Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

내부 방화벽을 구성합니다

기여자
PDF

StorageGRID 노드의 특정 포트에 대한 네트워크 액세스를 제어하도록 StorageGRID 방화벽을 구성할 수 있습니다.

시작하기 전에

  • 를 사용하여 그리드 관리자에 로그인했습니다 "지원되는 웹 브라우저".

  • 있습니다 "특정 액세스 권한".

  • 에서 정보를 검토했습니다 "방화벽 제어 관리""네트워킹 지침".

  • 관리자 노드 또는 게이트웨이 노드가 명시적으로 구성된 끝점에서만 인바운드 트래픽을 수락하도록 하려면 로드 밸런서 끝점을 정의해야 합니다.

    참고 클라이언트 네트워크의 구성을 변경할 때 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.
이 작업에 대해

StorageGRID에는 그리드의 노드에서 일부 포트를 열거나 닫을 수 있도록 각 노드에 대한 내부 방화벽이 포함되어 있습니다. 방화벽 제어 탭을 사용하여 그리드 네트워크, 관리자 네트워크 및 클라이언트 네트워크에서 기본적으로 열려 있는 포트를 열거나 닫을 수 있습니다. 닫힌 그리드 포트에 액세스할 수 있는 권한이 있는 IP 주소 목록을 만들 수도 있습니다. 클라이언트 네트워크를 사용하는 경우 노드가 클라이언트 네트워크의 인바운드 트래픽을 신뢰하는지 여부를 지정하고 클라이언트 네트워크의 특정 포트에 대한 액세스를 구성할 수 있습니다.

그리드 외부의 IP 주소에 열려 있는 포트 수를 절대적으로 필요한 포트로만 제한하면 그리드의 보안이 향상됩니다. 세 개의 방화벽 제어 탭 각각에서 설정을 사용하여 필요한 포트만 열도록 합니다.

예를 포함한 방화벽 컨트롤 사용에 대한 자세한 내용은 을 참조하십시오 "방화벽 제어 관리".

외부 방화벽 및 네트워크 보안에 대한 자세한 내용은 을 참조하십시오 "외부 방화벽에서 액세스를 제어합니다".

방화벽 컨트롤에 액세스합니다

단계

  1. 구성 * > * 보안 * > * 방화벽 제어 * 를 선택합니다.

    이 페이지의 세 가지 탭은 에 설명되어 있습니다 "방화벽 제어 관리".

  2. 탭을 선택하여 방화벽 컨트롤을 구성합니다.

    이러한 탭은 순서에 상관없이 사용할 수 있습니다. 한 탭에서 설정한 구성은 다른 탭에서 수행할 수 있는 작업을 제한하지 않지만 한 탭에서 변경한 구성은 다른 탭에 구성된 포트의 동작을 변경할 수 있습니다.

특별 권한 주소 목록

특별 권한 주소 목록 탭을 사용하여 외부 액세스 관리 탭의 설정에 따라 기본적으로 닫히거나 닫힌 포트에 대한 호스트 액세스 권한을 부여할 수 있습니다.

권한이 있는 IP 주소 및 서브넷에는 기본적으로 내부 그리드 액세스가 없습니다. 또한 외부 액세스 관리 탭에서 차단된 경우에도 권한이 있는 주소 목록 탭에서 열린 로드 밸런서 끝점과 추가 포트에 액세스할 수 있습니다.

참고 권한이 있는 주소 목록 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다.
단계

  1. 특별 권한 주소 목록 탭에서 닫힌 포트에 대한 액세스를 허용할 주소 또는 IP 서브넷을 입력합니다.

  2. 선택적으로 * CIDR 표기법 * 으로 다른 IP 주소 또는 서브넷 추가 를 선택하여 권한이 있는 클라이언트를 추가합니다.

    팁 가능한 한 적은 수의 주소를 권한 있는 목록에 추가합니다.

  3. 선택적으로 * 권한이 있는 IP 주소가 StorageGRID 내부 포트에 액세스하도록 허용 * 을 선택합니다. 을 참조하십시오 "StorageGRID 내부 포트".

    팁 이 옵션은 내부 서비스에 대한 일부 보호를 제거합니다. 가능한 경우 비활성화 상태로 둡니다.

  4. 저장 * 을 선택합니다.

외부 액세스를 관리합니다

외부 액세스 관리 탭에서 포트가 닫힌 경우 권한이 있는 주소 목록에 IP 주소를 추가하지 않으면 비 그리드 IP 주소로 포트에 액세스할 수 없습니다. 기본적으로 열려 있는 포트만 닫을 수 있으며 닫은 포트만 열 수 있습니다.

