이 항목에서는 VMware NSX 6.x DFW(분산 방화벽)를 이해하고 관련 문제를 해결하기 위한 정보를 제공합니다.

문제점

분산 방화벽 규칙 게시가 실패합니다.

분산 방화벽 규칙 업데이트가 실패합니다.

원인

NSX 분산 방화벽은 가상 워크로드와 네트워크에 대한 가시성 및 제어 기능을 제공하는 하이퍼바이저 커널이 포함된 방화벽입니다. 데이터센터 및 클러스터, 가상 시스템 이름 및 태그, IP/VLAN/VXLAN 주소와 같은 네트워크 구성 요소, Active Directory의 사용자 그룹 ID와 같은 VMware vCenter 개체를 기반으로 액세스 제어 정책을 생성할 수 있습니다. 이제 가상 시스템이 물리적 호스트에서 vMotion을 통해 이동될 때 일관된 액세스 제어 정책이 강제로 적용되므로 방화벽 규칙을 다시 작성할 필요가 없습니다. 분산 방화벽은 하이퍼바이저에 포함되어 있기 때문에 회선에 가까운 속도의 처리량을 제공함으로써 물리적 서버에서 더 높은 수준의 워크로드 통합을 가능하게 합니다. 이 방화벽이 지닌 분산 특성은 데이터센터에 호스트가 추가될 때마다 방화벽 용량을 자동 확장하는 확장 아키텍처를 제공합니다.

ESXi 호스트의 NSX Manager 웹 애플리케이션 및 NSX 구성 요소는 NSX Manager 웹 애플리케이션과 동일한 가상 시스템에서 실행되는 RabbitMQ 브로커 프로세스를 통해 서로 통신합니다. 사용되는 통신 프로토콜은 AMQP(Advanced Message Queueing Protocol)이고 해당 채널은 SSL을 사용하여 보호됩니다. ESXi 호스트에서 VSFWD(vShield 방화벽 데몬) 프로세스는 브로커에 대한 SSL 연결을 설정 및 유지 보수하고 다른 구성 요소 대신 메시지를 송수신하며 IPC를 통해 통신합니다.

아래의 각 문제 해결 단계가 작업 환경에 맞는지 확인하십시오. 각 단계에서는 가능한 원인을 해결하고 필요한 경우 수정 조치를 취하기 위한 지침 또는 문서에 대한 링크를 제공합니다. 이러한 단계는 문제를 분리하고 적절한 해결책을 찾아내는 데 가장 적합한 순서대로 진행됩니다. 각 단계를 수행한 후에 분산 방화벽 규칙 업데이트/게시를 다시 시도하십시오.

프로시저

  1. NSX VIB가 클러스터의 각 ESXi 호스트에 성공적으로 설치되었는지 확인합니다. 이렇게 하려면 클러스터의 각 ESXi 호스트에 대해 다음 명령을 실행합니다.
    # esxcli software vib list | grep vsip
    esx-vsip                       6.0.0-0.0.4744062  VMware  VMwareCertified   2017-01-04 
    
    # esxcli software vib list | grep vxlan
    esx-vxlan                      6.0.0-0.0.4744062  VMware  VMwareCertified   2017-01-04
    

    NSX 6.2 이전 버전에는 다음과 같은 추가 VIB가 있습니다.

    # esxcli software vib list | grep dvfilter
    
    esx-dvfilter-switch-security   5.5.0-0.0.2318233  VMware  VMwareCertified   2015-01-24

    ESXi 6.0 이상이 있는 NSX 6.3.3부터 esx-vxlan 및 esx-vsip VIB가 esx-nsxv로 대체됩니다.

    # esxcli software vib list | grep nsxv
    esx-nsxv                       6.0.0-0.0.6216823  VMware  VMwareCertified   2017-08-10

  2. ESXi 호스트에서 vShield-Stateful-Firewall 서비스가 실행 상태인지 확인합니다.

    예:

    # /etc/init.d/vShield-Stateful-Firewall status
    
    vShield-Stateful-Firewall is running
  3. 메시지 버스가 NSX Manager와 제대로 통신하고 있는지 확인합니다.

