클라우드에서 노드 관리
Genian ZTNA Cloud Collector는 클라우드 환경에서 IP 지원 노드에 대한 정보를 수집하도록 활성화할 수 있습니다. 설정된 수행 주기로 Cloud Collector는 Cloud Service provider에게 쿼리하여 지정된 환경의 노드와 검색된 노드의 기타 중요한 클라우드 관련 세부 정보를 식별합니다.
클라우드 환경 구성
Cloud Provider 추가
클라우드와 관련한 다양한 작업을 위해, 클라우드 계정을 등록하고 관리하는 설정 화면 입니다.
상단 메뉴에서 시스템 > Cloud Provider로 이동합니다.
작업 선택을 클릭한 다음 생성을 클릭합니다.
설정명 입력(예: 'AWS Cloud')
Cloud에 대해 "AWS", "AZURE", "NHN", "NAVER", "LINODE" 중 하나를 선택하십시오.
아래 'Cloud 종류별 입력방법'을 참고하여 정보를 넣어주십시오.
생성 클릭
Cloud 종류별 입력방법
AWS의 크리덴셜 정보
Access Key : AWS Console > 오른쪽 상단의 사용자 이메일 선택 > Security credentials(보안 자격 증명) 선택 > 'Access key' 확인 후 입력합니다.
Secret Key : Access key 생성할 때 show(표시) 선택 > 'Secret key' 확인 후 입력합니다.
AWS 계정의 IAM관련 활성화 되어야하는 정책
설정 경로 : AWS Console > IAM > Users > 사용자 아이디 > Permissions > Policy name
AdministratorAccess : AWS 서비스 및 리소스에 대한 전체 액세스를 제공합니다.
AmazonEC2FullAccess : AWS Management Console을 통해 Amazon EC2에 대한 전체 액세스를 제공합니다.
AmazonRoute53FullAccess : AWS Management Console을 통해 모든 Amazon Route 53에 대한 전체 액세스를 제공합니다.
AmazonS3FullAccess : AWS Management Console을 통해 모든 버킷에 대한 전체 액세스를 제공합니다.
AWSMarketplaceFullAccess : AWS Marketplace 소프트웨어를 구독 및 구독 취소할 수 있는 기능을 제공하고, 사용자가 Marketplace '귀하의 소프트웨어' 페이지에서 Marketplace 소프트웨어 인스턴스를 관리할 수 있도록 하며, EC2에 대한 관리 액세스를 제공합니다
AWSSupportAccess : 사용자가 AWS 지원 센터에 액세스할 수 있도록 허용합니다.
CloudFrontFullAccess : CloudFront 콘솔에 대한 전체 액세스 권한과 AWS Management Console을 통해 Amazon S3 버킷을 나열하는 기능을 제공합니다.
CloudWatchEventsFullAccess : Amazon CloudWatch Events에 대한 전체 액세스를 제공합니다.
CloudWatchFullAccess : CloudWatch에 대한 전체 액세스를 제공합니다.
SecurityAudit : 보안 감사 템플릿은 보안 구성 메타데이터를 읽을 수 있는 액세스 권한을 부여합니다. AWS 계정의 구성을 감사하는 소프트웨어에 유용합니다.
AZURE의 크리덴셜 정보
Client ID : Azure Portal > Azure Active Directory > App registrations(앱 등록) > 'Application ID' 확인 후 입력합니다.
Client Secret : Home > Azure Active Directory > App registrations(앱 등록) > Certificates & secrets(인증서 및 암호) > 'Value' 확인 후 입력합니다.
Subscription ID : Home > Subscriptions > 'Subscription ID' 확인 후 입력합니다.
Tenant ID : Home > Azure Active Directory > App registrations(앱 등록) > 'Directory ID' 확인 후 입력합니다.
Resource Group Name : Home > Subscriptions > Subscription Name > Resource groups > 'Name' 확인 후 입력합니다.
Azure 계정의 IAM관련 활성화 되어야하는 정책
설정 경로 : Access control(IAM) > View my access > Current role assignments > Role 항목
Contributor : 모든 리소스를 관리할 수 있는 전체 액세스 권한을 부여하지만 Azure RBAC에서 역할을 할당하거나, Azure Blueprints에서 할당을 관리하거나, 이미지 갤러리를 공유할 수는 없습니다.
