이 기능은 OpenStack 보안 그룹을 통해 OpenStack Cloud Management Platform에서 VMware NSX for vSphere 정책 사용을 사용하도록 설정합니다. NSX 관리자는 OpenStack 클라우드 관리자가 클라우드 사용자와 공유하는 보안 정책을 정의할 수 있습니다. 클라우드 관리자가 일반 보안 그룹을 사용하도록 설정하는 경우 클라우드 사용자는 규칙으로 고유한 보안 그룹을 정의할 수도 있습니다. 이 기능은 클라우드 관리자가 타사 네트워크 서비스를 삽입하는 데도 사용할 수 있습니다.
VMware Integrated OpenStack 3.1부터는 Neutron 보안 그룹을 통해 관리자가 2개의 새로운 기능을 사용할 수 있습니다.
-
제공자 보안 그룹
-
관리자 규칙이라고도 하며, 이러한 보안 그룹이 구성되면 필수로 설정되고 지정한 테넌트의 모든 VM에 적용됩니다. 제공자 보안 그룹은 정책과 연결되거나 정책 없이 존재할 수 있습니다.
-
NSX Service Composer - 보안 정책 보안 그룹
-
자세한 내용은 VMware NSX for vSphere 관리 가이드의 Service Composer 장을 참조하십시오.
각 VMware NSX for vSphere 정책은 OpenStack 클라우드 관리자가 custom.yml 파일에서 nsxv_default_policy_id 옵션을 설정하여 기본 정책으로 정의할 수 있습니다. 새로운 모든 테넌트에는 이 정책이 기본값으로 포함되어 있습니다. 더 많은 정책을 정의하고 각각 제공자 또는 선택적 보안 그룹과 연결하여 지정한 테넌트에 대해 필수 또는 선택 사항으로 할당할 수 있습니다. 또한 테넌트 사용자는 규칙을 사용하여 보안 그룹을 생성할 수 있지만 클라우드 관리자가 설정한 보안 그룹을 재정의할 수는 없습니다.
VMware NSX for vSphere 정책이 사용되도록 설정된 후 클라우드 관리자가 다양한 시나리오를 구성할 수 있습니다.
클라우드 관리자는 다른 옵션을 사용하여 일반 보안 그룹 생성을 금지할 수 있습니다.
기본 보안 그룹만 존재하는 경우 이 기본 보안 그룹은 기본 정책과 연결됩니다. 테넌트 VM에는 기본 정책에 정의된 규칙이 적용됩니다.
클라우드 관리자가 다른 정책을 사용하여 보안 그룹을 생성하는 경우 테넌트 VM은 기본 보안 그룹 대신 이 보안 그룹과 연결될 수 있으며 현재 정책에 정의된 규칙만 유효합니다.
정책 규칙 이외에 제공자 보안 그룹이 존재하는 경우 테넌트 VM에는 제공자 보안 그룹에 정의된 규칙도 적용됩니다.
클라우드 관리자는 다른 옵션을 사용하여 일반 보안 그룹 생성을 허용할 수 있습니다.
사용자 정의 일반 보안 그룹으로 시작된 VM에는 이러한 보안 그룹에 정의된 규칙만 적용됩니다.
일반 보안 그룹에 규칙 이외에 제공자 보안 그룹이 존재하는 경우 테넌트 VM에는 제공자 보안 그룹에 정의된 규칙도 적용됩니다. 이 경우 제공자 보안 그룹 규칙은 일반 보안 그룹 규칙보다 우선합니다. 마찬가지로 일반 보안 그룹과 함께 정책 기반 보안 그룹을 사용하는 경우 정책 기반 규칙이 우선합니다.
보안 그룹에 정책과 규칙 중 하나만 포함할 수 있습니다.
CLI 명령을 통해 NSX Service Composer - 보안 정책 보안 그룹 관리
클라우드 관리자는 Integrated OpenStack Manager를 통해 CLI 명령을 사용하여 보안 그룹 정책의 연결을 변경할 수도 있습니다.
작업 |
명령 예 |
|---|---|
보안 그룹에 대한 연결된 정책을 변경합니다. |
|
참고:
이 작업은 사용자가 정의한 기존 규칙을 삭제합니다. 네트워크 중단을 방지하려면 정책에 적절한 규칙이 포함되어 있어야 합니다. |
|
기존 VM 포트에 제공자 보안 그룹을 적용합니다. |
|
NSX 측에 생성된 새 정책이
참고:
VM/포트에 2개 이상의 정책 기반 보안 그룹이 적용되는 경우 정책 규칙이 적용되는 순서는 NSX 관리자가 방화벽 섹션을 통해 제어합니다. |
|
