour accéder à NSX Manager. Lors de la fin de la session ou de la déconnexion de l'utilisateur, les utilisateurs sont redirigés vers la page de connexion.
  • Les mécanismes d'authentification mis en œuvre sur NSX suivent les meilleures pratiques de sécurité et sont résistants aux attaques de relecture. Les pratiques sécurisées sont déployées de manière systématique. Par exemple, les ID de sessions et les jetons sur NSX Manager pour chaque session sont uniques et expirent après la déconnexion de l'utilisateur ou après une période d'inactivité. En outre, chaque session dispose d'un enregistrement de temps et les communications de session sont chiffrées pour empêcher le piratage de session.
Vous pouvez afficher et modifier la valeur du délai d'expiration de session avec les commandes de CLI suivantes :
  • La commande get service http affiche une liste de valeurs, notamment le délai d'expiration de la session.
  • Pour modifier la valeur du délai d'expiration de la session, exécutez les commandes suivantes :
    set service http session-timeout <timeout-value-in-seconds>
    restart service ui-service