NSX App 분리 정책은 배포의 프로비저닝된 시스템과의 모든 인바운드 및 아웃바운드 트래픽을 차단하기 위한 방화벽 역할을 합니다. 정의된 NSX App 분리 정책을 지정하는 경우 Blueprint를 통해 프로비저닝된 시스템이 다른 시스템과 통신할 수 있지만 방화벽 외부에 연결할 수는 없습니다.

새 Blueprint 또는 Blueprint 속성 대화상자를 사용하여 Blueprint 수준에서 App 분리를 적용할 수 있습니다.

NSX App 분리 정책을 사용하는 경우 Blueprint에 의해 프로비저닝된 시스템 간의 내부 트래픽만 허용됩니다. 시스템 프로비저닝을 요청하는 경우 프로비저닝할 시스템에 대해 보안 그룹이 생성됩니다. App 분리 보안 정책이 NSX에서 생성되고 보안 그룹에 적용됩니다. 방화벽 규칙이 내부 트래픽만 허용하도록 보안 정책에 정의됩니다. 관련 정보는 네트워크 및 보안이 통합된 vSphere 끝점 생성을 참조하십시오.

참고:

NSX Edge 로드 밸런서와 NSX App 분리 보안 정책을 모두 사용하는 Blueprint로 프로비저닝하는 경우 동적으로 프로비저닝된 로드 밸런서가 보안 그룹에 추가되지 않습니다. 이것은 로드 밸런서가 연결을 처리하는 시스템과 통신하지 못하도록 방지합니다. Edge는 NSX 분산 방화벽에서 제외되기 때문에 보안 그룹에 추가될 수 없습니다. 로드 밸런싱이 제대로 작동되도록 하려면, 다른 보안 그룹을 사용하거나 로드 밸런싱을 위해 필요한 트래픽을 구성 요소 VM에 허용하는 보안 정책을 사용하십시오.

App 분리 정책은 NSX의 다른 보안 정책보다 우선 순위가 낮습니다. 예를 들어 프로비저닝된 배포에 웹 구성 요소 시스템이 포함되어 있으며 App 구성 요소 시스템과 웹 구성 요소 시스템이 웹 서비스를 호스팅하는 경우 해당 서비스가 포트 80 및 443의 인바운드 트래픽을 허용해야 합니다. 이 경우 사용자는 이러한 포트에 대한 들어오는 트래픽을 허용하도록 정의된 방화벽 규칙으로 NSX에서 웹 보안 정책을 생성해야 합니다. vRealize Automation에서 사용자는 프로비저닝된 시스템 배포의 웹 구성 요소에 웹 보안 정책을 적용해야 합니다.

웹 구성 요소 시스템이 포트 8080 및 8443에서 로드 밸런서를 사용하여 App 구성 요소 시스템에 대한 액세스를 필요로 하는 경우 웹 보안 정책이 이러한 포트에 대한 아웃바운드 트래픽을 허용하는 방화벽 규칙과 함께 포트 80 및 443에 대한 인바운드 트래픽을 허용하는 기존 방화벽 규칙도 포함해야 합니다.

Blueprint의 시스템 구성 요소에 적용할 수 있는 보안 기능에 대한 자세한 내용은 Blueprint 캔버스에서 보안 구성 요소 사용을 참조하십시오.