VMware Cloud on AWS 네트워킹 및 보안 - VMware Cloud on AWS · 2020. 8. 10. · 온 프레미스 데이터 센터를 VMware Cloud on AWS SDDC에 연결하려면 공용 인터넷을

VMware Cloud on AWS 네트워킹 및 보안

2020년 9월 17일

VMware Cloud on AWS

다음 VMware 웹 사이트에서 최신 기술 문서를 확인할 수 있습니다.

https://docs.vmware.com/kr/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware 코리아서울시 강남구영동대로 517아셈타워 13층(우) 06164전화:+82 2 3016 6500팩스: +82 2 3016 6501www.vmware.com/kr

Copyright ©

2017-2020 VMware, Inc. All rights reserved. 저작권 및 상표 정보


VMware, Inc. 2

https://docs.vmware.com/kr/

http://pubs.vmware.com/copyright-trademark.html

목차

VMware Cloud on AWS 네트워킹 및 보안 5

1 NSX-T 네트워킹 개념 6NSX-T에서 지원되는 기능 10

2 NSX-T를 사용하여 VMware Cloud on AWS 네트워킹 및 보안 구성 12조직 멤버에게 NSX 서비스 역할 할당 13

SDDC와 온-프레미스 데이터 센터 간 AWS Direct Connect 구성 14

AWS Direct Connect 연결 설정 15

SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성 15

AWS 서비스 액세스를 위해 공용 가상 인터페이스에 대한 Direct Connect 구성 19

Direct Connect MTU 지정 19

SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성 20

경로 기반 VPN 생성 21

정책 기반 VPN 생성 24

계층 2 VPN 및 확장된 네트워크 세그먼트 구성 27

VPN 터널 상태 및 통계 보기 30

IPsec VPN 설정 참조 30

관리 게이트웨이 네트워킹 및 보안 구성 32

vCenter Server FQDN 확인 주소 설정 32

HCX FQDN 확인 주소 설정 33

관리 게이트웨이 방화벽 규칙 추가 또는 수정 33

계산 게이트웨이 네트워킹 및 보안 구성 36

네트워크 세그먼트 생성 또는 수정 36

계산 게이트웨이 방화벽 규칙 추가 또는 수정 41

분산 방화벽 규칙 추가 또는 수정 43

DNS 서비스 구성 48

VMware Transit Connect를 통해 학습 및 보급된 경로 보기 49

트래픽 그룹이 포함된 다중 Edge SDDC 구성 50

인벤토리 그룹 사용 53

관리 그룹 추가 54

계산 그룹 추가 또는 수정 54

사용자 지정 서비스 추가 56

가상 시스템 인벤토리 보기 56

워크로드 연결 관리 57

계산 네트워크 세그먼트에 VM 연결 또는 계산 네트워크 세그먼트에서 워크로드 VM 분리 57

VMware, Inc. 3

공용 IP 주소 요청 또는 해제 58

NAT 규칙 생성 또는 수정 58

계산 및 관리 네트워크 간의 트래픽을 관리하는 방화벽 규칙 생성 60

3 모니터링 및 문제 해결 기능 구성 62IPFIX 구성 62

포트 미러링 구성 63

연결된 VPC 정보 보기 64


VMware, Inc. 4


"VMware Cloud on AWS 네트워킹 및 보안" 가이드에서는 VMware Cloud on AWS에 대한 NSX-T 네

트워킹 및 보안을 구성하는 방법에 대한 정보를 제공합니다.

대상 사용자

이 정보는 VMware Cloud on AWS를 사용하여, 워크로드를 오프프레미스로 마이그레이션하고 클라우드

에서 안전하게 실행하는 데 필요한 네트워킹 및 보안 인프라를 갖춘 SDDC를 생성하려는 모든 사용자를

대상으로 합니다. 이 정보는 온프레미스 환경에서 vSphere를 사용한 적이 있고 NSX-T 또는 기타 네트워

킹 솔루션을 사용하는 IP 네트워킹의 기본 사항에 익숙한 독자를 대상으로 작성 되었습니다. vSphere 또

는 Amazon Web Services에 대한 자세한 지식은 필요하지 않습니다.

VMware Cloud on AWS에서 NSX-T 네트워킹을 사용하는 방법에 대한 자세한 내용을 보려면 VMware

Press 전자책 VMware Cloud on AWS: NSX Networking and Security를 참조하십시오.

VMware, Inc. 5

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/products/vmw-cloud-on-aws-networking-and-security.pdf

NSX-T 네트워킹 개념 1VMware Cloud on AWS에서는 NSX-T를 사용하여 내부 SDDC 네트워크를 생성 및 관리하고 온-프레미

스 네트워크 인프라의 VPN 연결에 대한 끝점을 제공합니다.

SDDC 네트워크 토폴로지

SDDC를 생성하면 관리 네트워크 및 계산 네트워크가 포함됩니다. 관리 네트워크 CIDR 블록은 SDDC를

생성할 때 지정해야 하며 변경할 수 없습니다. 자세한 내용은 VMC 콘솔에서 SDDC 배포를 참조하십시오.

관리 네트워크에는 두 개의 서브넷이 있습니다.

장치 서브넷

SDDC를 생성할 때 관리 서브넷에 대해 지정한 CIDR 범위의 서브넷입니다. 이 서브넷은 SDDC의

vCenter, NSX 및 HCX 장치에서 사용됩니다. 또한 SRM과 같은 장치 기반 서비스를 SDDC에 추가하

면 이 서브넷에도 연결됩니다.

인프라 서브넷

SDDC를 생성할 때 관리 서브넷에 대해 지정한 CIDR 범위의 서브넷입니다. 이 서브넷은 SDDC의

ESXi 호스트에서 사용됩니다.

계산 네트워크에는 워크로드 VM에 대한 임의의 수의 논리적 세그먼트가 포함됩니다. 단일 호스트 SDDC

스타터 구성에서는 단일 라우팅 세그먼트로 계산 네트워크를 생성합니다. 호스트가 더 많은 SDDC 구성에

서는 필요에 맞게 계산 네트워크 세그먼트를 생성해야 합니다. 해당 제한에 대해서는 VMware 구성 최대

값을 참조하십시오.

SDDC 네트워크에는 두 개의 추상적인 계층이 있습니다.

n 계층 0은 NSX Edge 장치에서 제공합니다.

n 계층 1은 두 개의 NSX Edge 방화벽(관리 게이트웨이 및 계산 게이트웨이)에서 제공합니다.

VMware, Inc. 6

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.getting-started/GUID-EF198D55-03E3-44D1-AC48-6E2ABA31FF02.html

https://configmax.vmware.com/guest?vmwareproduct=VMware%20Cloud%20on%20AWS&release=VMware%20Cloud%20on%20AWS&categories=52-0,3-0,53-0,54-0,55-0,56-0,57-0,58-0,75-0,76-0


그림 1-1. SDDC 네트워크 토폴로지

인터넷

고객온-프레미스

BGP

BGP

VGWIGW

BGPDirect Connect인터페이스

VPC인터페이스

인터넷인터페이스

연결된 고객 VPC

SDDC 서브넷기본경로테이블

xENI

CGW(계층 1)

MGW(계층 1)

계층 0

vCenter

분산라우터 기본

게이트웨이

라우팅된 계산네트워크 세그먼트

DFW

DFW

라우팅된 계산네트워크 세그먼트

장치 서브넷

HCXMgr/IX/L2C

SRM/vSR

NSX ControllerNSXManager

Edge0/1

인프라 서브넷

ESXi호스트

DFW

AWSDirect

Connect(DX)

VPN 터널 인터페이스

NSX Edge 장치(계층 0 라우터)

기본 SDDC 네트워킹 구성에서는 온-프레미스 네트워크와 SDDC 네트워크 간의 모든 트래픽이 이 장

치를 통과합니다. 워크로드 VM에 대한 액세스를 제어하는 계산 게이트웨이 방화벽 규칙은 업링크 인

터페이스에 적용됩니다. VPN을 통해 이동하지 않거나 인터넷에서 다른 경로를 사용하지 않는 이 트래

픽의 하위 집합에 대해 추가 대역폭이 필요한 경우 각각 추가 Edge 장치 라우터를 생성하는 트래픽 그

룹을 생성하여 SDDC를 다중 Edge로 재구성할 수 있습니다. 자세한 내용은 트래픽 그룹이 포함된 다

중 Edge SDDC 구성 항목을 참조하십시오.

MGW(관리 게이트웨이)

MGW는 SDDC에서 실행되는 vCenter Server 및 기타 관리 장치에 대한 North-South 네트워크 연결

을 제공하는 NSX Edge 방화벽입니다. MGW의 인터넷 대상 IP 주소는 SDDC가 생성될 때 AWS 공용


VMware, Inc. 7

IP 주소의 풀에서 자동으로 할당됩니다. 이 주소 범위 지정에 대한 자세한 내용은 VMC 콘솔에서

SDDC 배포를 참조하십시오.

