TLS 프로토콜 버전, 암호 그룹 등과 같은 NSX Manager 클러스터의 API 서비스 속성을 수정할 수 있습니다.

TLSv1.1에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1.2에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLSv1.3에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

다음 절차에서는 NSX API 서비스 호출을 실행하여 TLS 1.1 프로토콜을 사용하지 않도록 설정하고 API 서비스 구성에서 암호 그룹을 사용하거나 사용하지 않도록 설정하는 워크플로를 설명합니다.

NSX API 서비스의 API 스키마, 예제 요청, 예제 응답 및 오류 메시지에 대한 자세한 내용은 "NSX API 가이드" 를 읽어야 합니다.

프로시저

  1. 다음 GET API를 실행하여 NSX API 서비스의 구성을 읽습니다.
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 응답에는 암호 그룹 및 TLS 프로토콜 목록이 포함됩니다.
  2. TLS 1.1 프로토콜을 사용하지 않도록 설정합니다.
    1. TLSv1.1enabled = false으로 설정합니다.
    2. 다음의 PUT API를 실행하여 변경 내용을 NSX API 서버에 전송합니다.
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. 암호 그룹을 사용하거나 사용하지 않도록 설정합니다.
    1. 요구 사항에 따라 하나 이상의 암호 이름을 enabled = false 또는 enabled = true로 설정합니다.
    2. 다음의 PUT API를 실행하여 변경 내용을 NSX API 서버에 전송합니다.
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

결과

API를 사용하여 업데이트된 후 각 NSX Manager 노드의 API 서비스가 다시 시작됩니다. API 호출이 완료되는 시간과 새 구성이 적용되는 시간은 1분까지 지연될 수 있습니다. API 서비스 구성의 변경 사항은 NSX Manager 클러스터의 모든 노드에 적용됩니다.