您可以修改 NSX Manager 叢集的 API 服務內容,例如 TLS 通訊協定版本與加密套件等。

TLSv1.1 支援的加密包括:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1.2 支援的加密包括:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLSv1.3 支援的加密包括:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

下列程序說明執行 NSX API 服務呼叫以停用 TLS 1.1 通訊協定,以及在 API 服務組態中啟用或停用加密套件的工作流程。

如需關於 API 結構描述、範例要求、範例回應,以及 NSX API 服務之錯誤訊息的詳細資訊,您必須閱讀《NSX API 指南》

程序

  1. 執行下列 GET API 以讀取 NSX API 服務的組態:
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 回應會包含加密套件和 TLS 通訊協定的清單。
  2. 停用 TLS 1.1 通訊協定。
    1. TLSv1.1 設為 enabled = false
    2. 執行下列 PUT API,將變更傳送至 NSX API 伺服器:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. 啟用或停用加密套件。
    1. 根據您的需求,將一或多個加密名稱設定為 enabled = falseenabled = true
    2. 執行下列 PUT API,將變更傳送至 NSX API 伺服器:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

結果

每個 NSX Manager 節點上的 API 服務在使用 API 更新後,都會重新啟動。從 API 呼叫完成到新組態生效,最多可能會有一分鐘的延遲。API 服務組態中的變更會套用至 NSX Manager 叢集中的所有節點。