vRealize Automation 클라우드 템플릿을 생성하거나 편집할 때는 목표를 달성하는 데 가장 적합한 보안 리소스 옵션을 사용합니다.

클라우드 애그노스틱 보안 그룹 리소스

템플릿 페이지의 클라우드 애그노스틱 > 보안 그룹 리소스를 사용하여 보안 그룹 리소스를 추가합니다. 리소스가 클라우드 템플릿 코드에 Cloud.SecurityGroup 리소스 유형으로 표시됩니다. 기본 리소스는 다음과 같이 표시됩니다.
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      constraints: []
      securityGroupType: existing

클라우드 템플릿 설계에서 보안 그룹 리소스를 기존(securityGroupType: existing) 또는 주문형(securityGroupType: new)으로 지정합니다.

기존 보안 그룹을 클라우드 템플릿에 추가하거나 네트워크 프로파일에 추가된 기존 보안 그룹을 사용할 수 있습니다.

NSX-VNSX-T는 물론 VMware Cloud on AWS와 함께 사용하도록 설정한 정책 관리자 스위치가 있는 NSX-T의 경우, 클라우드 템플릿을 설계하거나 수정할 때 기존 보안 그룹을 추가하거나 새 보안 그룹을 정의할 수 있습니다. 주문형 보안 그룹은 NSX-TNSX-V에 대해 지원되며 NSX-T 정책 관리자와 함께 사용하는 경우 VMware Cloud on AWS에 대해 지원됩니다.

Microsoft Azure를 제외한 모든 클라우드 계정 유형의 경우 하나 이상의 보안 그룹을 시스템 NIC에 연결할 수 있습니다. Microsoft Azure 가상 시스템 NIC( "machineName" )는 하나의 보안 그룹에만 연결할 수 있습니다.

기본적으로 보안 그룹 속성 securityGroupTypeexisting으로 설정되어 있습니다. 주문형 보안 그룹을 생성하려면 securityGroupType 속성에 대해 new를 입력합니다. 주문형 보안 그룹에 대한 방화벽 규칙을 지정하려면 보안 그룹 리소스의 Cloud.SecurityGroup 섹션에서 rules 속성을 사용합니다.

기존 보안 그룹

기존 보안 그룹은 NSX-T 또는 Amazon Web Services 같은 소스 클라우드 계정 리소스에서 생성됩니다. 이는 소스에서 vRealize Automation에 의해 수집된 데이터입니다. vRealize Automation 네트워크 프로파일의 일부로 사용 가능한 리소스 목록에서 기존 보안 그룹을 선택할 수 있습니다. 클라우드 템플릿 설계에서 보안 그룹 리소스의 securityGroupType: existing 설정을 사용하여 이름별로 구체적으로 또는 지정된 네트워크 프로파일에서 멤버 자격별로 근본적으로 기존 보안 그룹을 지정할 수 있습니다. 네트워크 프로파일에 보안 그룹을 추가하는 경우 네트워크 프로파일에 기능 태그를 하나 이상 추가합니다. 클라우드 템플릿 설계에서 주문형 보안 그룹 리소스를 사용하려면 제약 조건 태그가 필요합니다.

클라우드 템플릿 설계의 보안 그룹 리소스를 하나 이상의 시스템 리소스에 연결할 수 있습니다.

참고: 클라우드 템플릿 설계의 시스템 리소스를 사용하여 Microsoft Azure 가상 시스템 NIC( " machineName" )에 프로비저닝하려는 경우 시스템 리소스를 단일 보안 그룹에만 연결해야 합니다.

주문형 보안 그룹

보안 그룹 리소스 코드의 securityGroupType: new 설정을 사용하여 클라우드 템플릿 설계를 정의하거나 수정할 때 주문형 보안 그룹을 정의할 수 있습니다.

