NSX Advanced 방화벽 추가 기능을 사용하면 SDDC에서 고급 NSX-T 기능을 사용할 수 있습니다.

VMware Cloud on AWS에 대한 NSX Advanced 방화벽 기능에는 다음이 포함됩니다.

SDDC에서 NSX Advanced 방화벽 추가 기능을 활성화하려면 추가 기능 탭을 열고 NSX Advanced 방화벽 추가 기능 카드에서 활성화를 클릭합니다. 추가 기능이 활성화되면 NSX-T Advanced Security 기능을 SDDC의 네트워킹 및 보안 탭에서 사용할 수 있게 됩니다.

이러한 모든 기능에 대한 자세한 내용은 "VMware NSX-T Data Center 제품 설명서" 에서 찾을 수 있습니다. 기능이 온-프레미스 NSX-T에서 작동하는 방식과 VMware Cloud on AWS 네트워킹 및 보안 탭에서 작동하는 방식 간에는 몇 가지 작동상의 차이점이 있습니다. 예를 들어, "VMware NSX-T Data Center 제품 설명서" 에 있는 대부분의 절차에는 관리자 권한으로 NSX Manager에 로그인하라는 단계가 포함되어 있습니다. 네트워킹 및 보안 탭을 열면 SDDC의 NSX Manager에 대한 관리자 액세스 권한이 부여되므로 이 단계는 VMware Cloud on AWS에서 필요하지 않습니다. 다른 차이점은 다음 섹션에 나열되어 있습니다.

SDDC에서 컨텍스트 프로파일 사용

네트워킹 및 보안 탭을 열고 인벤토리 아래에서 컨텍스트 프로파일 버튼을 클릭합니다. 분산 방화벽 그리드의 프로파일 열에서 값을 업데이트하여 분산 방화벽 규칙에서 컨텍스트 프로파일을 지정할 수 있습니다. 자세한 내용은 "VMware NSX-T Data Center 제품 설명서" 에서 계층 7 방화벽 규칙 워크플로를 참조하십시오.

VMware Cloud on AWS에서, 컨텍스트 프로파일은 분산 방화벽 규칙과 함께 사용하는 경우에만 지원됩니다. MGW 또는 CGW 방화벽 규칙과 함께 사용할 수 없습니다.

SDDC에서 Distributed IDS/IPS 사용

네트워킹 및 보안 탭을 열고 보안 아래에서 Distributed IDS/IPS 버튼을 클릭합니다. 자세한 내용은 "VMware NSX-T Data Center 제품 설명서" 에서 Distributed IDS/IPS를 참조하십시오.

VMware Cloud on AWS에서 이 기능을 사용하는 경우 다음과 같은 작업 차이에 유의하십시오.
클러스터별 사용 설정
이 기능을 사용하려면 하나 이상의 SDDC 클러스터에서 사용하도록 설정합니다. 네트워킹 및 보안 탭을 열고 보안 아래에서 Distributed IDS/IPS 버튼을 클릭합니다. Distributed IDS/IPS 페이지에서 설정 탭을 클릭한 다음 클러스터에 대한 침입 탐지 및 방지 사용에서 하나 이상의 클러스터를 선택합니다. vMotion은 현재 VM을 마이그레이션하기 전에 클러스터의 IDS/IPS 설정 상태를 확인하지 않으므로 마이그레이션이 워크로드 VM에 대한 IDS/IPS 애플리케이션에 영향을 주지 않도록 모든 클러스터에서 이 기능을 사용하도록 설정하는 것이 좋습니다.
호스트에 대한 액세스 없음
VMware Cloud on AWS는 SDDC 호스트에 대한 액세스를 허용하지 않으므로 호스트에서 Distributed IDS 상태를 확인할 수 없습니다. 또한 Distributed IDS/IPS 이벤트를 사용할 수 없습니다.
로깅
VMware Cloud on AWS에서, 이 기능을 통해 생성된 이벤트는 VMware vRealize Log Insight Cloud에 기록됩니다.

SDDC에서 ID 방화벽 사용

사용자 기반 ID 방화벽 규칙을 생성할 수 있도록 네트워킹 및 보안 탭을 열고 시스템 아래에서 ID 방화벽 AD 버튼을 클릭하여 SDDC Active Directory 도메인을 추가합니다. (NSX Manager 웹 인터페이스에서 시스템 탭을 열고 구성 > ID 방화벽 AD를 클릭합니다.)

VMware Cloud on AWS에서 이 기능을 사용하는 경우 다음과 같은 작업 차이에 유의하십시오.
하나 이상의 SDDC 클러스터에 대해 기능 사용
이 기능을 사용하려면 먼저 분산 방화벽 규칙 관리에서 'ID 방화벽 설정 구성' 단계를 수행하여 기능을 사용하도록 설정하고 하나 이상의 SDDC 클러스터에 적용해야 합니다.
Active Directory 액세스를 허용하는 방화벽 규칙 생성
Active Directory를 사용하는 경우 NSX Manager가 정의한 Active Directory 서버에 액세스하도록 허용하는 관리 게이트웨이 방화벽 규칙도 생성해야 합니다. 이 기능은 SDDC에서 Active Directory에 대한 액세스가 중단되는 경우 작동하지 않으므로 여기에서 생성하는 방화벽 규칙이 Active Directory 서버가 변경될 때도 유효한 상태로 유지되도록 하는 것이 중요합니다. 자세한 내용은 " VMware NSX-T Data Center 제품 설명서" 에서 Active Directory 추가를 참조하십시오.
분산 FQDN 필터링
VMware Cloud on AWS에서, NSX-T FQDN 필터링은 분산 방화벽 규칙에만 사용할 수 있습니다. MGW 또는 CGW 방화벽 규칙에는 사용할 수 없습니다. 이 기능을 사용하려면 먼저 특정 도메인(FQDN/URL) 필터링에 설명된 DNS 스누핑 규칙을 정책의 첫 번째 규칙으로 추가해야 합니다. 또한 FQDN 필터링을 지원하려는 모든 세그먼트에 대해 미리 정의된 FQDNfiltering-spoofguard-profile 세그먼트 프로파일을 사용하도록 설정해야 합니다. SDDC 네트워크 세그먼트에 세그먼트 프로파일을 적용하는 방법에 대한 자세한 내용은 네트워크 세그먼트 생성 또는 수정 항목을 참조하십시오.
로깅
VMware Cloud on AWS에서, 이 기능을 통해 생성된 이벤트는 VMware vRealize Log Insight Cloud에 기록됩니다.

NSX Advanced 방화벽 추가 기능 비활성화

NSX Advanced 방화벽 추가 기능을 비활성화하려면 먼저 추가 기능을 참조하는 모든 방화벽 규칙을 제거해야 합니다. 여기에는 다음이 포함됩니다.
  • 컨텍스트 프로파일을 포함하는 모든 분산 방화벽 규칙
  • 모든 Distributed IDS/IPS 규칙 및 프로파일
  • 모든 ID 기반 방화벽 규칙
이러한 개체를 제거한 후 추가 기능을 비활성화할 수 있습니다.
  1. SDDC에서 추가 기능 탭을 엽니다.
  2. NSX Advanced 방화벽 추가 기능 카드에서 작업 > 비활성화를 클릭합니다.
  3. 비활성화하기 전에 제거해야 하는 개체 목록을 검토합니다. 개체가 확실하게 제거되었다면 비활성화 확인을 클릭합니다.
비활성화가 완료되는 즉시 추가 기능에 대한 청구는 중지됩니다.