Service Composer는 네트워크 및 보안 서비스를 가상 인프라의 애플리케이션에 프로비저닝하고 할당하는 데 도움이 됩니다. 이러한 서비스를 보안 그룹에 매핑하면 보안 그룹의 가상 시스템에 서비스가 적용됩니다.
보안 그룹
먼저 보안 그룹을 생성하여 보호할 자산을 정의합니다. 보안 그룹은 정적(특정 가상 시스템 포함) 또는 동적일 수 있으며 멤버 자격은 다음 방법 중 하나 이상을 사용하여 정의될 수 있습니다.
- vCenter 컨테이너(클러스터, 포트 그룹 또는 데이터센터)
- 보안 태그, IPset, MACset 또는 다른 보안 그룹. 예를 들어 특정 보안 태그(예: AntiVirus.virusFound)로 태그 지정된 멤버를 모두 보안 그룹에 추가하는 조건을 포함할 수 있습니다.
- 디렉토리 그룹(NSX Manager가 Active Directory에 등록된 경우)
- 이름이 VM1인 가상 시스템과 같은 정규식
보안 그룹 멤버 자격은 지속적으로 바뀐다는 점을 유의하십시오. 예를 들어 AntiVirus.virusFound 태그가 지정된 가상 시스템은 차단 보안 그룹으로 이동됩니다. 바이러스가 제거되어 가상 시스템에서 이 태그가 제거되면 다시 차단 보안 그룹 밖으로 이동합니다.
보안 정책
서비스 | 설명 | 적용 대상 |
---|---|---|
방화벽 규칙 | 보안 그룹으로 들어오거나, 보안 그룹에서 나가거나, 보안 그룹 내에서 이동하는 것이 허용되는 트래픽을 정의하는 규칙입니다. | vNIC |
Endpoint 서비스 | 바이러스 백신이나 취약성 관리 서비스와 같은 타사 솔루션 제공자 서비스입니다. | 가상 시스템 |
네트워크 검사 서비스 | IPS와 같은 네트워크를 모니터링하는 서비스입니다. | 가상 시스템 |
NSX에서 서비스가 배포되는 동안 타사 벤더가 배포되고 있는 서비스의 서비스 범주를 선택합니다. 각 벤더 템플릿에 대해 기본 서비스 프로파일이 생성됩니다.
타사 벤더 서비스가 NSX 6.1로 업그레이드되면 업그레이드된 벤더 템플릿에 대해 기본 서비스 프로파일이 생성됩니다. 게스트 검사 규칙을 포함하는 기존 서비스 정책이 업그레이드되는 동안 생성된 서비스 프로파일을 참조하도록 업데이트됩니다.
보안 정책을 보안 그룹에 매핑
보안 정책(예: SP1)을 보안 그룹(예: SG1)에 매핑합니다. SP1에 대해 구성된 서비스는 SG1의 멤버인 모든 가상 시스템에 적용됩니다.
가상 시스템이 둘 이상의 보안 그룹에 속한 경우 가상 시스템에 적용되는 서비스는 보안 그룹에 매핑된 보안 정책의 우선 순위에 따라 달라집니다.
Service Composer 프로파일을 백업이나 다른 환경에 사용할 목적으로 내보내거나 가져올 수 있습니다. 이런 방법으로 네트워크 및 보안 서비스를 관리하면 작업 가능하고 반복 가능한 보안 정책 관리에 도움이 됩니다.