NSX Manager 提供可讓您管理 NSX 環境的 Web 型使用者介面。它也會主控處理 API 呼叫的 API 伺服器。
NSX Manager 介面提供了兩種設定資源的模式:
- 原則模式
- 管理程式模式
原則模式是預設及建議的模式。將在一段時間後棄用管理程式模式,因為所有功能都會轉變為原則。
附註:如需有關將管理程式物件升階至原則物件的詳細資料,請參閱NSX 管理指南中的〈將管理程式物件升階至原則物件〉主題。
存取原則模式和管理程式模式
如果存在,您可以使用原則和管理程式按鈕,在原則和管理程式模式之間切換。切換模式可控制哪些功能表項目可供您使用。
- 依預設,如果您的環境僅包含透過原則模式建立的物件,則您的使用者介面會處於原則模式,且您不會看到原則和管理程式按鈕。
- 依預設,如果您的環境包含透過管理程式模式建立的任何物件,您會在右上角看到原則和管理程式按鈕。
可透過修改使用者介面設定來變更這些預設值。如需詳細資訊,請參閱設定使用者介面設定。
原則和管理程式介面中使用相同的系統索引標籤。如果您修改 Edge 節點、Edge 叢集或傳輸區域,則那些變更可能需要 5 分鐘的時間,才會在原則模式中顯示。您可以使用 POST /policy/api/v1/infra/sites/default/enforcement-points/default?action=reload 立即同步。
使用原則模式或管理程式模式的時機
VMware 建議使用 NSX 原則 UI,因為所有新功能都只能透過原則 UI/API 來實作。
您使用的模式應保持一致性。您會基於幾種原因而選擇使用其中一個模式。
- 如果您要部署新的 NSX 環境,則在多數情況下,最好的選擇是使用原則模式來建立和管理環境。
- 某些功能在原則模式中無法使用。如果您需要這些功能,請對所有組態使用管理程式模式。
- 如果您計劃使用NSX 聯盟,請使用原則模式建立所有物件。全域管理程式僅支援原則模式。
- 如果您要從舊版 NSX 進行升級,且已使用 [進階網路與安全性] 索引標籤建立組態,請使用管理程式模式。
您可在 [進階網路與安全性] 索引標籤下找到的功能表項目和組態,可在 NSX 3.0 的管理程式模式中取得。
同樣地,如果您需要使用管理程式模式,請使用它來建立所有物件。請勿使用原則模式來建立物件。
原則模式 | 管理程式模式 |
---|---|
多數新的部署應使用原則模式。 NSX 聯盟僅支援原則模式。如果您想要使用 NSX 聯盟,或者將來可能使用,請使用原則模式。 |
以前使用進階介面所建立的部署,例如,從原則模式出現之前的版本升級。 |
與其他外掛程式整合的部署。例如,NSX Container Plugin、OpenStack 和其他雲端管理平台。 | |
僅在原則模式中可用的網路功能:
|
轉送累計計時器 |
僅在原則模式中可用的安全性功能:
|
僅在管理程式模式中可用的安全性功能:
|
在原則模式和管理程式模式中建立的物件名稱
取決於用來建立物件的介面,您建立的物件會有不同的名稱。
使用原則模式建立的物件 | 使用管理程式模式建立的物件 |
---|---|
區段 | 邏輯交換器 |
第 1 層閘道 | 第 1 層邏輯路由器 |
第 0 層閘道 | 第 0 層邏輯路由器 |
群組 | NSGroup、IP 集合、MAC 集合 |
安全性原則 | 防火牆區段 |
閘道防火牆 | Edge 防火牆 |
原則和管理程式 API
- 原則 API 包含以
/policy/api
開頭的 URI。 - 管理程式 API 包含以
/api
開頭的 URI。
原則 API 支援部分修補物件。需要明確啟用此功能。如果啟用,您可以提供部分裝載,以使用 PATCH API 更新現有物件。
若要啟用此功能,請使用部分修補組態 API
PATCH /policy/api/v1/system-config/nsx-partial-patch-config
{ "enable_partial_patch": "true" }
預設值為「false」。
如需關於使用原則 API 的詳細資訊,請參閱 NSX 原則 API:入門指南。
安全性
- NSX Manager 具有名為 admin 的內建使用者帳戶,該帳戶具有所有資源的存取權限,但沒有作業系統安裝軟體的權限。NSX 升級檔案是唯一允許安裝的檔案。
- NSX Manager 支援工作階段逾時和自動使用者登出。NSX Manager 不支援工作階段鎖定。啟動工作階段鎖定可能是用來存取 NSX Manager 之工作站作業系統的函數。當工作階段終止或使用者登出時,系統會將使用者重新導向至登入頁面。
- 在 NSX 上實作的驗證機制會遵循安全性最佳做法,並可抵禦重新執行攻擊。安全做法會進行系統化部署。例如,NSX Manager 上每個工作階段的工作階段識別碼和 Token 都是唯一的,且在使用者登出後或在閒置一段時間後到期。此外,每個工作階段都有時間記錄,且工作階段通訊會進行加密,以避免工作階段遭到劫持。
- 命令 get service http 會顯示值的清單,其中包括工作階段逾時。
- 若要變更工作階段逾時值,請執行下列命令:
set service http session-timeout <timeout-value-in-seconds> restart service ui-service