vSphere 환경에서 작업하는 VI 관리자는 간소화된 워크플로를 사용하여 NSX-T 보안을 위해 ESXi 클러스터를 준비할 수 있습니다.

vSphere Client를 사용하여 NSX-T 보안을 위해 ESXi 클러스터를 준비합니다. 이러한 클러스터에서는 애플리케이션 워크로드에서 마이크로 세분화, URL 필터링 및 분산 IDS를 사용하도록 설정할 수 있습니다. 이러한 클러스터는 NSX-T 가상 네트워킹을 대상으로 준비되지 않았습니다.

vSphere Client에서 NSX-T 보안을 구성하는 워크플로.

개략적인 작업:
  • 호스트 클러스터를 준비합니다.
  • 방화벽 규칙 생성
    • 인프라 서비스(Active Directory, DNS 등), 환경 그룹(운영 또는 테스트) 및 애플리케이션 그룹(웹, 데이터베이스, 애플리케이션)에 대한 그룹을 생성합니다.
    • 통신 전략을 정의합니다. 수행할 수 있는 작업은 다음과 같습니다.
      • 워크로드 및 인프라 서비스 간의 통신을 정의합니다.
      • 환경이 서로 통신할 수 없도록 통신을 정의합니다.
      • 통신을 특정 포트 또는 프로토콜로 제한합니다.
      • 소스 워크로드를 지정합니다.
      • 워크로드의 통신 전략을 설정한 후 예외를 설정합니다.
    • 기본 방화벽 규칙에 대한 작업을 정의합니다(통신 섹션에 정의된 방화벽 규칙과 일치하지 않는 트래픽을 처리하기 위해).
    • 방화벽 규칙을 검토하고 게시합니다.

NSX-T 보안을 위해 클러스터 준비

NSX-T 보안을 위해 준비할 호스트 클러스터를 선택합니다.

[시작] 섹션에는 보안만 또는 가상 네트워킹 중에서 선택할 수 있는 옵션이 있습니다. 보안용으로만 클러스터를 사용하도록 선택하면 마법사는 보안 규칙을 정의하라는 메시지를 표시하고 해당 규칙을 사용하여 선택한 클러스터의 분산 가상 포트 그룹에 NSX-T 보안을 자동으로 구성합니다.

사전 요구 사항

  • ESXi 호스트가 vCenter Server 버전 v7.0.3 이상과 호환되는지 확인합니다.
  • vCenter Server 버전이 v7.0.3 이상인지 확인합니다.
  • 호스트에서 VDS(vSphere Distributed Switch) 스위치를 구성합니다. VDS 6.6 이상만 지원됩니다.
  • vSphere Lifecycle Manager 지원 클러스터의 NSX Manager UI에서 vCenter Server를 다음과 같이 편집합니다.
    • 서비스 계정을 생성하고 NSX-TvCenter Server 간에 신뢰를 사용하도록 설정합니다. 계산 관리자 추가 항목을 참조하십시오.

프로시저

  1. 브라우저에서 관리자 권한으로 https://<vcenter-server-ip-address>의 vCenter Server에 로그인합니다.
  2. vSphere Client UI에서 vSphere Client 메뉴를 선택하고 NSX를 클릭합니다.
  3. NSX 시작 화면의 보안만 카드에서 시작을 클릭합니다.
  4. 호스트 클러스터 준비 섹션에서 보안용으로 준비할 클러스터를 선택하고 NSX 설치를 클릭합니다.
  5. [보안 설치] 팝업 창에서 설치를 클릭하여 처리를 확인합니다.
    참고: 호환되지 않는 ESXi 호스트가 있는 클러스터는 호스트 준비에 허용되지 않습니다.
  6. 다음을 클릭하여 방화벽 규칙을 정의합니다.

결과

NSX-T가 호스트 클러스터에 설치되어 있습니다.

다음에 수행할 작업

연결이 끊어지지 않도록 하려면 vCenter ServerNSX Manager를 DFW 제외 목록에 추가합니다.

분산 방화벽 제외 목록에 vCenter ServerNSX Manager 추가

vCenter Server 또는 NSX Manager VM에 대한 연결을 보장하려면 이러한 VM을 NSX-T의 DFW 방화벽 제외 목록에 추가합니다.

vCenter ServerNSX Manager VM을 DFW 제외 목록에 추가한 후 기본 방화벽 정책을 vCenter ServerNSX-T 플러그인에서 삭제로 구성해도 이러한 VM에 대한 연결이 끊어지지 않습니다. NSX Manager UI에서 다음 절차를 수행합니다.

