NSX ManagerNSX 환경을 관리할 수 있는 웹 기반 사용자 인터페이스를 제공합니다. API 호출을 처리하는 API 서버도 호스팅합니다.

NSX Manager 인터페이스는 다음과 같은 두 가지 리소스 구성 모드를 제공합니다.

  • 정책 모드
  • 관리자 모드

정책 모드는 기본 및 권장 모드입니다. 모든 기능이 정책으로 전환되기 때문에 관리자 모드는 시간이 지남에 따라 더 이상 사용되지 않습니다.

참고: 관리자 개체를 정책 개체로 승격하는 데 대한 자세한 내용은 "NSX 관리 가이드" 에서 '관리자 개체를 정책 개체로 승격' 항목을 참조하십시오.

정책 모드 및 관리자 모드에 액세스

이러한 버튼이 표시되면 정책관리자 버튼을 사용하여 정책 및 관리자 모드 간을 전환할 수 있습니다. 모드 간을 전환하면 사용할 수 있는 메뉴 항목이 제어됩니다.


오른쪽 상단 메뉴 표시줄 근처에서 활성 정책 모드 및 비활성 관리자 모드 전환 버튼을 표시합니다.
  • 기본적으로 환경에 정책 모드를 통해 생성된 개체만 포함되어 있으면 사용자 인터페이스가 정책 모드에 있고 정책관리자 버튼이 표시되지 않습니다.
  • 기본적으로 환경에 관리자 모드를 통해 생성된 개체가 포함된 경우 오른쪽 상단 모서리에 정책관리자 버튼이 표시됩니다.

이러한 기본값은 사용자 인터페이스 설정을 수정하여 변경할 수 있습니다. 자세한 내용은 사용자 인터페이스 설정 구성 항목을 참조하십시오.

정책 및 관리자 인터페이스에는 동일한 시스템 탭이 사용됩니다. Edge 노드, Edge 클러스터 또는 전송 영역을 수정하는 경우 정책 모드에서 변경 사항이 표시되는 데 최대 5분이 걸릴 수 있습니다. POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload를 사용하여 즉시 동기화할 수 있습니다.

정책 모드 또는 관리자 모드를 사용하는 경우

VMware에서는 모든 새 기능이 정책 UI/API에서만 구현되기 때문에 NSX 정책 UI를 사용할 것을 권장합니다.

사용할 모드가 일관되어야 합니다. 특정 모드를 사용해야 하는 이유에는 몇 가지가 있습니다.

  • NSX 환경을 배포하는 경우, 대부분 상황에서 정책 모드를 사용하여 환경을 생성하고 관리하는 것이 가장 좋습니다.
    • 일부 기능은 정책 모드에서 사용할 수 없습니다. 이러한 기능이 필요한 경우 모든 구성에 대해 관리자 모드를 사용합니다.
  • NSX 페더레이션을 사용하려는 경우 정책 모드를 사용하여 모든 개체를 생성합니다. 글로벌 관리자는 정책 모드만 지원합니다.
  • 이전 버전의 NSX에서 업그레이드하고 [고급 네트워킹 및 보안] 탭을 사용하여 구성이 생성된 경우 관리자 모드를 사용합니다.

    [고급 네트워킹 및 보안] 탭 아래에 있는 메뉴 항목과 구성은 관리자 모드의 NSX 3.0에서 사용할 수 있습니다.

중요: 정책 모드를 사용하기로 한 경우 이 모드를 사용하여 모든 개체를 생성합니다. 관리자 모드를 사용하여 개체를 생성하지 마십시오.

마찬가지로 관리자 모드를 사용해야 하는 경우에는 이 모드에서 모든 개체를 생성합니다. 정책 모드를 사용하여 개체를 생성하지 마십시오.

표 1. 정책 모드 또는 관리자 모드를 사용하는 경우
정책 모드 관리자 모드
대부분의 새 배포는 정책 모드를 사용해야 합니다.

NSX 페더레이션는 정책 모드만 지원합니다. NSX 페더레이션을 사용하려고 하거나 나중에 사용할 수 있는 경우에는 정책 모드를 사용합니다.

