NSX Manager는 NSX-T 환경을 관리할 수 있는 웹 기반 사용자 인터페이스를 제공합니다. API 호출을 처리하는 API 서버도 호스팅합니다.
NSX Manager 인터페이스는 다음과 같은 두 가지 리소스 구성 모드를 제공합니다.
- 정책 모드
- 관리자 모드
정책 모드 및 관리자 모드에 액세스
이러한 버튼이 표시되면 정책 및 관리자 버튼을 사용하여 정책 및 관리자 모드 간을 전환할 수 있습니다. 모드 간을 전환하면 사용할 수 있는 메뉴 항목이 제어됩니다.
- 기본적으로 환경에 정책 모드를 통해 생성된 개체만 포함되어 있으면 사용자 인터페이스가 정책 모드에 있고 정책 및 관리자 버튼이 표시되지 않습니다.
- 기본적으로 환경에 관리자 모드를 통해 생성된 개체가 포함된 경우 오른쪽 상단 모서리에 정책 및 관리자 버튼이 표시됩니다.
이러한 기본값은 사용자 인터페이스 설정을 수정하여 변경할 수 있습니다. 자세한 내용은 사용자 인터페이스 설정 구성 항목을 참조하십시오.
정책 및 관리자 인터페이스에는 동일한 시스템 탭이 사용됩니다. Edge 노드, Edge 클러스터 또는 전송 영역을 수정하는 경우 정책 모드에서 변경 사항이 표시되는 데 최대 5분이 걸릴 수 있습니다. POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload를 사용하여 즉시 동기화할 수 있습니다.
정책 모드 또는 관리자 모드를 사용하는 경우
사용할 모드가 일관되어야 합니다. 특정 모드를 사용해야 하는 이유에는 몇 가지가 있습니다.
- 새 NSX-T Data Center 환경을 배포하는 경우, 대부분 상황에서 정책 모드를 사용하여 환경을 생성하고 관리하는 것이 가장 좋습니다.
- 일부 기능은 정책 모드에서 사용할 수 없습니다. 이러한 기능이 필요한 경우 모든 구성에 대해 관리자 모드를 사용합니다.
- NSX 페더레이션을 사용하려는 경우 정책 모드를 사용하여 모든 개체를 생성합니다. 글로벌 관리자는 정책 모드만 지원합니다.
- 이전 버전의 NSX-T Data Center에서 업그레이드하고 [고급 네트워킹 및 보안] 탭을 사용하여 구성이 생성된 경우 관리자 모드를 사용합니다.
[고급 네트워킹 및 보안] 탭 아래에 있는 메뉴 항목과 구성은 관리자 모드의 NSX-T Data Center 3.0에서 사용할 수 있습니다.
마찬가지로 관리자 모드를 사용해야 하는 경우에는 이 모드에서 모든 개체를 생성합니다. 정책 모드를 사용하여 개체를 생성하지 마십시오.
정책 모드 | 관리자 모드 |
---|---|
대부분의 새 배포는 정책 모드를 사용해야 합니다. 페더레이션은 정책 모드만 지원합니다. 페더레이션을 사용하려고 하거나 나중에 사용할 수 있는 경우에는 정책 모드를 사용합니다. |
고급 인터페이스를 사용하여 생성된 배포(예: 정책 모드 이전 버전에서의 업그레이드를 사용할 수 있음) |
NSX Cloud 배포 | 다른 플러그인과 통합되는 배포입니다. 예: NSX Container Plug-in, OpenStack 및 기타 클라우드 관리 플랫폼 |
정책 모드에서만 사용할 수 있는 네트워킹 기능:
|
관리자 모드에서만 사용할 수 있는 네트워킹 기능:
|
정책 모드에서만 사용할 수 있는 보안 기능:
|
관리자 모드에서만 사용할 수 있는 보안 기능:
|
정책 모드 및 관리자 모드에서 생성한 개체의 이름
생성하는 개체는 개체 생성에 사용된 인터페이스에 따라 이름이 달라집니다.
정책 모드를 사용하여 생성한 개체 | 관리자 모드를 사용하여 생성한 개체 |
---|---|
세그먼트 | 논리적 스위치 |
Tier-1 게이트웨이 | Tier-1 논리적 라우터 |
Tier-0 게이트웨이 | Tier-0 논리적 라우터 |
그룹 | NSGroup, IP 집합, MAC 집합 |
보안 정책 | 방화벽 섹션 |
게이트웨이 방화벽 | Edge 방화벽 |
정책 및 관리자 API
- 정책 API에는
/policy/api
로 시작하는 URI가 포함되어 있습니다. - 관리자 API에는
/api
로 시작하는 URI가 포함되어 있습니다.
정책 API 사용에 대한 자세한 내용은 NSX-T 정책 API 시작 가이드를 참조하십시오.
보안
- NSX Manager에는 모든 리소스에 대한 액세스 권한이 있지만 소프트웨어를 설치할 수 있는 운영 체제에 대한 권한이 없는 admin이라는 기본 제공 사용자 계정이 있습니다. NSX-T 업그레이드 파일은 설치에만 허용되는 유일한 파일입니다. admin 사용자의 권한을 편집하거나 이 사용자를 삭제할 수는 없습니다. 사용자 이름 admin은 변경할 수 있습니다.
- NSX Manager는 세션 시간 초과 및 자동 사용자 로그아웃을 지원합니다. NSX Manager는 세션 잠금을 지원하지 않습니다. 세션 잠금 시작은 NSX Manager에 액세스하는 데 사용되는 워크스테이션 운영 체제의 기능일 수 있습니다. 세션 종료 또는 사용자 로그아웃 시 사용자는 로그인 페이지로 리디렉션됩니다.
- NSX-T에서 구현되는 인증 메커니즘은 보안 모범 사례를 따르며 재생 공격을 방어합니다. 보안 방법은 체계적으로 배포됩니다. 예를 들어, 각 세션에 대한 NSX Manager의 세션 ID 및 토큰은 고유하며, 사용자가 로그아웃한 후 또는 비활성 기간 후에 만료됩니다. 또한 모든 세션에는 시간 기록이 있으며 세션 하이재킹을 방지하기 위해 세션 통신이 암호화됩니다.
- 명령 get service http는 세션 시간 초과를 포함하는 값 목록을 표시합니다.
- 세션 시간 초과 값을 변경하려면 다음 명령을 실행합니다.
set service http session-timeout <timeout-value-in-seconds> restart service ui-service