글로벌, 지역 또는 로컬 범위를 포함하는 글로벌 관리자에서 분산 및 게이트웨이 방화벽 규칙을 생성할 수 있습니다.

글로벌 관리자에서 생성된 분산 및 게이트웨이 방화벽 정책 및 규칙은 로컬 관리자와 동기화되고 GM 아이콘이 있는 로컬 관리자에 나타납니다. 글로벌 관리자에서 생성한 규칙은 글로벌 관리자에서만 편집할 수 있습니다. 로컬 관리자에서는 편집할 수 없습니다.

DFW(분산 방화벽) 정책 및 규칙의 페더레이션

다음 예를 사용하여 지원되는 방화벽 워크플로를 이해하십시오.

  • 이 예제에서 글로벌 관리자에는 위치 1, 위치 2위치 3의 세 개의 로컬 관리자가 등록되어 있습니다.
  • 글로벌 관리자는 다음 영역을 자동으로 생성합니다.
    • 글로벌
    • 위치 1
    • 위치 2
    • 위치 3
  • 로컬 관리자 위치 2위치 3을 포함하는 지역 1이라는 이름의 사용자 지정된 영역을 생성합니다.
  • 다음 그룹을 생성합니다.
    • 그룹 1: 글로벌 지역.
    • 그룹 2: 위치 1 지역.
    • 그룹 3: 위치 2 지역.
    • 그룹 4: 위치 3 지역.
    • 그룹 5: 지역 1 지역.

NSX-T Data Center 3.0.1의 DFW 정책 및 규칙

다음과 같은 사용 사례가 지원됩니다.

  • 그룹 범위: 글로벌, 로컬 또는 지역 범위를 갖는 그룹을 글로벌 관리자에서 생성할 수 있습니다. 글로벌 관리자에서 그룹 생성 항목을 참조하십시오.
  • 동적 그룹: 태그와 같은 동적 조건을 기준으로 그룹을 생성할 수 있습니다.
  • DFW 정책 범위: DFW 정책을 글로벌, 지역 또는 로컬 범위에 적용할 수 있습니다.
  • DFW 규칙의 소스 및 대상 그룹: 소스 필드의 모든 그룹 또는 대상 필드의 모든 그룹이 DFW 정책의 범위와 일치해야 합니다. 시스템은 정책 범위 밖에 있는 위치에 그룹을 자동으로 생성합니다.

    DFW 규칙에서 유효한 소스 및 대상 그룹과 잘못된 소스 및 대상 그룹의 예를 보려면 표를 참조하십시오.
    표 1. 3.0.1의 DFW 정책 범위에 따른 DFW 규칙의 유효 소스 및 대상
    DFW 정책 범위(적용 대상) 버전 3.0.1의 DFW 규칙에서 지원되는 시나리오
    글로벌

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 1
    글로벌 지역 범위를 포함하는 DFW 정책의 경우 모든 그룹이 DFW 규칙의 소스 및 대상에서 허용됩니다. 다음은 예제를 사용하여 지원되는 몇 가지 일반적인 시나리오입니다.
    • 소스: 그룹 2; 대상 그룹 3
    • 소스: 그룹 3; 대상 그룹 4
    • 소스: 그룹 4; 대상: 임의
    • 소스: 그룹 1; 대상 그룹 2.
    위치 1 : 위치 1의 로컬 관리자에 대해 자동 생성된 지역.

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 2
    이 예에서 하나의 위치 범위 위치 1을 포함하는 DFW 정책의 경우 DWF 규칙의 소스 또는 대상 그룹은 위치 1에 속해야 합니다.

    지원되는 시나리오는 다음과 같습니다.
    • 소스: 그룹 2; 대상 그룹 2
    • 소스: 그룹 3; 대상 그룹 2.
    • 소스: 그룹 2; 대상 그룹 4
    • 소스: 그룹 1; 대상 그룹 2.
    다음은 이 정책 범위에 대해 지원되지 않는 그룹 선택 항목의 예입니다. 소스 및 대상 그룹이 둘 다 정책의 범위를 벗어납니다.
    • 소스: 그룹 5; 대상 그룹 3
    • 소스: 그룹 1; 대상 그룹 3
    지역 1: 위치 2위치 3에 걸쳐 있는 사용자 생성 지역.

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 5

    이 예에서 사용자 생성 지역 지역 1을 포함하는 DFW 정책의 경우 DWF 규칙의 소스 또는 대상 그룹은 지역 1에 속하는 위치를 포함해야 합니다.

    지원되는 시나리오는 다음과 같습니다.
    • 소스: 그룹 5; 대상 그룹 2.
    • 소스: 그룹 2; 대상 그룹 5
    • 소스: 그룹 2; 대상 그룹 3
    • 소스: 그룹 3; 대상 그룹 4
    • 소스: 임의;대상: 그룹 5
    • 소스 그룹 4; 대상 임의
    다음은 이 정책 범위에 대해 지원되지 않는 그룹 선택 항목의 예입니다. 소스 및 대상 그룹이 둘 다 정책의 범위를 벗어납니다.
    • 소스: 그룹 2; 대상 그룹 2
    • 소스: 그룹 1; 대상 그룹 2.
    • 소스: 그룹 1; 대상 그룹 1
  • 그룹에 세그먼트가 포함된 경우 DFW 정책의 세그먼트의 범위보다 크거나 같아야 합니다. 예를 들어, 범위가 위치 1인 세그먼트가 포함된 그룹이 있는 경우 DFW 정책을 지역 지역 1에 적용할 수 없습니다. 위치 2위치 3만 포함하기 때문입니다.

