그룹은 고정으로 추가되고 동적으로 추가된 다른 개체를 포함하며 방화벽 규칙의 소스 및 대상으로 사용될 수 있습니다.

그룹은 가상 시스템, IP 집합, MAC 집합, 세그먼트 포트, 세그먼트, AD 사용자 그룹 및 기타 그룹의 조합을 포함하도록 구성할 수 있습니다. 그룹의 동적 포함은 태그, 시스템 이름, OS 이름 또는 컴퓨터 이름을 기반으로 할 수 있습니다.

참고: LogicalPort 기반 기준을 사용하여 API에 그룹을 생성하는 경우 SegmentPort 조건 사이에 AND 연산자를 사용하여 UI에서 그룹을 편집할 수 없습니다. 세그먼트, 세그먼트 포트, 분산 포트 그룹 또는 분산 포트 기반 조건을 사용하여 그룹을 생성하는 경우 그룹의 IP 검색 프로파일에서 “최초 사용 시 신뢰” 옵션을 사용하지 않도록 설정합니다. 그러지 않으면 인터페이스의 IP 주소가 변경되더라도 원래 IP 주소가 그룹에 유지됩니다.

악성 IP 피드를 사용하도록 설정하면 알려진 악성 IP 목록이 NTICS 클라우드 서비스에서 다운로드됩니다. 다운로드한 이러한 IP를 포함하도록 그룹을 생성하고 해당 IP에 대한 액세스를 차단하도록 방화벽 규칙을 구성할 수 있습니다. 일반 또는 IP 주소 전용 그룹은 악성 IP가 있는 IP 주소 전용 그룹으로 변환할 수 없으며 그 반대로도 변환할 수 없습니다. 그러나 일반 그룹은 악성 IP가 없는 IP 주소 전용 그룹으로 변환할 수 있습니다.

그룹을 방화벽 규칙에서 제외할 수도 있으며, 목록에는 최대 100개의 그룹이 있습니다. IP 집합, MAC 집합 및 AD 그룹은 방화벽 제외 목록에 사용되는 그룹에 멤버로 포함될 수 없습니다. 자세한 내용은 방화벽 제외 목록 관리 항목을 참조하십시오.

Active Directory 그룹을 소스로 사용하는 경우 단일 Active Directory 그룹을 사용할 수 있습니다. 소스에 IP 및 Active Directory 그룹이 둘 다 필요한 경우 두 개의 별도 방화벽 규칙을 생성합니다.

IP 주소, MAC 주소 또는 Active Directory 그룹으로만 구성된 그룹은 적용 대상 텍스트 상자에서 사용할 수 없습니다.

참고: vCenter Server에서 호스트를 추가하거나 제거하면 호스트에 있는 VM의 외부 ID가 변경됩니다. VM이 그룹의 고정 멤버이고 VM의 외부 ID가 변경되면 NSX Manager UI가 VM을 더 이상 그룹의 멤버로 표시하지 않습니다. 그러나 그룹을 나열하는 API는 그룹에 원래 외부 ID를 갖는 VM이 포함되어 있다고 계속 표시합니다. VM을 그룹의 고정 멤버로 추가하고 VM의 외부 ID를 변경하는 경우 새 외부 ID를 사용하여 VM을 다시 추가해야 합니다. 동적 멤버 자격 조건을 사용하여 이 문제를 방지할 수도 있습니다.

IP 또는 MAC 주소를 포함하는 정책 그룹의 경우 API를 표시하는 NSGroup이 '멤버' 특성을 표시하지 않습니다. 고정 멤버 조합이 포함된 그룹의 경우도 마찬가지입니다. 예를 들어 정책 그룹에 IP 및 DVPG가 포함된 경우 API를 표시하는 NSGroup에 members 특성이 표시되지 않습니다.

IP, MAC 주소 또는 ID 그룹을 포함하지 않는 정책 그룹의 경우 멤버 특성이 NSGroup 응답에 표시됩니다. 그러나 NSX에 도입된 새 멤버 및 조건(예: DVPort 및 DVPG)은 MP 그룹 정의에 포함되지 않습니다. 사용자는 정책에서 정의를 볼 수 있습니다.

