보안 그룹은 NSX Manager 수준에서 생성할 수 있습니다.
사전 요구 사항
RDSH에서 사용할 보안 정책을 생성하는 경우 다음을 확인하십시오.
- Active Directory 서버가 NSX Manager와 통합되어야 합니다.
- 호스트는 DFW가 사용되도록 설정되어야 하며 NSX 6.4.0으로 업그레이드해야 합니다.
- 게스트 시스템은 업데이트된 VMware Tools를 실행해야 합니다.
- GI SVM의 버전은 6.4 이상이어야 합니다.
- 규칙은 방화벽 규칙의 새 섹션에서 생성되어야 합니다.
- 규칙에는 소스에서 사용자 ID 사용이 선택되어야 있어야 합니다.
- 원격 데스크톱 액세스에 대한 규칙의 경우 적용 대상 필드가 지원되지 않습니다.
- ICMP는 RDSH에 대한 IDFW에서 지원되지 않습니다.
프로시저
- vSphere Web Client에서 로 이동합니다.
- 보안 그룹(Security Groups) 탭으로 이동합니다.
- 보안 그룹 추가(Add Security Group) 또는 추가(Add) 아이콘을 클릭합니다.
RDSH에 대한 ID 방화벽에 사용할 보안 그룹은 생성 시 소스에서 사용자 ID 사용으로 표시된 보안 정책을 사용해야 합니다. RDSH에 대한 ID 방화벽에 사용할 보안 그룹은 AD(Active Directory) 그룹만 포함할 수 있으며, 모든 중첩된 보안 그룹도 AD 그룹이어야 합니다.
- 보안 그룹의 이름 및 설명을 입력하고 다음(Next)을 클릭합니다.
- 생성할 보안 그룹에 추가되려면 개체가 충족해야 하는 조건을 [동적 멤버 자격] 페이지에서 정의합니다.
예를 들어 특정 보안 태그(예: AntiVirus.virusFound)로 태그 지정된 멤버를 모두 보안 그룹에 추가하는 조건을 포함할 수 있습니다.
또는 이름 W2008을 포함하는 모든 가상 시스템과 논리적 스위치 global_wire에 있는 가상 시스템을 보안 그룹에 추가할 수 있습니다.
보안 태그는 대/소문자를 구분합니다.
참고: 특정 보안 태그가 적용된 가상 시스템에서 보안 그룹을 정의하면 동적 또는 조건부 워크플로우를 생성할 수 있습니다. 태그가 가상 시스템에 적용되는 순간 가상 시스템이 자동으로 해당 보안 그룹에 추가됩니다.
- 다음(Next)을 클릭합니다.
- [포함할 개체 선택] 페이지의 드롭다운에서 개체 유형을 선택합니다.
원격 데스크톱 세션에서 사용할 보안 그룹에 디렉토리 그룹만 포함되어 있는지 확인합니다.
- 포함 목록에 추가할 개체를 선택합니다. 다음 개체를 보안 그룹에 포함할 수 있습니다.
- 생성할 보안 그룹 안에 중첩될 다른 보안 그룹
- 클러스터
- 논리적 스위치
- 네트워크
- 가상 장치
- 데이터센터
- IP 집합
- AD 그룹
참고: NSX 보안 그룹에 대한 AD 구성은 vSphere SSO에 대한 AD 구성과 다릅니다. NSX AD 그룹 구성은 게스트 가상 시스템에 액세스하는 최종 사용자를 위한 것이며 vSphere SSO는 vSphere 및 NSX를 사용하는 관리자를 위한 것입니다.
- MAC 집합
참고: Service Composer는 정책 구성에 MAC 집합이 포함된 보안 그룹을 사용하도록 허용하지만 Service Composer에서 해당 특정 MAC 집합에 대해 규칙을 적용하지 못합니다. Service Composer는 계층 3에서 작동하고 계층 2 구성을 지원하지 않습니다.
- 보안 태그
- vNIC
- 가상 시스템
- 리소스 풀
- 분산 가상 포트 그룹
여기에서 선택하는 개체는 동적 조건의 충족 여부에 상관없이 항상 보안 그룹에 포함됩니다.
보안 그룹에 리소스를 추가하면 연결된 모든 리소스가 자동으로 추가됩니다. 예를 들어 가상 시스템을 선택하면 연결된 vNIC가 자동으로 보안 그룹에 추가됩니다.
- 다음(Next)을 클릭하고 보안 그룹에서 제외할 개체를 두 번 클릭합니다.
여기에서 선택하는 개체는 동적 조건을 충족하거나 포함 목록에 선택된 경우에도 항상 보안 그룹에서 제외됩니다.
- 완료(Finish)를 클릭합니다.
예
보안 그룹의 멤버 자격은 다음과 같이 결정됩니다.
{식 결과(단계 5) + 포함(단계 7)} - 제외(단계 9) - 포함 항목이 식 결과에 먼저 추가됨을 의미합니다. 그런 다음 조합된 결과에서 제외 항목을 뺍니다.