보안 관리자는 방화벽을 사용하여 네트워크나 네트워크의 선택적 구성 요소를 침입으로부터 보호합니다.
방화벽은 관리자가 명시적이거나 묵시적으로 승인한 포트를 제외한 모든 포트를 차단하여 방화벽 경계 안에 포함된 디바이스에 대한 액세스를 제어합니다. 관리자가 연 포트를 통해 방화벽 외부에 있는 디바이스와의 트래픽이 허용됩니다.
가상 시스템 환경에서 다음과 같은 구성 요소 사이에 방화벽을 배치하도록 계획할 수 있습니다.
- vCenter Server 시스템, ESXi 호스트 등의 물리적 시스템 사이에 방화벽 배치
- 가상 시스템 사이에 방화벽 배치(예: 외부 웹 서버 역할을 하는 가상 시스템과 회사의 내부 네트워크에 연결된 가상 시스템 사이)
- 물리적 시스템과 가상 시스템 사이에 방화벽 배치(예: 물리적 네트워크 어댑터 카드와 가상 시스템 사이에 방화벽을 배치하는 경우)
ESXi 구성에서 방화벽을 사용하는 방법은 네트워크 사용 계획과 지정된 구성 요소의 필요한 보안 수준에 따라 달라집니다. 예를 들어 한 부서의 여러 벤치마크 테스트 집합 각각을 별도의 전용 가상 시스템에서 실행하는 가상 네트워크를 생성하면 한 가상 시스템에서 다른 가상 시스템으로의 무단 액세스 위험을 최소화할 수 있습니다. 이 경우 가상 시스템 사이에 방화벽을 두는 구성이 필요하지 않습니다. 대신 호스트 외부에서 테스트 실행을 중단하지 못하도록 가상 네트워크의 진입점에서 방화벽을 구성하여 전체 가상 시스템 집합을 보호할 수 있습니다.
vSphere 및 vSAN을 포함한 VMware 제품의 지원되는 모든 포트 및 프로토콜 목록은 https://ports.vmware.com/에서 VMware Ports and Protocols Tool™을 참조하십시오. VMware 제품별로 포트를 검색하고, 사용자 지정된 포트 목록을 생성하고, 포트 목록을 인쇄하거나 저장할 수 있습니다.
vCenter Server 구성을 위한 방화벽
vCenter Server를 통해 ESXi 호스트에 액세스하는 경우에는 일반적으로 방화벽을 사용하여 vCenter Server를 보호합니다.
방화벽은 진입점에 있어야 합니다. 방화벽은 클라이언트와 vCenter Server 사이에 있을 수 있으며 vCenter Server와 클라이언트는 모두 방화벽 뒤에 있을 수 있습니다.
vSphere 및 vSAN을 포함한 VMware 제품의 지원되는 모든 포트 및 프로토콜 목록은 https://ports.vmware.com/에서 VMware Ports and Protocols Tool™을 참조하십시오. VMware 제품별로 포트를 검색하고, 사용자 지정된 포트 목록을 생성하고, 포트 목록을 인쇄하거나 저장할 수 있습니다.
vCenter Server와 함께 구성된 네트워크는 vSphere Client, 기타 UI 클라이언트 또는 vSphere API를 사용하는 클라이언트를 통해 통신을 수신할 수 있습니다. 정상적인 작업 중 vCenter Server는 지정된 포트에서 관리 호스트 및 클라이언트의 데이터를 수신합니다. 또한 vCenter Server는 관리 호스트가 지정된 포트에서 vCenter Server의 데이터를 수신한다고 가정합니다. 방화벽이 이러한 요소 사이에 있으면 방화벽에 데이터 전송을 지원하기 위해 열려 있는 포트가 있는지 확인해야 합니다.
네트워크 사용량 및 클라이언트에 필요한 보안 수준에 따라 네트워크의 다른 액세스 지점에 방화벽을 포함할 수도 있습니다. 네트워크 구성에 대한 보안 위험을 기반으로 방화벽의 위치를 선택합니다. 일반적으로 다음과 같은 방화벽 위치가 사용됩니다.
- vSphere Client 또는 타사 네트워크 관리 클라이언트와 vCenter Server 사이
- 사용자가 웹 브라우저를 통해 가상 시스템에 액세스하는 경우, 웹 브라우저와 ESXi 호스트 사이
- 사용자가 vSphere Client를 통해 가상 시스템에 액세스하는 경우, vSphere Client와 ESXi 호스트 사이. 이 연결은 vSphere Client와 vCenter Server 간의 연결 외에 추가적인 연결로, 여기에는 다른 포트가 필요합니다.
- vCenter Server와 ESXi 호스트 사이
- 네트워크의 ESXi 호스트 사이. 호스트 간 트래픽은 일반적으로 신뢰할 수 있는 것으로 간주되지만 시스템 간 보안 침해가 우려되는 경우에는 호스트 사이에 방화벽을 추가할 수 있습니다.
ESXi 호스트 간에 방화벽을 추가하고 가상 시스템을 마이그레이션하려는 경우 대상 호스트에서 소스 호스트를 분리하는 방화벽의 포트를 엽니다.
