SDDC 그룹 멤버 워크로드 연결을 사용하도록 계산 게이트웨이 방화벽 규칙 추가

그룹 내 각 SDDC의 계산 게이트웨이에 대한 방화벽 규칙을 생성해야 합니다. 이러한 규칙이 없으면 그룹 멤버에서 실행되는 워크로드는 VMware Transit Connect를 사용하여 서로 통신할 수 없습니다.

SDDC 그룹의 모든 멤버는 동일한 VMware Cloud on AWS 조직에서 소유하므로 그룹 멤버 간의 네트워크 트래픽은 외부 소스 또는 대상이 있을 수 있는 North-South 트래픽이 아닌 East-West 트래픽으로 안전하게 취급될 수 있습니다. 하지만 SDDC 계산 게이트웨이의 기본 방화벽 규칙이 외부 트래픽을 거부하기 때문에 그룹 내 각 SDDC에 대한 계산 게이트웨이를 통해 해당 트래픽을 허용하는 방화벽 규칙을 생성해야 합니다. (현재 SDDC 그룹은 멤버의 관리 게이트웨이를 통해 네트워크 트래픽을 라우팅할 필요가 없습니다.)

VMware Cloud on AWS는 그룹 멤버 간 트래픽에 대한 높은 수준의 제어를 제공하는 계산 게이트웨이 방화벽 규칙에서 사용하기 위한 인벤토리 그룹 집합을 정의합니다. 이러한 그룹에는 VMware Transit Connect를 통해 학습된 경로와 SDDC의 AWS 계정 소유자가 소유한 AWS Transit Gateway에 대한 접두사(CIDR 블록)가 포함됩니다.

Transit Connect 고객 TGW 접두사: 고객 소유 AWS Transit Gateway에서 학습된 경로입니다.
Transit Connect DGW 접두사: 그룹의 Direct Connect Gateway에서 학습된 경로입니다.
Transit Connect 네이티브 VPC 접두사: 그룹의 연결된 VPC에서 학습된 경로입니다.
Transit Connect 기타 SDDC 접두사: 그룹의 다른 SDDC에서 학습된 경로입니다.

그룹 멤버 자격이 변경되고 새 경로가 학습되면 이러한 각 그룹의 접두사가 자동으로 추가, 제거 및 업데이트됩니다.

자세한 내용은 계산 게이트웨이 방화벽 규칙 추가 또는 수정 및 인벤토리 그룹 사용을 참조하십시오.

프로시저

계산 게이트웨이 방화벽 규칙 추가 또는 수정에 정의된 워크플로를 사용하여 필요한 인벤토리 그룹 및 계산 게이트웨이 방화벽 규칙을 생성합니다.
시스템 정의 인벤토리 그룹은 그룹 멤버와 연결된 VPC 간에 높은 수준의 연결을 생성하는 데 유용합니다. 멤버 SDDC의 개별 워크로드 세그먼트에 적용할 세분화된 방화벽 규칙을 생성해야 하는 경우 아래 예에 나와 있는 것과 같이 이러한 세그먼트를 정의하는 인벤토리 그룹을 생성해야 합니다.

게이트웨이 방화벽 > 계산 게이트웨이를 클릭한 다음 규칙 추가를 클릭합니다.

시스템 정의 인벤토리 그룹은 사용자가 정의한 모든 계산 그룹과 함께 소스 및 대상 페이지에서 선택할 수 있습니다. 무제한 그룹 연결을 사용하도록 설정하기 위해 이와 같은 규칙을 추가할 수 있습니다. 이렇게 하면 다른 그룹 멤버로부터 이 SDDC로의 인바운드 트래픽이 허용됩니다.


이름	소스	대상	서비스	적용 대상	작업
다른 SDDC의 인바운드	Transit Connect 기타 SDDC 접두사	임의	임의	Direct Connect 인터페이스	허용

로컬 워크로드 세그먼트의 CIDR 블록을 사용하여 인벤토리 그룹을 생성한 경우 이를 사용하여 더 높은 우선 순위에서 이 트래픽에 대해 세분화된 제어를 적용하는 규칙을 생성할 수 있습니다.

예: 사용자 정의 인벤토리 그룹을 포함하는 CGW 방화벽 규칙으로 그룹 멤버 간의 워크로드 트래픽 허용

다음 예는 NSX Manager를 사용하여 인벤토리 그룹 및 방화벽 규칙을 생성하는 방법을 보여줍니다. 이 워크플로에 대해 VMware Cloud 콘솔 네트워킹 및 보안 탭을 사용할 수도 있습니다. NSX Manager를 사용하여 SDDC 네트워크 관리를 참조하십시오.

그룹 생성

NSX Manager에서 인벤토리 > 계산 그룹을 클릭한 다음 그룹 추가를 클릭하고 세 개의 그룹을 생성합니다. 그룹에 대해 원하는 이름을 사용할 수 있습니다. 여기에 표시된 것은 예일 뿐입니다.

SDDC 자체 워크로드 세그먼트에 대한 세그먼트 접두사를 포함하는 Local Workloads라는 이름의 그룹.
그룹 내 다른 SDDC의 워크로드 세그먼트에 대한 세그먼트 접두사를 포함하는 Peer Workloads라는 이름의 그룹.
그룹 내 각 SDDC에서 vCenter의 개인 IP 주소를 포함하는 Peer SDDC vCenters라는 이름의 그룹.

각 그룹에 대해 계산 멤버 열에서 설정을 클릭하여 멤버 설정 도구를 엽니다. 이 도구에서 조건 추가를 클릭하고 그룹 멤버의 MAC 주소 또는 IP 주소를 입력할 수 있습니다. 또한 작업 > 가져오기를 클릭하여 파일에서 이러한 값을 가져올 수 있습니다.

규칙 생성

단계 2에 나와 있는 것처럼, 게이트웨이 방화벽 카드를 열고 계산 게이트웨이, 규칙 추가를 차례로 클릭하여 해당 소스 및 대상에 대해 생성한 인벤토리 그룹을 사용하는 새로운 규칙을 생성합니다. 규칙에 대해 원하는 이름을 사용할 수 있습니다. 여기에 표시된 것은 예일 뿐입니다.


이름	소스	대상	서비스
로컬 워크로드에서 피어 워크로드로	`Local Workloads`	`Peer Workloads`	로컬 워크로드에서 다른 그룹 멤버의 워크로드로의 아웃바운드 트래픽에 필요한 경우
피어 워크로드에서 로컬 워크로드로	`Peer Workloads`	`Local Workloads`	다른 그룹 멤버의 워크로드에서 로컬 워크로드로의 인바운드 트래픽에 필요한 경우

계산 게이트웨이 방화벽을 통해 SDDC 그룹 멤버 트래픽을 관리하는 모든 규칙은 모든 업링크에 적용되고 허용 작업이 있어야 합니다.