User Access Administrator : Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
Managed Application Operator Role: 관리형 애플리케이션 리소스에 대한 작업을 읽고 수행할 수 있습니다.
NHN의 크리덴셜 정보
User Name : NHN Console 로그인 'ID'를 입력한다.
Tenant ID : Compute > Instance > 관리 페이지 > API 엔드포인트 설정 버튼 클릭 > 'Tenant ID' 확인 후 입력한다.
Password : Compute > Instance > 관리 페이지의 API 엔드포인트 설정 버튼 클릭 > 원하는 API 'Password' 지정 후 입력한다.
NHN 계정의 IAM관련 설정해야 할 프로젝트의 역할
경로 : 헤당 콘솔 로그인 > 맴버 관리 > IAM 맴버
프로젝트의 역할 설정은 ADMIN으로 한다.
프로젝트 기본 정보, 멤버, 역할, 서비스 등 프로젝트 전체에 대한 Create(생성)/Read(읽기)/Update(갱신)/Delete(삭제)가 가능하다.
NAVER의 크리덴셜 정보
Access Key : NCloud Console > 우측 상단 사용자 ID > 계정 관리 > 비밀번호 및 인증 > 인증키 관리 > 신규 API 인증키 생성 > 'Access Key ID' 확인 후 입력한다.
Secret Key : API 인증키 생성 후 'Secret Key' 확인 후 입력한다.
Naver 계정의 IAM관련 활성화 되어야하는 정책 항목
설정 경로 : 우측 상단 사용자 ID > 권한보기
권한의 정책명은 NCP_ADMINISTRATOR(포털과 콘솔에 접근할 수 있는 권한이 메인 계정과 동일한 권한)로 설정한다.
권한설정은 관리자 전용 메뉴로 좌측 상단에 서비스 환경 설정 > 구성원/권한 관리에서 설정한다.
LINODE의 크리덴셜 정보
Token : Linode Console > My Profile > API Tokens > Add a Personal Access Token > 'Key' 확인 후 입력한다.
Linode 계정 관련 활성화 되어야하는 정책
API Token 생성시 생성/삭제 등 모든 권한을 가지도록 설정한다.
좌측 Account > User & Grants > 해당 유저의 User Permissions > Full Account Access로 설정한다.
클라우드 사이트 생성
SASE 구성을 설정하기 위한 설정 화면 입니다. 사이트 생성 및 관리를 통해 Cloud에 Service Edge(ZTNA Gateway, Hub)를 만들고 Service Edge에 연결할 Branch를 구성 할 수 있습니다.
상단 메뉴에서 시스템 > 사이트로 이동합니다.
작업을 클릭한 다음 생성을 클릭합니다.
사이트명 입력 (예: '기업 hub' 또는 'VPC-XXXXXXXX')
인프라의 경우 Cloud 선택
Cloud Provider의 경우 이전 단계에서 생성한 Cloud Provider를 선택합니다.
Region 의 경우 목록에서 원하는 AWS 리전을 선택합니다.
VPC ID의 경우 목록에서 원하는 VPC를 선택합니다.
Note
VPC가 나열되지 않으면 이전 단계와 로그를 확인하여 Cloud Provider를 추가할 때 문제가 없었는지 확인하십시오.
타입에 대해 hub 또는 branch를 선택하십시오.
네트워크 주소에 7단계에서 입력한 VPC에 해당하는 서브넷을 입력합니다(예: 172.31.16.0/20).
Collector 상태를 사용으로 설정(프록시 설정을 기본값으로 두고 원하는 수행 주기 설정)
저장 클릭
클라우드 노드 감지 확인
센서에 의해 등록된 노드를 다양한 현황 및 필터를 사용하여 검색할 수 있는 페이지 입니다.
상단 메뉴에서 관리 > 노드로 이동합니다.
왼쪽 창에서 이전 단계에서 만든 사이트 이름을 클릭합니다.
이전에 지정된 VPC 및 서브넷의 모든 AWS EC2 인스턴스는 노드로 나열되어야 합니다.
검색된 노드에 대한 AWS 세부 정보는 노드 세부 정보를 볼 수 있습니다. 노드 세부 정보는 관리 > 노드로 이동하여 노드 IP를 클릭하고 AWS 섹션까지 아래로 스크롤하여 볼 수 있습니다.
Note
노드 검색, 그룹화 및 모니터링에 대해서는 네트워크 노드 모니터링 를 참조 하십시오.