SDDC 관리 인프라의 안전과 보안을 유지하는 것이 중요합니다. 기본적으로 관리 게이트웨이는 모든 소스에서 모든 관리 네트워크 대상으로 흐르는 트래픽을 차단합니다.
SDDC 관리 인프라에 대한 액세스를 구성할 때에는 SDDC 관리 네트워크에 필요한 액세스만 허용하는 관리 게이트웨이 방화벽 규칙을 생성하는 것이 중요합니다. 관리 게이트웨이에 액세스하려면 SDDC와 온-프레미스 데이터 센터 간 AWS Direct Connect 구성 또는 SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성 작업을 수행하거나 둘 다 수행할 수 있습니다. 엔터프라이즈와 SDDC 간 전용 연결을 제공하는 Direct Connect는 단독으로 사용하거나 IPsec VPN과 함께 사용하여 트래픽을 암호화할 수 있습니다.
Direct Connect, VMware 관리 Transit Gateway, 또는 VPN을 사용할 수 없는 경우 공용 DNS 및 vCenter Server 공용 IP를 사용하여 인터넷을 통해 직접 SDDC vCenter Server에 액세스할 수 있습니다. 이렇게 하는 경우 신뢰할 수 없는 소스가 관리 네트워크에 액세스하지 못하도록 방지하는 관리 게이트웨이 방화벽 규칙을 생성해야 합니다. VPN은 암호화 및 인증 프로토콜을 통해 추가적인 보안을 제공합니다.
관리 게이트웨이 방화벽 규칙은 소스 및 대상 주소와 서비스 포트를 기반으로 네트워크 트래픽에 대해 수행할 작업을 지정합니다. 소스 또는 대상이 시스템 정의 인벤토리 그룹이어야 합니다. 인벤토리 그룹 보기 및 수정에 대한 자세한 내용은
인벤토리 그룹 사용 항목을 참조하십시오.
중요:
기본 관리 게이트웨이 방화벽 규칙은 모든 트래픽을 거부하므로 사용자 정의 관리 게이트웨이 방화벽 규칙을 하나 이상 생성하여 vCenter Server Appliance, 기타 관리 VM 및 장치에 대한 액세스를 제공해야 합니다. 공용 인터넷을 통해 관리 게이트웨이에 액세스할 때 적절한 보안을 제공하려면 자신이 소유하고 있거나 신뢰하는 IP 주소의 트래픽만 허용하는 관리 게이트웨이 방화벽 규칙을 구성하고 항상 내부 및 외부의 소스 IP 범위를 가능한 가장 작은 집합으로 제한합니다. 예를 들어 CIDR 블록이 93.184.216.34/30인 주소에서 인터넷에 액세스하는 엔터프라이즈는
소스 CIDR이 93.184.216.34/30인 트래픽만
예제 관리 게이트웨이 방화벽 규칙에 표시된 것과 같은 관리 대상에 액세스하도록 허용하는 관리 게이트웨이 방화벽 규칙을 생성해야 합니다. SDDC 버전 1.22부터는
임의 또는 0.0.0.0/0을 포함하는
소스 트래픽을 허용하는 관리 게이트웨이 방화벽 규칙을 게시할 수 없습니다. SDDC 관리 인프라에 대한 보안 액세스를 제공하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서
84154를 참조하십시오.
방화벽 규칙에는 두 가지 유형이 있습니다.
- 미리 정의된 방화벽 규칙은 VMware Cloud on AWS에서 생성되고 관리됩니다. 이러한 역할은 수정하거나 순서를 변경할 수 없습니다. 미리 정의된 관리 게이트웨이 방화벽 규칙이 하나 있습니다.
표 1.
미리 정의된 관리 게이트웨이 방화벽 규칙
이름 |
소스 |
대상 |
서비스 |
작업 |
기본적으로 모두 거부 |
임의 |
임의 |
임의 |
삭제 |
이 규칙은 기본 거부 모드에서 작동하기 때문에 고객 정의 규칙에 의해 명시적으로 허용된 트래픽만 허용됩니다.
