기본적으로 계산 게이트웨이는 SDDC 계산 네트워크로 들어오고 나가는 트래픽을 차단합니다. 계산 게이트웨이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

기본 계산 게이트웨이 및 직접 생성한 추가 Tier-1 게이트웨이에 대한 방화벽 규칙은 지정된 소스에서 지정된 대상 및 서비스로의 네트워크 트래픽에 대해 수행할 작업을 지정합니다. 작업은 다음 중 하나일 수 있습니다.
  • 허용(일치하는 트래픽 허용)
  • 삭제(일치하는 트래픽 자동 삭제)
  • 거부(일치하는 트래픽 삭제 및 소스에 알림)
규칙은 물리적 네트워크 인터페이스 목록의 선택 항목에 적용되거나 게이트웨이에서 VPC 인터페이스, 인터넷 인터페이스 또는 인트라넷(Direct Connect) 인터페이스로 이동하는 모든 트래픽에 적용되는 일반 규격의 모든 업링크에 적용될 수 있습니다.
참고: 모든 업링크에 적용하는 방화벽 규칙은 물리적 인터페이스가 아니라 가상 인터페이스인 VTI(VPN 터널 인터페이스)에는 적용되지 않습니다. VPN 터널 인터페이스는 경로 기반 VPN을 통해 워크로드 VM 통신을 관리하는 모든 방화벽 규칙의 적용 대상 매개 변수에 명확하게 지정해야 합니다.

방화벽을 통과하려는 모든 트래픽은 규칙 목록에 표시된 순서대로 규칙에 의해 평가됩니다. 첫 번째 규칙과 일치하는 트래픽은 해당 작업(허용, 삭제 또는 거부)을 따르고 평가가 중지됩니다. 첫 번째 규칙과 일치하지 않는 트래픽은 후속 규칙으로 전달됩니다. 일치 항목이 발견되면 규칙 작업에 지정된 대로 트래픽이 허용, 삭제 또는 거부되고 추가적인 규칙 평가가 중지됩니다. 고객 정의 규칙과 일치하지 않는 트래픽은 기본 규칙에 의해 처리됩니다.

방화벽 규칙에는 두 가지 유형이 있습니다.
  • 미리 정의된 방화벽 규칙은 VMware Cloud on AWS에서 생성됩니다. 미리 정의된 계산 게이트웨이 방화벽 규칙은 두 가지입니다.
    표 1. 미리 정의된 계산 게이트웨이 방화벽 규칙
    이름 소스 대상 서비스 적용 대상 작업
    기본 VTI 규칙 임의 임의 임의 VPN 터널 인터페이스 삭제 *
    기본 업링크 규칙 임의 임의 임의 모든 업링크 삭제
    * 기본 VTI 규칙은 가상 터널 인터페이스를 통한 모든 경로 기반 VPN 트래픽을 삭제하므로 워크로드 VM이 경로 기반 VPN을 통해 통신할 수 있게 하려면 이 규칙을 트래픽 허용으로 수정하거나 규칙 계층에서 더 낮은 순위로, 즉 허용 범위가 더 넓은 규칙 다음에 오도록 이동합니다. 기본 업링크 규칙은 수정하거나 순서를 변경할 수 없습니다.
  • 고객 정의 방화벽 규칙은 지정한 순서대로 처리되며 항상 기본 업링크 규칙 전에 처리됩니다.

사전 요구 사항

계산 게이트웨이 방화벽 규칙에는 소스 및 대상 값에 대해 명명된 인벤토리 그룹이 필요합니다. 인벤토리 그룹 사용의 내용을 참조하십시오.

