NSX는 가상 네트워크를 구성하고 관리하기 위한 논리적 네트워크 요소, 경계 프로토콜 및 보안 서비스의 전체 집합을 제공합니다. vCenter Server에서 NSX 플러그인을 설치하면 데이터 센터 전반에서 NSX 구성 요소 및 서비스를 생성하고 관리하기 위한 중앙 집중식 제어를 이용할 수 있습니다.
NSX 특성 및 기능에 대한 설명은 NSX 관리 가이드를 참조하십시오.
VMware NSX Edge
NSX 도메인에서 배포된 물리적 네트워크와 외부 물리적 네트워크 인프라 간에 중앙 집중식 북-남 라우팅을 제공합니다. NSX Edge는 OSPF(Open Shortest Path First), iBGP(내부 Border Gateway Protocol) 및 eBGP(외부 Border Gateway Protocol) 등 동적 라우팅 프로토콜을 지원하며, 정적 라우팅을 사용할 수 있습니다. 라우팅 기능은 활성-대기 상태 저장 서비스 및 ECMP(equal-cost multipath) 라우팅을 지원합니다. 또한 NSX Edge는 NAT(네트워크 주소 변환), 로드 밸런싱, VPN(Virtual Private Network) 및 방화벽 서비스 등 표준 Edge 서비스를 제공합니다.
논리적 전환
NSX 논리적 스위치는 서로 다른 논리적 네트워크의 워크로드 간에 분리를 적용하는 L2 논리적 네트워크를 제공합니다. 가상 Distributed Switch는 VXLAN 기술을 사용하여 L3 패브릭을 통해 클러스터의 여러 ESXi 호스트로 확장하므로, 중앙 집중식 관리의 이점을 추가적으로 제공합니다. vCenter Server를 사용하고 필요에 따라 논리적 스위치를 전송 영역에 할당하여 전송 영역을 생성하면 분리 범위를 제어할 수 있습니다.
분산 라우팅
분산 라우팅은 DLR(논리적 분산 라우터)이라는 논리적 요소에 의해 제공됩니다. DLR은 VM 연결이 필요한 모든 호스트에 대한 직접 연결된 인터페이스가 있는 라우터입니다. 논리적 스위치는 L3 연결을 제공하기 위해 논리적 라우터에 연결되어 있습니다. 전달을 제어하기 위한 제어부라는 감독 기능을 제어 VM에서 가져옵니다.
논리적 방화벽
NSX 플랫폼은 다중 계층 워크로드를 보호하기 위해 다음과 같은 중요한 기능을 지원합니다.
- 다중 계층 워크로드의 상태 저장 보호를 제공하는 논리적 방화벽 기능에 대한 네이티브 지원.
- 애플리케이션 워크로드 보호를 위한, 바이러스 백신 검사와 같은 다중 벤더 보안 서비스 및 Service Insertion에 대한 지원.
NSX 플랫폼에는 NSX Edge Services Gateway(ESG)에서 제공하는 중앙 집중식 방화벽 서비스 및 지정된 NSX 도메인의 일부인 모든 ESXi 호스트에서 VIB 패키지로 커널에서 사용하도록 설정된 분산 방화벽(DFW)이 포함됩니다. DFW는 니어라인급 성능, 가상화, ID 인식, Activity Monitoring, 로깅 및 네트워크 가상화의 기본이 되는 기타 네트워크 보안 기능과 함께 방화벽 기능을 제공합니다. 사용자는 각 VM의 vNIC 수준에서 트래픽을 필터링하도록 이러한 방화벽을 구성합니다. 이 유연성은 분리된 가상 네트워크를 생성하는 데 필수적이며, 해당 수준의 세부 정보가 필요한 경우 개별 VM에 대해서도 그러합니다.
vCenter Server를 사용하여 방화벽 규칙을 관리합니다. 규칙 테이블은 특정 워크로드에 적용될 수 있는 구체적 보안 정책을 구성하는 각 섹션이 포함된 섹션으로 구성되어 있습니다.
보안 그룹
NSX는 다음 항목을 포함할 수 있는 그룹화 메커니즘 기준을 제공합니다.