NSX-VNSX-T는 물론 NSX-T 정책 유형과 함께 사용할 경우 Amazon Web Services에 대해 주문형 보안 그룹을 사용하여 네트워크 시스템 리소스 또는 그룹화된 리소스 집합에 특정 방화벽 규칙 집합을 적용할 수 있습니다. 각 보안 그룹에는 명명된 방화벽 규칙을 여러 개 포함할 수 있습니다. 주문형 보안 그룹을 사용하여 서비스 또는 프로토콜 및 포트를 지정할 수 있습니다. 서비스나 프로토콜 중 하나만 지정할 수 있습니다. 프로토콜에 더해 포트를 지정할 수 있습니다. 서비스를 지정하는 경우에는 포트를 지정할 수 없습니다. 규칙에 서비스 또는 프로토콜이 포함되어 있지 않은 경우 기본 서비스 값은 [임의]입니다.

방화벽 규칙에서 IP 주소 및 IP 범위를 지정할 수도 있습니다. 일부 방화벽 규칙 예는 vRealize Automation의 네트워크, 보안 리소스 및 로드 밸런서에 나와 있습니다.

NSX-V 또는 NSX-T 주문형 보안 그룹에서 방화벽 규칙을 생성할 때 기본값은 지정된 네트워크 트래픽을 허용합니다. 기본값은 다른 네트워크 트래픽도 허용합니다. 네트워크 트래픽을 제어하려면 각 규칙에 대한 액세스 유형을 지정해야 합니다. 규칙 액세스 유형은 다음과 같습니다.
  • 허용(기본값) - 이 방화벽 규칙에 지정된 네트워크 트래픽을 허용합니다.
  • 거부 - 이 방화벽 규칙에 지정된 네트워크 트래픽을 차단합니다. 연결이 거부되었음을 클라이언트에게 능동적으로 알립니다.
  • 삭제 - 이 방화벽 규칙에 지정된 네트워크 트래픽을 거부합니다. 수신기가 온라인 상태가 아닌 경우에도 자동으로 패킷을 삭제합니다.
access: Allowaccess: Deny 방화벽 규칙을 사용하는 설계 예는 vRealize Automation의 네트워크, 보안 리소스 및 로드 밸런서의 내용을 참조하십시오.
참고: 클라우드 관리자는 NSX 주문형 보안 그룹만 포함한 클라우드 템플릿 설계를 생성하고 해당 조직의 멤버가 네트워크 프로파일 및 클라우드 템플릿 설계에 기존 보안 그룹으로 추가할 수 있는 재사용 가능한 기존 보안 그룹 리소스를 생성하도록 해당 설계를 배포할 수 있습니다.

방화벽 규칙은 소스 및 대상 IP 주소에 대한 IPv4 또는 IPv6 형식 CIDR 값을 지원합니다. 방화벽 규칙에서 IPv6 CIDR 값을 사용하는 설계 예는 vRealize Automation의 네트워크, 보안 리소스 및 로드 밸런서의 내용을 참조하십시오.

VMware Cloud on AWS용 주문형 및 기존 보안 그룹

보안 그룹 리소스 코드의 securityGroupType: new 설정을 사용하여 클라우드 템플릿에서 VMware Cloud on AWS 시스템용 주문형 보안 그룹을 정의할 수 있습니다.

주문형 보안 그룹에 대한 샘플 코드 조각이 아래에 나와 있습니다.
resources:
  Cloud_SecurityGroup_1:
    type: Cloud.SecurityGroup
    properties:
      name: vmc-odsg
      securityGroupType: new
      rules: 
        - name: datapath
          direction: inbound
          protocol: TCP
          ports: 5011
          access: Allow
          source: any

다음 예에 나와 있는 것과 같이 네트워크 VMware Cloud on AWS 시스템용 기존 보안 그룹을 정의하고 필요에 따라 제약 조건 태그 지정을 포함할 수도 있습니다.

  Cloud_SecurityGroup_2:
    type: Cloud.SecurityGroup
    properties:
      constraints: [xyz]
      securityGroupType: existing
Cloud_SecurityGroup_3:
  type: Cloud.SecurityGroup
  properties:
    securityGroupType: existing
     constraints:
        - tag: xyz
반복적인 클라우드 템플릿 개발이 지원됩니다.
  • 보안 그룹이 배포에 있는 하나 이상의 시스템과 연결되어 있는 경우 삭제 작업을 수행하면 보안 그룹을 삭제할 수 없다는 메시지가 표시됩니다.
  • 보안 그룹이 배포에 있는 시스템과 연결되어 있지 않은 경우 삭제 작업을 수행하면 이 배포에서 보안 그룹이 삭제되고 작업을 실행 취소할 수 없다는 메시지가 표시됩니다. 기존 보안 그룹이 클라우드 템플릿에서 삭제되고, 주문형 보안 그룹이 삭제됩니다.

