NSX Manager には、NSX 環境を管理できる Web ベースのユーザー インターフェイスが用意されています。API 呼び出しを処理する API サーバもホストします。

NSX Manager インターフェイスには、リソースを構成するモードが 2 つあります。

  • ポリシー モード
  • マネージャ モード

ポリシー モードは、デフォルトの推奨モードです。すべての機能がポリシーに移行するため、マネージャ モードは今後廃止されます。

注:マネージャ オブジェクトをポリシー オブジェクトに昇格させる方法の詳細については、『NSX 管理ガイド』の「マネージャ オブジェクトをポリシー オブジェクトに昇格」トピックを参照してください。

ポリシー モードとマネージャ モードでのアクセス

表示されている場合は、[ ポリシー] ボタンと [マネージャ] ボタンで、ポリシー モードとマネージャ モードを切り替えることができます。モードを切り替えると、使用できるメニュー項目が変わります。


右上のメニュー バーの近くにアクティブなポリシー モードと非アクティブなマネージャ モードの切り替えボタンが表示されます
  • デフォルトでは、環境内にポリシー モードで作成されたオブジェクトのみが存在する場合、ユーザー インターフェイスはポリシー モードになり、[ポリシー] ボタンと [マネージャ] ボタンは表示されません。
  • デフォルトでは、環境内にマネージャ モードで作成されたオブジェクトが存在していると、右上隅に [ポリシー] ボタンと [マネージャ] ボタンが表示されます。

ユーザー インターフェイスの設定を変更することで、これらのデフォルト値を変更できます。詳細については、「ユーザー インターフェイスの構成」を参照してください。

ポリシーとマネージャのインターフェイスでは、同じ [システム] タブが使用されます。Edge ノード、Edge クラスタまたはトランスポート ゾーンを変更する場合、その変更がポリシー モードに表示されるまでに最大で 5 分ほどかかることがあります。POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload を使用すると、すぐに同期できます。

ポリシー モードまたはマネージャ モードを使用するタイミング

すべての新機能はポリシー ユーザー インターフェイス/API でのみ実装されるため、VMware では NSX ポリシー ユーザー インターフェイスを使用することをお勧めします。

使用するモードは、常に同じ基準で決める必要があります。使用できるモードが限定される場合もあります。

  • 新しい NSX 環境を展開する場合、ほとんどの状況では、[ポリシー] モードのほうが環境の作成と管理に適しています。
    • 一部の機能は、ポリシー モードで使用できません。これらの機能が必要な場合は、すべての構成で[マネージャ] モードを使用します。
  • NSX フェデレーション を使用する予定がある場合は、[ポリシー] モードですべてのオブジェクトを作成します。グローバル マネージャは、ポリシー モードのみをサポートします。
  • NSX の以前のバージョンからアップグレードするときに、[ネットワークとセキュリティの詳細設定] タブで構成が作成されている場合は、[マネージャ] モードを使用します。

    [ネットワークとセキュリティの詳細設定] タブに表示されるメニュー項目と構成は、[マネージャ] モードの NSX 3.0 で使用できます。

重要: ポリシー モードを使用する場合は、このモードですべてのオブジェクトを作成します。マネージャ モードでオブジェクトを作成しないでください。

同様に、マネージャ モードを使用する場合は、そのモードですべてのオブジェクトを作成します。ポリシー モードでオブジェクトを作成しないでください。

表 1. ポリシー モードまたはマネージャ モードを使用するタイミング
ポリシー モード マネージャ モード
新しい環境の場合は、ポリシー モードを使用します。

NSX フェデレーション は、ポリシー モードのみをサポートします。NSX フェデレーションを使用する場合、または将来使用する可能性がある場合は、ポリシー モードを使用します。

詳細設定インターフェイスで作成した環境。たとえば、ポリシー モードが導入される前のバージョンからアップグレードした場合。
他のプラグインと統合する環境。たとえば、NSX Container Plugin、Openstack などのクラウド管理プラットフォーム。
ポリシー モードでのみ使用可能なネットワーク機能:
  • DNS サービスと DNS ゾーン
  • VPN
転送タイマー
ポリシー モードでのみ使用可能なセキュリティ機能:
  • エンドポイントの保護
  • ネットワーク イントロスペクション(East-West サービス挿入)
  • コンテキスト プロファイル
    • L7 アプリケーション
    • FQDN
  • 新しい分散ファイアウォールとゲートウェイ ファイアウォールのレイアウト
    • カテゴリ
    • 自動サービス ルール
    • ドラフト
マネージャ モードでのみ使用可能なセキュリティ機能:
  • ブリッジ ファイアウォール

ポリシー モードとマネージャ モードで作成されるオブジェクトの名前

使用するインターフェイスによって、作成されるオブジェクトの名前が異なります。

表 2. オブジェクト名
ポリシー モードで作成されたオブジェクト マネージャ モードで作成されたオブジェクト
セグメント 論理スイッチ
Tier-1 ゲートウェイ Tier-1 論理ルーター
Tier-0 ゲートウェイ Tier-0 論理ルーター
グループ NSGroup、IP セット、MAC セット
セキュリティ ポリシー ファイアウォール セクション
ゲートウェイ ファイアウォール Edge ファイアウォール

ポリシー API とマネージャ API

NSX Manager には、ポリシー API とマネージャ API の 2 つの API が用意されています。
  • ポリシー API には、/policy/api で始まる URI が含まれます。
  • マネージャ API には /api で始まる URI が含まれます。

ポリシー API は、オブジェクトの部分的なパッチ適用をサポートします。この機能は、明示的に有効にする必要があります。有効にすると、PATCH API を使用して既存のオブジェクトを更新するための部分的なペイロードを指定できます。

この機能を有効にするには、部分パッチ構成 API を使用します。

PATCH /policy/api/v1/system-config/nsx-partial-patch-config

{ "enable_partial_patch": "true" } 

デフォルトは「false」です。

ポリシー API の使用方法については、NSX Policy API スタート ガイドを参照してください。

セキュリティ

NSX Manager には、次のようなセキュリティ機能があります。
  • NSX Manager には、admin というユーザー アカウントがあります。このアカウントはすべてのリソースにアクセスできますが、オペレーティング システムにソフトウェアをインストールする権限はありません。インストールできるのは NSX アップグレード ファイルだけです。
  • NSX Manager は、セッション タイムアウトとユーザーの自動ログアウトをサポートします。NSX Manager は、セッション ロックをサポートしていません。セッション ロックは、NSX Manager へのアクセスに使用しているワークステーションのオペレーティング システムの機能で開始する場合があります。セッションの終了時またはユーザーのログアウト時に、ユーザーはログイン ページにリダイレクトされます。
  • NSX に実装されている認証メカニズムはセキュリティのベストプラクティスに準拠しており、リプレイ攻撃を防ぐことができます。安全対策が体系的に展開されています。たとえば、各セッションの NSX Manager のセッション ID とトークンは一意で、ユーザーがログアウトしたり、アクティブ状態でなくなると無効になります。また、すべてのセッションで時刻が記録され、セッションの通信を暗号化することで、セッション ハイジャックを防止します。
セッション タイムアウト値は、次の CLI コマンドで表示して変更できます。
  • get service http コマンドを実行すると、セッション タイムアウトなどの値のリストが表示されます。
  • セッション タイムアウト値を変更するには、次のコマンドを実行します。
    set service http session-timeout <timeout-value-in-seconds>
    restart service ui-service