SDDC 관리 인프라의 안전과 보안을 유지하는 것이 중요합니다. 기본적으로 관리 게이트웨이는 모든 소스에서 모든 관리 네트워크 대상으로 흐르는 트래픽을 차단합니다. 신뢰할 수 있는 소스에서 오는 보안 트래픽을 허용하려면 관리 게이트웨이 방화벽 규칙을 추가해야 합니다.

SDDC 관리 인프라에 대한 액세스를 구성할 때는 사용 가능한 연결 옵션을 평가하고, 필요한 옵션을 구성하고, SDDC 관리 네트워크에 대한 무단 액세스를 방지하는 관리 게이트웨이 방화벽 규칙을 생성하는 것이 중요합니다.
  • SDDC와 온-프레미스 데이터 센터 간 AWS Direct Connect 구성

    이 옵션은 엔터프라이즈와 SDDC 간의 전용 연결을 제공하며 IPsec VPN과 함께 사용하여 트래픽을 암호화할 수 있습니다.

  • SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성

    이 옵션은 엔터프라이즈와 SDDC 간에 암호화된 연결을 제공합니다.

  • Direct Connect 또는 VPN을 사용할 수 없는 경우에는 공용 인터넷을 통해 SDDC 관리 네트워크에 액세스하고 관리 게이트웨이 방화벽 규칙을 사용하여 신뢰할 수 없는 소스의 액세스를 방지할 수 있습니다. 이 옵션은 일부 사용 사례에 적합할 수 있지만 본질적으로 다른 사용 사례보다 덜 안전합니다.

관리 게이트웨이 방화벽 규칙은 지정된 소스에서 지정된 대상으로의 네트워크 트래픽에 대해 수행할 작업을 지정합니다. 소스 또는 대상이 시스템 정의 인벤토리 그룹이어야 합니다. 인벤토리 그룹 보기 및 수정에 대한 자세한 내용은 관리 그룹 추가 항목을 참조하십시오.
중요: 공용 인터넷을 통해 관리 게이트웨이에 액세스해야 하는 경우에는 직접 소유하거나 신뢰하는 IP 주소에서 오는 트래픽만 허용하는 관리 게이트웨이 방화벽 규칙을 구성하는 것이 중요합니다. 예를 들어 CIDR 블록이 93.184.216.34/30인 주소에서 인터넷에 액세스하는 엔터프라이즈는 소스 CIDR이 93.184.216.34/30인 트래픽만 vCenter Server, ESXi, NSX-T를 포함한 관리 시스템에 액세스하도록 허용하는 관리 게이트웨이 방화벽 규칙을 생성해야 합니다. 임의 주소에서 발생하는 트래픽을 허용하도록 관리 게이트웨이 방화벽 규칙을 구성하지 마십시오. SDDC 관리 인프라에 대한 보안 액세스를 제공하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서 84154를 참조하십시오.

프로시저

  1. https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.
  2. 네트워킹 및 보안 탭에서 게이트웨이 방화벽을 클릭합니다.
  3. 게이트웨이 방화벽 카드에서 관리 게이트웨이를 클릭한 다음 규칙 추가를 클릭하고 새 규칙의 이름을 지정합니다.
  4. 새 규칙에 대한 매개 변수를 입력합니다.
    매개 변수는 기본값으로 초기화됩니다(예: 소스대상의 경우 모두). 매개 변수를 편집하려면 매개 변수 값 위로 마우스 커서를 이동하고 연필 아이콘( )을 클릭하여 매개 변수 관련 편집기를 엽니다.
    옵션 설명
    소스
    임의의 소스 주소 또는 주소 범위에서 오는 트래픽을 허용하려면 임의를 선택합니다.
    중요:

    방화벽 규칙에서 임의를 소스 주소로 선택할 수 있지만 임의를 방화벽 규칙의 소스 주소로 사용하면 vCenter Server에 대한 공격이 가능해져서 SDDC가 손상될 수 있습니다. 신뢰할 수 있는 소스 주소의 액세스만 허용하도록 방화벽 규칙을 구성하는 것이 가장 좋습니다. VMware 기술 자료 문서 84154를 참조하십시오.

