VMware Aria Automation 클라우드 템플릿을 생성하거나 편집할 때는 목표를 달성하는 데 가장 적합한 보안 리소스 옵션을 사용합니다.
클라우드 애그노스틱 보안 그룹 리소스
Cloud.SecurityGroup
리소스 유형으로 표시됩니다. 기본 리소스는 다음과 같이 표시됩니다.
Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: constraints: [] securityGroupType: existing
클라우드 템플릿 설계에서 보안 그룹 리소스를 기존(securityGroupType: existing
) 또는 주문형(securityGroupType: new
)으로 지정합니다.
기존 보안 그룹을 클라우드 템플릿에 추가하거나 네트워크 프로파일에 추가된 기존 보안 그룹을 사용할 수 있습니다.
NSX-V와 NSX-T는 물론 VMware Cloud on AWS와 함께 사용하도록 설정한 정책 관리자 스위치가 있는 NSX-T의 경우, 클라우드 템플릿을 설계하거나 수정할 때 기존 보안 그룹을 추가하거나 새 보안 그룹을 정의할 수 있습니다. 주문형 보안 그룹은 NSX-T 및 NSX-V에 대해 지원되며 NSX-T 정책 관리자와 함께 사용하는 경우 VMware Cloud on AWS에 대해 지원됩니다.
Microsoft Azure를 제외한 모든 클라우드 계정 유형의 경우 하나 이상의 보안 그룹을 시스템 NIC에 연결할 수 있습니다. Microsoft Azure 가상 시스템 NIC( "machineName" )는 하나의 보안 그룹에만 연결할 수 있습니다.
기본적으로 보안 그룹 속성 securityGroupType
은 existing
으로 설정되어 있습니다. 주문형 보안 그룹을 생성하려면 securityGroupType
속성에 대해 new
를 입력합니다. 주문형 보안 그룹에 대한 방화벽 규칙을 지정하려면 보안 그룹 리소스의 Cloud.SecurityGroup
섹션에서 rules
속성을 사용합니다.
기존 보안 그룹
기존 보안 그룹은 NSX-T 또는 Amazon Web Services 같은 소스 클라우드 계정 리소스에서 생성됩니다. 이는 소스에서 VMware Aria Automation에 의해 수집된 데이터입니다. VMware Aria Automation 네트워크 프로파일의 일부로 사용 가능한 리소스 목록에서 기존 보안 그룹을 선택할 수 있습니다. 클라우드 템플릿 설계에서 보안 그룹 리소스의 securityGroupType: existing
설정을 사용하여 이름별로 구체적으로 또는 지정된 네트워크 프로파일에서 멤버 자격별로 근본적으로 기존 보안 그룹을 지정할 수 있습니다. 네트워크 프로파일에 보안 그룹을 추가하는 경우 네트워크 프로파일에 기능 태그를 하나 이상 추가합니다. 클라우드 템플릿 설계에서 주문형 보안 그룹 리소스를 사용하려면 제약 조건 태그가 필요합니다.
클라우드 템플릿 설계의 보안 그룹 리소스를 하나 이상의 시스템 리소스에 연결할 수 있습니다.
주문형 보안 그룹
보안 그룹 리소스 코드의 securityGroupType: new
설정을 사용하여 클라우드 템플릿 설계를 정의하거나 수정할 때 주문형 보안 그룹을 정의할 수 있습니다.
NSX-V와 NSX-T는 물론 NSX-T 정책 유형과 함께 사용할 경우 Amazon Web Services에 대해 주문형 보안 그룹을 사용하여 네트워크 시스템 리소스 또는 그룹화된 리소스 집합에 특정 방화벽 규칙 집합을 적용할 수 있습니다. 각 보안 그룹에는 명명된 방화벽 규칙을 여러 개 포함할 수 있습니다. 주문형 보안 그룹을 사용하여 서비스 또는 프로토콜 및 포트를 지정할 수 있습니다. 서비스나 프로토콜 중 하나만 지정할 수 있습니다. 프로토콜에 더해 포트를 지정할 수 있습니다. 서비스를 지정하는 경우에는 포트를 지정할 수 없습니다. 규칙에 서비스 또는 프로토콜이 포함되어 있지 않은 경우 기본 서비스 값은 [임의]입니다.
방화벽 규칙에서 IP 주소 및 IP 범위를 지정할 수도 있습니다. 일부 방화벽 규칙 예는 Automation Assembler의 네트워크, 보안 그룹 및 로드 밸런서 리소스 예에 나와 있습니다.
- 허용(기본값) - 이 방화벽 규칙에 지정된 네트워크 트래픽을 허용합니다.
- 거부 - 이 방화벽 규칙에 지정된 네트워크 트래픽을 차단합니다. 연결이 거부되었음을 클라이언트에게 능동적으로 알립니다.
- 삭제 - 이 방화벽 규칙에 지정된 네트워크 트래픽을 거부합니다. 수신기가 온라인 상태가 아닌 경우에도 자동으로 패킷을 삭제합니다.
access: Allow
및
access: Deny
방화벽 규칙을 사용하는 설계 예는
Automation Assembler의 네트워크, 보안 그룹 및 로드 밸런서 리소스 예의 내용을 참조하십시오.
