NSX VPC에서 그룹을 생성하고 방화벽 정책에서 사용하여 NSX VPC 내에서 실행되는 워크로드에 대한 특정 보안 요구 사항을 충족할 수 있습니다.
NSX VPC의 기본 그룹
시스템은 프로젝트에 추가된 모든 NSX VPC에 대해 기본 그룹을 생성합니다. 기본 그룹은 방화벽 규칙의 범위를 특정 NSX VPC로 제한하는 데 도움이 됩니다.
다음 이름 지정 규칙은 NSX VPC의 기본 그룹을 식별하는 데 사용할 수 있습니다.
ORG-default-PROJECT-<Project_Name>-VPC-<VPC_Name>-default
Project_Name 및 VPC_Name은 시스템의 실제 값으로 대체됩니다.
이 기본 그룹은 NSX VPC 자체를 나타냅니다. 이 기본 그룹의 멤버는 서브넷, NSX VPC 서브넷에 연결된 서브넷 포트 및 VIF(VM 인터페이스)입니다. 예를 들어 한 인터페이스가 VPC 서브넷에 연결되어 있고 다른 인터페이스가 기본 공간의 세그먼트에 연결된 경우 VM이 이중 홈인 경우 세그먼트에 있는 이 VM의 VIF는 VPC 기본 그룹의 멤버가 아닙니다.
VPC 기본 그룹을 사용하는 일반적인 사용 사례는 다음과 같습니다.
기본 공간의 프로젝트 관리자 또는 사용자가 NSX VPC 내의 모든 VM에 대한 트래픽을 차단하려고 합니다. 방화벽 정책에서 VPC 기본 그룹을 사용할 수 있습니다.
NSX VPC의 사용자 생성 그룹
- 서브넷
- 서브넷 포트
- VIF
- 가상 시스템
- 그룹
멤버 설정 대화상자의 멤버 탭에 NSX VPC에서 소유하는 개체만 표시됩니다. 공유 개체를 VPC 그룹의 멤버로 추가할 수 없기 때문에 NSX VPC와 공유되는 개체는 이 대화상자에 나열되지 않습니다.
- 가상 시스템
- 서브넷
- 서브넷 포트
VM 태그를 기준으로 하는 동적 조건을 사용하여 NSX VPC에 그룹을 추가하면 NSX VPC의 서브넷에 연결된 VM이 그룹의 유효 멤버가 됩니다.
NSX VPC와 공유되는 그룹은 방화벽 규칙의 소스 또는 대상 필드에서만 사용할 수 있으며 방화벽 규칙의 적용 대상 필드에는 사용할 수 없습니다.
NSX VPC에 그룹 추가
- 프로젝트 드롭다운 메뉴에서 프로젝트를 선택합니다.
- VPC 탭을 클릭합니다.
- 그룹을 추가할 VPC를 확장합니다.
- 보안 섹션을 확장한 다음, 그룹 옆에 있는 개수를 클릭합니다.
VPC 그룹 설정 페이지가 열립니다.
- 이제 표준 절차를 사용하여 NSX VPC에서 그룹을 추가합니다.