Service Composer를 통해 생성된 모든 방화벽 규칙에 대한 적용 대상 설정을 [Distributed Firewall] 또는 [정책의 Security Group]으로 설정할 수 있습니다. 기본적으로 적용 대상은 [Distributed Firewall]로 설정되어 있습니다.

이 태스크 정보

Service Composer 방화벽 규칙의 적용 대상이 [Distributed Firewall]로 설정되어 있으면 [Distributed Firewall]이 설치된 모든 클러스터에 규칙이 적용됩니다. 방화벽 규칙의 적용 대상이 [정책의 Security Group]으로 설정되어 있으면 방화벽 규칙을 보다 미세하게 제어할 수 있지만 원하는 결과를 얻기 위해 여러 보안 정책 또는 방화벽 규칙이 필요할 수 있습니다.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. Networking & Security를 클릭하고 Service Composer, 보안 정책(Security Policies) 탭을 차례로 클릭합니다.
  3. 작업(Actions) > 방화벽 정책 설정 편집(Edit Firewall Policy Settings)을 클릭합니다. 적용 대상에 대해 기본 설정을 선택하고 [확인]을 클릭합니다.

    옵션

    설명

    Distributed Firewall

    방화벽 규칙이 [Distributed Firewall]이 설치된 모든 클러스터에 적용됩니다.

    정책의 Security Group

    방화벽 규칙이 보안 정책이 적용된 보안 그룹에 적용됩니다.

    API를 통해 기본 적용 대상 설정을 보고 변경할 수도 있습니다. NSX API 가이드를 참조하십시오.

적용 대상 동작

이 예제 시나리오에서 기본 방화벽 규칙 작업은 [차단]으로 설정되어 있습니다. 두 가지 보안 그룹인 web-servers 및 app-servers가 있습니다(VM 포함). 다음 방화벽 규칙을 포함하는 보안 정책, allow-ssh-from-web을 생성한 후 보안 그룹 app-servers에 적용합니다.

  • 이름: allow-ssh-from-web

  • 소스: web-servers

  • 대상: 정책의 Security Group

  • 서비스: ssh

  • 작업: 허용

방화벽 규칙이 [Distributed Firewall]에 적용되는 경우 보안 그룹 web-servers의 VM에서 보안 그룹 app-servers의 VM으로 ssh를 수행할 수 있습니다.

방화벽 규칙이 [정책의 Security Group]에 적용되는 경우 트래픽이 애플리케이션 서버에 도달될 수 없게 차단되므로 ssh가 가능하지 않게 됩니다. 애플리케이션 서버에 대한 ssh를 허용하기 위한 추가 보안 정책을 생성하고 이 정책을 보안 그룹 web-servers에 적용해야 합니다.

  • 이름: allow-ssh-to-app

  • 소스: 정책의 Security Group

  • 대상: app-servers

  • 서비스: ssh

  • 작업: 허용