프로시저

  1. 브라우저에서 관리자 권한으로 https://<nsx-manager-ip-address>의 NSX Manager에 로그인합니다.
  2. 인벤토리 → 태그로 이동합니다.
  3. 새 태그(예: NSX-VM-Tag)를 생성하고 vCenter ServerNSX Manager VM을 모두 추가합니다.
  4. 새 그룹(예: NSX-VM-Group)을 생성합니다.
  5. [계산 멤버] 필드에서 설정을 클릭합니다.
  6. [멤버 설정] 창의 [멤버 자격 조건] 페이지에서 [조건 추가]를 클릭합니다.
  7. [기준 1] 행에서 NSX-VM-Tag와 동일한 가상 시스템 태그를 찾습니다.
  8. vCenter ServerNSX Manager VM이 모두 NSX-VM-Group 그룹에 추가되었는지 확인합니다.
  9. 적용을 클릭합니다.
    시스템 VM - vCenter ServerNSX Manager VM은 NSX-VM-Group 그룹을 통해 DFW 제외 목록에 추가됩니다. 방화벽 정책이 삭제로 설정되어 있더라도 vCenter ServerNSX Manager VM에 대한 연결이 끊어지지 않습니다.

다음에 수행할 작업

NSX-T에서 vCenter Server 플러그인을 시작하고 호스트에서 실행되는 워크로드에 적용할 수 있는 방화벽 규칙을 생성합니다. 그룹 생성 항목을 참조하십시오.

그룹 생성

방화벽 생성의 일부로 DHCP 등의 선택한 서비스를 실행하는 인프라 그룹을 정의하고 선택한 그룹 멤버로 구성된 환경 그룹(예: 운영, 테스트 등)을 정의한 다음 선택한 그룹 멤버로 애플리케이션 그룹을 정의합니다.

사전 요구 사항

  • 호스트 클러스터에 NSX-T를 설치합니다.

프로시저

  1. 방화벽 규칙 생성 탭에서 그룹 생성을 선택합니다.
  2. 그룹 생성 페이지에서 인프라 그룹 생성을 확장합니다.
  3. 그룹 추가를 클릭합니다.
  4. 인프라 서비스 드롭다운 메뉴에서 Active Directory와 같은 서비스를 선택합니다. 다음 단계에서는 인프라 그룹을 구성하는 멤버로 구성된 그룹에 이 서비스를 할당합니다. 인프라 서비스는 워크플로에서 한 번만 생성할 수 있습니다. 생성한 후에는 편집할 수 없습니다.
  5. 인프라 그룹을 정의하려면 [그룹 정의]를 클릭합니다.

    인프라는 VM, IP 주소 범위 또는 분산 가상 포트 그룹의 조합일 수 있습니다.

