Skip to main content
이 제품의 최신 릴리즈를 사용할 수 있습니다.
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

내부 방화벽을 구성합니다

기여자 netapp-pcelmer netapp-madkat netapp-perveilerk

StorageGRID 노드의 특정 포트에 대한 네트워크 액세스를 제어하도록 StorageGRID 방화벽을 구성할 수 있습니다.

시작하기 전에
  • 를 사용하여 그리드 관리자에 로그인했습니다 "지원되는 웹 브라우저".

  • 있습니다 "특정 액세스 권한".

  • 에서 정보를 검토했습니다 "방화벽 제어 관리""네트워킹 지침".

  • 관리자 노드 또는 게이트웨이 노드가 명시적으로 구성된 끝점에서만 인바운드 트래픽을 수락하도록 하려면 로드 밸런서 끝점을 정의해야 합니다.

    참고 클라이언트 네트워크의 구성을 변경할 때 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.
이 작업에 대해

StorageGRID에는 그리드의 노드에서 일부 포트를 열거나 닫을 수 있도록 각 노드에 대한 내부 방화벽이 포함되어 있습니다. 방화벽 제어 탭을 사용하여 그리드 네트워크, 관리자 네트워크 및 클라이언트 네트워크에서 기본적으로 열려 있는 포트를 열거나 닫을 수 있습니다. 닫힌 그리드 포트에 액세스할 수 있는 권한이 있는 IP 주소 목록을 만들 수도 있습니다. 클라이언트 네트워크를 사용하는 경우 노드가 클라이언트 네트워크의 인바운드 트래픽을 신뢰하는지 여부를 지정하고 클라이언트 네트워크의 특정 포트에 대한 액세스를 구성할 수 있습니다.

그리드 외부의 IP 주소에 열려 있는 포트 수를 절대적으로 필요한 포트로만 제한하면 그리드의 보안이 향상됩니다. 세 개의 방화벽 제어 탭 각각에서 설정을 사용하여 필요한 포트만 열도록 합니다.

예를 포함한 방화벽 컨트롤 사용에 대한 자세한 내용은 을 참조하십시오 "방화벽 제어 관리".

외부 방화벽 및 네트워크 보안에 대한 자세한 내용은 을 참조하십시오 "외부 방화벽에서 액세스를 제어합니다".

방화벽 컨트롤에 액세스합니다

단계
  1. 구성 * > * 보안 * > * 방화벽 제어 * 를 선택합니다.

    이 페이지의 세 가지 탭은 에 설명되어 있습니다 "방화벽 제어 관리".

  2. 탭을 선택하여 방화벽 컨트롤을 구성합니다.

    이러한 탭은 순서에 상관없이 사용할 수 있습니다. 한 탭에서 설정한 구성은 다른 탭에서 수행할 수 있는 작업을 제한하지 않지만 한 탭에서 변경한 구성은 다른 탭에 구성된 포트의 동작을 변경할 수 있습니다.

특별 권한 주소 목록

특별 권한 주소 목록 탭을 사용하여 외부 액세스 관리 탭의 설정에 따라 기본적으로 닫히거나 닫힌 포트에 대한 호스트 액세스 권한을 부여할 수 있습니다.

권한이 있는 IP 주소 및 서브넷에는 기본적으로 내부 그리드 액세스가 없습니다. 또한 외부 액세스 관리 탭에서 차단된 경우에도 권한이 있는 주소 목록 탭에서 열린 로드 밸런서 끝점과 추가 포트에 액세스할 수 있습니다.

참고 권한이 있는 주소 목록 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다.
단계
  1. 특별 권한 주소 목록 탭에서 닫힌 포트에 대한 액세스를 허용할 주소 또는 IP 서브넷을 입력합니다.

  2. 선택적으로 * CIDR 표기법 * 으로 다른 IP 주소 또는 서브넷 추가 를 선택하여 권한이 있는 클라이언트를 추가합니다.

    팁 가능한 한 적은 수의 주소를 권한 있는 목록에 추가합니다.
  3. 선택적으로 * 권한이 있는 IP 주소가 StorageGRID 내부 포트에 액세스하도록 허용 * 을 선택합니다. 을 참조하십시오 "StorageGRID 내부 포트".

    팁 이 옵션은 내부 서비스에 대한 일부 보호를 제거합니다. 가능한 경우 비활성화 상태로 둡니다.
  4. 저장 * 을 선택합니다.

외부 액세스를 관리합니다

외부 액세스 관리 탭에서 포트가 닫힌 경우 권한이 있는 주소 목록에 IP 주소를 추가하지 않으면 비 그리드 IP 주소로 포트에 액세스할 수 없습니다. 기본적으로 열려 있는 포트만 닫을 수 있으며 닫은 포트만 열 수 있습니다.