CGW(계산 게이트웨이)

CGW는 SDDC 계산 네트워크에 연결된 워크로드 VM에 대한 North-South 네트워크 연결을 제공하

는 NSX Edge 방화벽입니다.

SDDC 및 연결된 VPC 간 라우팅

중요 AWS 서비스 또는 인스턴스가 SDDC와 통신하는 모든 SDDC 서브넷 및 VPC 서브넷은 연결된

VPC의 기본 라우팅 테이블에 연결되어 있어야 합니다. 사용자 지정 라우팅 테이블을 사용하거나 기본 라

우팅 테이블을 교체하는 것은 지원되지 않습니다.

사용자가 SDDC를 생성하면 지정한 AWS 계정이 소유하는 VPC의 ENI가 SDDC의 NSX Edge 장치에 연

결됩니다. 이 VPC가 연결된 VPC가 되며, 이 연결은 SDDC VM과 AWS 인스턴스 사이의 네트워크 트래픽

및 연결된 VPC의 네이티브 서비스를 지원합니다. 연결된 VPC의 기본 라우팅 테이블에는 모든

SDDC(NSX-T 네트워크 세그먼트) 서브넷 뿐만 아니라 VPC의 모든 서브넷이 포함됩니다. 워크로드 네트

워크에서 라우팅된 네트워크 세그먼트를 생성하거나 삭제하면 기본 라우팅 테이블이 자동으로 업데이트

됩니다. 문제가 발생했을 때 복구하는 경우 또는 SDDC 유지 보수 중인 경우에 SDDC에 있는 NSX Edge

Appliance를 다른 호스트로 이동하면 새 NSX Edge 호스트가 사용하는 ENI를 반영하도록 기본 라우팅 테

이블이 업데이트됩니다. 기본 라우팅 테이블을 교체하거나, 사용자 지정 라우팅 테이블을 사용하는 경우에

는 이러한 업데이트가 실패하고, SDDC 네트워크와 연결된 VPC 간에 네트워크 트래픽을 더 이상 라우팅

할 수 없습니다.

자세한 내용은 연결된 VPC 정보 보기의 내용을 참조하십시오.

예약된 네트워크 주소

VMware Cloud on AWS는 내부 사용을 위해 다음 주소 범위를 예약합니다.

n 10.0.0.0/15

n 169.254.0.0/19

n 169.254.101.0/30

n 172.31.0.0/16

n 192.168.1.0/24(이것은 단일 호스트 스타터 SDDC에 대한 기본 관리 CIDR입니다. 다른 구성에서는 예

약되지 않습니다.)

또한 100.64.0.0/16(RFC 6598에 따라 반송파 등급 NAT용으로 예약된 범위의 하위 집합)과 RFC 3330에

열거된 특수 사용 IPv4 주소 공간도 예약합니다.

SDDC 워크로드는 해당 범위와 겹치는 CIDR 블록이 있는 원격(온-프레미스) 네트워크에 액세스할 수 없습

니다. 이러한 범위와 겹치는 주소를 SDDC 네트워크의 워크로드 VM에 할당할 수 없습니다.


VMware, Inc. 8



https://tools.ietf.org/html/rfc6598

https://www.ietf.org/rfc/rfc3330.txt

SDDC 네트워크의 멀티캐스트 지원

SDDC 네트워크에서 계층 2 멀티캐스트 트래픽은 트래픽이 발생한 네트워크 세그먼트의 브로드캐스트 트

래픽으로 처리됩니다. 이 트래픽은 해당 세그먼트 외부로 라우팅되지 않습니다. IGMP 스누핑 같은 계층 2

멀티캐스트 트래픽 최적화 기능은 지원되지 않습니다. 계층 3 멀티캐스트(예: Protocol Independent

Multicast)는 VMware Cloud on AWS에서 지원되지 않습니다.

온-프레미스 SDDC를 클라우드 SDDC에 연결

온 프레미스 데이터 센터를 VMware Cloud on AWS SDDC에 연결하려면 공용 인터넷을 사용하는 VPN,

AWS Direct Connect를 사용하는 VPN을 생성하거나 AWS Direct Connect만 사용할 수 있습니다. 또한

SDDC 그룹 활용을 통해 VMware Transit Connect™ 및 AWS Direct Connect Gateway를 사용하여

VMware Cloud on AWS SDDC 그룹과 온-프레미스 SDDC 그룹 간에 중앙 집중식 연결을 제공할 수도 있

습니다. "VMware Cloud on AWS 운영 가이드" 에서 SDDC배포 그룹 생성 및 관리를 참조하십시오.

그림 1-2. 온-프레미스 데이터 센터에 대한 SDDC 연결

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

172.16.10.0/24

10.10.10.0/24

192.168.10.0/24

172.16.20.0/24

10.10.10.0/24

192.168.10.0/24

L3 VPN

L2 VPN

HCX

BGP(L3 VPN 선택 사항)

L2 VPN

HCX

공용 인터넷

AWS Direct Connect

L3 VPN/BGP

NSX L2 VPN

HCX

데이터 센터 VMware Cloud on AWS상호 연결

계층 3(L3) VPN

계층 3 VPN은 공용 인터넷 또는 AWS Direct Connect를 통해 온-프레미스 데이터 센터와 VMware

Cloud on AWS SDDC 간에 보안 연결을 제공합니다. 이러한 IPsec VPN은 경로 기반 또는 정책 기반

일 수 있습니다. IPsec VPN 설정 참조에 나열된 설정을 지원하는 온-프레미스 라우터를 사용하여 각

유형의 VPN을 온-프레미스 끝점으로 최대 16개까지 생성할 수 있습니다.

계층 2(L2) VPN

계층 2 VPN에서는 온-프레미스 데이터 센터 및 SDDC에 걸쳐 있는 단일 IP 주소 공간으로 확장된 네

트워크를 제공하며, 온-프레미스 워크로드를 SDDC로 핫 또는 콜드 마이그레이션하는 것이 가능합니

다. 모든 SDDC에서 L2VPN 터널을 하나만 생성할 수 있습니다. 터널의 온-프레미스 끝에는 NSX가 필

요합니다. 온-프레미스 데이터 센터에서 NSX를 아직 사용하지 않는 경우 독립형 NSX Edge 장치를


VMware, Inc. 9

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-C957DBA7-16F5-412B-BB72-15B49B714723.html

다운로드하여 필요한 기능을 제공할 수 있습니다. L2 VPN은 공용 인터넷 또는 AWS Direct Connect

를 통해 온-프레미스 데이터 센터를 SDDC에 연결할 수 있습니다.

AWS DX(Direct Connect)

AWS Direct Connect는 AWS에서 제공하는 서비스로, 이를 통해 온프레미스 데이터 센터와 AWS 서

비스 간에 지연 시간이 짧은 고속 연결을 생성할 수 있습니다. AWS Direct Connect를 구성하면 VPN

은 공용 인터넷을 통해 트래픽을 라우팅하는 대신 AWS Direct Connect를 사용할 수 있습니다.

Direct Connect는 BGP(Border Gateway Protocol) 라우팅을 구현하기 때문에 Direct Connect를

구성할 때 관리 네트워크에 L3VPN을 사용하는 것은 선택 사항입니다. Direct Connect를 통한 트래픽

은 암호화되지 않습니다. 이 트래픽을 암호화하려면, Direct Connect를 사용하도록 L3 VPN을 구성하

십시오.

VMware HCX

다중 클라우드 애플리케이션 이동성 솔루션인 VMware HCX는 모든 SDDC에 무료로 제공되며, 이것

을 사용하면 온-프레미스 데이터 센터에서 SDDC로 워크로드 VM을 쉽게 마이그레이션할 수 있습니

다. HCX 설치, 구성 및 사용에 대한 자세한 내용은 HCX 체크리스트를 사용한 하이브리드 마이그레이

션을 참조하십시오.

본 장은 다음 항목을 포함합니다.

n NSX-T에서 지원되는 기능

NSX-T에서 지원되는 기능

NSX-T가 지원하는 SDDC는 광범위한 네트워킹 및 보안 솔루션을 지원합니다.

NSX-T는 대규모로 다양한 데이터 센터 환경을 지원하고 컨테이너 및 클라우드를 위한 강력한 기능을 제

공하도록 특별히 설계되었습니다.

참고 이제 NSX-T 구성 최대값이 VMware 구성 최대값에 포함되어 있습니다.

