보안 그룹은 NSX Manager 수준에서 생성할 수 있습니다.

범용 보안 그룹은 두 가지 유형의 배포에서 사용됩니다. 하나는 활성 크로스 vCenter NSX 환경이고, 다른 하나는 한 사이트가 지정된 시간에 라이브 상태이고 나머지는 대기 상태를 유지하는 활성 대기 크로스 vCenter NSX 환경입니다.
  • 활성 환경의 범용 보안 그룹은 포함된 개체로 보안 그룹, IP 집합, MAC 집합만 포함할 수 있습니다. 동적 멤버 자격 또는 제외된 개체는 구성할 수 없습니다.
  • 활성 대기 환경의 범용 보안 그룹은 포함된 개체로 보안 그룹, IP 집합, MAC 집합, 범용 보안 태그를 포함할 수 있습니다. 또한 VM 이름만 사용해서 동적 멤버 자격을 구성할 수도 있습니다. 제외된 개체는 구성할 수 없습니다.
참고:

컴퓨터 OS 이름 및 컴퓨터 이름과 같은 동적 조건을 따르는 전원이 꺼진 VM은 보안 그룹에 포함되지 않습니다. VM의 전원이 켜지면 한 번만 NSX에 동적 조건이 수신됩니다. 전원이 켜진 후에 게스트 세부 정보가 NSX Manager와 동기화되고, 나중에 VM 전원을 끄더라도 NSX Manager에 해당 정보가 유지됩니다.

참고: 6.3 이전에 생성된 범용 보안 그룹은 활성 대기 배포에서 사용하기 위해 편집할 수 없습니다.

사전 요구 사항

Active Directory 그룹 개체를 기반으로 보안 그룹을 생성할 경우 NSX Manager에 하나 이상의 도메인이 등록되어 있는지 확인하십시오. NSX Manager는 등록된 각 도메인에서 그룹 및 사용자 정보와 서로 간의 관계를 가져옵니다. NSX Manager에 Windows 도메인 등록를 참조하십시오.

프로시저

  1. vSphere Web Client에서 네트워킹 및 보안(Networking & Security) > 그룹 및 태그(Groups and Tags)를 클릭합니다.
  2. 보안 그룹(Security Group)으로 이동합니다.
    • NSX 6.4.1 이상에서 보안 그룹(Security Groups) 탭에 있는지 확인합니다.
    • NSX 6.4.0에서 그룹 개체(Grouping Objects) > 보안 그룹(Security Group) 탭에 있는지 확인합니다.
  3. NSX Manager 드롭다운 메뉴에서 여러 IP 주소를 사용할 수 있는 경우 IP 주소를 선택하거나 기본 선택을 유지합니다.
    • 범용 보안 그룹을 관리하려면 기본 NSX Manager를 선택해야 합니다.
  4. 추가(Add) 또는 새 보안 그룹 추가(Add New Security Group) 아이콘을 클릭합니다.
  5. 보안 그룹의 이름과 설명(선택 사항)을 입력합니다.
  6. (선택 사항) 범용 보안 그룹을 생성하는 경우 범용 동기화(Universal Synchronization) 또는 이 개체를 범용 동기화 대상으로 표시(Mark this object for universal synchronization)를 선택합니다.
  7. (선택 사항) 활성 대기 배포에서 사용할 범용 보안 그룹을 생성하는 경우 범용 동기화/이이 개체를 범용 동기화 대상으로 표시(Universal Synchronization / Mark this object for universal synchronization)활성 대기 배포에 사용합니다(Use for active standby deployments)를 둘 다 선택합니다. 활성 대기 배포의 범용 보안 그룹에 대한 동적 멤버 자격은 가상 시스템 이름을 기준으로 합니다.
  8. 다음(Next)을 클릭합니다.
  9. 생성할 보안 그룹에 추가되려면 개체가 충족해야 하는 조건을 [동적 멤버 자격] 페이지에서 정의합니다. 이렇게 하면 검색 기준과 일치하기 위해 지원되는 여러 매개 변수를 사용하여 필터 조건을 정의함으로써 가상 시스템을 포함할 수 있습니다.
    참고: 범용 보안 그룹을 생성할 경우 활성 활성 배포에서 동적 멤버 자격 정의(Define dynamic membership) 단계를 사용할 수 없습니다. 활성 대기 배포에서는 가상 시스템 이름에 따라서만 사용할 수 있습니다.
    예를 들어 특정 보안 태그(예: AntiVirus.virusFound)로 태그 지정된 가상 시스템을 모두 보안 그룹에 추가하는 조건을 포함할 수 있습니다. 보안 태그는 대/소문자를 구분합니다.

