본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

내부 방화벽 구성

10/01/2025

PDF

StorageGRID 방화벽을 구성하여 StorageGRID 노드의 특정 포트에 대한 네트워크 액세스를 제어할 수 있습니다.

시작하기 전에

다음을 사용하여 Grid Manager에 로그인했습니다."지원되는 웹 브라우저" .
당신은 가지고있다"특정 액세스 권한" .
귀하는 다음 정보를 검토했습니다."방화벽 제어 관리" 그리고"네트워킹 가이드라인" .
관리 노드나 게이트웨이 노드가 명시적으로 구성된 엔드포인트에서만 인바운드 트래픽을 허용하도록 하려면 로드 밸런서 엔드포인트를 정의해야 합니다.

클라이언트 네트워크의 구성을 변경할 때 로드 밸런서 엔드포인트가 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.

이 작업에 관하여

StorageGRID 에는 각 노드에 내부 방화벽이 포함되어 있어 그리드 노드의 일부 포트를 열거나 닫을 수 있습니다. 방화벽 제어 탭을 사용하면 그리드 네트워크, 관리 네트워크 및 클라이언트 네트워크에서 기본적으로 열려 있는 포트를 열거나 닫을 수 있습니다. 닫힌 그리드 포트에 액세스할 수 있는 권한이 있는 IP 주소 목록을 만들 수도 있습니다. 클라이언트 네트워크를 사용하는 경우 노드가 클라이언트 네트워크에서 들어오는 트래픽을 신뢰할지 여부를 지정하고 클라이언트 네트워크의 특정 포트에 대한 액세스를 구성할 수 있습니다.

그리드 외부의 IP 주소에 열려 있는 포트 수를 절대적으로 필요한 포트로만 제한하면 그리드의 보안이 강화됩니다. 세 개의 방화벽 제어 탭 각각의 설정을 사용하여 필요한 포트만 열려 있는지 확인하세요.

방화벽 제어 사용에 대한 자세한 내용(예제 포함)은 다음을 참조하세요."방화벽 제어 관리" .

외부 방화벽 및 네트워크 보안에 대한 자세한 내용은 다음을 참조하세요."외부 방화벽에서 접근 제어" .

방화벽 제어에 액세스

단계

구성 > 보안 > *방화벽 제어*를 선택합니다.

이 페이지의 세 개 탭은 다음과 같이 설명됩니다."방화벽 제어 관리" .
방화벽 제어를 구성하려면 탭을 선택하세요.

이 탭은 원하는 순서대로 사용할 수 있습니다. 한 탭에서 설정한 구성은 다른 탭에서 할 수 있는 작업을 제한하지 않습니다. 그러나 한 탭에서 구성을 변경하면 다른 탭에서 구성된 포트의 동작이 변경될 수 있습니다.

특권 주소 목록

권한이 있는 주소 목록 탭을 사용하면 기본적으로 닫혀 있거나 외부 액세스 관리 탭의 설정에 의해 닫힌 포트에 대한 액세스 권한을 호스트에 부여할 수 있습니다.

기본적으로 특권 IP 주소와 서브넷에는 내부 그리드 액세스 권한이 없습니다. 또한, 권한 있는 주소 목록 탭에서 열린 로드 밸런서 엔드포인트와 추가 포트는 외부 액세스 관리 탭에서 차단된 경우에도 액세스할 수 있습니다.

권한이 있는 주소 목록 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다.

단계

권한이 있는 주소 목록 탭에서 닫힌 포트에 대한 액세스를 허용할 주소나 IP 서브넷을 입력합니다.
선택적으로, 추가적인 권한이 있는 클라이언트를 추가하려면 *CIDR 표기법으로 다른 IP 주소 또는 서브넷 추가*를 선택합니다.

특권 목록에는 가능한 한 적은 주소를 추가하세요.
선택적으로 *특권 IP 주소가 StorageGRID 내부 포트에 액세스하도록 허용*을 선택합니다. 보다 "StorageGRID 내부 포트" .

이 옵션은 내부 서비스에 대한 일부 보호 기능을 제거합니다. 가능하면 비활성화해 두세요.
*저장*을 선택하세요.

외부 액세스 관리

외부 액세스 관리 탭에서 포트가 닫히면 특권 주소 목록에 IP 주소를 추가하지 않는 한 그리드가 아닌 IP 주소로 포트에 액세스할 수 없습니다. 기본적으로 열려 있는 포트만 닫을 수 있고, 닫은 포트만 열 수 있습니다.