프로시저

  1. https://vmc.vmware.com에서 VMware Cloud Services에 로그인합니다.
  2. 인벤토리 > SDDC를 클릭한 다음 SDDC 카드를 선택하고 세부 정보 보기를 클릭합니다.
  3. NSX Manager 열기를 클릭하고 SDDC 설정 페이지에 표시된 NSX Manager 관리자 계정으로 로그인합니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.
    이 워크플로에 대해 VMware Cloud 콘솔 네트워킹 및 보안 탭을 사용할 수도 있습니다.
  4. 게이트웨이 방화벽 페이지에서 계산 게이트웨이를 클릭합니다.
  5. 규칙을 추가하려면 규칙 추가를 클릭한 후 새 규칙의 이름 지정합니다.
  6. 새 규칙에 대한 매개 변수를 입력합니다.
    매개 변수는 기본값으로 초기화됩니다(예: 소스대상의 경우 모두). 매개 변수를 편집하려면 매개 변수 값 위로 마우스 커서를 이동하고 연필 아이콘( 연필 아이콘)을 클릭하여 매개 변수별 편집기를 엽니다.
    옵션 설명
    소스 소스 열에서 모두를 클릭하고 소스 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다.
    대상 대상 열에서 모두를 클릭하고 대상 네트워크 트래픽에 대한 인벤토리 그룹을 선택하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생성합니다. 저장을 클릭합니다.
    서비스 서비스 열에서 모두를 클릭하고 목록에서 서비스를 선택하거나 서비스 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 서비스를 생성합니다. 저장을 클릭합니다.
    적용 대상 규칙이 적용되는 트래픽 유형을 정의합니다.
    • 경로 기반 VPN을 통해 트래픽에 규칙을 적용하려면 VPN 터널 인터페이스를 선택합니다.
    • 연결된 AWS VPC 연결을 통해 트래픽에 규칙을 적용하려면 VPC 인터페이스를 선택합니다.
    • 공용 IP 끝점을 사용하는 정책 기반 VPN을 통한 트래픽을 포함하여 SDDC의 인터넷 게이트웨이를 통한 트래픽에 규칙을 적용하려면 인터넷 인터페이스를 선택합니다.
    • AWS Direct Connect, VMware Transit Connect개인 IP를 사용하는 정책 기반 VPN을 통한 트래픽에 규칙을 허용하려면 인트라넷 인터페이스를 선택합니다.
    • VPC 인터페이스, 인터넷 인터페이스인트라넷 인터페이스에 규칙을 적용하지만 VPN 터널 인터페이스에는 적용하지 않으려면 모든 업링크를 선택합니다.
      참고: VPN 터널 인터페이스는 업링크로 분류되지 않습니다.
    작업
    • 모든 L3 트래픽이 방화벽을 통과하도록 허용하려면 허용을 선택합니다.
    • 지정된 소스, 대상서비스와 일치하는 모든 패킷을 삭제하려면 삭제를 선택합니다. 이것은 소스나 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을 삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.
    • 지정된 소스, 대상서비스와 일치하는 모든 패킷을 거부하려면 거부를 선택합니다. 이 작업은 보낸 사람에게 "대상에 접속할 수 없음 메시지"를 반환합니다. TCP 패킷의 경우 응답에 TCP RST 메시지가 포함됩니다. UDP, ICMP 및 기타 프로토콜의 경우 응답에 "관리 목적으로 금지됨" 코드(9 또는 10)가 포함됩니다. 연결을 설정할 수 없을 때 다시 시도 없이 보낸 사람에게 즉시 알림이 표시됩니다.
    새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.
  7. 게시를 클릭하여 규칙을 생성합니다.

    시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.

다음에 수행할 작업

기존 방화벽 규칙에 대해 이러한 선택적 작업 전체 또는 일부를 수행할 수 있습니다.

  • 기어 아이콘 톱니 아이콘을 클릭하여 규칙 로깅 설정을 보거나 수정합니다. 로그 항목은 VMware VMware Aria Operations for Logs 서비스로 전송됩니다. "VMware Cloud on AWS 운영 가이드" 에서 VMware Aria Operations for Logs 사용 항목을 참조하십시오.

  • 그래프 아이콘 그래프 아이콘을 클릭하여 규칙에 대한 규칙 적중 및 흐름 통계를 확인합니다.
    표 2. 규칙 적중 통계
    인기도 인덱스 지난 24시간 동안 규칙이 트리거된 횟수
    적중 수 규칙이 생성된 이후 트리거된 횟수
    표 3. 흐름 통계
    패킷 수 이 규칙을 통과하는 총 패킷 흐름입니다.
    바이트 수 이 규칙을 통과하는 총 바이트 흐름입니다.
    통계는 규칙을 사용하도록 설정하는 즉시 누적되기 시작합니다.
  • 방화벽 규칙의 순서를 변경합니다.

    새 규칙 추가 버튼을 통해 생성된 규칙은 규칙 목록의 맨 위에 배치됩니다. 방화벽 규칙은 위에서 아래로 적용됩니다. 목록에서 규칙의 위치를 변경하려면 규칙을 선택한 후 새 위치로 끌어옵니다. 게시를 클릭하여 변경 내용을 게시합니다.