네트워킹 및 연결 기능

NSX-T는 SDDC에서 실행되는 워크로드에 필요한 모든 네트워킹 기능을 제공합니다. 이러한 기능을 통해

다음을 수행할 수 있습니다.

n 네트워크(L2, L3 및 격리됨)를 배포하고 여기에 상주할 워크로드에 대한 서브넷 및 게이트웨이를 정의

합니다.

n L2VPN은 온-프레미스 L2 도메인을 SDDC로 확장하여 IP 주소 변경 없이 워크로드를 마이그레이

션할 수 있습니다.

n 경로 기반 IPSEC VPN은 온-프레미스 네트워크, VPC 또는 기타 SDDC에 연결할 수 있습니다. 경

로 기반 VPN은 네트워크를 사용할 수 있게 될 때 BGP를 사용하여 새 경로를 학습합니다.

n 정책 기반 IPSEC VPN을 사용하여 온-프레미스 네트워크, VPC 또는 기타 SDDC에 연결할 수도

있습니다.


VMware, Inc. 10

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DAE9B318-294A-4422-BBF4-82AE9DDFF043.html

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DAE9B318-294A-4422-BBF4-82AE9DDFF043.html

https://configmax.vmware.com/guest?vmwareproduct=VMware%20Cloud%20on%20AWS&release=VMware%20Cloud%20on%20AWS&categories=68-0,52-0,3-0,53-0,54-0,55-0,56-0,57-0,58-0,75-0,76-0

n 격리된 네트워크에는 업링크가 없으며 연결된 VM에 대해서만 액세스를 제공합니다.

n AWS DX(Direct Connect)를 사용하여 높은 대역폭, 낮은 지연 시간 연결을 통해 온-프레미스 및

SDDC 네트워크 간에 트래픽을 전송합니다. 필요한 경우 경로 기반 VPN을 DX 트래픽에 대한 백업으

로 사용할 수 있습니다.

n 네이티브 DHCP를 네트워크 세그먼트에 대해 선택적으로 사용하도록 설정하거나 DHCP 릴레이를 사

용하여 온-프레미스 IPAM 솔루션과 연결합니다.

n 여러 DNS 영역을 생성하여 네트워크 하위 도메인에 대해 서로 다른 DNS 서버를 사용할 수 있도록 합

니다.

n 워크로드가 상주하는 호스트에서 실행되는 NSX 커널 모듈에 의해 관리되는 분산 라우팅을 활용하여

워크로드가 서로 효율적으로 통신할 수 있도록 합니다.

보안 기능

NSX-T 보안 기능에는 NAT(네트워크 주소 변환) 및 고급 방화벽 기능이 포함됩니다.

n SNAT(소스 NAT)는 인터넷 액세스를 사용하도록 설정하기 위해 SDDC의 모든 워크로드에 자동으로

적용됩니다. 보안 환경을 제공하기 위해 Edge 방화벽에서 인터넷 액세스가 차단되지만 관리되는 액세

스를 허용하도록 방화벽 정책을 변경할 수 있습니다. 워크로드에 대한 공용 IP를 요청하고 관련 사용자

지정 NAT 정책을 생성할 수도 있습니다.

n Edge 방화벽은 관리 및 계산 게이트웨이에서 실행됩니다. 이러한 상태 저장 방화벽은 SDDC를 오고

가는 모든 트래픽을 검토합니다.

n DFW(분산 방화벽)는 모든 SDDC 호스트에서 실행되는 상태 저장 방화벽입니다. SDDC 내의 트래픽

에 대한 보호 기능을 제공하고 고도 세분화를 통해 워크로드 간의 트래픽을 세부적으로 제어할 수 있

습니다.

네트워크 작업 도구

또한 NSX-T는 몇 가지 인기 있는 네트워크 작업 관리 도구를 제공합니다.

n 포트 미러링은 소스에서 SDDC 또는 온-프레미스 네트워크의 대상 장치로 미러링된 트래픽을 전송할

수 있습니다.

n IPFIX는 IPFIX 수집기로 트래픽 흐름을 전송하여 세그먼트별 네트워크 트래픽 분석을 지원합니다.


VMware, Inc. 11

NSX-T를 사용하여 VMware Cloud on AWS 네트워킹 및 보안 구성 2이 워크플로에 따라 SDDC에서 NSX-T 네트워킹 및 보안을 구성합니다.

절차

1 조직 멤버에게 NSX 서비스 역할 할당

조직의 사용자에게 NSX 서비스 역할을 부여하면 해당 사용자가 [네트워킹 및 보안] 탭에서 기능을

보거나 구성할 수 있습니다.

2 SDDC와 온-프레미스 데이터 센터 간 AWS Direct Connect 구성

AWS Direct Connect 사용은 선택 사항입니다. 온-프레미스 네트워크와 SDDC 워크로드 간의 트래

픽에 공용 인터넷을 통한 연결로 구현할 수 있는 것보다 높은 속도와 짧은 지연 시간이 필요한 경우에

는 AWS Direct Connect를 사용하도록 VMware Cloud on AWS를 구성하면 됩니다.

3 SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성

공용 인터넷 또는 AWS Direct Connect를 통해 SDDC에 보안 연결을 제공하도록 VPN을 구성 합니

다. 경로 기반 및 정책 기반 VPN이 지원됩니다. 어느 유형의 VPN이든 인터넷을 통해 SDDC에 연결

할 수 있습니다. 경로 기반 VPN은 AWS Direct Connect를 통해 SDDC에 연결할 수도 있습니다.

4 관리 게이트웨이 네트워킹 및 보안 구성

관리 네트워크 및 관리 게이트웨이는 SDDC에서 주로 미리 구성되어 있지만 vCenter 및 HCX와 같은

관리 네트워크 서비스에 대한 액세스를 구성하고 관리 게이트웨이 방화벽 규칙을 생성하여 온-프레

미스 네트워크 및 기타 SDDC 네트워크를 포함한 관리 네트워크와 기타 네트워크 간의 트래픽을 허

용해야 할 수도 있습니다.

5 계산 게이트웨이 네트워킹 및 보안 구성

계산 게이트웨이 네트워킹에는 하나 이상의 세그먼트가 있는 계산 네트워크와 워크로드 VM의 네트

워크 트래픽을 관리하는 DNS, DHCP 및 보안(게이트웨이 방화벽 및 분산 방화벽) 구성이 포함됩니

다. 또한 온-프레미스 네트워크와 SDDC 워크로드 네트워크에 걸쳐 단일 브로드캐스트 도메인을 제

공하는 확장 네트워크와 계층 2 VPN을 포함할 수 있습니다.

VMware, Inc. 12

6 트래픽 그룹이 포함된 다중 Edge SDDC 구성

기본 구성에서 SDDC 네트워크에는 모든 North-South 트래픽이 흐르는 단일 Edge(T0) 라우터가 있

습니다. VPN을 통해 이동하지 않거나 인터넷에서 다른 경로를 사용하지 않는 이 트래픽의 하위 집합

에 대해 추가 대역폭이 필요한 경우 각각 추가 T0 라우터를 생성하는 트래픽 그룹을 생성하여 SDDC

를 다중 Edge로 재구성할 수 있습니다.

7 인벤토리 그룹 사용

VMware Cloud on AWS 네트워킹 및 보안 인벤토리를 사용하여 방화벽 규칙을 생성할 때 사용할 수

있는 VM 및 네트워크 서비스 그룹을 생성합니다.

8 워크로드 연결 관리

워크로드 VM은 기본적으로 인터넷에 연결됩니다. NAT 규칙 및 분산 방화벽 규칙을 통해 이러한 연

결을 세부적으로 제어할 수 있습니다.

조직 멤버에게 NSX 서비스 역할 할당

조직의 사용자에게 NSX 서비스 역할을 부여하면 해당 사용자가 [네트워킹 및 보안] 탭에서 기능을 보거나

구성할 수 있습니다.

조직 역할은 조직 멤버가 조직 자산에 대해 갖는 권한을 지정합니다. 서비스 역할은 조직 멤버가 조직이 사

용하는 VMware Cloud Services에 액세스할 때 갖는 권한을 지정합니다. 조직 소유자 권한을 가진 사용

자는 모든 서비스 역할을 할당하고 변경할 수 있으므로 관리자(삭제 제한) 또는 NSX Cloud 감사자 같이

제한된 역할을 조직 멤버의 역할과 함께 할당하여 수정을 방지해야 합니다.

새 서비스 역할을 적용하려면 사용자가 로그아웃했다가 다시 로그인해야 합니다.

사전 요구 사항

조직 멤버에게 역할을 할당하려면 조직 소유자여야 합니다.

절차

1 https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.

2 서비스 아이콘을 클릭하고 IAM(Identity and Access Management)을 선택합니다.

3 사용자를 선택하고 역할 편집을 클릭합니다.

4 조직 역할 할당 드롭다운 컨트롤에서 역할 이름을 선택합니다.

다음과 같은 역할을 사용할 수 있습니다.

조직 소유자

이 역할은 조직 멤버와 자산을 관리할 수 있는 전체 권한을 갖습니다.

조직 멤버

이 역할은 조직 자산에 액세스할 수 있는 권한을 갖습니다.

5 서비스 역할 할당 아래에서 VMware Cloud on AWS 서비스 이름을 선택합니다.


