현재 미리 정의된 도메인 목록이 지원됩니다. 특성 유형 "도메인(FQDN) 이름" 의 새 컨텍스트 프로파일을 추가할 때 FQDN 목록을 볼 수 있습니다. API 호출 /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME을 실행하여 FQDN 목록을 볼 수도 있습니다.

DNS 규칙을 먼저 설정한 다음, 아래에 FQDN 허용 목록 또는 거부 목록 규칙을 설정해야 합니다. NSX-T Data Center는 DNS 응답(DNS 서버에서 가상 시스템으로 전송)의 TTL(Time to Live)을 사용하여 VM(가상 시스템)에 대한 DNS-IP 매핑 캐시 항목을 유지합니다. DNS 보안 프로파일을 사용하여 DNS TTL을 재정의하려면 DNS 보안 구성을 참조하십시오. FQDN 필터링을 적용하려면 가상 시스템이 도메인 확인을 위해 DNS 서버를 사용해야 하고(고정 DNS 항목 없음) DNS 응답에서 수신된 TTL도 준수해야 합니다. NSX-T Data Center가 DNS 스누핑을 사용하여 IP 주소와 FQDN 간의 매핑을 확보합니다. 모든 논리적 포트의 스위치에서 SpoofGuard를 사용하도록 설정하여 DNS 스푸핑 공격의 위험으로부터 보호해야 합니다. DNS 스푸핑 공격은 악의적인 VM이 스푸핑된 DNS 응답을 삽입하여 악의적인 끝점으로 트래픽을 리디렉션하거나 방화벽을 우회하도록 하는 경우입니다. SpoofGuard에 대한 자세한 내용은 SpoofGuard 세그먼트 프로파일 이해를 참조하십시오.

이 기능은 계층 7에서 작동하며 ICMP를 포함하지 않습니다. 사용자가 example.com의 모든 서비스에 대해 거부 목록 규칙을 생성할 경우 ping example.com이 응답하지만 curl example.com은 응답하지 않으면 해당 기능이 예상대로 작동하는 것입니다.

하위 도메인을 포함하기 때문에 와일드카드 FQDN을 선택하는 것이 가장 좋습니다. 예를 들어 *example.com을 선택하면 americas.example.com 및 emea.example.com과 같은 하위 도메인이 포함됩니다. example.com을 사용하는 경우 하위 도메인이 포함되지 않습니다.

FQDN 기반 규칙은 ESXi 호스트에 대한 vMotion 동안 유지됩니다.