외부 액세스 관리 탭의 설정은 신뢰할 수 없는 클라이언트 네트워크 탭의 설정을 재정의할 수 없습니다. 예를 들어, 노드가 신뢰할 수 없는 경우 외부 액세스 관리 탭에서 열려 있더라도 클라이언트 네트워크에서 SSH/22 포트가 차단됩니다. 신뢰할 수 없는 클라이언트 네트워크 탭의 설정은 클라이언트 네트워크의 닫힌 포트(예: 443, 8443, 9443)를 재정의합니다.

단계

*외부 액세스 관리*를 선택하세요. 이 탭에는 그리드의 노드에 대한 모든 외부 포트(기본적으로 그리드가 아닌 노드에서 액세스할 수 있는 포트)가 포함된 표가 표시됩니다.

다음 옵션을 사용하여 열고 닫을 포트를 구성하세요.

각 포트 옆에 있는 토글을 사용하여 선택한 포트를 열거나 닫으세요.
표에 나열된 모든 포트를 열려면 *표시된 모든 포트 열기*를 선택하세요.

표에 나열된 모든 포트를 닫으려면 *표시된 모든 포트 닫기*를 선택하세요.

Grid Manager 포트 443 또는 8443을 닫으면 차단된 포트에 현재 연결된 모든 사용자(본인 포함)는 IP 주소가 권한 있는 주소 목록에 추가되지 않는 한 Grid Manager에 액세스할 수 없게 됩니다.

표의 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 포트를 모두 확인했는지 확인하세요. 검색 필드에 포트 번호를 입력하여 외부 포트의 설정을 찾으세요. 포트 번호의 일부를 입력할 수 있습니다. 예를 들어, *2*를 입력하면 이름에 "2"라는 문자열이 포함된 모든 포트가 표시됩니다.

*저장*을 선택하세요

신뢰할 수 없는 클라이언트 네트워크

노드의 클라이언트 네트워크를 신뢰할 수 없는 경우, 해당 노드는 로드 밸런서 엔드포인트로 구성된 포트에서만 인바운드 트래픽을 허용하고, 선택적으로 이 탭에서 선택한 추가 포트에서도 허용합니다. 이 탭을 사용하여 확장에 추가된 새 노드에 대한 기본 설정을 지정할 수도 있습니다.

로드 밸런서 엔드포인트가 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.

신뢰할 수 없는 클라이언트 네트워크 탭에서 변경한 구성 내용은 외부 액세스 관리 탭의 설정보다 우선합니다.

단계

*신뢰할 수 없는 클라이언트 네트워크*를 선택하세요.
새 노드 기본값 설정 섹션에서 확장 절차에서 그리드에 새 노드가 추가될 때의 기본 설정을 지정합니다.
- 신뢰됨 (기본값): 확장에 노드가 추가되면 해당 클라이언트 네트워크가 신뢰됩니다.
- 신뢰할 수 없음: 확장을 통해 노드가 추가되면 해당 클라이언트 네트워크는 신뢰할 수 없습니다.
  
  필요에 따라 이 탭으로 돌아와서 특정 새 노드의 설정을 변경할 수 있습니다.
이 설정은 StorageGRID 시스템의 기존 노드에는 영향을 미치지 않습니다.

다음 옵션을 사용하여 명시적으로 구성된 로드 밸런서 엔드포인트 또는 추가적으로 선택한 포트에서만 클라이언트 연결을 허용해야 하는 노드를 선택하세요.

표에 표시된 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가하려면 *표시된 노드에서 신뢰 안 함*을 선택합니다.
신뢰할 수 없는 클라이언트 네트워크 목록에서 표에 표시된 모든 노드를 제거하려면 *표시된 노드에 대한 신뢰*를 선택합니다.
각 노드 옆에 있는 토글을 사용하여 선택한 노드에 대해 클라이언트 네트워크를 신뢰할 수 있음 또는 신뢰할 수 없음으로 설정합니다.

예를 들어, 표시된 노드에서 신뢰 안 함*을 선택하여 모든 노드를 신뢰할 수 없는 클라이언트 네트워크 목록에 추가한 다음, 개별 노드 옆에 있는 토글을 사용하여 해당 노드를 신뢰할 수 있는 클라이언트 네트워크 목록에 추가할 수 있습니다.

표의 오른쪽에 있는 스크롤 막대를 사용하여 사용 가능한 노드를 모두 확인했는지 확인하세요. 검색 필드에 노드 이름을 입력하여 노드의 설정을 찾습니다. 이름의 일부를 입력할 수 있습니다. 예를 들어, *GW*를 입력하면 이름에 "GW" 문자열이 포함된 모든 노드가 표시됩니다.

*저장*을 선택하세요.

새로운 방화벽 설정은 즉시 적용되고 시행됩니다. 로드 밸런서 엔드포인트가 구성되지 않은 경우 기존 클라이언트 연결이 실패할 수 있습니다.