Mettre à jour la configuration du service d'API du cluster NSX Manager

Vous pouvez modifier les propriétés du service d'API du cluster NSX Manager, telles que la version du protocole TLS, les suites de chiffrement, etc.

À partir de la version 4.2, les chiffrements TLS 1.1 sont désactivés par défaut, mais l'utilisateur peut les activer à l'aide de la procédure suivante. Les chiffrements pris en charge pour TLS 1.1 sont les suivants :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

Les chiffrements pris en charge pour TLS 1.2 sont les suivants :

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Les chiffrements pris en charge pour TLS 1.3 sont les suivants :

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
À partir de la version 4.2 de NSX, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

La procédure suivante explique le workflow d'exécution des appels de service NSX API pour activer le protocole TLS 1.1 et pour activer ou désactiver les suites de chiffrement dans la configuration du service d'API. TLS 1.1 est désactivé par défaut. Vous pouvez utiliser cette même procédure pour désactiver d'autres versions de TLS si nécessaire. Notez que NSX prend en charge une version minimale et une version maximale. Par conséquent, il n'est pas possible de prendre en charge TLS 1.1 et TLS 1.3, mais pas TLS 1.2. Par exemple, TLS 1.1 et TLS 1.2 ou TLS 1.2 et TLS 1.3 peuvent être pris en charge.

Pour obtenir des informations détaillées sur le schéma d'API, l'exemple de demande, l'exemple de réponse et les messages d'erreur du service NSX API, lisez le Guide de NSX API.

Procédure

Exécutez l'API GET suivante pour lire la configuration du service NSX API :
GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
La réponse de l'API contient la liste des suites de chiffrement et des protocoles TLS. Notez que la prise en charge de TLS 1.0 n'est pas répertoriée.
```
curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service  "protocol_versions" : [ {
    "name" : "TLSv1.1",
    "enabled" : false
  }, {
    "name" : "TLSv1.2",
    "enabled" : true
  }, {
    "name" : "TLSv1.3",
    "enabled" : true
  } ],
```

curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
{
  "global_api_concurrency_limit": 199,
  "client_api_rate_limit": 100,
  "client_api_concurrency_limit": 40,
  "connection_timeout": 30,
  "redirect_host": "",
  "cipher_suites": [
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}         
  ],
  "protocol_versions": [
    {"enabled": false, "name": "TLSv1.1"},
    {"enabled": true, "name": "TLSv1.2"}
    {"enabled": true, "name": "TLSv1.3"}]
}

Activez ou désactivez le protocole TLS 1.1.
1. Pour activer une version de TLS, définissez TLSv1.1 sur enabled = true, par exemple. Pour désactiver une version de TLS, définissez votre version de TLS sur enabled = false.
2. Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
  PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
Activez ou désactivez les suites de chiffrement.
1. Définissez un ou plusieurs noms de chiffrement sur enabled = true ou sur enabled = false en fonction de vos besoins.
2. Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
  PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
Vérifiez que l'activation est terminée.

Résultats

Le service d'API sur chaque nœud NSX Manager redémarre après sa mise à jour à l'aide de l'API. Il peut y avoir un retard d'une minute maximum entre l'heure de fin de l'appel d'API et le moment où la nouvelle configuration est appliquée. Les modifications apportées à la configuration du service d'API sont appliquées à tous les nœuds du cluster NSX Manager.