NSX Manager には、NSX 環境を管理できる Web ベースのユーザー インターフェイスが用意されています。API 呼び出しを処理する API サーバもホストします。
NSX Manager インターフェイスには、リソースを構成するモードが 2 つあります。
- ポリシー モード
- マネージャ モード
ポリシー モードは、デフォルトの推奨モードです。すべての機能がポリシーに移行するため、マネージャ モードは今後廃止されます。
注:マネージャ オブジェクトをポリシー オブジェクトに昇格させる方法の詳細については、『NSX 管理ガイド』の「マネージャ オブジェクトをポリシー オブジェクトに昇格」トピックを参照してください。
ポリシー モードとマネージャ モードでのアクセス
表示されている場合は、[ ポリシー] ボタンと [マネージャ] ボタンで、ポリシー モードとマネージャ モードを切り替えることができます。モードを切り替えると、使用できるメニュー項目が変わります。
- デフォルトでは、環境内にポリシー モードで作成されたオブジェクトのみが存在する場合、ユーザー インターフェイスはポリシー モードになり、[ポリシー] ボタンと [マネージャ] ボタンは表示されません。
- デフォルトでは、環境内にマネージャ モードで作成されたオブジェクトが存在していると、右上隅に [ポリシー] ボタンと [マネージャ] ボタンが表示されます。
ユーザー インターフェイスの設定を変更することで、これらのデフォルト値を変更できます。詳細については、ユーザー インターフェイスの構成を参照してください。
ポリシーとマネージャのインターフェイスでは、同じ [システム] タブが使用されます。Edge ノード、Edge クラスタまたはトランスポート ゾーンを変更する場合、その変更がポリシー モードに表示されるまでに最大で 5 分ほどかかることがあります。POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload を使用すると、すぐに同期できます。
ポリシー モードまたはマネージャ モードを使用するタイミング
すべての新機能はポリシー ユーザー インターフェイス/API でのみ実装されるため、VMware では NSX ポリシー ユーザー インターフェイスを使用することをお勧めします。
使用するモードは、常に同じ基準で決める必要があります。使用できるモードが限定される場合もあります。
- 新しい NSX 環境を展開する場合、ほとんどの状況では、[ポリシー] モードのほうが環境の作成と管理に適しています。
- 一部の機能は、ポリシー モードで使用できません。これらの機能が必要な場合は、すべての構成で[マネージャ] モードを使用します。
- NSX フェデレーション を使用する予定がある場合は、[ポリシー] モードですべてのオブジェクトを作成します。グローバル マネージャは、ポリシー モードのみをサポートします。
- NSX の以前のバージョンからアップグレードするときに、[ネットワークとセキュリティの詳細設定] タブで構成が作成されている場合は、[マネージャ] モードを使用します。
[ネットワークとセキュリティの詳細設定] タブに表示されるメニュー項目と構成は、[マネージャ] モードの NSX 3.0 で使用できます。
同様に、マネージャ モードを使用する場合は、そのモードですべてのオブジェクトを作成します。ポリシー モードでオブジェクトを作成しないでください。
ポリシー モード | マネージャ モード |
---|---|
新しい環境の場合は、ポリシー モードを使用します。 NSX フェデレーション は、ポリシー モードのみをサポートします。NSX フェデレーションを使用する場合、または将来使用する可能性がある場合は、ポリシー モードを使用します。 |
詳細設定インターフェイスで作成した環境。たとえば、ポリシー モードが導入される前のバージョンからアップグレードした場合。 |
NSX Cloud 環境 | 他のプラグインと統合する環境。たとえば、NSX Container Plugin、Openstack などのクラウド管理プラットフォーム。 |
ポリシー モードでのみ使用可能なネットワーク機能:
|
転送タイマー |
ポリシー モードでのみ使用可能なセキュリティ機能:
|
マネージャ モードでのみ使用可能なセキュリティ機能:
|
ポリシー モードとマネージャ モードで作成されるオブジェクトの名前
使用するインターフェイスによって、作成されるオブジェクトの名前が異なります。
ポリシー モードで作成されたオブジェクト | マネージャ モードで作成されたオブジェクト |
---|---|
セグメント | 論理スイッチ |
Tier-1 ゲートウェイ | Tier-1 論理ルーター |
Tier-0 ゲートウェイ | Tier-0 論理ルーター |
グループ | NSGroup、IP セット、MAC セット |
セキュリティ ポリシー | ファイアウォール セクション |
ゲートウェイ ファイアウォール | Edge ファイアウォール |
ポリシー API とマネージャ API
- ポリシー API には、
/policy/api
で始まる URI が含まれます。 - マネージャ API には
/api
で始まる URI が含まれます。
ポリシー API は、オブジェクトの部分的なパッチ適用をサポートします。この機能は、明示的に有効にする必要があります。有効にすると、PATCH API を使用して既存のオブジェクトを更新するための部分的なペイロードを指定できます。
この機能を有効にするには、部分パッチ構成 API を使用します。
PATCH /policy/api/v1/system-config/nsx-partial-patch-config
{ "enable_partial_patch": "true" }
デフォルトは「false」です。
ポリシー API の使用方法については、NSX Policy API スタート ガイドを参照してください。
セキュリティ
- NSX Manager には、admin というユーザー アカウントがあります。このアカウントはすべてのリソースにアクセスできますが、オペレーティング システムにソフトウェアをインストールする権限はありません。インストールできるのは NSX アップグレード ファイルだけです。
- NSX Manager は、セッション タイムアウトとユーザーの自動ログアウトをサポートします。NSX Manager は、セッション ロックをサポートしていません。セッション ロックは、NSX Manager へのアクセスに使用しているワークステーションのオペレーティング システムの機能で開始する場合があります。セッションの終了時またはユーザーのログアウト時に、ユーザーはログイン ページにリダイレクトされます。
- NSX に実装されている認証メカニズムはセキュリティのベストプラクティスに準拠しており、リプレイ攻撃を防ぐことができます。安全対策が体系的に展開されています。たとえば、各セッションの NSX Manager のセッション ID とトークンは一意で、ユーザーがログアウトしたり、アクティブ状態でなくなると無効になります。また、すべてのセッションで時刻が記録され、セッションの通信を暗号化することで、セッション ハイジャックを防止します。
- get service http コマンドを実行すると、セッション タイムアウトなどの値のリストが表示されます。
- セッション タイムアウト値を変更するには、次のコマンドを実行します。
set service http session-timeout <timeout-value-in-seconds> restart service ui-service