참고 외부 액세스 관리 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다. 예를 들어, 노드가 신뢰할 수 없는 경우 외부 액세스 관리 탭에 열려 있어도 클라이언트 네트워크에서 포트 SSH/22가 차단됩니다. 신뢰할 수 없는 클라이언트 네트워크 탭의 설정은 클라이언트 네트워크의 닫힌 포트(예: 443, 8443, 9443)를 재정의합니다.
단계

  1. 외부 액세스 관리 * 를 선택합니다. 이 탭에는 그리드의 노드에 대해 모든 외부 포트(기본적으로 비 그리드 노드가 액세스할 수 있는 포트)가 포함된 테이블이 표시됩니다.

  2. 다음 옵션을 사용하여 열고 닫을 포트를 구성합니다.

    • 각 포트 옆의 토글을 사용하여 선택한 포트를 열거나 닫습니다.

    • 표시된 모든 포트 열기 * 를 선택하여 표에 나열된 모든 포트를 엽니다.

    • 표에 나열된 모든 포트를 닫으려면 * 표시된 모든 포트 닫기 * 를 선택합니다.

      주의 Grid Manager 포트 443 또는 8443을 닫으면 사용자를 포함하여 차단된 포트에 현재 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다.
    참고 테이블 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 모든 포트를 확인합니다. 검색 필드를 사용하여 포트 번호를 입력하여 외부 포트의 설정을 찾습니다. 일부 포트 번호를 입력할 수 있습니다. 예를 들어 * 2 * 를 입력하면 이름에 문자열 "2"가 포함된 모든 포트가 표시됩니다.

  3. 저장 * 을 선택합니다

신뢰할 수 없는 클라이언트 네트워크

노드의 클라이언트 네트워크를 신뢰할 수 없는 경우 노드는 로드 밸런서 끝점으로 구성된 포트의 인바운드 트래픽만 허용하고 선택적으로 이 탭에서 선택하는 추가 포트만 허용합니다. 이 탭을 사용하여 확장에 추가된 새 노드의 기본 설정을 지정할 수도 있습니다.

주의 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.

신뢰할 수 없는 클라이언트 네트워크* 탭에서 변경한 구성은 * 외부 액세스 관리 * 탭의 설정보다 우선합니다.

단계

  1. 신뢰할 수 없는 클라이언트 네트워크 * 를 선택합니다.

  2. 새 노드 기본값 설정 섹션에서 확장 절차에서 그리드에 새 노드를 추가할 때 기본 설정을 지정합니다.

    • * 신뢰 * (기본값): 확장 시 노드를 추가하면 해당 클라이언트 네트워크가 신뢰됩니다.

    • * 신뢰할 수 없음 *: 확장 시 노드가 추가되면 해당 클라이언트 네트워크를 신뢰할 수 없습니다.

      필요에 따라 이 탭으로 돌아가 특정 새 노드의 설정을 변경할 수 있습니다.

    참고 이 설정은 StorageGRID 시스템의 기존 노드에는 영향을 주지 않습니다.

  3. 다음 옵션을 사용하여 명시적으로 구성된 로드 밸런싱 장치 엔드포인트 또는 추가 선택 포트에서만 클라이언트 연결을 허용할 노드를 선택합니다.

    • 표시된 노드에서 신뢰 해제 * 를 선택하여 테이블에 표시된 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가합니다.

    • 표시된 노드의 신뢰 * 를 선택하여 신뢰할 수 없는 클라이언트 네트워크 목록에서 표에 표시된 모든 노드를 제거합니다.

    • 각 포트 옆의 토글을 사용하여 선택한 노드에 대해 클라이언트 네트워크를 신뢰할 수 없음 또는 신뢰할 수 없음으로 설정합니다.

      예를 들어 표시된 노드에서 * 언트러스트 * 를 선택하여 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가한 다음 개별 노드 옆의 토글을 사용하여 해당 단일 노드를 신뢰할 수 있는 클라이언트 네트워크 목록에 추가할 수 있습니다.

    참고 테이블 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 모든 노드를 확인합니다. 검색 필드를 사용하여 노드 이름을 입력하여 노드 설정을 찾습니다. 부분 이름을 입력할 수 있습니다. 예를 들어 * GW * 를 입력하면 이름에 "GW" 문자열이 포함된 모든 노드가 표시됩니다.

  4. 선택적으로 신뢰할 수 없는 클라이언트 네트워크에서 열려는 추가 포트를 선택합니다. 이러한 포트를 통해 Grid Manager, Tenant Manager 또는 둘 모두에 액세스할 수 있습니다.

    예를 들어 유지 관리를 위해 클라이언트 네트워크에서 그리드 관리자에 액세스할 수 있도록 이 옵션을 사용할 수 있습니다.

    참고 이러한 추가 포트는 외부 액세스 관리 탭에서 닫혔는지 여부에 관계없이 클라이언트 네트워크에서 열립니다.

  5. 저장 * 을 선택합니다.

    새 방화벽 설정이 즉시 적용되고 적용됩니다. 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.