TLS 프로토콜 버전, 암호 그룹 등과 같은 NSX Manager 클러스터의 API 서비스 속성을 수정할 수 있습니다.

4.2부터 TLS 1.1 암호는 기본적으로 비활성화되지만 다음 절차를 사용하여 사용자가 활성화할 수 있습니다. TLS 1.1에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLS 1.2에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS 1.3에 대해 지원되는 암호는 다음과 같습니다.
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • NSX 4.2부터 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

다음 절차에서는 NSX API 서비스 호출을 실행하여 TLS 1.1 프로토콜을 활성화하고 API 서비스 구성에서 암호 그룹을 활성화하거나 비활성화하는 워크플로를 설명합니다. TLS 1.1은 기본적으로 비활성화되어 있습니다. 이 동일한 절차를 사용하여 필요에 따라 다른 TLS 버전을 비활성화할 수 있습니다. NSX는 최소 및 최대 버전을 지원하므로 TLS 1.1 및 TLS 1.3은 지원되지만 TLS 1.2는 지원되지 않습니다. 예를 들어 TLS 1.1 및 TLS 1.2 또는 TLS 1.2 및 TLS 1.3이 지원될 수 있습니다.

NSX API 서비스의 API 스키마, 예제 요청, 예제 응답 및 오류 메시지에 대한 자세한 내용은 "NSX API 가이드" 를 읽어보십시오.

프로시저

  1. 다음 GET API를 실행하여 NSX API 서비스의 구성을 읽습니다.
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 응답에는 암호 그룹 및 TLS 프로토콜 목록이 포함됩니다. TLS 1.0 지원은 나열되지 않습니다. 
    curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service  "protocol_versions" : [ {
    "name" : "TLSv1.1",
    "enabled" : false
  }, {
    "name" : "TLSv1.2",
    "enabled" : true
  }, {
    "name" : "TLSv1.3",
    "enabled" : true
  } ],

  2. curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
{
  "global_api_concurrency_limit": 199,
  "client_api_rate_limit": 100,
  "client_api_concurrency_limit": 40,
  "connection_timeout": 30,
  "redirect_host": "",
  "cipher_suites": [
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}         
  ],
  "protocol_versions": [
    {"enabled": false, "name": "TLSv1.1"},
    {"enabled": true, "name": "TLSv1.2"}
    {"enabled": true, "name": "TLSv1.3"}]
}
  3. TLS 1.1 프로토콜을 활성화하거나 비활성화합니다.
    1. TLS 버전을 활성화하려면 예를 들어 TLSv1.1enabled = true로 설정합니다. TLS 버전을 비활성화하려면 TLS 버전을 enabled = false로 설정합니다.
    2. 다음의 PUT API를 실행하여 변경 내용을 NSX API 서버에 전송합니다.
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  4. 암호 그룹을 활성화하거나 비활성화합니다.
    1. 요구 사항에 따라 하나 이상의 암호 이름을 enabled = true 또는 enabled = false로 설정합니다.
    2. 다음의 PUT API를 실행하여 변경 내용을 NSX API 서버에 전송합니다.
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  5. 활성화가 완료되었는지 확인합니다.

결과

API를 사용하여 업데이트된 후 각 NSX Manager 노드의 API 서비스가 다시 시작됩니다. API 호출이 완료되는 시간과 새 구성이 적용되는 시간은 1분까지 지연될 수 있습니다. API 서비스 구성의 변경 사항은 NSX Manager 클러스터의 모든 노드에 적용됩니다.