    이 프로세스는 감시 스크립트에 의해 자동으로 시작되며, 알 수 없는 이유로 프로세스가 종료되는 경우 프로세스가 다시 시작됩니다. 클러스터의 각 ESXi 호스트에 대해 다음 명령을 실행합니다.

    예:

    # ps | grep vsfwd
    
    107557 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd
    107574 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd
    107575 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd
    107576 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd
    107577 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd
    107578 107557 vsfwd /usr/lib/vmware/vsfw/vsfwd 
    
  4. 방화벽 구성에서 통신을 위해 포트 5671이 열려 있는지 확인합니다.

    이 명령은 RabbitMQ 브로커와의 VSFWD 연결을 보여줍니다. ESXi 호스트에 대해 다음 명령을 실행하여 ESXi 호스트의 vsfwd 프로세스에서 NSX Manager로의 연결 목록을 확인합니다. 통신이 가능하도록 환경의 외부 방화벽에서 포트 5671이 열려 있는지 확인합니다. 또한 포트 5671에 둘 이상의 연결이 있어야 합니다. ESXi 호스트에는 RMQ 브로커와도 연결되는 NSX Edge 가상 시스템이 배포되어 있으므로 포트 5671에 더 많은 연결이 있을 수 있습니다.

    예:

    # esxcli network ip connection list |grep 5671
    
    tcp         0       0  192.168.110.51:30133            192.168.110.15:5671   ESTABLISHED  10949155  newreno  vsfwd
    tcp         0       0  192.168.110.51:39156            192.168.110.15:5671   ESTABLISHED  10949155  newreno  vsfwd
    
  5. VSFWD가 구성되어 있는지 확인합니다.

    다음 명령은 NSX Manager IP 주소를 표시합니다.

    # esxcfg-advcfg -g /UserVars/RmqIpAddress
  6. 이 ESXi 호스트에 대해 호스트 파일을 사용하는 경우 호스트 프로파일에 RabbitMQ 구성이 설정되지 않아야 합니다.
  7. ESXi 호스트의 RabbitMQ 자격 증명이 NSX Manager와 동기화되지 않았는지 확인합니다. NSX Manager 기술 지원 로그를 다운로드합니다. 모든 NSX Manager 기술 지원 로그를 수집한 후에 모든 로그에서 다음과 같은 항목을 검색합니다.

    host-420을 문제가 의심되는 호스트의 호스트 ID로 바꿉니다.

    PLAIN login refused: user 'uw-host-420' - invalid credentials.
  8. 이러한 항목을 의심되는 ESXi 호스트에 대한 로그에서 찾으면 메시지 버스를 다시 동기화하십시오.

    메시지 버스를 다시 동기화하려면 REST API를 사용하십시오. 문제를 보다 잘 이해하려면 메시지 버스가 다시 동기화된 직후에 로그를 수집하십시오.

    HTTP Method : POST 
    Headers , 
    Authorization : base64encoded value of username password
    Accept : application/xml
    Content-Type : application/xml
    Request:
    
    POST https://NSX_Manager_IP/api/2.0/nwfabric/configure?action=synchronize
    
    Request Body:
    
    <nwFabricFeatureConfig>
    <featureId>com.vmware.vshield.vsm.messagingInfra</featureId>
    <resourceConfig>
    <resourceId<{HOST/CLUSTER MOID}</resourceId>
    </resourceConfig>
    </nwFabricFeatureConfig>
  9. export host-tech-support <host-id> scp <uid@ip:/path> 명령을 사용하여 호스트별 방화벽 로그를 수집합니다.

    예:

    nsxmgr# export host-tech-support host-28 scp Administrator@192.168.110.10
    Generating logs for Host: host-28...
    
  10. show dfw host host-id summarize-dvfilter 명령을 사용하여 방화벽 규칙이 호스트에 배포되었는지와 가상 시스템에 적용되었는지 확인합니다.

    출력에서 module: vsip는 DFW 모듈이 로드되어 실행 중임을 나타냅니다. name은 각 vNic에서 실행 중인 방화벽을 표시합니다.