VMware, Inc. 13

https://vmc.vmware.com

6 할당할 NSX 서비스 역할을 선택합니다.

다음과 같은 NSX 서비스 역할을 사용할 수 있습니다.

NSX Cloud 감사자

이 역할은 NSX 서비스 설정과 이벤트를 볼 수 있지만 서비스를 변경할 수 없습니다.

NSX Cloud 관리자

이 역할은 NSX 서비스의 배포 및 관리와 관련된 모든 작업을 수행할 수 있습니다.

참고 조직 사용자에게 서비스 역할이 여러 개 할당된 경우에는 허용 범위가 가장 넓은 역할의 사용 권

한이 부여됩니다. 예를 들어 NSX Cloud 관리자 역할과 NSX Cloud 감사자 역할을 모두 가진 조직 멤

버에게는 NSX Cloud 감사자 역할에 부여된 사용 권한이 포함되어 있는 모든 NSX Cloud 관리자 사용

권한이 부여됩니다.

7 저장을 클릭하여 변경 내용을 저장합니다.

다음에 수행할 작업

변경 내용이 적용되도록 역할이 변경된 모든 사용자가 로그아웃했다가 다시 로그인해야 합니다.

SDDC와 온-프레미스 데이터 센터 간 AWS Direct Connect 구성

AWS Direct Connect 사용은 선택 사항입니다. 온-프레미스 네트워크와 SDDC 워크로드 간의 트래픽에

공용 인터넷을 통한 연결로 구현할 수 있는 것보다 높은 속도와 짧은 지연 시간이 필요한 경우에는 AWS

Direct Connect를 사용하도록 VMware Cloud on AWS를 구성하면 됩니다.

온-프레미스 데이터 센터로 들어오고 나가는 트래픽에 대해 AWS Direct Connect를 활용하도록

VMware Cloud on AWS SDDC를 구성할 수 있는 몇 가지 방법이 있습니다.

VPC에서 전용 VIF에 대해 Direct Connect 구성

AWS DX(Direct Connect)는 온-프레미스 네트워크 인프라와 AWS VPC의 VIF(가상 인터페이스) 간

에 전용 네트워크 연결을 제공합니다. 전용 VIF는 SDDC에 대한 직접 전용 액세스를 제공합니다. 전용

VIF를 통한 DX를 구성하여 VPN 및 vMotion을 포함하는 워크로드 및 관리 트래픽을 온-프레미스 데

이터 센터와 연결된 VPC 간에 전송합니다. 전용 VIF를 통한 DX 연결은 온-프레미스 데이터 센터와

SDDC 간의 모든 트래픽에 사용할 수 있습니다. 연결된 Amazon VPC에서 종료되고 개인 IP 주소 공

간을 제공하며 BGP를 사용하여 SDDC의 경로를 보급하고 온-프레미스 데이터 센터의 경로를 학습합

니다.

Direct Connect Gateway를 SDDC 그룹의 VMware 관리 Transit Gateway에 연결


VMware, Inc. 14

VMware Cloud on AWS 조직에서 SDDC 그룹을 생성한 경우 온-프레미스 SDDC를 해당 그룹의

Direct Connect Gateway에 연결하여 SDDC 그룹의 모든 구성원에게 DX 연결을 제공할 수 있습니

다. "VMware Cloud on AWS 운영 가이드" 에서 SDDC 그룹에 Direct Connect Gateway 연결을 참

조하십시오.

공용 VIF를 통해 AWS 서비스 액세스

DX를 사용하여 자신이 소유한 VPC의 AWS 서비스에 액세스하려는 경우 공용 VIF를 통해 해당 작업

을 수행할 수 있습니다. 공용 VIF를 사용하여 전용 VIF 또는 Direct Connect Gateway가 필요한 동일

한 종류의 SDDC 트래픽(예: vMotion)을 전송할 수 없습니다.

AWS Direct Connect 연결 설정

AWS Direct Connect 연결을 설정하려면 AWS 콘솔을 통해 주문을 제출하여 VMware Cloud on AWS

를 사용할 수 있는 지역에서 Direct Connect 연결을 생성합니다.

연결 유형

AWS는 세 가지 유형의 Direct Connect 연결을 제공합니다.

전용 연결

전용 연결은 단일 고객 전용의 물리적 이더넷 포트를 제공합니다. 전용 연결을 생성하려면 AWS

Direct Connect 파트너 프로그램의 파트너와 협력하여 온-프레미스 데이터 센터와 AWS Direct

Connect 위치를 연결하는 하나 이상의 네트워크를 생성합니다.

호스팅된 연결

호스팅된 연결은 여러 고객이 공유하고 AWS Direct Connect 파트너가 프로비저닝합니다.

참고 VMware Cloud on AWS에서는 호스팅된 연결에 대한 Direct Connect를 지원하지 않습니다.

호스팅된 VIF

호스팅된 VIF는 호스팅된 연결과 유사하지만 AWS Direct Connect 파트너가 소유한 계정에 할당된

AWS VIF의 공유 용량을 사용합니다. 파트너는 기본 네트워크 연결을 프로비저닝하며 해당 연결을 통

한 트래픽 관리를 담당합니다.

연결 유형 및 연결 유형 설정 방법에 대한 자세한 내용은 AWS Direct Connect 파트너 및 AWS Direct

Connect 시작을 참조하십시오.

SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct Connect 구성

DX 연결을 사용하려면 vMotion, ESXi 관리, 관리 장치 및 워크로드 트래픽에서 연결을 사용할 수 있도록

하기 위해 개인 가상 인터페이스가 필요합니다.


VMware, Inc. 15

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DCE28EB0-D31F-46A0-A459-9095766169EE.html

https://aws.amazon.com/directconnect/partners/

http://docs.aws.amazon.com/directconnect/latest/UserGuide/getting_started.html

http://docs.aws.amazon.com/directconnect/latest/UserGuide/getting_started.html

SDDC에 대해 수행할 각 Direct Connect 링크에 대해 하나의 가상 인터페이스를 생성합니다. 예를 들어

이중화를 위한 2개의 Direct Connect 링크를 생성하려는 경우 2개의 가상 인터페이스를 생성합니다. 각

개인 VIF에서 지원하는 세그먼트 수의 제한에 대해서는 VMware 구성 최대값을 참조하십시오.

중요 개인 가상 인터페이스를 SDDC에 연결하면 SDDC의 다른 라우팅 구성과 관계없이 ESXi 호스트의

모든 아웃바운드 트래픽(vMotion 및 vSphere 복제 트래픽 포함)이 DX 인터페이스를 통해 라우팅됩니다.

인바운드 및 아웃바운드 트래픽 경로가 대칭이 되도록 ESXi 호스트에 대한 인바운드 트래픽도 DX 인터페

이스를 통해 라우팅되어야 합니다.

경로 기반 VPN에서 학습된 경로는 BGP를 통한 다른 경로 기반 VPN에 보급되지만, SDDC는 VPN에서 학

습한 것이 아니라 DX를 통한 자체 네트워크만 보급합니다. BGP를 통해 보급 및 학습된 경로에 대한 제한

을 포함하여 AWS Direct Connect에 의해 적용되는 제한에 대한 자세한 내용은 AWS "Direct Connect

사용자 가이드" 에서 AWS Direct Connect 할당량을 참조하십시오.


n 가상 인터페이스 필수 조건에 설명된 대로 가상 인터페이스 필수 조건이 충족되었는지 확인합니다.

n 경로 기반 VPN을 Direct Connect에 대한 백업으로 사용하려는 경우 사용할 경로 기반 VPN이 필요합

니다. 경로 기반 VPN 생성의 내용을 참조하십시오.

절차

1 AWS 콘솔에 로그인하고 호스팅 가상 인터페이스 생성 아래에서 "호스팅된 개인 가상 인터페이스 생

성" 절차를 완료합니다.

호스팅된 연결을 사용 중인 경우에는 AWS 파트너와 협력하여 소유하고 있는 AWS 계정에서 VIF를

생성한 다음 이 절차의 2단계로 건너뜁니다. 전용 연결이나 호스팅된 VIF를 사용 중이라면 먼저 다음

단계를 수행합니다.

a 인터페이스 소유자 필드의 경우, 네트워킹 및 보안 탭의 Direct Connect 페이지에 있는 AWS 계정 ID 필드에 표시된 계정을 사용하십시오.

b 피어 IP 자동 생성과 BGP 키 자동 생성을 선택합니다.

c (선택 사항) 점보 MTU를 사용하도록 설정합니다.

모든 SDDC 네트워크에 대한 기본 MTU는 1500바이트입니다. 이 개인 VIF에 대한 DX 트래픽이

더 큰 MTU를 사용하도록 하려면 점보 MTU(MTU 크기 9001)에서 사용을 선택합니다. 또한 VIF

가 생성된 후에 네트워킹 및 보안 탭의 글로벌 구성 페이지를 열고 Direct Connect MTU 지정에

설명된 것과 같이 인트라넷 업링크에서 더 높은 MTU 값을 설정해야 합니다.