    또는 이름 W2008을 포함하는 모든 가상 시스템과 논리적 스위치 global_wire에 있는 가상 시스템을 보안 그룹에 추가할 수 있습니다.

    초
  10. 다음(Next)을 클릭합니다.
  11. [포함할 개체 선택] 페이지에서 추가할 리소스에 대한 탭을 선택하고 보안 그룹에 추가할 하나 이상의 리소스를 선택합니다. 다음 개체를 보안 그룹에 포함할 수 있습니다.
    표 1. 보안 그룹 및 범용 보안 그룹에 포함될 수 있는 개체.
    보안 그룹 범용 보안 그룹
    • 생성할 보안 그룹 안에 중첩될 다른 보안 그룹
    • 클러스터
    • 논리적 스위치
    • 네트워크
    • 가상 장치
    • 데이터센터
    • IP 집합
    • 디렉토리 그룹
      참고: NSX 보안 그룹에 대한 Active Directory 구성은 vSphere SSO에 대한 AD 구성과 다릅니다. NSX AD 그룹 구성은 게스트 가상 시스템에 액세스하는 최종 사용자를 위한 것이며 vSphere SSO는 vSphere 및 NSX를 사용하는 관리자를 위한 것입니다. 이러한 디렉토리 그룹을 사용하려면 Active Directory와 동기화해야 합니다. ID 방화벽 개요를 참조하십시오.
    • MAC 집합
    • 보안 태그
    • vNIC
    • 가상 시스템
    • 리소스 풀
    • 분산 가상 포트 그룹
    • 생성할 범용 보안 그룹 안에 중첩될 다른 범용 보안 그룹.
    • 범용 IP 집합
    • 범용 MAC 집합
    • 범용 보안 태그(활성 대기 배포만 해당)
    여기에서 선택하는 개체는 [동적 멤버 자격] 페이지에서 이전에 정의한 조건의 충족 여부에 상관없이 항상 보안 그룹에 포함됩니다.

    보안 그룹에 리소스를 추가하면 연결된 모든 리소스가 자동으로 추가됩니다. 예를 들어 가상 시스템을 선택하면 연결된 vNIC가 자동으로 보안 그룹에 추가됩니다.

  12. 다음(Next)을 클릭하고 보안 그룹에서 제외할 개체를 선택합니다.
    참고: 범용 보안 그룹을 생성할 경우 제외할 개체 선택 단계를 사용할 수 없습니다.
    여기에서 선택하는 개체는 동적 조건의 충족 여부에 상관없이 항상 보안 그룹에서 제외됩니다.
  13. 다음(Next)을 클릭합니다.
    보안 그룹 요약과 함께 완료 준비(Ready to Complete) 창이 나타납니다.
  14. 완료(Finish)를 클릭합니다.

보안 그룹의 멤버 자격은 다음과 같이 결정됩니다.

{표현식 결과(동적 멤버 자격 정의(Define dynamic membership)에서 파생됨) + 포함(포함할 개체 선택(Select objects to include)에 지정됨} - 제외(제외할 개체 선택(Select objects to exclude)에 지정됨)

이는 포함 항목이 표현식 결과에 먼저 추가됨을 의미합니다. 그런 다음 조합된 결과에서 제외 항목을 뺍니다.