    1. (선택 사항) 그룹 이름 필드에서 기본 그룹 이름을 수정합니다.
    2. (선택 사항) NSX 태그 필드에서 기본 태그 이름을 수정합니다. 정의된 태그는 그룹으로 선택된 모든 VM 및 분산 가상 포트 그룹에 적용됩니다. 기본 태그 이름을 편집할 수 있습니다.
    3. NSX 태그를 추가할 VM 선택 섹션을 확장하고 인프라 그룹의 일부여야 하는 VM을 선택합니다.
    4. IP 주소 섹션을 확장하고 IP 주소, CIDR 형식의 IP 주소 또는 IP 범위를 입력합니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다.
    5. NSX 태그를 추가할 DVPG 선택 섹션을 확장하고 인프라 그룹의 일부여야 하는 분산 가상 포트 그룹을 선택합니다.
    6. 저장을 클릭합니다.
      마법사가 자동으로 그룹을 생성하고 그룹의 선택한 모든 멤버에 NSX 태그를 적용합니다. 예를 들어 정의된 그룹에 하나의 VM, 하나의 분산 가상 포트 그룹 및 하나의 IP 주소가 포함되어 있고 DHCP가 선택된 인프라 서비스인 경우 마법사는 정의된 태그를 사용하여 모든 그룹 멤버에 태그를 지정합니다.
  6. 다음을 클릭합니다.
  7. 그룹 생성 페이지에서 환경 그룹 생성을 확장합니다.
  8. 그룹 추가를 클릭합니다.
  9. 환경 드롭다운 메뉴에서 그룹의 환경을 선택합니다. 예를 들어 환경은 토폴로지에서 정의하려는 운영, 테스트, 파트너 또는 사용자 지정 환경일 수 있습니다.
  10. 환경 그룹을 정의하려면 [그룹 정의]를 클릭합니다.
    1. (선택 사항) 그룹 이름 필드에서 기본 그룹 이름을 수정합니다.
    2. (선택 사항) NSX 태그 필드에서 기본 NSX 태그 이름을 수정합니다. 이 태그 이름은 환경 그룹에 대해 선택된 모든 VM 및 분산 가상 포트 그룹에 적용됩니다.
    3. NSX 태그를 추가할 VM 선택 섹션을 확장하고 환경 그룹의 일부여야 하는 VM을 선택합니다.
    4. IP 주소 섹션을 확장하고 IP 주소, CIDR 형식의 IP 주소 또는 IP 범위를 입력합니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다.
    5. NSX 태그를 추가할 DVPG 선택 섹션을 확장하고 환경 그룹의 일부여야 하는 분산 가상 포트 그룹을 선택합니다.
    6. 저장을 클릭합니다.
  11. 다음을 클릭합니다.
  12. 그룹 생성 페이지에서 애플리케이션 그룹 생성을 확장합니다.
  13. 그룹 추가를 클릭합니다.
  14. 애플리케이션 그룹 이름 드롭다운 메뉴에서 생성하려는 애플리케이션 그룹의 유형을 선택합니다.
  15. 애플리케이션 그룹을 정의하려면 [그룹 정의]를 클릭합니다.
    1. (선택 사항) 그룹 이름 필드에서 애플리케이션 그룹의 기본 그룹 이름을 수정합니다.
    2. (선택 사항) NSX 태그 필드에서 기본 태그 이름을 수정합니다. 이 태그 이름은 애플리케이션 그룹에 대해 선택된 모든 VM 및 분산 가상 포트 그룹에 적용됩니다. NSX 태그를 입력하십시오.
    3. NSX 태그를 추가할 VM 선택 섹션을 확장하고 애플리케이션 그룹의 일부여야 하는 VM을 선택합니다.
    4. IP 주소 섹션을 확장하고 IP 주소, CIDR 형식의 IP 주소 또는 IP 범위를 입력합니다. IPv4 및 IPv6 형식이 둘 다 지원됩니다.
    5. NSX 태그를 추가할 DVPG 선택 섹션을 확장하고 애플리케이션 그룹의 일부여야 하는 분산 가상 포트 그룹을 선택합니다.
    6. 저장을 클릭합니다.
  16. 다음을 클릭합니다.

결과

인프라 그룹, 환경 그룹 및 애플리케이션 그룹을 생성했습니다.

다음에 수행할 작업

그룹을 생성한 후 워크로드와 서로 다른 그룹 간의 통신을 제어하는 방화벽 규칙을 정의합니다.

그룹 통신 전략 정의 및 게시

그룹을 생성하면 그룹 간 통신을 제어하는 방화벽 규칙을 정의하고 통신을 위한 예외 및 포트나 프로토콜을 정의합니다.

사전 요구 사항

  • 호스트 클러스터에 NSX-T를 설치합니다.
  • 인프라 그룹, 환경 그룹 및 애플리케이션 그룹을 생성합니다.

프로시저

  1. 인프라 서비스에 대한 액세스 섹션을 확장하고 공유 인프라 서비스에 액세스할 수 있는 특정 워크로드를 정의합니다.
    필드 설명
    소스

    [소스] 열에서 대상 인프라 서비스에 액세스할 수 있는 워크로드를 선택합니다.

    대상

    소스 워크로드에서 액세스하는 정의된 인프라 서비스입니다.

    (NSX-T3.2.2) 서비스 항목

    편집 아이콘을 클릭하여 서비스 항목을 추가하거나 편집합니다.

    [서비스 항목] 창에서 서비스 유형 및 서비스 유형에 대한 속성을 선택합니다.

    참고: NSX-T 3.2.1 및 이전 버전에서는 필드 이름이 L4입니다.
  2. 다음을 클릭합니다.
  3. 환경 간 통신 정의(선택 사항) 섹션을 확장하고 그룹 간 통신을 정의합니다.
    필드 설명
    소스

    섹션을 확장하여 대상 환경과 통신해야 하는 소스 환경을 정의합니다.

    (NSX-T 3.2.2): 나열된 각 소스 그룹에 대해 통신 방법으로 보호되지 않음, 허용됨 또는 차단됨을 선택합니다.