인터페이스가 생성되면 AWS 콘솔이 수락할 준비가 되었음을 보고합니다.


VMware, Inc. 16

https://configmax.vmware.com/guest?vmwareproduct=VMware%20Cloud%20on%20AWS&release=VMware%20Cloud%20on%20AWS&categories=53-0

https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html

http://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites

http://docs.aws.amazon.com/directconnect/latest/UserGuide/createhostedvirtualinterface.html

2 VMC 콘솔에서 네트워킹 및 보안 > Direct Connect를 선택하고 연결을 클릭하여 가상 인터페이스를

수락합니다.

수락되기 전에는 조직의 모든 SDDC에 새로운 VIF가 표시됩니다. VIF를 수락하면 다른 SDDC에 더 이

상 표시되지 않습니다.

BGP 세션이 활성화되기까지 최대 10분이 걸릴 수 있습니다. 연결을 사용할 준비가 되면 상태가 연결

됨으로 표시되고 BGP 상태가 작동으로 표시됩니다.

3 (선택 사항) Direct Connect에 대한 백업으로 경로 기반 VPN을 구성합니다.

기본 구성에서 DX와 경로 기반 VPN 둘 다에 의해 BGP를 통해 보급되는 경로의 트래픽은 기본적으로

VPN을 사용합니다. DX와 VPN 둘 다에 의해 보급되는 경로가 DX를 기본적으로 사용하고 DX를 사용

할 수 없을 때 VPN으로 페일오버하려면네트워킹 및 보안 > Direct Connect를 선택하고 VPN을

Direct Connect의 백업으로 사용 스위치를 사용으로 설정합니다.

참고 이 구성을 사용하려면 경로 기반 VPN이 필요합니다. 정책 기반 VPN은 Direct Connect에 대한

백업으로 사용할 수 없습니다.

시스템에서 라우팅 기본 설정을 업데이트하려면 1~2분 정도가 필요합니다. 작업이 완료되면 DX와

VPN에 의해 보급되는 경로가 DX 연결로 기본 설정되고 DX를 사용할 수 없을 때만 VPN을 사용합니

다.

결과

경로가 학습되고 보급되면서 보급된 BGP 경로 및 학습된 BGP 경로 목록이 표시됩니다. 목록을 새로 고치

려면 새로 고침 아이콘 을 클릭합니다. 관리 네트워크 서브넷의 이 하위 집

합과 함께 SDDC의 라우팅된 모든 서브넷이 BGP 경로로 보급됩니다.

n 서브넷 1에는 ESXi 호스트 vmks 및 라우터 인터페이스에 사용되는 경로가 포함됩니다.

n 서브넷 2에는 다중 AZ 지원 및 AWS 통합에 사용되는 경로가 포함됩니다.

n 서브넷 3에는 관리 VM이 포함됩니다.

연결이 끊긴 네트워크 및 확장된 네트워크는 보급되지 않습니다.

보급된 실제 CIDR 블록은 관리 서브넷 CIDR 블록에 따라 다릅니다. 다음 표에는 SDDC에서 이러한 경로에

대해 10.2.0.0의 기본 관리 네트워크 CIDR 블록(크기 /16, /20 및 /22)을 사용하는 CIDR 블록이 나와 있습

니다.


VMware, Inc. 17

표 2-1. 10.2.0.0 기본 MGW CIDR에 대해 보급된 경로

MGW CIDR 서브넷 1 서브넷 2 서브넷 3

10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25

10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22

10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18


Direct Connect를 사용하도록 vMotion 인터페이스를 구성해야 합니다. Direct Connect에 사용할

vMotion 인터페이스 구성의 내용을 참조하십시오.

Direct Connect에 사용할 vMotion 인터페이스 구성

온프레미스 데이터 센터와 클라우드 SDDC 간에 Direct Connect 연결을 사용 중인 경우 Direct Connect

연결을 통해 vMotion 트래픽을 라우팅하도록 온프레미스 호스트에 대한 vMotion 인터페이스를 구성해야

합니다.


Direct Connect를 구성하고 개인 가상 인터페이스를 생성합니다.

절차

1 다음 방법 중 하나를 선택하여 온프레미스 환경의 각 호스트에 대한 vMotion 인터페이스를 구성합니

다.

옵션 설명

기본 게이트웨이 재정의(vSphere 7.0 호스트에만 작동함)

각 호스트에 대해 vMotion 트래픽에 사용되는 VMkernel 어댑터를 편집하고 기본

게이트웨이를 재정의하는 옵션을 선택합니다. Direct Connect 연결의 온프레미스

쪽에 트래픽을 라우팅할 수 있는 온프레미스 vMotion 서브넷의 IP 주소를 입력합니

다. VMkernel 어댑터 구성 편집을 참조하십시오.

vMotion TCP/IP 스택 구성 각 호스트에 대해 다음을 수행합니다.

a 기존 vMotion VMkernel 어댑터를 제거합니다.

b 새 VMkernel 어댑터를 생성하고 vMotion TCP/IP 스택을 선택합니다. ESXi 호

스트의 vMotion TCP/IP 스택에 vMotion 트래픽 배치를 참조하십시오.

c 호스트 vMotion TCP/IP 스택을 편집하여 Direct Connect 연결의 온프레미스

쪽에 트래픽을 라우팅할 수 있는 온프레미스 vMotion 서브넷의 IP 주소를 사용

하도록 라우팅을 변경합니다. 호스트의 TCP/IP 스택 구성 변경을 참조하십시오.

2 (선택 사항) vmkping을 사용하여 온프레미스 호스트와 클라우드 SDDC 호스트 간의 연결을 테스트합

니다.

자세한 내용은 https://kb.vmware.com/s/article/1003728의 내용을 참조하십시오.


VMware, Inc. 18

https://docs.vmware.com/kr/VMware-vSphere/7.0/com.vmware.vsphere.networking.doc/GUID-AA3656B0-005A-40A0-A293-4309C5ACF682.html

https://docs.vmware.com/kr/VMware-vSphere/7.0/com.vmware.vsphere.vcenterhost.doc/GUID-5211FD4B-256B-4D9F-B5A2-F697A814BF64.html

https://docs.vmware.com/kr/VMware-vSphere/7.0/com.vmware.vsphere.vcenterhost.doc/GUID-5211FD4B-256B-4D9F-B5A2-F697A814BF64.html

https://docs.vmware.com/kr/VMware-vSphere/7.0/com.vmware.vsphere.networking.doc/GUID-D4AF4F9F-F274-4ADE-98F4-1CB44ABCC505.html

https://kb.vmware.com/s/article/1003728

AWS 서비스 액세스를 위해 공용 가상 인터페이스에 대한 Direct Connect 구성

온-프레미스 워크로드가 DX 연결을 통해 S3과 같은 AWS EC2 인스턴스 및 서비스에 액세스하려면 VPC

에서 해당 트래픽에 대해 공용 가상 인터페이스를 구성합니다.

DX를 통한 SDDC 관리 및 워크로드 트래픽은 전용 VIF 또는 DX 게이트웨이를 사용해야 하지만 온-프레미

스 워크로드에서 AWS 서비스에 액세스하거나 글로벌 AWS 백본에 대한 연결이 필요한 모든 경우에는

온-프레미스 데이터 센터에서 공용 VIF로 DX 연결을 생성할 수 있습니다.


n 가상 인터페이스 필수 조건에 설명된 대로 가상 인터페이스 필수 조건이 충족되었는지 확인합니다.

절차

1 AWS 콘솔에 로그인합니다. 그런 다음, 호스팅 가상 인터페이스 생성에서 호스팅된 공용 가상 인터페

이스를 생성하는 단계를 완료합니다.

a 인터페이스 소유자 필드에서 내 AWS 계정을 선택합니다.

b 사용자의 라우터 피어 IP와 Amazon 라우터 피어 IP를 지정합니다.

c BGP 키 자동 생성을 선택하고 보급할 접두사에 AWS 백본에 보급할 온-프레미스 경로를 나열합

니다.

인터페이스가 생성되면 AWS 콘솔이 수락할 준비가 되었음을 보고합니다.

2 VMC 콘솔에서 네트워킹 및 보안 > Direct Connect를 선택하고 연결을 클릭하여 가상 인터페이스를

수락합니다.

Direct Connect MTU 지정

모든 SDDC 네트워크에 대한 기본 MTU(최대 전송 단위)는 1500바이트입니다. Direct Connect를 사용하

는 경우 전송하는 트래픽에 대해 더 큰 MTU를 지정할 수 있습니다.

VIF를 생성할 때 DX를 사용하도록 설정하여 더 큰 MTU를 사용할 수 있습니다. 이렇게 할 경우 네트워킹

및 보안 탭의 글로벌 구성 페이지를 열고 인트라넷 MTU 값을 더 높게 설정해야 합니다.

