Service Composer는 네트워크 및 보안 서비스를 가상 인프라의 애플리케이션에 프로비저닝하고 할당하는 데 도움이 됩니다. 이러한 서비스를 Security Group에 매핑하면 Security Group의 가상 시스템에 서비스가 적용됩니다.

Security Group

먼저 Security Group을 생성하여 보호할 자산을 정의합니다. Security Group은 정적(특정 가상 시스템 포함) 또는 동적일 수 있으며 멤버 자격은 다음 방법 중 하나 이상을 사용하여 정의될 수 있습니다.

  • vCenter 컨테이너(클러스터, 포트 그룹 또는 데이터센터)

  • 보안 태그, IPset, MACset 또는 다른 Security Group. 예를 들어 특정 보안 태그(예: AntiVirus.virusFound)로 태그 지정된 멤버를 모두 Security Group에 추가하는 조건을 포함할 수 있습니다.

  • 디렉토리 그룹(NSX Manager가 Active Directory에 등록된 경우)

  • 이름이 VM1인 가상 시스템과 같은 정규식

Security Group 멤버 자격은 지속적으로 바뀐다는 점을 유의하십시오. 예를 들어 AntiVirus.virusFound 태그가 지정된 가상 시스템은 차단 Security Group으로 이동됩니다. 바이러스가 제거되어 가상 시스템에서 이 태그가 제거되면 다시 차단 Security Group 밖으로 이동합니다.

보안 정책

보안 정책은 다음과 같은 서비스 구성의 모음입니다.

표 1. 보안 정책에 포함된 보안 서비스

서비스

설명

적용 대상

방화벽 규칙

Security Group으로 들어오거나, Security Group에서 나가거나, Security Group 내에서 이동하는 것이 허용되는 트래픽을 정의하는 규칙입니다.

vNIC

Endpoint 서비스

Data Security 또는 바이러스 백신이나 취약성 관리 서비스와 같은 타사 솔루션 제공자 서비스입니다.

가상 시스템

네트워크 검사 서비스

IPS와 같은 네트워크를 모니터링하는 서비스입니다.

가상 시스템

NSX에서 서비스가 배포되는 동안 타사 벤더가 배포되고 있는 서비스의 서비스 범주를 선택합니다. 각 벤더 템플릿에 대해 기본 서비스 프로파일이 생성됩니다.

타사 벤더 서비스가 NSX 6.1로 업그레이드되면 업그레이드된 벤더 템플릿에 대해 기본 서비스 프로파일이 생성됩니다. 게스트 검사 규칙을 포함하는 기존 서비스 정책이 업그레이드되는 동안 생성된 서비스 프로파일을 참조하도록 업데이트됩니다.

보안 정책을 Security Group에 매핑

보안 정책(예: SP1)을 Security Group(예: SG1)에 매핑합니다. SP1에 대해 구성된 서비스는 SG1의 멤버인 모든 가상 시스템에 적용됩니다.

참고:

동일한 보안 정책을 연결해야 하는 보안 그룹이 많을 때에는 이러한 모든 하위 보안 그룹을 포함하는 포괄 보안 그룹을 생성하고 포괄 보안 그룹에 공통 보안 정책을 적용합니다. 이렇게 하면 NSX 분산 방화벽이 ESXi 호스트 메모리를 효율적으로 이용합니다.

그림 1. Service Composer 개요
SP

가상 시스템이 둘 이상의 Security Group에 속한 경우 가상 시스템에 적용되는 서비스는 Security Group에 매핑된 보안 정책의 우선 순위에 따라 달라집니다.

Service Composer 프로파일을 백업이나 다른 환경에 사용할 목적으로 내보내거나 가져올 수 있습니다. 이런 방법으로 네트워크 및 보안 서비스를 관리하면 작업 가능하고 반복 가능한 보안 정책 관리에 도움이 됩니다.