NSX-V 보안 태그 및 NSX-T VM 태그 사용

vRealize Automation 클라우드 템플릿의 관리되는 리소스에서 NSX-V 보안 태그와 NSX-TNSX-T를 정책 VM 태그와 함께 보고 사용할 수 있습니다.

NSX-VNSX-T 보안 태그는 vSphere에서 사용할 수 있습니다. NSX-T 보안 태그는 VMware Cloud on AWS에서 사용할 수도 있습니다.

참고:

vSphere에 배포된 VM과 마찬가지로 VMware Cloud on AWS에 배포할 VM에 대해 시스템 태그를 구성할 수 있습니다. 초기 배포 후에 시스템 태그를 업데이트할 수도 있습니다. 이러한 시스템 태그를 사용하면 배포 중에 vRealize Automation에서 VM을 적절한 NSX-T 보안 그룹에 동적으로 할당할 수 있습니다.

시스템이 NSX-V 네트워크에 연결되어 있는 경우 다음 예와 같이 클라우드 템플릿의 계산 리소스에 key: nsxSecurityTag 및 태그 값을 사용하여 NSX-V 보안 태그를 지정할 수 있습니다.
tags:
  - key: nsxSecurityTag
  - value: security_tag_1
  - key: nsxSecurityTag
  - value: security_tag_2

지정된 값은 NSX-V 보안 태그와 일치해야 합니다. 지정된 nsxSecurityTag 키 값과 일치하는 보안 태그가 NSX-V에 없으면 배포가 실패합니다.

참고:

NSX-V 보안 태그 지정을 사용하려면 시스템이 NSX-V 네트워크에 연결되어 있어야 합니다. 시스템이 vSphere 네트워크에 연결되어 있으면 NSX-V 보안 태그 지정이 무시됩니다. 두 경우 모두 vSphere 시스템에도 태그가 지정됩니다.

NSX-T에는 별도의 보안 태그가 없습니다. 클라우드 템플릿의 계산 리소스에 지정된 태그가 있으면 배포된 VM은 NSX-T에 지정된 모든 태그와 연결됩니다. 정책이 있는 NSX-T를 포함한 NSX-T의 경우, VM 태그는 클라우드 템플릿에서 키 값 쌍으로도 표현됩니다. key 설정은 NSX-Tscope 설정과 같으며 value 설정은 NSX-T에 지정된 Tag Name과 같습니다.

vRealize Automation V2T Migration Assistant를 사용하여 클라우드 계정을 NSX-V에서 NSX-T(정책이 있는 NSX-T 포함)로 마이그레이션하면 Migration Assistant에서 nsxSecurityTag 키 값 쌍이 생성됩니다. 이 시나리오에서 또는 어떤 이유로든 NSX-T(정책이 있는 NSX-T 포함)에서 사용할 nsxSecurityTag가 클라우드 템플릿에 명시적으로 지정되어 있으면, 배포는 지정된 value와 일치하는 태그 이름을 사용하여 빈 범위 설정으로 VM 태그를 생성합니다. 이러한 태그를 NSX-T에서 보면 범위 열이 비어 있습니다.

혼동을 피하기 위해 NSX-T의 경우 nsxSecurityTag 키 쌍을 사용하지 마십시오. NSX-T(정책이 있는 NSX-T 포함)에서 사용할 nsxSecurityTag 키 값 쌍을 지정하면, 배포는 지정된 value와 일치하는 태그 이름을 사용하여 빈 범위 설정으로 VM 태그를 생성합니다. 이러한 태그를 NSX-T에서 보면 범위 열이 비어 있습니다.