NSX-T Data Center 3.0.0의 DFW 정책 및 규칙

  • 그룹 범위: 글로벌, 로컬 또는 지역 범위를 갖는 그룹을 글로벌 관리자에서 생성할 수 있습니다. 글로벌 관리자에서 그룹 생성 항목을 참조하십시오.
  • 동적 그룹: 태그와 같은 동적 조건을 기준으로 그룹을 생성할 수 있습니다.
  • DFW 정책 범위: DFW 정책도 글로벌, 지역 또는 로컬 범위에 적용할 수 있습니다.
  • DFW 규칙의 소스 및 대상 그룹: 소스 필드의 모든 그룹과 대상 필드의 모든 그룹이 DFW 정책의 범위와 일치해야 합니다.
    다음 표를 참조하여 정책의 범위에 따라 DFW 규칙에서 사용할 수 있는 소스 및 대상 그룹이 결정되는 방식을 이해하십시오.
    표 2. 3.0.0의 DFW 정책 범위에 따른 DFW 규칙의 유효 소스 및 대상
    DFW 정책 범위(적용 대상) 3.0.0 버전의 DFW 규칙에서 지원되는 소스 및 대상 그룹.
    글로벌.

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 1
    글로벌 지역에 걸쳐 있는 DFW 정책의 경우, DFW 규칙의 소스 및 대상에서 키워드 Any 또는 Global 그룹을 선택할 수 있습니다.
    예를 들면 다음과 같습니다.
    • 소스: 그룹 1; 대상 그룹 1
    • 소스 그룹 1; 대상 임의
    • 소스: 임의;대상: 그룹 1
    • 소스: 임의;대상: 임의
    경고: 예를 들어 다른 규칙 구성을 생성할 수 있지만 지원되지는 않습니다. .
    • 소스: 그룹 2; 대상 그룹 3
    • 소스: 그룹 4; 대상 그룹 1
    위치 1 : 위치 1의 로컬 관리자에 대해 자동 생성된 지역.

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 2
    이 예에서 한 위치 위치 1에 대한 지역으로 확장된 DFW 정책에서 소스 및 대상 그룹이 모두 이 지역에 속해야 합니다.
    예를 들어 다음과 같은 규칙이 지원됩니다.
    • 소스: 그룹 2; 대상 그룹 2
    경고: 예를 들어 다른 규칙 구성을 생성할 수 있지만 지원되지는 않습니다. .
    • 소스: 그룹 2; 대상 그룹 3
    • 소스: 그룹 4; 대상 그룹 2
    지역 1: 위치 2위치 3에 걸쳐 있는 사용자 지정된 지역.

    이 예에서 이 지역에는 다음 그룹이 포함되어 있습니다.
    • 그룹 5

    이 예에서 사용자 지정된 지역 지역 1이 범위인 DFW 정책에서 소스 및 대상 그룹이 모두 이 지역에 속해야 합니다.

    예를 들어 다음과 같은 규칙이 지원됩니다.
    • 소스: 그룹 5; 대상 그룹 5
    • 소스: 그룹 5; 대상: 임의
    • 소스: 임의;대상: 그룹 5
    경고: 예를 들어 다른 규칙 구성을 생성할 수 있지만 지원되지는 않습니다. .
    • 소스: 그룹 2대상 그룹 3
    • 소스: 그룹 2; 대상 그룹 4
    • 소스: 그룹 3; 대상 그룹 2.
    • 소스: 그룹 4; 대상 그룹 2
  • 그룹에 세그먼트가 포함된 경우 DFW 정책의 세그먼트의 범위보다 크거나 같아야 합니다. 예를 들어, 범위가 위치 1인 세그먼트가 포함된 그룹이 있는 경우 DFW 정책을 지역 지역 1에 적용할 수 없습니다. 위치 2위치 3만 포함하기 때문입니다.

게이트웨이 방화벽 정책 및 규칙의 페더레이션

게이트웨이 방화벽 규칙은 게이트웨이의 범위에 포함된 모든 위치, 특정 위치의 모든 인터페이스 또는 하나 이상의 위치에 대한 특정 인터페이스에 적용될 수 있습니다.
참고: 게이트웨이 방화벽 규칙에 대한 소스 및 대상 그룹의 범위는 규칙을 생성하는 게이트웨이 범위보다 작거나 같아야 합니다.
표 3. 게이트웨이 방화벽 규칙에 대한 범위 옵션
게이트웨이 방화벽 규칙의 범위(적용 대상) 적용 대상
게이트웨이에 규칙 적용 규칙은 이 게이트웨이가 확장된 모든 위치에서 이 게이트웨이에 연결된 모든 인터페이스에 적용됩니다.
위치를 선택한 다음, [모든 엔티티에 규칙 적용]을 선택합니다. 규칙은 선택한 위치에만 적용됩니다.
위치를 선택한 다음, 해당 위치에서 인터페이스를 선택합니다. 규칙을 적용할 각 위치에 대한 인터페이스를 선택하여 다른 위치에 대해서도 이 작업을 반복합니다. 이 규칙은 선택한 인터페이스에만 적용됩니다.