기본 구성에서 방화벽 규칙은 계산 네트워크의 VM이 관리 네트워크의 VM에 액세스하지 못하도록 막습니다. 개별 워크로드 VM이 관리 VM에 액세스하도록 허용하려면 워크로드 및 관리 인벤토리 그룹을 생성한 다음, 이를 참조하는 관리 게이트웨이 방화벽 규칙을 생성합니다.
프로시저
- https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
- 인벤토리 > SDDC를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
- NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.
이 워크플로에 대해 VMware Cloud 콘솔 네트워킹 및 보안 탭을 사용할 수도 있습니다.
- 계산 인벤토리 그룹을 생성합니다. 하나는 관리 네트워크용이고 다른 하나는 여기에 액세스할 워크로드 VM용입니다.
인벤토리 페이지에서 그룹 > 계산 그룹을 클릭하고 두 그룹을 생성합니다.
- 그룹 추가 > 멤버 설정을 클릭한 다음 IP 주소 페이지를 열고 IP 주소 입력을 클릭한 후 관리 네트워크의 CIDR 블록을 입력합니다. 적용을 클릭한 다음 저장을 클릭하여 그룹을 생성합니다.
- 그룹 추가 > 멤버 설정을 클릭한 다음 멤버 자격 조건 > 조건 추가를 클릭하고 vSphere 인벤토리에서 가상 시스템을 지정합니다. 적용을 클릭한 다음 저장을 클릭하여 그룹을 생성합니다.
- 계산 그룹에서 액세스할 관리 네트워크를 포함하는 관리 그룹을 생성합니다.
인벤토리 페이지에서 그룹 > 관리 그룹을 클릭합니다. 멤버 선택 페이지에서 IP 주소 입력을 클릭하고 관리 네트워크의 CIDR 블록을 입력합니다. 적용을 클릭한 다음 저장을 클릭하여 그룹을 생성합니다.
- vCenter Server 및 ESXi에 대한 인바운드 트래픽을 허용하는 관리 게이트웨이 방화벽 규칙을 생성합니다.
관리 게이트웨이 방화벽 규칙 생성에 대한 자세한 내용은 관리 게이트웨이 방화벽 규칙 추가 또는 수정 항목을 참조하십시오. 워크로드 VM이 vSphere, PowerCLI 또는 OVFtool에만 액세스하면 된다고 가정하면 규칙은 포트 443에 대한 액세스만 허용하면 됩니다.
표 1. ESXi 및 vCenter에 대한 인바운드 트래픽을 허용하는 관리 게이트웨이 규칙 이름 소스 대상 서비스 작업 ESXi에 인바운드 워크로드 VM 개인 IP ESXi HTTPS(TCP 443) 허용 vCenter 개인 IP에 인바운드 워크로드 VM 개인 IP vCenter 개인 IP HTTPS(TCP 443) 허용 vCenter 공용 IP에 인바운드 NAT 적용 IP가 있는 워크로드 VM vCenter 공용 IP HTTPS(TCP 443) 허용