VPC의 기본 보안 그룹 규칙 업데이트

기본 보안 그룹은 삭제할 수 없다는 점을 제외하고는 다른 보안 그룹과 유사합니다.

VPC를 생성하면 시스템은 두 가지 규칙을 가진 VPC의 기본 보안 그룹을 생성합니다

이 보안 그룹의 구성원(즉, 이 보안 그룹에 연결된 다른 모든 자원)으로부터 들어오는 ICMP, TCP, UDP 트래픽을 허용하는 규칙
모든 목적지로의 아웃바운드 ICMP, TCP, UDP 트래픽을 허용하는 규칙

보안 그룹 외부의 리소스로부터 인바운드 핑과 SSH를 허용하는 규칙은 기본 보안 그룹에 자동으로 추가되지 않습니다.

콘솔, CLI 또는 API를 사용하여 기본 보안 그룹의 규칙을 수정할 수 있습니다.

기본 보안 그룹의 규칙을 편집하면 편집된 규칙이 해당 그룹의 현재 및 미래 서버에 모두 적용됩니다.

콘솔에서 기본 보안 그룹 업데이트하기

브라우저에서 IBM Cloud 콘솔을 여십시오.
탐색 메뉴 선택한 다음 인프라 > 네트워크 > 보안 그룹을 클릭합니다.
보안 그룹 목록에서 업데이트할 기본 보안 그룹의 이름을 클릭하십시오.
기본 보안 그룹의 세부사항 페이지에서 규칙 탭을 클릭하십시오.
필요에 따라 규칙을 수정합니다:
- 규칙을 편집하려면 조치 메뉴 를 클릭하고 편집을 클릭한 후 변경사항을 작성하고 저장을 클릭하십시오.
- 규칙을 삭제하려면 조치 메뉴 를 클릭하고 삭제를 클릭한 후 삭제 를 다시 클릭하십시오.
- 규칙을 만들려면 만들기 버튼을 클릭합니다.
각 규칙에 대해 다음 정보를 지정하십시오.
- 규칙이 적용되는 프로토콜 및 포트를 선택하십시오.
- 허용되는 트래픽에 대한 CIDR 블록 또는 IP 주소를 지정하십시오. 동일한 VPC에서 보안 그룹을 지정하여 선택된 보안 그룹에 연결된 모든 인스턴스의 송수신 트래픽을 허용할 수도 있습니다.
팁:
- 추가된 순서에 관계없이 모든 규칙이 평가됩니다.
- 규칙은 Stateful이며, 이는 허용된 트래픽에 대한 응답인 리턴 트래픽이 자동으로 허용됨을 의미합니다. 예를 들어, 포트 80에서 인바운드 TCP 트래픽을 허용하는 규칙을 작성했습니다. 이 규칙에서는 다른 규칙을 작성할 필요 없이 포트 80을 통해 원래 호스트로 다시 응답하는 아웃바운드 TCP 트래픽을 보낼 수 있습니다.
- Windows 이미지의 경우 인스턴스와 연관된 보안 그룹에서 인바운드 및 아웃바운드 원격 데스크탑 프로토콜 트래픽을 허용하는지 확인하십시오(TCP 포트 3389).
선택사항: 보안 그룹에 연결된 인터페이스를 확인하려면 연결된 자원 탭을 클릭한 후 연결된 인터페이스 섹션을 검토하십시오.
규칙 작성을 완료하면 페이지 맨 위에 있는 보안 그룹 이동 경로를 클릭하여 VPC용 보안 그룹 목록으로 돌아가십시오.

CLI에서 기본 보안 그룹 업데이트하기

CLI를 사용하여 기본 보안 그룹을 업데이트하려면 다음 단계를 완료하십시오.

IBM Cloud® Virtual Private Cloud에 로그인하십시오.

연합 계정이 있는 경우에는 다음 명령을 실행하십시오.
```
ibmcloud login -sso
```
그렇지 않을 경우 다음 명령을 사용하십시오.
```
ibmcloud login
```
VPC의 기본 보안 그룹 ID 및 세부 정보를 가져옵니다.

다음 명령을 실행하여 모든 VPC를 나열하십시오.
```
ibmcloud is vpcs
```
기본 보안 그룹 이름은 Default Security Group 열 아래에 표시됩니다. (다음에) 보안 그룹을 나열할 때 ID를 찾을 수 있도록 이름을 기록해 두십시오.