- 고객 정의 방화벽 규칙은 지정한 순서대로 처리되며 항상 미리 정의된 규칙 전에 처리됩니다. 이러한 규칙에서는 소스 또는 대상이 시스템 정의 그룹이어야 하며, 사용 가능한 포트 및 서비스의 목록은 VMware에서 관리하는 제한된 목록이어야 합니다. 소스가 시스템 정의 그룹인 경우 서비스는 임의여야 합니다. 또한 이러한 규칙에는 허용 작업이 있으므로 규칙 순서는 일반적으로 중요하지 않습니다.
프로시저
- https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
- 를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
- NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.
이 워크플로에 대해
VMware Cloud 콘솔
네트워킹 및 보안 탭을 사용할 수도 있습니다.
- 게이트웨이 방화벽 카드에서 관리 게이트웨이를 클릭한 다음 규칙 추가를 클릭하고 새 규칙의 이름을 지정합니다.
- 새 규칙에 대한 매개 변수를 입력합니다.
매개 변수가 기본값으로 초기화됩니다(예:
소스 및
대상에 대해
임의). 매개 변수를 편집하려면 매개 변수 값 위로 마우스 커서를 이동하고 연필 아이콘(
)을 클릭하여 매개 변수별 편집기를 엽니다.
옵션 |
설명 |
소스 |
소스 주소 조합(CIDR 블록 또는 관리 그룹 이름)을 입력합니다.
중요:
방화벽 규칙에서 임의를 소스 주소로 선택할 수 있지만 대상이 vCenter인 경우에는 소스 주소로 임의 또는 와일드카드 0.0.0.0/0을 사용할 수 없습니다. 이렇게 하면 vCenter Server에 대한 공격이 가능해져서 SDDC가 손상될 수 있습니다.
시스템 정의 그룹을 선택하고 다음 소스 옵션 중 하나를 선택합니다.
- ESXi - SDDC의 ESXi 호스트에서 오는 트래픽 허용
- NSX Manager - SDDC의 NSX 장치에서 오는 트래픽 허용
- vCenter - SDDC의 vCenter Server에서 전송하는 트래픽 허용
- SDDC에서 사용하도록 설정된 기타 통합 서비스
사용자 정의 그룹을 선택하면 정의한 관리 그룹을 사용할 수 있습니다. 인벤토리 그룹 사용의 내용을 참조하십시오. |
대상 |
임의의 대상 주소 또는 주소 범위로 향하는 트래픽을 허용하려면 임의를 선택합니다.
시스템 정의 그룹을 선택하고 다음 대상 옵션 중 하나를 선택합니다.
- ESXi - SDDC의 ESXi 관리로 향하는 트래픽 허용
- NSX Manager - SDDC의 NSX 장치로 향하는 트래픽 허용
- vCenter - SDDC의 vCenter Server에 전송되는 트래픽 허용
- SDDC에서 사용하도록 설정된 기타 통합 서비스
|
서비스 |
규칙을 적용할 서비스 유형을 선택합니다. 서비스 유형 목록은 선택한 소스 및 대상에 따라 다릅니다. |
작업 |
새 관리 게이트웨이 방화벽 규칙에 사용할 수 있는 유일한 작업은 허용입니다. |
새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.
- 게시를 클릭하여 규칙을 생성합니다.
시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.
방화벽 규칙은 위에서 아래로 적용됩니다. 맨 아래에는 기본 삭제 규칙이 항상 있고 위의 규칙은 항상 허용 규칙이기 때문에 관리 게이트웨이 방화벽 규칙 순서는 트래픽 흐름에 영향을 주지 않습니다.
예: 관리 게이트웨이 방화벽 규칙 생성
온-프레미스
ESXi 호스트에서 SDDC의
ESXi 호스트로의 vMotion 트래픽을 허용하는 관리 게이트웨이 방화벽 규칙을 생성하려면 다음과 같이 하십시오.
- SDDC에 vMotion을 사용하도록 설정할 온-프레미스 ESXi 호스트가 포함된 관리 인벤토리 그룹을 생성합니다.
- 소스 ESXi와 대상 온-프레미스 ESXi 호스트로 관리 게이트웨이 규칙을 생성합니다.
- 소스 온-프레미스 ESXi 호스트 그룹과 vMotion 서비스가 포함된 대상 ESXi로 또 다른 관리 게이트웨이 규칙을 생성합니다.
다음에 수행할 작업
[기본적으로 모두 거부] 이외의 규칙에 대해 규칙 적중 통계 및 흐름 통계를 볼 수 있습니다.