이 보다 큰(또는 점보) MTU 값은 전용 VIF를 통한 DX 연결에만 적용됩니다. DX를 통해 연결하는지 여부

에 상관없이 모든 VPN은 다른 설정에 관계없이 1500 MTU를 사용합니다. DX 연결을 사용하는 워크로드

VM의 인터페이스 MTU가 인트라넷 MTU 값과 일치하는 값으로 설정되었는지도 확인해야 합니다. 값이

일치하지 않으면 워크로드 VM이 더 큰 MTU를 활용할 수 없습니다.

절차


2 네트워킹 및 보안 > 글로벌 구성을 클릭합니다.


VMware, Inc. 19

http://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites

http://docs.aws.amazon.com/directconnect/latest/UserGuide/createhostedvirtualinterface.html


3 글로벌 구성 페이지에서 연필 아이콘( )을 클릭하고 인트라넷 업링크 필드에 더 높은 MTU 값을 설

정한 다음 저장을 클릭합니다.

설정하는 값은 모든 DX 가상 인터페이스의 가장 작은 MTU 값보다 작거나 같아야 합니다. 이는 실제

로, 점보 MTU를 지원하지 않는 VIF가 하나라도 있으면 모든 DX 연결이 MTU 1500으로 제한되기 때

문에 VIF의 MTU 값을 동일하게(기본값 1500 또는 점보 9001) 설정해야 함을 의미합니다. 네트워크

내에서 MTU 크기를 혼합하면 네트워크 성능 저하를 유발하는 패킷 조각화 및 기타 문제가 발생할 수

있습니다.

참고 Geneve(Generic Network Virtualization Encapsulation) 헤더를 위한 공간을 확보하기 위해

SDDC 인트라넷 MTU는 8900바이트로 용량이 지정되어 VIF에서의 패킷 조각화를 방지합니다.

SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성

공용 인터넷 또는 AWS Direct Connect를 통해 SDDC에 보안 연결을 제공하도록 VPN을 구성 합니다. 경

로 기반 및 정책 기반 VPN이 지원됩니다. 어느 유형의 VPN이든 인터넷을 통해 SDDC에 연결할 수 있습니

다. 경로 기반 VPN은 AWS Direct Connect를 통해 SDDC에 연결할 수도 있습니다.

n 경로 기반 VPN 생성

경로 기반 VPN은 IPsec 터널 인터페이스를 생성하고 이 인터페이스를 통해 SDDC 라우팅 테이블에

지정된 대로 트래픽을 라우팅합니다. 경로 기반 VPN은 여러 서브넷에 대해 복원력이 있고 안전한 액

세스를 제공합니다. 경로 기반 VPN을 사용하면 새 네트워크가 생성될 때 새 경로가 자동으로 추가됩

니다.

n 정책 기반 VPN 생성

정책 기반 VPN은 IPsec 터널 및 이것을 트래픽이 사용하는 방법을 지정하는 정책을 생성합니다. 정

책 기반 VPN을 사용하는 경우에는 새 경로가 추가될 때 네트워크 양쪽 끝에서 라우팅 테이블을 업데

이트해야 합니다.

n 계층 2 VPN 및 확장된 네트워크 세그먼트 구성

VMware Cloud on AWS L2VPN(Layer 2 Virtual Private Network)을 사용하여 온-프레미스 네트

워크를 SDDC의 하나 이상의 VLAN 기반 네트워크로 확장할 수 있습니다. 이 확장된 네트워크는 단

일 브로드캐스트 도메인이 포함된 단일 서브넷입니다. 이를 사용하여 IP 주소를 변경하지 않고도 클

라우드 SDDC를 대상으로 VM을 마이그레이션할 수 있습니다.

n VPN 터널 상태 및 통계 보기

VMC 콘솔은 IPSec VPN 및 L2VPN 세그먼트에 대한 상태 및 통계를 제공합니다.

n IPsec VPN 설정 참조

모든 IPsec VPN의 온-프레미스 끝은 해당 VPN의 SDDC 끝에 대해 지정한 설정과 일치하도록 구성

되어야 합니다.


VMware, Inc. 20

경로 기반 VPN 생성

경로 기반 VPN은 IPsec 터널 인터페이스를 생성하고 이 인터페이스를 통해 SDDC 라우팅 테이블에 지정

된 대로 트래픽을 라우팅합니다. 경로 기반 VPN은 여러 서브넷에 대해 복원력이 있고 안전한 액세스를 제

공합니다. 경로 기반 VPN을 사용하면 새 네트워크가 생성될 때 새 경로가 자동으로 추가됩니다.

VMware Cloud on AWS SDDC의 경로 기반 VPN은 IPsec 프로토콜을 사용하여 트래픽을 보호하고

BGP(Border Gateway Protocol)를 사용하여 네트워크가 추가되고 제거될 때 경로를 검색하고 전파합니

다. 경로 기반 VPN을 생성하려면 로컬(SDDC) 및 원격(온-프레미스) 끝점에 대한 BGP 정보를 구성한 다

음 터널의 SDDC 끝에 대해 터널 보안 매개 변수를 지정합니다.

절차


2 네트워킹 및 보안 > VPN > 경로 기반을 클릭합니다.

3 (선택 사항) 기본 로컬 ASN(Autonomous System Number)을 변경합니다.

SDDC의 모든 경로 기반 VPN의 기본값은 ASN 65000입니다. 구성된 VPN 연결에 대한 원격 ASN에

도 이 값이 있으면 로컬 ASN 편집을 클릭하고 64521~65535 범위의 새 값을 입력한 후 적용을 클릭합

니다.

참고 이 값을 변경하면 이 SDDC의 모든 경로 기반 VPN에 영향을 줍니다.

4 VPN 추가를 클릭하고 새 VPN에 이름과 설명(선택 사항)을 지정합니다.

5 드롭다운 메뉴에서 로컬 IP 주소를 선택합니다.

n 이 SDDC에 대해 AWS Direct Connect를 구성하고 이것이 VPN에 사용되도록 하려면 개인 IP 주

소를 선택합니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct

Connect 구성의 내용을 참조하십시오. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect

를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다.

n 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.

6 원격 공용 IP로 온-프레미스 VPN 끝점의 주소를 입력합니다.

이 주소는 이 VPN에 대한 IPsec 요청을 시작하거나 요청에 응답하는 디바이스의 주소입니다. 이 주소

는 다음 요구 사항을 충족해야 합니다.

n 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN 연결

에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정

책 기반 또는 L2VPN)만 생성할 수 있습니다.

n 단계 5에서 공용 IP를 지정한 경우에는 인터넷을 통해 여기에 연결할 수 있어야 합니다.

n 단계 5에서 개인 IP를 지정한 경우에는 Direct Connect를 통해 전용 VIF에 연결할 수 있어야 합니

다.

기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트래픽을 허용하지만 VPN

터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.


VMware, Inc. 21


7 BGP 로컬 IP/접두사 길이의 경우 로컬 VPN 터널의 IP 주소를 CIDR 형식으로 입력합니다.

참고 BGP 로컬 IP/접두사 길이에 지정하는 네트워크는 예약된 네트워크 주소에 나열된 CIDR 블록과

겹치지 않아야 합니다.

169.254.0.0/16 서브넷에서 /30 크기의 네트워크를 선택합니다. 이 범위의 두 번째 및 세 번째 IP 주소

는 원격 및 로컬 VTI(VPN 터널 인터페이스)로 구성되어 있습니다. 예를 들어 CIDR 블록

169.254.111.0/30(주소 범위 169.254.111.0-169.254.111.3)에서는 로컬(SDDC) 인터페이스가

169.254.111.2/30이고 원격(온-프레미스) 인터페이스가 169.254.111.1/30입니다.

기존 네트워크와의 충돌로 인해 169.254.0.0/16 서브넷에서 네트워크를 사용할 수 없는 경우 BGP 서

비스로부터 여기에서 선택한 서브넷으로의 트래픽을 허용하는 방화벽 규칙을 생성해야 합니다. 계산

게이트웨이 방화벽 규칙 추가 또는 수정의 내용을 참조하십시오.

8 BGP 원격 IP로 온-프레미스 VPN 게이트웨이의 BGP 인터페이스 주소를 입력합니다.

이 주소는 단계 7에서 제공한 IP 및 접두사 길이로 정의된 서브넷의 올바른 호스트 IP여야 하며 BGP 로컬 IP와 동일해서는 안 됩니다.

9 BGP 원격 ASN으로 온-프레미스 VPN 게이트웨이의 ASN을 입력합니다.

10 BGP 인접 항목 ASN의 경우 이 VPN의 아웃바운드 트래픽에 대한 다음 홉 값으로 사용할 ASN을 입력

합니다.

11 고급 터널 매개 변수를 구성합니다.

옵션 설명

터널 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니

다.

터널 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합

니다.