주문형 보안 그룹 방화벽 규칙에서 App 분리 정책 사용

App 분리 정책을 사용하여 클라우드 템플릿에서 프로비저닝된 리소스 간의 내부 트래픽만 허용할 수 있습니다. App 분리 정책을 사용하면 클라우드 템플릿에서 프로비저닝된 시스템이 다른 시스템과 통신할 수 있지만 방화벽 외부에 연결할 수는 없습니다. 네트워크 프로파일에서 App 분리 정책을 생성할 수 있습니다. 또한 방화벽 거부 규칙이 있는 주문형 보안 그룹을 사용하거나 전용 또는 아웃바운드 네트워크를 사용하여 클라우드 템플릿 설계에 App 분리를 지정할 수도 있습니다.

App 분리 정책은 낮은 우선 순위로 생성됩니다. 여러 정책을 적용하는 경우 가중치가 더 높은 정책이 우선 적용됩니다.

애플리케이션 격리 정책을 생성하면 자동 생성되는 정책 이름이 생성됩니다. 또한 이 정책은 연결된 리소스 끝점 및 프로젝트와 관련된 다른 클라우드 템플릿 설계 및 반복에서 재사용할 수 있습니다. 애플리케이션 격리 정책 이름은 클라우드 템플릿에 표시되지 않지만, 클라우드 템플릿 설계를 배포한 후에 [프로젝트] 페이지(인프라 > 관리 > 프로젝트)에서 사용자 지정 속성으로 표시됩니다.

프로젝트에서 동일한 연결된 끝점의 경우, App 분리를 위해 주문형 보안 그룹이 필요한 모든 배포는 동일한 App 분리 정책을 사용할 수 있습니다. 정책이 생성되면 삭제되지 않습니다. App 분리 정책을 지정하면 vRealize Automation가 프로젝트 내에서 그리고 연결된 끝점과 관련하여 정책을 검색합니다. 정책을 찾으면 재사용하고, 정책을 찾지 못하면 생성합니다. App 분리 정책 이름은 프로젝트의 사용자 지정 속성 목록에서 초기 배포 후에만 표시됩니다.

반복적인 클라우드 템플릿 개발에서 보안 그룹 사용

반복적인 개발 중에 보안 그룹 제약 조건을 변경하면 보안 그룹이 클라우드 템플릿의 시스템에 연결되어 있지 않은 경우 보안 그룹이 지정된 대로 반복에서 업데이트됩니다. 그러나 보안 그룹이 이미 시스템에 연결되어 있으면 다시 배포에 실패합니다. 반복적인 클라우드 템플릿 개발 중에는 연결된 시스템에서 기존의 보안 그룹 및/또는 securityGroupType 리소스 속성을 분리한 다음 각 다시 배포 간에 다시 연결해야 합니다. 처음에 클라우드 템플릿을 배포했다고 가정할 때 필요한 워크플로는 다음과 같습니다.
  1. Cloud Assembly 템플릿 디자이너에서, 보안 그룹을 클라우드 템플릿의 연결된 모든 시스템에서 분리합니다.
  2. 기존 배포 업데이트를 클릭하여 템플릿을 다시 배포합니다.
  3. 템플릿에서 기존의 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성을 제거합니다.
  4. 템플릿에 새 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성을 추가합니다.
  5. 새 보안 그룹 제약 조건 태그 및/또는 securityGroupType 속성 인스턴스를 템플릿의 시스템에 연결합니다.
  6. 기존 배포 업데이트를 클릭하여 템플릿을 다시 배포합니다.

사용 가능한 2일차 작업

클라우드 템플릿 및 배포 리소스에 사용할 수 있는 일반 2일차 작업의 목록은 Cloud Assembly 배포에서 실행할 수 있는 작업의 내용을 참조하십시오.

자세히 알아보기

네트워크 격리를 위한 보안 그룹 사용에 대한 자세한 내용은 vRealize Automation의 보안 리소스의 내용을 참조하십시오.

네트워크 프로파일에서 보안 그룹 사용에 대한 자세한 내용은 vRealize Automation의 네트워크 프로파일에 대해 알아보기vRealize Automation에서 네트워크 프로파일 및 클라우드 템플릿 설계의 보안 그룹 설정 사용의 내용을 참조하십시오.

클라우드 템플릿에서 보안 그룹 사용의 예는 vRealize Automation의 네트워크, 보안 리소스 및 로드 밸런서의 내용을 참조하십시오.