방화벽 규칙은 소스 및 대상 IP 주소에 대한 IPv4 또는 IPv6 형식 CIDR 값을 지원합니다. 방화벽 규칙에서 IPv6 CIDR 값을 사용하는 설계 예는 Automation Assembler의 네트워크, 보안 그룹 및 로드 밸런서 리소스 예의 내용을 참조하십시오.
보안 그룹 배치에 제약 조건 사용
Cloud_SecurityGroup_4: type: Cloud.SecurityGroup properties: securityGroupType: new constraints: - tag: na
na
기능 태그가 있는 끝점(로컬 NSX Manager 클라우드 계정)에 프로비저닝됩니다.
- 여러 끝점이 제약 조건을 충족하는 경우 클라우드 영역의 프로비저닝 우선 순위가 가장 높은 끝점이 선택됩니다.
- 제약 조건을 충족하는 끝점이 없으면 배포가 실패합니다.
- 보안 그룹이 다른 리소스에 연결된 경우 해당 리소스의 각 끝점은 리소스 자체의 배치 제약 조건 외에 보안 그룹 제약 조건을 충족해야 합니다.
VMware Cloud on AWS용 주문형 및 기존 보안 그룹
보안 그룹 리소스 코드의 securityGroupType: new
설정을 사용하여 클라우드 템플릿에서 VMware Cloud on AWS 시스템용 주문형 보안 그룹을 정의할 수 있습니다.
resources: Cloud_SecurityGroup_1: type: Cloud.SecurityGroup properties: name: vmc-odsg securityGroupType: new rules: - name: datapath direction: inbound protocol: TCP ports: 5011 access: Allow source: any
다음 예에 나와 있는 것과 같이 네트워크 VMware Cloud on AWS 시스템용 기존 보안 그룹을 정의하고 필요에 따라 제약 조건 태그 지정을 포함할 수도 있습니다.
Cloud_SecurityGroup_2: type: Cloud.SecurityGroup properties: constraints: [xyz] securityGroupType: existing
Cloud_SecurityGroup_3: type: Cloud.SecurityGroup properties: securityGroupType: existing constraints: - tag: xyz
- 보안 그룹이 배포에 있는 하나 이상의 시스템과 연결되어 있는 경우 삭제 작업을 수행하면 보안 그룹을 삭제할 수 없다는 메시지가 표시됩니다.
- 보안 그룹이 배포에 있는 시스템과 연결되어 있지 않은 경우 삭제 작업을 수행하면 이 배포에서 보안 그룹이 삭제되고 작업을 실행 취소할 수 없다는 메시지가 표시됩니다. 기존 보안 그룹이 클라우드 템플릿에서 삭제되고, 주문형 보안 그룹이 삭제됩니다.
NSX-V 보안 태그 및 NSX-T VM 태그 사용
VMware Aria Automation 클라우드 템플릿의 관리되는 리소스에서 NSX-V 보안 태그와 NSX-T 및 NSX-T를 정책 VM 태그와 함께 보고 사용할 수 있습니다.
NSX-V 및 NSX-T 보안 태그는 vSphere에서 사용할 수 있습니다. NSX-T 보안 태그는 VMware Cloud on AWS에서 사용할 수도 있습니다.
vSphere에 배포된 VM과 마찬가지로 VMware Cloud on AWS에 배포할 VM에 대해 시스템 태그를 구성할 수 있습니다. 초기 배포 후에 시스템 태그를 업데이트할 수도 있습니다. 이러한 시스템 태그를 사용하면 배포 중에 VMware Aria Automation에서 VM을 적절한 NSX-T 보안 그룹에 동적으로 할당할 수 있습니다.
key: nsxSecurityTag
및 태그 값을 사용하여
NSX-V 보안 태그를 지정할 수 있습니다.
tags: - key: nsxSecurityTag - value: security_tag_1 - key: nsxSecurityTag - value: security_tag_2
지정된 값은 NSX-V 보안 태그와 일치해야 합니다. 지정된 nsxSecurityTag
키 값과 일치하는 보안 태그가 NSX-V에 없으면 배포가 실패합니다.
NSX-V 보안 태그 지정을 사용하려면 시스템이 NSX-V 네트워크에 연결되어 있어야 합니다. 시스템이 vSphere 네트워크에 연결되어 있으면 NSX-V 보안 태그 지정이 무시됩니다. 두 경우 모두 vSphere 시스템에도 태그가 지정됩니다.
NSX-T에는 별도의 보안 태그가 없습니다. 클라우드 템플릿의 계산 리소스에 지정된 태그가 있으면 배포된 VM은 NSX-T에 지정된 모든 태그와 연결됩니다. 정책이 있는 NSX-T를 포함한 NSX-T의 경우, VM 태그는 클라우드 템플릿에서 키 값 쌍으로도 표현됩니다. key
설정은 NSX-T의 scope
설정과 같으며 value
설정은 NSX-T에 지정된 Tag Name
과 같습니다.
