NSX VPC가 성공적으로 구현되면 시스템은 기본 North-South 및 East-West 방화벽 규칙을 생성하여 NSX VPC에서 실행되는 워크로드에 대한 기본 방화벽 동작을 제어합니다.

개요

N-S 방화벽 규칙은 NSX VPC 간에 송수신되는 트래픽에 적용되는 중앙 집중식 규칙입니다.

E-W 방화벽 규칙은 NSX VPC 내에서 실행되는 워크로드에 적용되는 분산 규칙입니다.

NSX VPC의 방화벽 규칙은 VPC의 VM에만 적용됩니다. 즉, NSX VPC에서 서브넷에 연결된 VM에만 적용됩니다. NSX VPC의 방화벽 규칙은 VPC 외부의 워크로드에 영향을 미치지 않습니다.

다음 하위 섹션에서 "기본 라이센스"라는 용어는 다음 두 라이센스 중 하나를 의미합니다.

  • VMware Cloud Foundation에 대한 NSX 네트워킹
  • VCF에 대한 솔루션 라이센스
East-West 방화벽

기본 라이센스는 시스템에 네트워킹 기능에 대한 사용 권한만 부여합니다. NSX VPC의 East-West 방화벽 보안 기능을 구성할 수 없습니다. NSX VPC에서 E-W 방화벽 규칙을 추가하거나 편집하려면 시스템에 적절한 보안 라이센스를 적용해야 합니다.

보안 라이센스가 적용되지 않으면 시스템에서 생성한 기본 E-W 방화벽 규칙이 NSX VPC에서 활성화되지 않습니다. 기본 E-W 규칙은 NSX VPC에 있지만 NSX VPC에서는 비활성 상태입니다. 기본 E-W 규칙은 편집할 수 없으며 NSX VPC에서 활성화할 수도 없습니다.

North-South 방화벽

기본 라이센스는 시스템에 NSX VPC의 상태 비저장 N-S 방화벽 규칙만 추가하거나 편집할 수 있는 사용 권한을 부여합니다. NSX VPC에서 상태 저장 N-S 방화벽 및 상태 비저장 N-S 방화벽 규칙을 모두 추가하거나 편집하려면 시스템에 적절한 보안 라이센스를 적용해야 합니다.

NSX VPC의 기본 N-S 방화벽 정책은 상태 저장 정책입니다. 보안 라이센스가 시스템에 적용되지 않으면 기본 N-S 방화벽 규칙의 규칙 작업만 편집할 수 있습니다. 기본 규칙에서는 다른 편집이 허용되지 않습니다. 기본 N-S 방화벽 정책의 상태를 상태 저장에서 상태 비저장으로 변경할 수 없습니다.

NSX VPC의 기본 East-West 방화벽 규칙

프로젝트에 추가된 각 NSX VPC에 대해 시스템은 NSX VPC에서 기본 E-W 방화벽 정책을 생성합니다. 다음 이름 지정 규칙은 NSX VPC의 기본 E-W 방화벽 정책을 식별하는 데 사용됩니다.

PROJECT-<Project_Name> VPC-<VPC_Name>-default-layer3-section

Project_NameVPC_Name은 시스템의 실제 값으로 대체됩니다.

예를 들어 다음 화면 캡처는 NSX VPC의 기본 E-W 방화벽 규칙을 보여줍니다.


이 이미지는 주변 텍스트에 설명되어 있습니다.

NSX VPC의 세 가지 기본 E-W 방화벽 규칙 모두 적용 대상이 DFW로 설정됩니다. 적용 대상이 DFW로 설정되어 있지만 방화벽 규칙은 NSX VPC의 서브넷에 연결된 워크로드 VM에만 적용됩니다. NSX VPC 외부에 있는 워크로드 VM은 이러한 방화벽 규칙의 영향을 받지 않습니다. 필요한 경우 VPC 사용자는 적용 대상그룹으로 설정하고 NSX VPC에 생성된 그룹만 선택할 수 있습니다.

이 화면 캡처에서 볼 수 있듯이 세 가지 기본 E-W 규칙의 의미를 이해하겠습니다.
  • 규칙 1030은 NSX VPC의 서브넷에서 나가는 모든 송신 트래픽을 허용합니다. 송신 트래픽의 대상은 NSX VPC 내부 또는 VPC 외부의 워크로드일 수 있습니다. 필요한 경우 이 기본 규칙을 수정할 수 있습니다.
  • 규칙 1031은 모든 DHCP 트래픽을 허용합니다. 필요한 경우 이 기본 규칙을 수정할 수 있습니다.
  • 규칙 1032는 이전 두 규칙과 일치하지 않는 모든 트래픽을 삭제합니다. 이 규칙은 기본적으로 NSX VPC로 들어오는 모든 트래픽이 삭제될 것임을 암시적으로 의미합니다. 이 기본 규칙의 규칙 작업만 수정할 수 있습니다. 이 규칙의 다른 모든 필드는 편집할 수 없습니다.