이제 모든 보안 그룹을 나열합니다:
```
ibmcloud is security-groups
```
나중에 사용할 수 있도록 보안 그룹 ID(기본 보안 그룹에 대한)를 변수에 저장하십시오. 예를 들어 변수 이름으로 sg를 사용하십시오.
```
sg=0738-2d364f0a-a870-42c3-a554-000001162469
```
보안 그룹에 대한 세부사항을 가져오려면 다음 명령을 실행하십시오.
```
ibmcloud is security-group GROUP
```
예를 들어, 다음 명령을 실행하여 변수로 저장한 보안 그룹 ID가 있는 보안 그룹에 대한 세부사항을 가져오십시오.
```
ibmcloud is security-group $sg
```
또는 변수 $sg 자리에 실제 ID 값을 삽입할 수 있습니다.
기본 보안 그룹을 업데이트하여 SSH 및 PING을 허용하는 규칙을 추가하십시오.

SSH 연결을 사용 안함으로 설정하는 경우 RedHat Enterprise Linux의 라이센스 등록이 금지됩니다. 이 경우 프로비저닝 실패가 발생할 수 있습니다.

기본 보안 그룹에 규칙을 추가하려면 다음 명령을 실행하십시오.
```
ibmcloud is security-group-rule-add GROUP DIRECTION PROTOCOL [--port-min PORT_MIN] [--port-max PORT_MAX]
ibmcloud is security-group-rule-add GROUP DIRECTION PROTOCOL [--icmp-type ICMP_TYPE [--icmp-code ICMP_CODE]]
```
예를 들어, 다음 명령을 실행하여 변수로 설정한 ID로 보안 그룹에 SSH및 PING 규칙을 허용하는 규칙을 추가하십시오.
```
ibmcloud is security-group-rule-add $sg inbound tcp --port-min 22 --port-max 22
ibmcloud is security-group-rule-add $sg inbound icmp --icmp-type 8 --icmp-code 0
```

보안 그룹 규칙 추가 및 제거는 비동기 조작입니다. 변경사항이 적용되려면 보통 1 - 30초가 걸립니다.

API를 사용하여 기본 보안 그룹 업데이트

API를 사용하여 기본 보안 그룹을 업데이트하려면 다음 단계를 완료하십시오.

올바른 변수를 사용하여 API 환경을 설정하십시오.
VPC의 기본 보안 그룹 ID 및 세부 정보를 가져옵니다.

다음 명령을 실행하여 모든 VPC를 나열하십시오.
```
curl -sX GET -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/vpcs?generation=2&version=2022-09-13"
```
기본 보안 그룹 세부사항은 default_security_group 다음의 출력에 표시됩니다. 보안 그룹을 나열할 때 id 을 찾을 수 있도록 기본 보안 그룹의 이름을 메모해 두세요(다음). 기본 보안 그룹 id 를 기록하고 나중에 사용할 수 있도록 변수에 저장하십시오. 예를 들어, 변수 이름 id 을 사용합니다:
```
"sg" = "r006-a937009e-5da5-4e7b-9072-d44e1095327b"
```
기본 보안 그룹을 업데이트하여 SSH 및 PING을 허용하는 규칙을 추가하십시오.

SSH 연결을 사용 안함으로 설정하는 경우 RedHat Enterprise Linux의 라이센스 등록이 금지됩니다. 이 경우 프로비저닝 실패가 발생할 수 있습니다.

다음 두 명령을 실행하여 sg 변수로 설정한 id 보안 그룹이 있는 보안 그룹에 대해 SSH및 PING을 허용하는 기본 보안 그룹 규칙을 추가하십시오.

curl -sX POST  -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/security_groups/$sg/rules?generation=2&version=$api_version"  -d '{"direction":"inbound","protocol":"tcp","port_min":22, "port_max":22}'

curl -sX POST  -H "Authorization:$iam_token" "$vpc_api_endpoint/v1/security_groups/$sg/rules?generation=2&version=$api_version"  -d '{"direction":"inbound","protocol":"icmp","code":0, "type":9}'

보안 그룹 규칙 추가 및 제거는 비동기 조작입니다. 변경사항이 적용되려면 보통 1 - 30초가 걸립니다.