VMware Cloud Director의 보안 작업을 수행하려면 보안 네트워크 환경이 필요합니다. VMware Cloud Director 설치를 시작하기 전에 이 네트워크 환경을 구성하고 테스트합니다.
모든 VMware Cloud Director 서버를 안전하고 모니터링되는 네트워크에 연결합니다.
VMware Cloud Director에 사용되는 네트워크 포트 및 프로토콜에 대한 자세한 내용은 VMware Ports and Protocols를 참조하십시오.
VMware Cloud Director 네트워크 연결에는 다음과 같은 몇 가지 추가 요구 사항이 있습니다.
- VMware Cloud Director를 공용 인터넷에 직접 연결하지 마십시오. 항상 방화벽을 사용하여 VMware Cloud Director 네트워크 연결을 보호해야 합니다. 포트 443(HTTPS)만 들어오는 연결에 열려 있어야 합니다. 필요한 경우 들어오는 연결을 위해 포트 22(SSH) 및 80(HTTP)을 열 수도 있습니다. 또한 cell-management-tool은 셀의 루프백 주소에 액세스해야 합니다. JMX에 대한 요청(포트8999)을 포함하여 공용 네트워크의 다른 모든 수신 트래픽은 방화벽에서 거부되어야 합니다.
VMware Cloud Director 호스트에서 들어오는 패킷을 허용해야 하는 포트에 대한 자세한 내용은 VMware Ports and Protocols를 참조하십시오.
- 내보내는 연결에 사용되는 포트는 공용 네트워크에 연결하지 마십시오.
VMware Cloud Director 호스트에서 나가는 패킷을 허용해야 하는 포트에 대한 자세한 내용은 VMware Ports and Protocols를 참조하십시오.
- 버전 10.1부터 서비스 제공자 및 테넌트가 VMware Cloud Director API를 사용하여 원격 서버에 대한 연결을 테스트하고, 서버 ID를 SSL 핸드셰이크의 일부로 확인할 수 있습니다. VMware Cloud Director 네트워크 연결을 보호하려면 연결 테스트를 위해 VMware Cloud Director API를 사용하는 테넌트가 연결할 수 없는 내부 호스트의 거부 목록을 구성합니다. VMware Cloud Director 설치 또는 업그레이드 후 그리고 테넌트에 VMware Cloud Director에 대한 액세스 권한을 부여하기 전에 거부 목록을 구성합니다. "VMware Cloud Director 서비스 제공자 관리자 가이드" 에서 "테스트 연결 거부 목록 구성" 을 참조하십시오.
- 전용 개인 네트워크를 통해 VMware Cloud Director 서버와 다음의 서버 사이에 트래픽을 라우팅합니다.
- VMware Cloud Director 데이터베이스 서버
- RabbitMQ
- Cassandra
- 가능한 경우 VMware Cloud Director 서버, vSphere 및 NSX 사이의 트래픽은 전용 개인 네트워크를 통해 라우팅합니다.
- 제공자 네트워크를 지원하는 가상 스위치 및 분산 가상 스위치는 서로 격리되어야 합니다. 해당 스위치는 동일한 계층 2 물리적 네트워크 세그먼트를 공유할 수 없습니다.
- 전송 서비스 스토리지에 NFSv4를 사용합니다. 가장 일반적인 NFS 버전인 NFSv3은 일부 구성에서 전송 중인 데이터를 스니핑 또는 변조할 위험이 있는 전송 중 암호화를 제공하지 않습니다. NFSv3에 내재된 위협은 SANS 백서 신뢰할 수 있는 환경과 신뢰할 수 없는 환경에서의 NFS 보안에 설명되어 있습니다. VMware Cloud Director 전송 서비스 구성 및 보안에 대한 자세한 내용은 VMware 기술 자료 문서 2086127에서 확인할 수 있습니다.