NSX Manager 提供可讓您管理 NSX 環境的 Web 型使用者介面。它也會主控處理 API 呼叫的 API 伺服器。

NSX Manager 介面提供了兩種設定資源的模式:

  • 原則模式
  • 管理程式模式

存取原則模式和管理程式模式

如果存在,您可以使用原則管理程式按鈕,在原則和管理程式模式之間切換。切換模式可控制哪些功能表項目可供您使用。


顯示作用中「原則」模式和非作用中「管理程式」模式的切換按鈕,其位於右上角功能表列附近
  • 依預設,如果您的環境僅包含透過原則模式建立的物件,則您的使用者介面會處於原則模式,且您不會看到原則管理程式按鈕。
  • 依預設,如果您的環境包含透過管理程式模式建立的任何物件,您會在右上角看到原則管理程式按鈕。

可透過修改使用者介面設定來變更這些預設值。如需詳細資訊,請參閱設定使用者介面設定

原則和管理程式介面中使用相同的系統索引標籤。如果您修改 Edge 節點、Edge 叢集或傳輸區域,則那些變更可能需要 5 分鐘的時間,才會在原則模式中顯示。您可以使用 POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload 立即同步。

使用原則模式或管理程式模式的時機

您使用的模式應保持一致性。您會基於幾種原因而選擇使用其中一個模式。

  • 如果您要部署新的 NSX 環境,則在多數情況下,最好的選擇是使用原則模式來建立和管理環境。
    • 某些功能在原則模式中無法使用。如果您需要這些功能,請對所有組態使用管理程式模式。
  • 如果您計劃使用NSX 聯盟,請使用原則模式建立所有物件。全域管理程式僅支援原則模式。
  • 如果您要從舊版 NSX 進行升級,且已使用 [進階網路與安全性] 索引標籤建立組態,請使用管理程式模式。

    您可在 [進階網路與安全性] 索引標籤下找到的功能表項目和組態,可在 NSX 3.0 的管理程式模式中取得。

重要: 如果您決定使用原則模式,請使用它來建立所有物件。請勿使用管理程式模式來建立物件。

同樣地,如果您需要使用管理程式模式,請使用它來建立所有物件。請勿使用原則模式來建立物件。

表 1. 使用原則模式或管理程式模式的時機
原則模式 管理程式模式
多數新的部署應使用原則模式。

NSX 聯盟僅支援原則模式。如果您想要使用 NSX 聯盟,或者將來可能使用,請使用原則模式。

以前使用進階介面所建立的部署,例如,從原則模式出現之前的版本升級。
NSX Cloud 部署 與其他外掛程式整合的部署。例如,NSX Container Plugin、OpenStack 和其他雲端管理平台。
僅在原則模式中可用的網路功能:
  • DNS 服務和 DNS 區域
  • VPN
  • NSX Cloud 的轉送原則
僅在原則模式中可用的安全性功能:
  • 端點保護
  • 網路自我檢查 (東西向服務插入)
  • 內容設定檔
    • L7 應用程式
    • FQDN
  • 新增分散式防火牆和閘道防火牆配置
    • 類別
    • 自動服務規則
    • 草稿
僅在管理程式模式中可用的安全性功能:
  • 橋接防火牆

在原則模式和管理程式模式中建立的物件名稱

取決於用來建立物件的介面,您建立的物件會有不同的名稱。

表 2. 物件名稱
使用原則模式建立的物件 使用管理程式模式建立的物件
區段 邏輯交換器
第 1 層閘道 第 1 層邏輯路由器
第 0 層閘道 第 0 層邏輯路由器
群組 NSGroup、IP 集合、MAC 集合
安全性原則 防火牆區段
閘道防火牆 Edge 防火牆

原則和管理程式 API

NSX Manager 提供兩個 API:原則和管理程式。
  • 原則 API 包含以 /policy/api 開頭的 URI。
  • 管理程式 API 包含以 /api 開頭的 URI。

如需關於使用原則 API 的詳細資訊,請參閱 NSX 原則 API:入門指南

安全性

NSX Manager 具有下列安全性功能:
  • NSX Manager 具有名為 admin 的內建使用者帳戶,該帳戶具有所有資源的存取權限,但沒有作業系統安裝軟體的權限。NSX 升級檔案是唯一允許安裝的檔案。
  • NSX Manager 支援工作階段逾時和自動使用者登出。NSX Manager 不支援工作階段鎖定。啟動工作階段鎖定可能是用來存取 NSX Manager 之工作站作業系統的函數。當工作階段終止或使用者登出時,系統會將使用者重新導向至登入頁面。
  • NSX 上實作的驗證機制會遵循安全性最佳做法,並可抵禦重新執行攻擊。安全做法會進行系統化部署。例如,NSX Manager 上每個工作階段的工作階段識別碼和 Token 都是唯一的,且在使用者登出後或在閒置一段時間後到期。此外,每個工作階段都有時間記錄,且工作階段通訊會進行加密,以避免工作階段遭到劫持。
您可以使用下列 CLI 命令來檢視和變更工作階段逾時值:
  • 命令 get service http 會顯示值的清單,其中包括工作階段逾時。
  • 若要變更工作階段逾時值,請執行下列命令:
    set service http session-timeout <timeout-value-in-seconds>
    restart service ui-service