NSX의 태그는 대/소문자를 구분하지만 태그를 기준으로 하는 그룹은 "대/소문자를 구분하지 않습니다". 예를 들어 동적 그룹 멤버 자격 조건이 VM Tag Equals 'quarantine'이면 그룹에는 'quarantine' 또는 'QUARANTINE' 태그 중 하나가 포함된 모든 VM이 포함됩니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 탐색 패널에서 인벤토리 > 그룹을 선택합니다.
  3. 그룹 추가를 클릭하고 그룹 이름을 입력합니다.
  4. NSX 페더레이션글로벌 관리자에서 그룹을 추가하는 경우 선택된 기본 지역을 그대로 적용하거나 드롭다운 메뉴에서 지역을 선택합니다. 지역을 사용하여 그룹을 생성한 후에는 지역 선택을 편집할 수 없습니다. 그러나 지역에서 위치를 추가하거나 제거하여 지역 자체의 범위를 변경할 수 있습니다. 그룹을 생성하기 전에 사용자 지정 지역을 생성할 수 있습니다.
    NSX 페더레이션 환경의 글로벌 관리자에서 추가된 그룹의 경우 지역을 반드시 선택해야 합니다. 글로벌 관리자를 사용하지 않는 경우에는 이 텍스트 상자를 사용할 수 없습니다.
  5. 설정을 클릭합니다.
  6. 멤버 설정 창에서 그룹 유형을 선택합니다.
    그룹 유형 설명
    일반

    이 그룹 유형은 기본 선택 항목입니다. 일반 그룹 정의는 멤버 자격 조건, 수동으로 추가한 멤버, IP 주소, MAC 주소 및 Active Directory 그룹의 조합으로 구성됩니다.

    수동으로 추가된 IP 주소 멤버만 있는 일반 그룹은 DFW 규칙의 적용 대상 필드에서 사용할 수 없습니다. 규칙을 생성할 수 있지만 적용되지는 않습니다.

    그룹에서 멤버 자격 조건을 정의하면 하나 이상의 조건에 따라 멤버가 그룹에 동적으로 추가됩니다. 수동으로 추가된 멤버에는 세그먼트 포트, 분산 포트, 분산 포트 그룹, VIF, 가상 시스템 등의 개체가 포함됩니다.

    IP 주소 전용

    이 그룹 유형에는 IP 주소(IPv4 또는 IPv6)만 포함됩니다. 수동으로 추가된 IP 주소 멤버만 있는 IP 주소 전용 그룹은 DFW 규칙의 적용 대상에서 사용할 수 없습니다. 규칙을 생성할 수 있지만 적용되지는 않습니다.

    그룹 유형이 일반인 경우 해당 유형을 IP 주소 전용 그룹으로 편집하 수 있지만 악성 IP 그룹이 있는 IP 주소 전용으로는 편집할 수 없습니다. 이 경우 IP 주소 전용 그룹에서 유지됩니다. 모든 멤버 자격 조건 및 기타 그룹 정의는 손실됩니다. IP 주소 전용 그룹 또는 악성 IP가 있는 IP 주소 전용 유형의 그룹이 NSX에서 인식되면 그룹 유형을 일반으로 편집할 수 없습니다.

    IP 주소 전용 그룹 유형은 이전 NSX 릴리스의 관리자 모드에서 IP 집합 태그 기반 기준이 있는 NSGroup과 기능적으로 유사합니다.

    악성 IP가 있는 IP 주소 전용

    악성 IP 피드를 사용하도록 설정한 경우 미리 정의된 악성 IP 추가를 켜서 악성 IP가 있는 IP 주소 전용 그룹을 생성할 수 있습니다.

    예외로 취급되며 차단되면 안 되는 IP 및 IP 주소 전용 그룹을 지정할 수도 있습니다.

    일단 미리 정의된 악성 IP 추가 토글을 켠 후에는 그룹을 편집하는 동안 끌 수 없습니다.