    클러스터 도메인 ID를 가져오는 show dfw cluster all 명령을 실행한 다음 호스트 ID를 가져오는 show dfw cluster domain-id를 실행하여 호스트 ID를 가져올 수 있습니다.

    예:

    # show dfw host host-28 summarize-dvfilter
    
    Fastpaths:
    agent: dvfilter-faulter, refCount: 1, rev: 0x1010000, apiRev: 0x1010000, module: dvfilter
    agent: ESXi-Firewall, refCount: 5, rev: 0x1010000, apiRev: 0x1010000, module: esxfw
    agent: dvfilter-generic-vmware, refCount: 1, rev: 0x1010000, apiRev: 0x1010000, module: dvfilter-generic-fastpath
    agent: dvfilter-generic-vmware-swsec, refCount: 4, rev: 0x1010000, apiRev: 0x1010000, module: dvfilter-switch-security
    agent: bridgelearningfilter, refCount: 1, rev: 0x1010000, apiRev: 0x1010000, module: vdrb
    agent: dvfg-igmp, refCount: 1, rev: 0x1010000, apiRev: 0x1010000, module: dvfg-igmp
    agent: vmware-sfw, refCount: 4, rev: 0x1010000, apiRev: 0x1010000, module: vsip
    
    Slowpaths:
    
    Filters:
    world 342296 vmm0:2-vm_RHEL63_srv_64-shared-846-3f435476-8f54-4e5a-8d01-59654a4e9979 vcUuid:'3f 43 54 76 8f 54 4e 5a-8d 01 59 65 4a 4e 99 79'
     port 50331660 2-vm_RHEL63_srv_64-shared-846-3f435476-8f54-4e5a-8d01-59654a4e9979.eth1
      vNic slot 2
       name: nic-342296-eth1-vmware-sfw.2
       agentName: vmware-sfw
       state: IOChain Attached
       vmState: Detached
       failurePolicy: failClosed
       slowPathID: none
       filter source: Dynamic Filter Creation
      vNic slot 1
       name: nic-342296-eth1-dvfilter-generic-vmware-swsec.1
       agentName: dvfilter-generic-vmware-swsec
       state: IOChain Attached
       vmState: Detached
       failurePolicy: failClosed
       slowPathID: none
       filter source: Alternate Opaque Channel
     port 50331661 (disconnected)
      vNic slot 2
       name: nic-342296-eth2-vmware-sfw.2
       agentName: vmware-sfw        <================ DFW filter
       state: IOChain Detached
       vmState: Detached
       failurePolicy: failClosed
       slowPathID: none
       filter source: Dynamic Filter Creation
     port 33554441 2-vm_RHEL63_srv_64-shared-846-3f435476-8f54-4e5a-8d01-59654a4e9979
      vNic slot 2
       name: nic-342296-eth0-vmware-sfw.2
       agentName: vmware-sfw    <================= DFW filter
       state: IOChain Attached
       vmState: Detached
       failurePolicy: failClosed
       slowPathID: none
       filter source: Dynamic Filter Creation
    
  11. show dfw host hostID filter filterID rules 명령을 실행합니다.

    예:

    # show dfw host host-28 filter nic-79396-eth0-vmware-sfw.2 rules
     
    ruleset domain-c33 {
      # Filter rules
      rule 1012 at 1 inout protocol any from addrset ip-securitygroup-10 to addrset ip-securitygroup-10 drop with log;
      rule 1013 at 2 inout protocol any from addrset src1013 to addrset src1013 drop;
      rule 1011 at 3 inout protocol tcp from any to addrset dst1011 port 443 accept;
      rule 1011 at 4 inout protocol icmp icmptype 8 from any to addrset dst1011 accept;
      rule 1010 at 5 inout protocol tcp from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 port 8443 accept;
      rule 1010 at 6 inout protocol icmp icmptype 8 from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 accept;
      rule 1009 at 7 inout protocol tcp from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 port 3306 accept;
      rule 1009 at 8 inout protocol icmp icmptype 8 from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 accept;
      rule 1003 at 9 inout protocol ipv6-icmp icmptype 136 from any to any accept;
      rule 1003 at 10 inout protocol ipv6-icmp icmptype 135 from any to any accept;
      rule 1002 at 11 inout protocol udp from any to any port 67 accept;
      rule 1002 at 12 inout protocol udp from any to any port 68 accept;
      rule 1001 at 13 inout protocol any from any to any accept;
    }
    
    ruleset domain-c33_L2 {
      # Filter rules
      rule 1004 at 1 inout ethertype any from any to any accept;
    
  12. show dfw host hostID filter filterID addrsets 명령을 실행합니다.