NSX VPC의 기본 North-South 방화벽 규칙

프로젝트에 추가된 각 NSX VPC에 대해 시스템은 NSX VPC에서 기본 N-S 방화벽 정책을 생성합니다. 예를 들어 다음 화면 캡처는 NSX VPC에서 상태 저장 정책인 기본 N-S 정책을 보여 줍니다. 단일 방화벽 규칙만 포함됩니다.


이 이미지는 주변 텍스트에 설명되어 있습니다.

기본적으로 이 규칙은 VPC N-S 방화벽을 통과하는 모든 트래픽을 허용합니다. 이 기본 규칙의 규칙 작업만 수정할 수 있습니다. 이 규칙의 다른 모든 필드는 편집할 수 없습니다.

앞서 이 설명서의 "개요" 섹션에 언급된 것처럼 기본 라이센스는 시스템에 NSX VPC에서 상태 비저장 N-S 방화벽 규칙만 추가 또는 편집할 수 있는 사용 권한을 부여합니다. NSX VPC에서 상태 저장 N-S 방화벽 및 상태 비저장 N-S 방화벽 규칙을 모두 추가하거나 편집하려면 시스템에 적절한 보안 라이센스를 적용해야 합니다.

NSX VPC 내의 통신

기본적으로 NSX VPC 내 워크로드 간의 East-West 트래픽이 허용됩니다.

예를 들어 다음 다이어그램은 NSX VPC에 있는 3개의 워크로드 VM을 보여 줍니다. 기본적으로 공용 서브넷의 VM 1은 어느 방향으로든 개인 서브넷의 VM 2와 통신할 수 있습니다.

기본적으로 격리된 서브넷의 VM은 개인 또는 공용 서브넷의 VM과 통신할 수 없습니다. 그러나 이 다이어그램에서 개인 서브넷의 VM 2는 격리된 서브넷에도 연결됩니다. 따라서 개인 서브넷의 VM 2는 어느 방향으로든 격리된 서브넷의 VM 3과 통신할 수 있습니다.


다이어그램은 주변 텍스트에 설명되어 있습니다.

NSX VPC에서의 송신 통신

이 항목의 앞에 설명된 것처럼 기본적으로 NSX VPC에서 나가는 모든 트래픽이 허용됩니다.

공용 서브넷에 연결된 워크로드는 NSX VPC에 대해 N-S 서비스 옵션이 켜져 있는지에 관계없이 NSX VPC 외부에서 패킷을 보낼 수 있습니다. 공용 서브넷의 워크로드에는 NSX VPC의 외부 IPv4 블록에서 IP 주소가 할당됩니다. 외부 IP 주소는 NSX VPC 외부에서 연결할 수 있습니다.

개인 서브넷에 연결된 워크로드는 다음 조건이 충족되는 경우에만 NSX VPC 외부에서 패킷을 보낼 수 있습니다.

  • NSX VPC에 대해 N-S 서비스 옵션이 켜져 있습니다.
  • NSX VPC에 대해 기본 아웃바운드 NAT 옵션이 켜져 있습니다.

기본 아웃바운드 NAT 옵션을 설정하면 NSX VPC에 대한 기본 SNAT 규칙이 생성되어 개인 서브넷의 워크로드에서 NSX VPC 외부로 트래픽이 라우팅될 수 있습니다. 동일 선상에서 이 옵션을 해제하면 기본 SNAT 규칙이 생성되지 않고 개인 서브넷의 트래픽을 NSX VPC 외부로 라우팅할 수 없습니다.

예를 들어 다음 다이어그램은 기본 아웃바운드 NAT가 꺼져 있는 NSX VPC를 보여 줍니다. 공용 서브넷의 VM 1에서 전송되는 트래픽은 NSX VPC 외부에 있는 사용자 1.1.1.1로 직접 이동될 수 있습니다. 그러나 개인 서브넷의 VM 2에서 송신 트래픽은 차단됩니다.


다이어그램은 주변 텍스트에 설명되어 있습니다.

다음 다이어그램은 기본 아웃바운드 NAT 옵션이 켜져 있는 NSX VPC를 보여 줍니다. 이 경우 시스템은 VPC의 N-S 방화벽에 기본 SNAT 규칙을 자동으로 구성합니다. 개인 서브넷에 있는 VM 2의 IP 주소가 외부 IPv4 블록에서 시스템에 의해 할당되는 외부 IP로 변환됩니다. 이제 개인 서브넷의 VM 2가 NSX VPC 외부에 있는 사용자 1.1.1.1로 트래픽을 전송할 수 있습니다. 공용 서브넷의 VM 1은 VPC N-S 방화벽에서 NAT를 거치지 않고도 NSX VPC 외부로 트래픽을 계속 전송할 수 있습니다.