- ESXi 호스트와 NFS 또는 iSCSI 스토리지 등의 네트워크 스토리지 사이. 이러한 포트는 VMware와 관련이 없습니다. 네트워크의 규격에 따라 이러한 포트를 구성하십시오.
방화벽을 통해 vCenter Server에 연결
방화벽에서 TCP 포트 443을 열어 vCenter Server가 데이터를 수신할 수 있도록 합니다.
vCenter Server는 기본적으로 TCP 포트 443을 사용하여 클라이언트의 데이터를 수신합니다. vCenter Server와 클라이언트 사이에 방화벽이 있는 경우 vCenter Server가 클라이언트로부터 데이터를 수신할 수 있는 연결을 구성해야 합니다. 방화벽 구성은 사이트에서 사용하는 방화벽에 따라 다르므로 자세한 내용은 로컬 방화벽 시스템 관리자에게 문의하십시오.
방화벽을 통해 ESXi 호스트 연결
ESXi 호스트와 vCenter Server 사이에 방화벽이 있는 경우 관리 호스트가 데이터를 수신할 수 있는지 확인합니다.
데이터를 수신하기 위한 연결을 구성하려면 vSphere High Availability, vMotion 및 vSphere Fault Tolerance와 같은 서비스에서 들어오는 트래픽을 위한 포트를 엽니다. 구성 파일, vSphere Client 액세스 및 방화벽 명령에 대한 자세한 내용은 ESXi 방화벽 구성 항목을 참조하십시오. 포트 목록은 https://ports.vmware.com에서 VMware Ports and Protocols Tool™을 참조하십시오.
vCenter Server가 없는 구성을 위한 방화벽
환경에 vCenter Server가 포함되지 않은 경우 클라이언트가 ESXi 네트워크에 직접 연결할 수 있습니다.
- VMware Host Client
- ESXCLI 인터페이스
- vSphere Web Services SDK 또는 vSphere Automation SDK
- 타사 클라이언트
- 방화벽을 사용하여 ESXi 계층 또는 구성에 따라 클라이언트 및 ESXi 계층을 보호합니다. 이 방화벽은 네트워크에 대한 기본적인 보호 기능을 제공합니다.
- 이 구성 유형에서 라이센싱은 각 호스트에 설치하는 ESXi 패키지의 일부입니다. 라이센싱이 ESXi에 있으므로 방화벽이 있는 별도의 License Server가 필요하지 않습니다.
ESXCLI 또는 VMware Host Client를 사용하여 방화벽 포트를 구성할 수 있습니다. "vSphere 단일 호스트 관리 - VMware Host Client" 의 내용을 참조하십시오.
방화벽을 통해 가상 시스템 콘솔에 연결
사용자와 관리자가 가상 시스템 콘솔과 통신하기 위해서는 특정 포트가 열려 있어야 합니다. 어떤 포트가 열려 있어야 하는지는 가상 시스템 콘솔의 유형 및 vSphere Client를 사용하여 vCenter Server를 통해 연결하는지 아니면 VMware Host Client에서 ESXi 호스트에 직접 연결하는지에 따라 다릅니다.
포트, 용도 및 분류(수신, 송신 또는 양방향)에 대한 자세한 내용은 https://ports.vmware.com에서 VMware Ports and Protocols Tool™을 참조하십시오.
vSphere Client를 통해 브라우저 기반의 가상 시스템 콘솔에 연결
vSphere Client를 사용하여 연결하는 경우에는 ESXi 호스트를 관리하는 vCenter Server 시스템에 항상 연결한 후 여기에서 가상 시스템 콘솔에 액세스합니다.
vSphere Client를 사용하여 브라우저 기반 가상 시스템 콘솔에 연결하는 경우에는 다음과 같은 액세스가 가능해야 합니다.
- 방화벽이 포트 443에서 vSphere Client의 vCenter Server 액세스를 허용해야 합니다.
- 방화벽이 포트 902에서 vCenter Server의 ESXi 호스트 액세스를 허용해야 합니다.
vSphere Client를 통해 VMware Remote Console에 연결
vSphere Client를 사용하고 VMRC(VMware Remote Console)에 연결하는 경우에는 다음과 같은 액세스가 가능해야 합니다.
- 방화벽이 포트 443에서 vSphere Client의 vCenter Server 액세스를 허용해야 합니다.
- 방화벽은 VMRC가 포트 443에서 vCenter Server에 액세스하고, VMRC 버전 11.0 미만은 포트 902에서 VMRC 버전 11.0 이상은 포트 443에서 ESXi 호스트에 액세스할 수 있도록 허용해야 합니다. VMRC 버전 11.0 및 ESXi 포트 요구 사항에 대한 자세한 내용은 https://kb.vmware.com/s/article/76672에서 VMware 기술 자료 문서를 참조하십시오.
VMware Host Client를 통해 직접 ESXi 호스트에 연결
방화벽은 포트 443과 902에서 ESXi 호스트에 대한 액세스를 허용해야 합니다.
VMware Host Client는 포트 902를 사용하여 가상 시스템의 게스트 운영 체제 MKS 작업에 대한 연결을 제공합니다. 사용자가 이 포트를 통해 가상 시스템의 게스트 운영 체제 및 애플리케이션과 상호 작용할 수 있습니다. VMware는 다른 포트를 이 기능에 구성하는 것을 지원하지 않습니다.