VMware Aria Automation V2T Migration Assistant를 사용하여 클라우드 계정을 NSX-V에서 NSX-T(정책이 있는 NSX-T 포함)로 마이그레이션하면 Migration Assistant에서 nsxSecurityTag
키 값 쌍이 생성됩니다. 이 시나리오에서 또는 어떤 이유로든 NSX-T(정책이 있는 NSX-T 포함)에서 사용할 nsxSecurityTag
가 클라우드 템플릿에 명시적으로 지정되어 있으면, 배포는 지정된 value
와 일치하는 태그 이름을 사용하여 빈 범위 설정으로 VM 태그를 생성합니다. 이러한 태그를 NSX-T에서 보면 범위 열이 비어 있습니다.
혼동을 피하기 위해 NSX-T의 경우 nsxSecurityTag
키 쌍을 사용하지 마십시오. NSX-T(정책이 있는 NSX-T 포함)에서 사용할 nsxSecurityTag
키 값 쌍을 지정하면, 배포는 지정된 value
와 일치하는 태그 이름을 사용하여 빈 범위 설정으로 VM 태그를 생성합니다. 이러한 태그를 NSX-T에서 보면 범위 열이 비어 있습니다.
주문형 보안 그룹 방화벽 규칙에서 App 분리 정책 사용
App 분리 정책을 사용하여 클라우드 템플릿에서 프로비저닝된 리소스 간의 내부 트래픽만 허용할 수 있습니다. App 분리 정책을 사용하면 클라우드 템플릿에서 프로비저닝된 시스템이 다른 시스템과 통신할 수 있지만 방화벽 외부에 연결할 수는 없습니다. 네트워크 프로파일에서 App 분리 정책을 생성할 수 있습니다. 또한 방화벽 거부 규칙이 있는 주문형 보안 그룹을 사용하거나 전용 또는 아웃바운드 네트워크를 사용하여 클라우드 템플릿 설계에 App 분리를 지정할 수도 있습니다.
App 분리 정책은 낮은 우선 순위로 생성됩니다. 여러 정책을 적용하는 경우 가중치가 더 높은 정책이 우선 적용됩니다.
애플리케이션 격리 정책을 생성하면 자동 생성되는 정책 이름이 생성됩니다. 또한 이 정책은 연결된 리소스 끝점 및 프로젝트와 관련된 다른 클라우드 템플릿 설계 및 반복에서 재사용할 수 있습니다. 애플리케이션 격리 정책 이름은 클라우드 템플릿에 표시되지 않지만, 클라우드 템플릿 설계를 배포한 후에 [프로젝트] 페이지(
)에서 사용자 지정 속성으로 표시됩니다.프로젝트에서 동일한 연결된 끝점의 경우, App 분리를 위해 주문형 보안 그룹이 필요한 모든 배포는 동일한 App 분리 정책을 사용할 수 있습니다. 정책이 생성되면 삭제되지 않습니다. App 분리 정책을 지정하면 VMware Aria Automation가 프로젝트 내에서 그리고 연결된 끝점과 관련하여 정책을 검색합니다. 정책을 찾으면 재사용하고, 정책을 찾지 못하면 생성합니다. App 분리 정책 이름은 프로젝트의 사용자 지정 속성 목록에서 초기 배포 후에만 표시됩니다.
반복적인 클라우드 템플릿 개발에서 보안 그룹 사용
- Automation Assembler 템플릿 디자이너에서, 보안 그룹을 클라우드 템플릿의 연결된 모든 시스템에서 분리합니다.
- 기존 배포 업데이트를 클릭하여 템플릿을 다시 배포합니다.
- 템플릿에서 기존의 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성을 제거합니다.
- 템플릿에 새 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성을 추가합니다.
- 새 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성 인스턴스를 템플릿의 시스템에 연결합니다.
- 기존 배포 업데이트를 클릭하여 템플릿을 다시 배포합니다.
사용 가능한 2일차 작업
클라우드 템플릿 및 배포 리소스에 사용할 수 있는 일반 2일차 작업의 목록은 Automation Assembler 배포 또는 지원되는 리소스에서 실행할 수 있는 작업의 내용을 참조하십시오.
자세히 알아보기
네트워크 격리를 위한 보안 그룹 사용에 대한 자세한 내용은 VMware Aria Automation의 보안 리소스의 내용을 참조하십시오.
네트워크 프로파일에서 보안 그룹 사용에 대한 자세한 내용은 VMware Aria Automation의 네트워크 프로파일에 대해 알아보기 및 VMware Aria Automation에서 네트워크 프로파일 및 클라우드 템플릿 설계의 보안 그룹 설정 사용의 내용을 참조하십시오.
클라우드 템플릿에서 보안 그룹 사용의 예는 Automation Assembler의 네트워크, 보안 그룹 및 로드 밸런서 리소스 예의 내용을 참조하십시오.