참고 터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘을

없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.

Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설

정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경

우 기록된(과거) 세션의 암호가 해독되지 않습니다.

미리 공유한 키 미리 공유한 키 문자열을 입력합니다.

최대 키 길이는 128자입니다. 이 키는 VPN 터널의 양쪽 끝에 대해 동일해야 합니다.

원격 개인 IP 원격 공용 IP를 IKE 협상을 위한 원격 ID로 사용하려면 이 필드를 비워 두십시오. 온-

프레미스 VPN 게이트웨이가 NAT 디바이스 뒤에 있거나 다른 IP를 해당 로컬 ID로

사용하는 경우에는 해당 IP를 여기에 입력합니다.

IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.


VMware, Inc. 22

옵션 설명

IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니

다. IKE 다이제스트 알고리즘과 터널 다이제스트 알고리즘 모두에 대해 동일한 알고

리즘을 사용하는 것이 가장 좋습니다.

참고 IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을

없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM

기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다. .

IKE 유형 n IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.

n IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.

n IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지

정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.

Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이

값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보

호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.

연결 시작 모드 연결 시작 모드는 터널 생성 프로세스에서 로컬 끝점에 사용되는 정책을 정의합니

다. 다음 모드를 사용할 수 있습니다.

이니시에이터

기본값입니다. 이 모드에서 로컬 끝점은 VPN 터널 생성을 시작하고 피어 게이

트웨이에서 들어오는 터널 설정 요청에 응답합니다.

요청 시

경로 기반 VPN의 경우 해당 없음.

응답만

이 모드에서는 VPN이 연결을 시작하지 않습니다. 피어 사이트는 항상 연결 요

청을 시작하고 로컬 끝점은 해당 연결 요청에 응답합니다.

TCP MSS 클램핑 IPSec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후 필요에 따라

TCP MSS 값을 설정합니다. "NSX-T Data Center 관리 가이드" 에서 TCP MSS 클

램핑 이해를 참조하십시오.

12 (선택 사항) 고급 BGP 매개 변수에서 온-프레미스 게이트웨이에 사용된 것과 일치하는 BGP 암호를 입

력합니다.

13 (선택 사항) VPN에 태그를 지정합니다.

NSX-T 개체 태그 지정에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 개체에 태그 추

가를 참조하십시오.

14 저장을 클릭합니다.


VMware, Inc. 23

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-5ADD0FBB-7F30-4933-8737-2AC0D919EE3F.html


https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-A50C28BD-D924-45C2-A8D4-F6267AE84128.html


결과

VPN 생성 프로세스에 몇 분 정도 걸릴 수 있습니다. 경로 기반 VPN을 사용할 수 있게 되면 터널 상태 및

BGP 세션 상태가 표시됩니다. 다음 작업을 통해 온-프레미스의 VPN 끝 부분에 대한 문제를 해결하고 구

성할 수 있습니다.

n 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를

사용하여 이 VPN의 온-프레미스 끝을 구성할 수 있습니다.

n 통계 보기를 클릭하여 이 VPN의 패킷 트래픽 통계를 봅니다. VPN 터널 상태 및 통계 보기의 내용을

참조하십시오.

n 경로 보기를 클릭하여 이 VPN이 보급하고 학습한 경로의 보기를 엽니다.

n 경로 다운로드를 클릭하여 보급된 경로 또는 학습된 경로의 목록을 CSV 형식으로 다운로드합니다.


필요에 따라 방화벽 규칙을 생성하거나 업데이트합니다. 경로 기반 VPN을 통한 트래픽을 허용하려면 적

용된 대상 필드의 VPN 터널 인터페이스를 지정합니다. 모든 업링크 옵션에는 라우팅된 VPN 터널이 포함

되지 않습니다.

정책 기반 VPN 생성

정책 기반 VPN은 IPsec 터널 및 이것을 트래픽이 사용하는 방법을 지정하는 정책을 생성합니다. 정책 기

반 VPN을 사용하는 경우에는 새 경로가 추가될 때 네트워크 양쪽 끝에서 라우팅 테이블을 업데이트해야

합니다.

VMware Cloud on AWS SDDC의 정책 기반 VPN은 IPsec 프로토콜을 사용하여 트래픽을 보호합니다.

정책 기반 VPN을 생성하려면 로컬(SDDC) 끝점을 구성한 다음, 일치하는 원격(온-프레미스) 끝점을 구성

합니다. 각 정책 기반 VPN은 각 네트워크에 대해 새로운 IPsec 보안 연결을 생성해야 하기 때문에 관리자

는 새 정책 기반 VPN이 생성될 때마다 온-프레미스 및 SDDC에서 라우팅 정보를 업데이트해야 합니다.

VPN의 양쪽 끝에 네트워크가 몇 개밖에 없거나 온-프레미스 네트워크 하드웨어가 BGP(경로 기반 VPN에

필요함)를 지원하지 않는 경우에는 정책 기반 VPN을 선택하는 것이 적절할 수 있습니다.

절차


2 네트워킹 및 보안 > VPN > 정책 기반을 선택합니다.

3 VPN 추가를 클릭하고 새 VPN에 이름과 설명(선택 사항)을 지정합니다.

4 드롭다운 메뉴에서 로컬 IP 주소를 선택합니다.

n 이 SDDC에 대해 AWS Direct Connect를 구성하고 이것이 VPN에 사용되도록 하려면 개인 IP 주

소를 선택합니다. SDDC 관리 및 계산 네트워크 트래픽의 개인 가상 인터페이스에 대한 Direct

Connect 구성의 내용을 참조하십시오. 링크에서 더 높은 MTU를 지원하더라도 Direct Connect

를 통한 VPN 트래픽은 1500바이트의 기본 MTU로 제한됩니다.

n 인터넷을 통해 VPN을 연결하려면 공용 IP 주소를 선택합니다.


VMware, Inc. 24


5 온-프레미스 게이트웨이의 원격 공용 IP 주소를 입력합니다.

주소가 다른 VPN에 대해 아직 사용되고 있지 않아야 합니다. VMware Cloud on AWS는 모든 VPN

연결에 대해 동일한 공용 IP를 사용하므로 지정된 원격 공용 IP에 대해 하나의 VPN 연결(경로 기반, 정

책 기반 또는 L2VPN)만 생성할 수 있습니다. 단계 4에서 공용 IP를 지정한 경우에는 인터넷을 통해 이

IP 주소에 연결할 수 있어야 합니다. 개인 IP를 지정한 경우에는 Direct Connect를 통해 전용 VIF에 연

결할 수 있어야 합니다. 기본 게이트웨이 방화벽 규칙은 VPN 연결을 통해 인바운드 및 아웃바운드 트

래픽을 허용하지만 VPN 터널을 통해 트래픽을 관리하는 방화벽 규칙을 생성해야 합니다.

6 (선택 사항) 온-프레미스 게이트웨이가 NAT 디바이스 뒤에 있는 경우 게이트웨이 주소를 원격 개인 IP로 입력합니다.

이 IP 주소는 온-프레미스 VPN 게이트웨이에서 전송된 로컬 ID(IKE ID)와 일치해야 합니다. 이 필드가

비어 있으면 원격 공용 IP 필드가 온-프레미스 VPN 게이트웨이의 로컬 ID와 일치시키는 데 사용됩니

다.

7 이 VPN이 연결할 수 있는 원격 네트워크를 지정합니다.

이 목록에는 온-프레미스 VPN 게이트웨이에서 로컬로 정의된 모든 네트워크가 포함되어야 합니다. 각

네트워크를 CIDR 형식으로 입력하고 여러 CIDR 블록은 쉼표로 구분합니다.

8 이 VPN이 연결할 수 있는로컬 네트워크를 지정합니다.

이 목록에는 SDDC의 라우팅된 모든 계산 네트워크는 물론 전체 관리 네트워크와 장치 서브넷

(vCenter 및 기타 관리 장치를 포함하지만 ESXi 호스트는 포함하지 않는 관리 네트워크의 일부)이 포

함됩니다. 또한 CGW DNS 서비스를 통해 전달되는 소스 요청에 사용되는 단일 IP 주소인 CGW DNS

네트워크도 포함됩니다.

9 고급 터널 매개 변수를 구성합니다.

옵션 설명

터널 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 SA(보안 연결) 암호를 선택합니

다.

터널 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는 2단계 다이제스트 알고리즘을 선택합

니다.

참고 터널 암호화에 GCM 기반 암호를 지정하는 경우 터널 다이제스트 알고리즘을

없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다.

Perfect Forward Secrecy 온-프레미스 VPN 게이트웨이의 설정과 일치하도록 사용하거나 사용하지 않도록 설

정합니다. Perfect Forward Secrecy를 사용하도록 설정하면 개인 키가 손상될 경

우 기록된(과거) 세션의 암호가 해독되지 않습니다.

IKE 암호화 온-프레미스 VPN 게이트웨이에서 지원되는 1단계(IKE) 암호를 선택합니다.