- 가상 시스템, Distributed Switch 및 클러스터 등 vCenter Server 개체
- vNIC, 가상 시스템 이름 및 가상 시스템 운영 체제 등 가상 시스템 속성
- 논리적 스위치, 보안 태그 및 논리적 라우터를 비롯한 NSX 개체
그룹화 메커니즘은 정적 또는 동적일 수 있으며, 보안 그룹은 vCenter 개체, NSX 개체, VM 속성 또는 AD 그룹과 같은 Identity Manager 개체의 조합을 비롯한 모든 개체의 조합일 수 있습니다. NSX의 보안 그룹은 사용자가 정의한 정적 제외 기준과 함께 모든 정적 및 동적 기준을 기반으로 합니다. 동적 그룹은 구성원이 그룹에 들어오고 나감에 따라 늘어나고 줄어듭니다. 예를 들어 동적 그룹에는 web_ 이름으로 시작하는 모든 VM이 포함될 수 있습니다. 보안 그룹에는 여러 가지 유용한 특성이 있습니다.
- 사용자는 보안 그룹에 여러 보안 정책을 할당할 수 있습니다.
- 개체가 동시에 여러 보안 그룹에 속할 수 있습니다.
- 보안 그룹에는 다른 보안 그룹에 포함될 수 있습니다.
NSX Service Composer를 사용하여 보안 그룹을 생성하고 정책을 적용합니다. NSX Service Composer는 실시간으로 방화벽 정책 및 보안 서비스를 애플리케이션에 프로비저닝하고 할당합니다. 정책이 그룹에 추가됨에 따라 새 가상 시스템에 이 정책이 적용됩니다.
보안 태그
사용자는 가상 시스템에 보안 태그를 적용하고, 필요에 따라 워크로드에 대한 컨텍스트를 추가할 수 있습니다. 보안 태그를 기반으로 보안 그룹을 만들 수 있습니다. 보안 태그는 여러 가지 일반 분류를 나타냅니다.
- 보안 상태. 예: 취약성 식별됨.
- 부서별 분류.
- 데이터 유형 분류. 예: PCI 데이터.
- 환경 유형. 예: 운영 또는 devops.
- VM 지역 또는 위치.
보안 정책
보안 정책 그룹 규칙은 데이터 센터에서 생성된 보안 그룹에 적용되는 보안 제어입니다. NSX를 사용하여 방화벽 규칙 테이블에서 섹션을 생성할 수 있습니다. 섹션을 통해 방화벽 규칙의 관리 및 그룹화를 개선할 수 있습니다. 단일 보안 정책은 방화벽 규칙 테이블의 섹션입니다. 이 정책은 방화벽 규칙 테이블의 규칙 및 보안 정책을 통해 작성된 규칙 간 동기화를 유지 보수하며, 일관된 구현을 보장합니다. 보안 정책은 특정 애플리케이션 또는 워크로드에 대해 작성되므로, 이러한 규칙은 방화벽 규칙 테이블의 특정 섹션으로 구성됩니다. 사용자는 단일 애플리케이션에 여러 보안 정책을 적용할 수 있습니다. 여러 보안 정책을 적용할 때 섹션의 순서는 규칙 애플리케이션의 우선 순위를 결정합니다.
VPN(Virtual Private Network) 서비스
NSX는 이름이 L2 VPN 및 L3 VPN인 VPN 서비스를 제공합니다. 별도의 데이터 센터 사이트에서 배포된 NSX Edge 장치의 쌍 간에 L2 VPN 터널을 생성합니다. L3 VPN을 생성하여 원격 위치에서 데이터 센터 네트워크로 보안 L3 연결을 제공합니다.
역할 기반 액세스 제어
NSX에는 엔터프라이즈 내 컴퓨터 또는 네트워크 리소스에 대한 액세스를 제어하는 기본 제공 사용자 역할이 있습니다. 사용자는 하나의 역할만 가질 수 있습니다.
| 역할 | 사용 권한 |
|---|---|
| 엔터프라이즈 관리자 | NSX 작업 및 보안. |
| NSX 관리자 | NSX 작업 전용. 예: 가상 장치 설치, 포트 그룹 구성. |
| 보안 관리자 | NSX 보안 전용 예: 데이터 보안 정책 정의, 포트 그룹 생성, NSX 모듈에 대한 보고서 생성. |
| 감사자 | 읽기 전용. |
파트너 통합
통합된 사용자 환경 및 모든 클라우드 관리 플랫폼과의 원활한 통합을 제공하기 위해 VMware 기술 파트너의 서비스가 관리, 제어 및 데이터 기능에서 NSX 플랫폼과 통합되어 있습니다. 자세한 내용은 https://www.vmware.com/products/nsx/technology-partners#security를 참조하십시오.