    참고: 모든 소스 그룹과 대상 그룹 간의 모든 통신을 허용하려면 모든 통신 허용을 선택합니다.

    (NSX-T 3.2.1 및 이전 버전): 개발 환경과 운영 환경 간의 통신을 허용하려면 개발 및 운영 사이의 빨간색 점선을 클릭합니다. 그룹 간에 녹색 선이 설정되면 [사용] 상태가 표시됩니다.

    환경 시스템에서 선택한 대상 환경입니다.
    (NSX-T3.2.2) 서비스 항목 소스 및 대상 환경의 워크로드가 서로 통신하는 데 사용할 서비스 유형, 포트 및 속성을 선택합니다.

    적용을 클릭합니다.

    참고: NSX-T 3.2.1 및 이전 버전에서는 필드 이름이 L4입니다.
  4. 다음을 클릭합니다.
  5. 애플리케이션에 대한 통신 전략 정의(선택 사항) 섹션을 확장하고 애플리케이션 그룹에 대한 통신을 정의합니다.
    필드 설명
    소스 수신 또는 송신 트래픽을 관리하는 통신 규칙을 선택할 애플리케이션 그룹을 선택합니다.
    전략

    애플리케이션 그룹에 적용할 방화벽 전략을 선택합니다.

    지원되는 방화벽 규칙은 다음과 같습니다.
    • 모든 외부 트래픽을 허용합니다.
    • 수신 트래픽을 거부하고 송신 트래픽을 허용합니다.
    • 수신 트래픽을 허용하고 송신 트래픽을 거부합니다.
    • 모든 외부 트래픽을 거부합니다.
    참고: 모든 애플리케이션 그룹에 하나의 방화벽 규칙을 적용하려면 전략 선택을 클릭하고 규칙을 선택한 후 적용을 클릭합니다.
    예외

    방화벽 규칙을 구성하는 방법에 따라 예외를 추가하는 것이 좋습니다.

    기본적으로 예외는 추가되지 않습니다. 예외를 추가하려면 예외 없음 링크를 클릭합니다. 예외를 추가하려면 다음 필드를 편집합니다.
    • 소스: 소스를 선택합니다.
    • 서비스 항목: 서비스, 포트 및 속성을 선택합니다.
    • L7 애플리케이션 ID: 애플리케이션 ID를 선택합니다.
    • FQDN: 애플리케이션의 FQDN을 선택합니다.
    적용을 클릭합니다.
  6. 다음을 클릭합니다.
  7. 기본 방화벽 규칙 정의 작업(선택 사항) 섹션을 확장하고 정의된 조건과 일치하지 않는 트래픽에 적용되는 작업을 정의합니다.
  8. 기본 규칙 작업에서 다음 중 하나를 선택합니다.
    • 허용: 기본 규칙 집합입니다. 정의된 조건과 일치하지 않는 모든 트래픽을 허용합니다.
    • 삭제 또는 거부: 네트워크에 기반하는 방화벽 규칙을 적용하려면 정의된 조건과 일치하지 않는 트래픽을 삭제하도록 선택할 수 있습니다.
  9. 다음을 클릭합니다.
  10. [검토 및 게시] 페이지에서 그룹에 적용한 통신 전략 및 방화벽 규칙을 검토합니다.
    그룹에 적용된 통신 전략 및 방화벽 규칙을 검토합니다.

    스크린샷에서 운영 규칙 1은 사용자 정의 규칙이며 운영 규칙 2는 시스템 정의 기본 규칙으로, 기본 작업은 삭제로 설정됩니다.

  11. 정책 게시를 클릭합니다.

결과

마법사가 종료되고 정의한 방화벽 정책이 그룹에 적용됩니다. NSX UI는 vCenter Server에서 사용할 수 있습니다.

다음에 수행할 작업

vSphere Client에서 게시된 방화벽 규칙이 NSX Manager UI에서 인식되는지 확인합니다.
  1. NSX Manager UI에서 인벤토리 → 그룹으로 이동합니다.
  2. [그룹] 페이지에서 vSphere Client에 정의한 워크로드 그룹이 NSX Manager에서 인식되는지 확인합니다.
  3. 보안 → 분산 방화벽 페이지로 이동합니다.
  4. [분산 방화벽] 페이지에서 vSphere Client에 적용한 방화벽 규칙이 NSX Manager에서 인식되는지 확인합니다.