기본 클라우드 적용 모드의 워크로드 VM에 대해 NSX Manager에서 보안 정책을 구성할 수 있습니다.

NSX-T Data Center 3.0부터 여러 계정 또는 구독에서 VPC/VNet에 보안 정책 및 규칙을 생성할 수 있습니다.
참고: DFW 규칙은 VM에 할당된 태그에 따라 다릅니다. 이러한 태그는 적절한 공용 클라우드 사용 권한이 있는 모든 사용자가 수정할 수 있기 때문에 NSX-T Data Center는 이러한 사용자를 신뢰할 만하며, 해당 VM에 항상 올바른 태그가 지정되어 있음을 보장하고 감사하는 책임이 공용 클라우드 네트워크 관리자에게 있다고 가정합니다.

사전 요구 사항

기본 클라우드 적용 모드에 전송 또는 계산 VPC/vNet이 있는지 확인합니다.

프로시저

  1. NSX Manager에서 워크로드 VM에 대한 그룹을 편집하거나 생성합니다. 예를 들어 web, app, db로 시작하는 VM 이름은 별도의 세 개 그룹이 될 수 있습니다. 지침에 대해서는 그룹 추가를 참조하십시오. 공용 클라우드 태그를 사용하여 워크로드 VM용 그룹을 생성하는 방법에 대한 자세한 내용은 NSX-T Data Center 및 공용 클라우드 태그를 사용하여 VM 그룹화를 참조하십시오.

    기준과 일치하는 워크로드 VM이 해당 그룹에 추가됩니다. 그룹화 기준과 일치하지 않는 VM은 AWS의 default 보안 그룹 및 Microsoft Azure의 default-vnet-<vnet-ID>-sg 네트워크 보안 그룹에 배치됩니다.

    참고: NSX Cloud에서 자동 생성된 그룹은 사용할 수 없습니다.
  2. NSX Manager소스, 대상 또는 적용 대상 필드에 이러한 그룹이 있는 DFW(분산 방화벽) 규칙을 생성합니다. 지침에 대해서는 분산 방화벽 추가 항목을 참조하십시오.
    참고: 공용 클라우드 워크로드 VM에서는 상태 저장 정책만 지원됩니다. 상태 비저장 정책은 NSX Manager에서 생성할 수 있지만 공용 클라우드 워크로드 VM이 포함된 그룹과 일치하지 않습니다.

    기본 클라우드 적용 모드에서 워크로드 VM의 DFW 규칙에 대해 L7 컨텍스트 프로파일이 지원되지 않습니다.

  3. CSM의 [사용자 관리] 목록에서 NSX 관리로 가져오려는 해당 VM을 제거합니다. 지침에 대해서는 사용자 관리 목록을 사용하는 방법 항목을 참조하십시오.
    참고: [사용자 관리] 목록에 VM을 추가하는 과정은 CSM에 공용 클라우드 인벤토리를 추가하는 즉시 day-0 워크플로에서 권장되는 수동 단계입니다. 사용자 관리 목록에 VM을 추가하지 않은 경우 VM을 제거할 필요가 없습니다.
  4. 공용 클라우드에 일치 항목이 있는 그룹 및 DFW 규칙의 경우 다음 작업이 자동으로 수행됩니다.
    1. AWS에서 NSX Cloudnsx-<NSX GUID>와 이름이 같은 새 보안 그룹을 만듭니다.
    2. Microsoft Azure에서 NSX CloudNSX Manager에서 생성된 그룹에 해당하는 ASG(애플리케이션 보안 그룹)와 그룹화된 워크플로 VM과 일치하는 DFW 규칙에 해당하는 NSG(네트워크 보안 그룹)를 생성합니다.
      NSX CloudNSX Manager 및 공용 클라우드 그룹과 DFW 규칙을 30초 간격으로 동기화합니다.
  5. CSM에서 공용 클라우드 계정을 다시 동기화합니다.
    1. CSM에 로그인하고 공용 클라우드 계정으로 이동합니다.
    2. 공용 클라우드 계정에서 작업 > 계정 다시 동기화를 클릭합니다. 다시 동기화가 완료될 때까지 기다립니다.
    3. VPC/vNet으로 이동하고 빨간색 오류 표시기를 클릭합니다. 그러면 인스턴스 보기로 이동합니다.
    4. 그리드로 표시되는 경우 보기를 [세부 정보]로 전환하고, [규칙 인식] 열에서 실패를 클릭하여 오류를 확인합니다(있는 경우).

다음에 수행할 작업

현재 제한 사항 및 일반적인 오류 항목을 참조하십시오.