    Antrea

    이 그룹 유형은 NSX 환경에 하나 이상의 Antrea Kubernetes 클러스터가 등록된 경우에만 사용할 수 있습니다.

  7. (선택 사항) 멤버 자격 조건 페이지에서 조건 추가를 클릭하여 하나 이상의 멤버 자격 조건에 따라 동적으로 일반 그룹에 멤버를 추가합니다.

    NSX 배포에서 Antrea CNI를 사용하여 Kubernetes 클러스터를 등록한 경우 이러한 Antrea Kubernetes 클러스터로 들어오거나 나가는 트래픽과 일치시킬 동적 멤버 자격 조건의 Kubernetes 멤버 유형으로 일반 그룹을 생성할 수 있습니다.

    멤버 자격 조건에는 하나 이상의 조건이 있을 수 있습니다. 조건은 동일한 멤버 유형을 사용하거나 서로 다른 멤버 유형을 혼합하여 사용할 수 있습니다. 단일 멤버 자격 기준에서 NSX 멤버 유형을 기준으로 하는 조건은 Kubernetes 멤버 유형을 기준으로 하는 조건과 혼합할 수 없습니다. 그렇지만 NSX 멤버 유형만을 기준으로 하는 1개의 기준과 Kubernetes 멤버 유형만을 기준으로 하는 다른 기준을 OR 연산자로 결합할 수 있습니다.

    멤버 자격 기준에서 혼합된 NSX 멤버 유형이 있거나 혼합된 Kubernetes 멤버 유형이 있는 여러 조건을 추가하는 경우 몇 가지 제한 사항이 적용됩니다. 멤버 자격 조건에 대해 좀 더 자세히 알아보려면 NSX 그룹 멤버 자격 조건 개요 항목을 참조하십시오.

    참고: 다중 테넌트 NSX 환경에서 Kubernetes 클러스터 리소스는 프로젝트 인벤토리에 노출되지 않습니다. 따라서 프로젝트 내에서는 동적 멤버 자격 조건의 Kubernetes 멤버 유형으로 일반 그룹을 생성할 수 없습니다.
  8. (선택 사항) 멤버를 클릭하여 그룹에 고정 멤버를 추가합니다.
    다음과 같은 멤버 유형을 사용할 수 있습니다.
    • 그룹 - NSX 페더레이션을 사용하는 경우 글로벌 관리자에서 생성하는 그룹에 대해 선택한 지역과 동일하거나 더 작은 규모의 범위 멤버로 그룹을 추가할 수 있습니다.
    • NSX 세그먼트 - 게이트웨이 인터페이스에 할당된 IP 주소 및 NSX 로드 밸런서 가상 IP 주소는 세그먼트 그룹 멤버로 포함되지 않습니다.
    • 세그먼트 포트
    • 분산 포트 그룹
    • 분산 포트
    • VIF
    • 가상 시스템
    • 물리적 서버
  9. (선택 사항) IP 주소 또는 MAC 주소를 클릭하여 IP 및 MAC 주소를 그룹 멤버로 추가합니다. IPv4 주소, IPv6 주소 및 멀티캐스트 주소가 지원됩니다.
    작업 > 가져오기를 클릭하여 TXT 파일 또는 쉼표로 구분된 IP/MAC 값을 포함하는 .CSV 파일에서 IP/MAC 주소를 가져옵니다.
  10. (선택 사항) AD 그룹을 클릭하여 Active Directory 그룹을 추가합니다. Active Directory 멤버가 포함된 그룹을 ID 방화벽에 대한 분산 방화벽 규칙의 소스 텍스트 상자에서 사용할 수 있습니다. 그룹에는 AD 및 계산 멤버가 둘 다 포함될 수 있습니다.
    참고: NSX 페더레이션을 사용하는 경우 AD 사용자 그룹을 포함하도록 글로벌 관리자에서 그룹을 생성할 수 없습니다.
  11. (선택 사항) 설명 및 태그를 입력합니다.
  12. 적용을 클릭합니다.
    그룹이 멤버와 그룹이 사용되는 위치를 볼 수 있는 옵션과 함께 나열됩니다.