    예:

    # show dfw host host-28 filter nic-342296-eth2-vmware-sfw.2 addrsets 
    
    addrset dst1011 {
    ip 172.16.10.10,
    ip 172.16.10.11,
    ip 172.16.10.12,
    ip fe80::250:56ff:feae:3e3d,
    ip fe80::250:56ff:feae:f86b,
    }
    addrset ip-securitygroup-10 {
    ip 172.16.10.11,
    ip 172.16.10.12,
    ip fe80::250:56ff:feae:3e3d,
    ip fe80::250:56ff:feae:f86b,
    }
    addrset ip-securitygroup-11 {
    ip 172.16.20.11,
    ip fe80::250:56ff:feae:23b9,
    }
    addrset ip-securitygroup-12 {
    ip 172.16.30.11,
    ip fe80::250:56ff:feae:d42b,
    }
    addrset src1013 {
    ip 172.16.10.12,
    ip 172.17.10.11,
    ip fe80::250:56ff:feae:cf88,
    ip fe80::250:56ff:feae:f86b,
    }
    
  13. 위의 각 문제 해결 단계가 유효한지 확인했으나 호스트 가상 시스템에 방화벽 규칙을 게시할 수 없는 경우 NSX Manager UI 또는 다음 REST API 호출을 통해 호스트 수준 강제 동기화를 실행하십시오.
    URL : [https:]https://<nsx-mgr-ip>/api/4.0/firewall/forceSync/<host-id>
    HTTP Method : POST 
    Headers , 
    Authorization : base64encoded value of username password
    Accept : application/xml
    Content-Type : application/xml
    

결과

참고:

  • 방화벽 규칙이 IP 주소를 사용하지 않는 경우 가상 시스템에서 VMware Tools가 실행되고 있는지 확인하십시오. 자세한 내용은 https://kb.vmware.com/kb/2084048 항목을 참조하십시오.

    VMware NSX 6.2.0에는 DHCP 스누핑 또는 ARP 스누핑을 사용하여 가상 시스템의 IP 주소를 검색하는 옵션이 추가되었습니다. NSX는 이 새로운 검색 메커니즘을 통해 VMware Tools가 설치되지 않은 가상 시스템에서 IP 주소 기반 보안 규칙을 적용할 수 있습니다. 자세한 내용은 NSX 6.2.0 릴리스 정보를 참조하십시오.

    DFW는 호스트 준비 프로세스가 완료되는 즉시 활성화됩니다. 가상 시스템에 DFW 서비스가 전혀 필요하지 않을 경우 제외 목록 기능에 추가될 수 있습니다(기본적으로 NSX Manager, NSX Controller 및 Edge Services Gateway는 DFW 기능에서 자동으로 제외됨). DFW에서 [모두 거부] 규칙을 생성한 후에 vCenter Server 액세스가 차단될 수 있습니다. 자세한 내용은 https://kb.vmware.com/kb/2079620 항목을 참조하십시오.

  • VMware 기술 지원을 통해 VMware NSX 6.x DFW(분산 방화벽) 문제를 해결할 경우 다음이 필요합니다.

    • 클러스터의 각 ESXi 호스트에 대한 show dfw host hostID summarize-dvfilter 명령의 출력

    • Networking & Security > 방화벽 > 일반(Networking and Security > Firewall > General) 탭에서 분산 방화벽 구성을 누르고 구성 내보내기(Export Configuration)를 클릭합니다. 이렇게 하면 분산 방화벽 구성이 XML 형식으로 내보내집니다.

    • NSX Manager 로그 자세한 내용은 https://kb.vmware.com/kb/2074678 항목을 참조하십시오.

    • vCenter Server 로그 자세한 내용은 https://kb.vmware.com/kb/1011641 항목을 참조하십시오.