    시스템 정의 그룹을 선택하고 다음 소스 옵션 중 하나를 선택합니다.

    • ESXi - SDDC의 ESXi 호스트에서 오는 트래픽 허용
    • NSX Manager - SDDC의 NSX-T Manager 장치에서 오는 트래픽 허용
    • vCenter - SDDC의 vCenter Server에서 전송하는 트래픽 허용

    사용자 정의 그룹을 선택하면 정의한 관리 그룹을 사용할 수 있습니다. 관리 그룹 추가의 내용을 참조하십시오.

    대상

    임의의 대상 주소 또는 주소 범위로 향하는 트래픽을 허용하려면 임의를 선택합니다.

    시스템 정의 그룹을 선택하고 다음 대상 옵션 중 하나를 선택합니다.
    • ESXi - SDDC의 ESXi 관리로 향하는 트래픽 허용
    • NSX Manager - SDDC의 NSX-T로 향하는 트래픽 허용
    • vCenter - SDDC의 vCenter Server에 전송되는 트래픽 허용
    서비스

    규칙을 적용할 서비스 유형을 선택합니다. 서비스 유형 목록은 선택한 소스대상에 따라 다릅니다.

    작업 새 관리 게이트웨이 방화벽 규칙에 사용할 수 있는 유일한 작업은 허용입니다.
    새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.
  5. 게시를 클릭하여 규칙을 생성합니다.

    시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.

    방화벽 규칙은 위에서 아래로 적용됩니다. 맨 아래에는 기본 삭제 규칙이 항상 있고 위의 규칙은 항상 허용 규칙이기 때문에 관리 게이트웨이 방화벽 규칙 순서는 트래픽 흐름에 영향을 주지 않습니다.

예: 관리 게이트웨이 방화벽 규칙 생성

온-프레미스 ESXi 호스트에서 SDDC의 ESXi 호스트로의 vMotion 트래픽을 허용하는 관리 게이트웨이 방화벽 규칙을 생성하려면 다음과 같이 하십시오.
  1. SDDC에 vMotion을 사용하도록 설정할 온-프레미스 ESXi 호스트가 포함된 관리 인벤토리 그룹을 생성합니다.
  2. 소스 ESXi와 대상 온-프레미스 ESXi 호스트로 관리 게이트웨이 규칙을 생성합니다.
  3. 소스 온-프레미스 ESXi 호스트 그룹과 vMotion 서비스가 포함된 대상 ESXi로 또 다른 관리 게이트웨이 규칙을 생성합니다.

다음에 수행할 작업

기존 방화벽 규칙에 대해 이러한 선택적 작업 전체 또는 일부를 수행할 수 있습니다.

  • 기어 아이콘 을 클릭하여 규칙 로깅 설정을 보거나 수정합니다. 로그 항목은 VMwarevRealize Log Insight Cloud 서비스로 전송됩니다. "VMware Cloud on AWS 운영 가이드" 에서 vRealize Log Insight Cloud 사용 항목을 참조하십시오.

  • 그래프 아이콘 을 클릭하여 규칙에 대한 규칙 적중 및 흐름 통계를 확인합니다.
    표 1. 규칙 적중 통계
    인기도 인덱스 지난 24시간 동안 규칙이 트리거된 횟수
    적중 수 규칙이 생성된 이후 트리거된 횟수
    표 2. 흐름 통계
    패킷 수 이 규칙을 통과하는 총 패킷 흐름입니다.
    바이트 수 이 규칙을 통과하는 총 바이트 흐름입니다.
    통계는 규칙을 사용하도록 설정하는 즉시 누적되기 시작합니다.