고급 인터페이스를 사용하여 생성된 배포(예: 정책 모드 이전 버전에서의 업그레이드를 사용할 수 있음)
다른 플러그인과 통합되는 배포입니다. 예: NSX Container Plugin, OpenStack 및 기타 클라우드 관리 플랫폼
정책 모드에서만 사용할 수 있는 네트워킹 기능:
  • DNS 서비스 및 DNS 영역
  • VPN
전달 타이머
정책 모드에서만 사용할 수 있는 보안 기능:
  • 끝점 보호
  • 네트워크 검사(East-West 서비스 삽입)
  • 컨텍스트 프로파일
    • L7 애플리케이션
    • FQDN
  • 새 분산 방화벽 및 게이트웨이 방화벽 레이아웃
    • 범주
    • 자동 서비스 규칙
    • 초안
관리자 모드에서만 사용할 수 있는 보안 기능:
  • 브리지 방화벽

정책 모드 및 관리자 모드에서 생성한 개체의 이름

생성하는 개체는 개체 생성에 사용된 인터페이스에 따라 이름이 달라집니다.

표 2. 개체 이름
정책 모드를 사용하여 생성한 개체 관리자 모드를 사용하여 생성한 개체
세그먼트 논리적 스위치
Tier-1 게이트웨이 Tier-1 논리적 라우터
Tier-0 게이트웨이 Tier-0 논리적 라우터
그룹 NSGroup, IP 집합, MAC 집합
보안 정책 방화벽 섹션
게이트웨이 방화벽 Edge 방화벽

정책 및 관리자 API

NSX Manager는 정책 및 관리자의 두 가지 API를 제공합니다.
  • 정책 API에는 /policy/api로 시작하는 URI가 포함되어 있습니다.
  • 관리자 API에는 /api로 시작하는 URI가 포함되어 있습니다.

정책 API는 개체의 부분 패치 적용을 지원합니다. 이 기능을 명시적으로 사용하도록 설정해야 합니다. 사용하도록 설정된 경우 PATCH API를 사용하여 기존 개체를 업데이트하기 위한 부분 페이로드를 제공할 수 있습니다.

이 기능을 사용하도록 설정하려면 부분 패치 구성 API를 사용합니다.

PATCH /policy/api/v1/system-config/nsx-partial-patch-config

{ "enable_partial_patch": "true" } 

기본값은 'false'입니다.

정책 API 사용에 대한 자세한 내용은 NSX 정책 API 시작 가이드를 참조하십시오.

보안

NSX Manager에는 다음과 같은 보안 기능이 있습니다.
  • NSX Manager에는 모든 리소스에 대한 액세스 권한이 있지만 소프트웨어를 설치할 수 있는 운영 체제에 대한 권한이 없는 admin이라는 기본 제공 사용자 계정이 있습니다. NSX 업그레이드 파일은 설치에만 허용되는 유일한 파일입니다.
  • NSX Manager는 세션 시간 초과 및 자동 사용자 로그아웃을 지원합니다. NSX Manager는 세션 잠금을 지원하지 않습니다. 세션 잠금 시작은 NSX Manager에 액세스하는 데 사용되는 워크스테이션 운영 체제의 기능일 수 있습니다. 세션 종료 또는 사용자 로그아웃 시 사용자는 로그인 페이지로 리디렉션됩니다.
  • NSX에서 구현되는 인증 메커니즘은 보안 모범 사례를 따르며 재생 공격을 방어합니다. 보안 방법은 체계적으로 배포됩니다. 예를 들어, 각 세션에 대한 NSX Manager의 세션 ID 및 토큰은 고유하며, 사용자가 로그아웃한 후 또는 비활성 기간 후에 만료됩니다. 또한 모든 세션에는 시간 기록이 있으며 세션 하이재킹을 방지하기 위해 세션 통신이 암호화됩니다.
다음 CLI 명령을 사용하여 세션 시간 초과 값을 보고 변경할 수 있습니다.
  • 명령 get service http는 세션 시간 초과를 포함하는 값 목록을 표시합니다.
  • 세션 시간 초과 값을 변경하려면 다음 명령을 실행합니다.
    set service http session-timeout <timeout-value-in-seconds>
    restart service ui-service