참고 외부 액세스 관리 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다. 예를 들어, 노드가 신뢰할 수 없는 경우 외부 액세스 관리 탭에 열려 있어도 클라이언트 네트워크에서 포트 SSH/22가 차단됩니다. 신뢰할 수 없는 클라이언트 네트워크 탭의 설정은 클라이언트 네트워크의 닫힌 포트(예: 443, 8443, 9443)를 재정의합니다.
단계
  1. 외부 액세스 관리 * 를 선택합니다. 이 탭에는 그리드의 노드에 대해 모든 외부 포트(기본적으로 비 그리드 노드가 액세스할 수 있는 포트)가 포함된 테이블이 표시됩니다.

  2. 다음 옵션을 사용하여 열고 닫을 포트를 구성합니다.

    • 각 포트 옆의 토글을 사용하여 선택한 포트를 열거나 닫습니다.

    • 표시된 모든 포트 열기 * 를 선택하여 표에 나열된 모든 포트를 엽니다.

    • 표에 나열된 모든 포트를 닫으려면 * 표시된 모든 포트 닫기 * 를 선택합니다.

      주의 Grid Manager 포트 443 또는 8443을 닫으면 사용자를 포함하여 차단된 포트에 현재 연결되어 있는 모든 사용자는 권한이 있는 주소 목록에 IP 주소가 추가되지 않으면 Grid Manager에 액세스할 수 없습니다.
    참고 테이블 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 모든 포트를 확인합니다. 검색 필드를 사용하여 포트 번호를 입력하여 외부 포트의 설정을 찾습니다. 일부 포트 번호를 입력할 수 있습니다. 예를 들어 * 2 * 를 입력하면 이름에 문자열 "2"가 포함된 모든 포트가 표시됩니다.
  3. 저장 * 을 선택합니다

신뢰할 수 없는 클라이언트 네트워크

노드의 클라이언트 네트워크를 신뢰할 수 없는 경우 노드는 로드 밸런서 끝점으로 구성된 포트의 인바운드 트래픽만 허용하고 선택적으로 이 탭에서 선택하는 추가 포트만 허용합니다. 이 탭을 사용하여 확장에 추가된 새 노드의 기본 설정을 지정할 수도 있습니다.

주의 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.

신뢰할 수 없는 클라이언트 네트워크* 탭에서 변경한 구성은 * 외부 액세스 관리 * 탭의 설정보다 우선합니다.

단계
  1. 신뢰할 수 없는 클라이언트 네트워크 * 를 선택합니다.

  2. 새 노드 기본값 설정 섹션에서 확장 절차에서 그리드에 새 노드를 추가할 때 기본 설정을 지정합니다.

    • * 신뢰 * (기본값): 확장 시 노드를 추가하면 해당 클라이언트 네트워크가 신뢰됩니다.

    • * 신뢰할 수 없음 *: 확장 시 노드가 추가되면 해당 클라이언트 네트워크를 신뢰할 수 없습니다.

      필요에 따라 이 탭으로 돌아가 특정 새 노드의 설정을 변경할 수 있습니다.

    참고 이 설정은 StorageGRID 시스템의 기존 노드에는 영향을 주지 않습니다.
  3. 다음 옵션을 사용하여 명시적으로 구성된 로드 밸런싱 장치 엔드포인트 또는 추가 선택 포트에서만 클라이언트 연결을 허용할 노드를 선택합니다.

    • 표시된 노드에서 신뢰 해제 * 를 선택하여 테이블에 표시된 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가합니다.

    • 표시된 노드의 신뢰 * 를 선택하여 신뢰할 수 없는 클라이언트 네트워크 목록에서 표에 표시된 모든 노드를 제거합니다.

    • 각 포트 옆의 토글을 사용하여 선택한 노드에 대해 클라이언트 네트워크를 신뢰할 수 없음 또는 신뢰할 수 없음으로 설정합니다.

      예를 들어 표시된 노드에서 * 언트러스트 * 를 선택하여 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가한 다음 개별 노드 옆의 토글을 사용하여 해당 단일 노드를 신뢰할 수 있는 클라이언트 네트워크 목록에 추가할 수 있습니다.

    참고 테이블 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 모든 노드를 확인합니다. 검색 필드를 사용하여 노드 이름을 입력하여 노드 설정을 찾습니다. 부분 이름을 입력할 수 있습니다. 예를 들어 * GW * 를 입력하면 이름에 "GW" 문자열이 포함된 모든 노드가 표시됩니다.
  4. 선택적으로 신뢰할 수 없는 클라이언트 네트워크에서 열려는 추가 포트를 선택합니다. 이러한 포트를 통해 Grid Manager, Tenant Manager 또는 둘 모두에 액세스할 수 있습니다.

    예를 들어 유지 관리를 위해 클라이언트 네트워크에서 그리드 관리자에 액세스할 수 있도록 이 옵션을 사용할 수 있습니다.

    참고 이러한 추가 포트는 외부 액세스 관리 탭에서 닫혔는지 여부에 관계없이 클라이언트 네트워크에서 열립니다.
  5. 저장 * 을 선택합니다.

    새 방화벽 설정이 즉시 적용되고 적용됩니다. 로드 밸런서 끝점이 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.