다이어그램은 주변 텍스트에 설명되어 있습니다.

NSX VPC로의 수신 통신

이 항목의 앞에서 언급한 것처럼 기본 E-W 규칙(규칙 1035)은 NSX VPC로 들어오는 모든 트래픽을 삭제합니다.

NSX VPC로 들어오는 트래픽은 다음과 같은 트래픽일 수 있습니다.
  • 동일한 프로젝트 또는 다른 프로젝트에 있는 다른 NSX VPC에서 실행되는 워크로드에서 들어오는 트래픽.
  • 데이터 센터 내의 네트워크에서 실행되는 워크로드에서 들어오는 트래픽입니다.
  • 인터넷에서 들어오는 트래픽입니다.

예를 들어 다음 다이어그램은 Tier-0/VRF 게이트웨이에 연결된 사용자 1.1.1.1의 트래픽이 공용 서브넷의 VM 1에 도달하지 못하도록 차단되고 개인 서브넷의 VM 2에 도달하지 못하도록 차단되었음을 보여줍니다.


다이어그램은 주변 텍스트에 설명되어 있습니다.

NSX VPC 외부에서 들어오는 트래픽이 공용 서브넷의 워크로드에 도달할 수 있도록 하려면 사용자 지정 E-W 방화벽 정책을 추가하거나 NSX VPC의 기본 방화벽 정책에서 E-W 규칙을 수정해야 합니다. NSX VPC의 기본 N-S 규칙은 기본적으로 VPC N-S 방화벽을 통과하는 모든 트래픽을 허용합니다.

참고: VPC 사용자는 보안 요구 사항에 따라 들어오는 트래픽을 특정 포트로만 제한하기 위해 NSX VPC에서 사용자 지정 N-S 방화벽 규칙을 추가하는 것이 좋습니다.

NSX VPC 외부에서 들어오는 트래픽이 개인 서브넷의 워크로드에 도달하도록 허용하려면 다음 단계를 수행합니다.

  1. NSX VPC에 대해 N-S 서비스 옵션이 켜져 있는지 확인합니다.
  2. NSX VPC에서 재귀 작업 또는 DNAT 작업을 사용하여 NAT 규칙을 추가합니다.

    NAT 규칙에서 시스템이 개인 서브넷의 VM IP 주소를 이 외부 IPv4 주소에 매핑할 수 있도록 외부 IPv4 블록에서 유효한 IPv4 주소를 할당합니다. 예를 들어 재귀 작업으로 NAT 규칙을 생성하는 경우 규칙 정의의 변환된 IP 텍스트 상자에 외부 IPv4 주소를 지정합니다. IPv4 주소는 NSX VPC의 외부 IPv4 블록에 속해야 하며 할당에 사용할 수 있어야 합니다. 그러지 않으면 오류 메시지가 표시됩니다. 현재 변환된 IP 텍스트 상자에는 단일 IPv4 주소만 지원됩니다. CIDR 블록은 지원되지 않습니다.

    개인 서브넷에 연결된 각 워크로드 VM에 대해 수신 트래픽을 사용하도록 설정하려면 이 단계를 수행합니다. 예를 들어 4개의 워크로드 VM이 개인 서브넷에 연결된 경우 4개의 별도 NAT 규칙을 생성합니다.

  3. 사용자 지정 E-W 방화벽 정책을 추가하거나 트래픽이 개인 서브넷의 워크로드에 도달할 수 있도록 NSX VPC의 기본 방화벽 정책에서 E-W 규칙을 수정합니다.

이러한 단계를 완료한 후에는 이제 모든 수신 트래픽이 개인 서브넷의 워크로드에서 허용됩니다. 이전 하위 섹션에서 언급한 것처럼 VPC 사용자는 보안 요구 사항에 따라 들어오는 트래픽을 특정 포트로 제한하기 위해 NSX VPC에서 사용자 지정 N-S 방화벽 규칙을 추가하는 것이 좋습니다.

예를 들어 다음 다이어그램은 Tier-0/VRF 게이트웨이에 연결된 사용자 1.1.1.1의 트래픽이 VPC N-S 방화벽에서 NAT를 통과한 다음 개인 서브넷의 VM 2에 도달한다는 것을 보여줍니다.

이 예에서 NAT 규칙 구성은 다음과 같습니다.

  • 소스 IP: 10.5.0.5(VM 2의 개인 IP 주소)
  • 변환된 IP: 5.5.100.100(VM 2에 할당된 외부 IPv4 주소 블록의 IP 주소)
  • 작업: 재귀

다이어그램은 주변 텍스트에 설명되어 있습니다.