끝점 보호 정책은 특정 순서대로 적용됩니다. 정책을 설계할 때 규칙을 호스팅하는 도메인 및 규칙에 연결된 순서 번호를 고려합니다.

시나리오: 조직에서 실행하는 수많은 워크로드 중에서 설명 목적으로 두 가지 종류의 워크로드, VDI(Virtual Desktop Infrastructure) 워크로드를 실행 중인 VM, PCI-DSS(Payments Cards Industry Data Security Standards) 워크로드를 실행 중인 VM을 고려합니다. 조직의 직원 섹션에는 VDI(Virtual Desktop Infrastructure) 워크로드를 구성하는 원격 데스크톱 액세스가 필요합니다. 이러한 VDI 워크로드에는 조직이 설정한 규정 준수 규칙을 기반으로 하는 Gold 보호 정책 수준이 필요할 수 있습니다. 이에 비해 PCI-DSS 워크로드에는 최고 수준의 보호인 Platinum 수준 보호가 필요합니다.

2개의 워크로드 유형이 있기 때문에 각각 VDI 워크로드와 서버 워크로드에 대한 2개의 정책을 생성합니다. 각 정책 또는 섹션 내에서 워크로드 유형을 반영하기 위한 도메인을 정의하고 해당 섹션 내에서 해당 워크로드에 대한 규칙을 정의합니다. 게스트 VM에서 GI 서비스를 시작하기 위한 규칙을 게시합니다. GI는 내부적으로 2개의 순서 번호, 정책 순서 번호와 규칙 순서 번호를 사용합니다. 이러한 번호는 실행할 규칙의 전체 순서를 결정하는 데 사용됩니다. 각 규칙은 2개의 용도로 사용됩니다. 즉, 보호할 VM과 VM을 보호하기 위해 적용해야 하는 보호 정책을 결정하는 데 사용됩니다.

순서를 변경하려면 NSX-T Policy Manager UI에서 규칙을 끌어 해당 순서를 변경합니다. 또는 API를 사용하여 규칙에 대한 순서 번호를 명시적으로 할당할 수 있습니다.

또는 NSX-T Data Center API 호출을 수행하여 서비스 프로파일을 VM 그룹과 연결하여 수동으로 규칙을 정의하고 해당 규칙의 순서 번호를 선언합니다. API 및 매개 변수 세부 정보는 NSX-T Data Center "API 가이드" 에 자세히 나와 있습니다. 서비스 구성 API 호출을 수행하여 프로파일을 VM 그룹 등과 같은 엔티티에 적용합니다.

표 1. 서비스 프로파일을 VM 그룹에 적용하는 규칙을 정의하는 데 사용되는 NSX-T Data Center API
API 세부 정보
모든 서비스 구성 세부 정보를 가져옵니다.
GET /api/v1/service-configs

서비스 구성 API가 VM 그룹에 적용된 서비스 프로파일, 보호되는 VM 그룹, 규칙의 우선 순위를 결정하는 순서 또는 우선 순위 번호의 세부 정보를 반환합니다.

서비스 구성을 생성합니다.
POST /api/v1/service-configs

서비스 구성 API가 서비스 프로파일, 보호할 VM 그룹, 규칙에 적용해야 하는 순서 또는 우선 순위 번호의 입력 매개 변수를 가져옵니다.

서비스 구성을 삭제합니다.
DELETE /api/v1/service-configs/
<config-set-id>

서비스 구성 API가 VM 그룹에 적용된 구성을 삭제합니다.

특정 구성의 세부 정보를 가져옵니다.
GET /api/v1/service-configs/
<config-set-id>

특정 구성의 세부 정보를 가져옵니다.

서비스 구성을 업데이트합니다.
PUT /api/v1/service-configs/
<config-set-id>

서비스 구성을 업데이트합니다.

유효한 프로파일을 가져옵니다.
GET /api/v1/service-configs/
effective-profiles?resource_id=<resource-id>
&resource_type=<resource-type>

서비스 구성 API가 특정 VM 그룹에 적용된 해당 프로파일만 반환합니다.

이러한 권장 사항에 따라 규칙을 효율적으로 관리합니다.

  • 규칙을 먼저 실행해야 하는 정책에 대해 더 높은 순서 번호를 설정합니다. UI에서 정책을 끌어 우선 순위를 변경할 수 있습니다.
  • 마찬가지로 각 정책 내의 규칙에 대해 더 높은 순서 번호를 설정합니다.

  • 필요한 규칙 수에 따라 2, 3, 4 또는 심지어 10의 배수로 떨어져 규칙을 배치할 수 있습니다. 따라서 10자리 떨어진 2개의 연속 규칙을 사용하여 모든 규칙의 순서를 변경하지 않고도 보다 유연하게 순서를 재지정할 수 있습니다. 예를 들어 많은 규칙을 정의하지 않으려는 경우 10자리 떨어져 규칙을 배치하도록 선택할 수 있습니다. 따라서 규칙 1은 1의 순서 번호를 가져오고, 규칙 2는 10의 순서 번호를 가져오고, 규칙 3은 20의 순서 번호를 가져오는 등입니다. 이 권장 사항은 유연하고 효율적으로 규칙을 관리하여 모든 규칙의 순서를 재지정하지 않아도 되도록 해 줍니다.

내부적으로 Guest Introspection은 다음과 같은 방식으로 이러한 정책 규칙의 순서를 지정합니다.

Policy 1 ↔ Sequence Number 1 (1000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (1001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (1010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (1020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (1030)



Policy 2  ↔ Sequence Number 2 (2000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (2001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (2010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (2020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (2030)

위의 순서 번호를 기반으로 GI는 정책 2의 규칙을 실행하기 전에 정책 1의 규칙을 실행합니다.

하지만 대상 규칙이 VM 그룹 또는 VM에 적용되지 않는 경우의 상황도 있습니다. 원하는 정책 보호 수준을 적용하려면 이러한 충돌을 해결해야 합니다.