VMware, Inc. 25

옵션 설명

IKE 다이제스트 알고리즘 온-프레미스 VPN 게이트웨이에서 지원되는1단계 다이제스트 알고리즘을 선택합니

다. IKE 다이제스트 알고리즘과 터널 다이제스트 알고리즘 모두에 대해 동일한 알고

리즘을 사용하는 것이 가장 좋습니다.

참고 IKE 암호화에 GCM 기반 암호를 지정하는 경우 IKE 다이제스트 알고리즘을

없음으로 설정합니다. 다이제스트 함수는 GCM 암호에 필수적인 요소입니다. GCM

기반 암호를 사용하는 경우 IKE V2를 사용해야 합니다. .

IKE 유형 n IKEv1 프로토콜을 시작하고 수락하려면 IKE V1을 지정합니다.

n IKEv2 프로토콜을 시작하고 수락하려면 IKE V2를 지정합니다. GCM 기반 IKE 다이제스트 알고리즘을 지정한 경우에는 IKEv2를 사용해야 합니다.

n IKEv1 또는 IKEv2를 수락한 다음 IKEv2를 사용하여 시작하려면 IKE FLEX를 지

정합니다. IKEv2 시작이 실패하면 IKE FLEX가 IKEv1로 폴백되지 않습니다.

Diffie Hellman 온-프레미스 VPN 게이트웨이에서 지원되는 Diffie Hellman 그룹을 선택합니다. 이

값은 VPN 터널의 양쪽 끝에 대해 동일해야 합니다. 더 높은 그룹 번호는 향상된 보

호를 제공합니다. 모범 사례는 그룹 14 이상을 선택하는 것입니다.

미리 공유한 키 터널의 양쪽 끝에 사용되는 미리 공유한 키를 입력하여 서로를 인증합니다.

문자열의 최대 길이는 128자입니다.

연결 시작 모드 연결 시작 모드는 터널 생성 프로세스에서 로컬 끝점에 사용되는 정책을 정의합니

다. 다음 모드를 사용할 수 있습니다.

이니시에이터

기본값입니다. 이 모드에서 로컬 끝점은 VPN 터널 생성을 시작하고 피어 게이

트웨이에서 들어오는 터널 설정 요청에 응답합니다.

요청 시

이 모드에서 로컬 끝점은 정책 규칙과 일치하는 첫 번째 패킷이 수신된 후 VPN

터널 생성을 시작합니다. 또한 들어오는 시작 요청에도 응답합니다.

응답만

이 모드에서는 VPN이 연결을 시작하지 않습니다. 피어 사이트는 항상 연결 요

청을 시작하고 로컬 끝점은 해당 연결 요청에 응답합니다.

TCP MSS 클램핑 IPSec 연결 동안 TCP 세션의 MSS(최대 세그먼트 크기) 페이로드를 줄이려면 TCP MSS 클램핑을 사용하도록 설정하고 TCP MSS 방향 값을 선택한 후 필요에 따라

TCP MSS 값을 설정합니다. "NSX-T Data Center 관리 가이드" 에서 TCP MSS 클

램핑 이해를 참조하십시오.






VMware, Inc. 26





결과

VPN 생성 프로세스에 몇 분 정도 걸릴 수 있습니다. 정책 기반 VPN을 사용할 수 있게 되면 다음 작업을

통해 온-프레미스의 VPN 끝 부분에 대한 문제를 해결하고 구성할 수 있습니다.

n 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니다. 이러한 세부 정보를

사용하여 이 VPN의 온-프레미스 끝을 구성할 수 있습니다.

n 통계 보기를 클릭하여 이 VPN의 패킷 트래픽 통계를 봅니다. VPN 터널 상태 및 통계 보기의 내용을

참조하십시오.


필요에 따라 방화벽 규칙을 생성하거나 업데이트합니다. 정책 기반 VPN을 통한 트래픽을 허용하려면 적

용 대상 필드에 인터넷 인터페이스를 지정합니다.

계층 2 VPN 및 확장된 네트워크 세그먼트 구성

VMware Cloud on AWS L2VPN(Layer 2 Virtual Private Network)을 사용하여 온-프레미스 네트워크

를 SDDC의 하나 이상의 VLAN 기반 네트워크로 확장할 수 있습니다. 이 확장된 네트워크는 단일 브로드

캐스트 도메인이 포함된 단일 서브넷입니다. 이를 사용하여 IP 주소를 변경하지 않고도 클라우드 SDDC를

대상으로 VM을 마이그레이션할 수 있습니다.

데이터 센터 마이그레이션 외에도 재해 복구 또는 필요에 따라 클라우드 컴퓨팅 리소스에 대한 동적 액세

스("클라우드 버스팅"이라고 함)에 L2VPN 확장 네트워크를 사용할 수 있습니다.

L2VPN은 최대 100개의 온-프레미스 네트워크까지 확장할 수 있습니다. VMware Cloud on AWS에서는

NSX-T를 사용하여 클라우드 SDDC에 L2VPN 서버를 제공합니다. 온-프레미스 데이터 센터에 다운로드하

여 배포한 독립형 NSX Edge가 L2VPN 클라이언트 기능을 제공할 수 있습니다.

VMware Cloud on AWS L2VPN 기능은 VLAN 네트워크 확장을 지원합니다. NSX-T 서버에 대한

L2VPN 연결에는 IPsec 터널이 사용됩니다. L2VPN 확장 네트워크는 가상 시스템 네트워크를 확장하는

데 사용되며 워크로드 트래픽만 전송합니다. 이 네트워크는 별도의 IPsec VPN 또는 Direct Connect 연결

을 사용하는 마이그레이션 트래픽(ESXi 관리 또는 vMotion)에 사용되는 VMkernel 네트워크와는 독립적

입니다.

중요 L2VPN 클라이언트와 서버를 구성하고 클라이언트에 할당된 터널 ID를 지정하는 확장된 네트워크

를 생성할 때까지는 L2VPN 터널을 실행할 수 없습니다.

절차

1 SDDC에 계층 2 VPN 터널 구성

계층 2 VPN 터널의 SDDC 끝을 생성할 로컬(AWS) IP 주소, 원격(온-프레미스) 공용 IP 주소 및 원격

개인 IP 주소를 지정합니다.

2 계층 2 VPN에 대한 확장된 세그먼트 구성

확장된 네트워크에는 온프레미스 네트워크와 클라우드 SDDC 네트워크 간에서 보안 통신 터널을 제

공하는 L2VPN(Layer 2 Virtual Private Network)이 필요합니다.


VMware, Inc. 27

3 자율 NSX Edge 다운로드 및 구성

L2VPN의 온-프레미스 끝에는 특수하게 구성된, 자율 Edge라고 하는 독립형 NSX Edge 장치가 필요

합니다. L2VPN을 생성하려면 이 장치 및 관련된 온-프레미스 vSphere 네트워킹을 다운로드, 설치

및 구성해야 합니다.

SDDC에 계층 2 VPN 터널 구성

계층 2 VPN 터널의 SDDC 끝을 생성할 로컬(AWS) IP 주소, 원격(온-프레미스) 공용 IP 주소 및 원격 개인

IP 주소를 지정합니다.

VMware Cloud on AWS는 온-프레미스 설치와 SDDC 간의 단일 계층 2 VPN 터널을 지원합니다.

절차


2 네트워킹 및 보안 > VPN > 계층 2를 선택합니다.

3 VPN 터널 추가를 클릭합니다.

4 VPN 매개 변수를 구성합니다.

옵션 설명

로컬 IP 주소 n 이 SDDC에 대해 AWS Direct Connect를 구성했고 VPN에서 이를 사용하도록

하려면 개인 IP 주소를 선택합니다. SDDC 관리 및 계산 네트워크 트래픽의 개

인 가상 인터페이스에 대한 Direct Connect 구성의 내용을 참조하십시오.

n VPN을 인터넷을 통해 SDDC에 연결하려면 공용 IP 주소를 선택합니다.

원격 공용 IP 온-프레미스 L2VPN 게이트웨이의 원격 공용 IP 주소를 입력합니다. L2VPN의 경우

항상 독립형 NSX Edge 장치입니다(자율 NSX Edge 다운로드 및 구성 참조).

원격 개인 IP 온-프레미스 게이트웨이가 NAT 뒤에 구성되어 있으면 원격 개인 IP 주소를 입력합

니다.




6 (선택 사항) 설명을 추가합니다.


SDDC 환경에 따라 계층 2 VPN 생성 프로세스가 몇 분 정도 걸릴 수 있습니다. 계층 2 VPN 터널을 사

용할 수 있게 되면 상태가 [작동]으로 변경됩니다.

계층 2 VPN에 대한 확장된 세그먼트 구성

확장된 네트워크에는 온프레미스 네트워크와 클라우드 SDDC 네트워크 간에서 보안 통신 터널을 제공하

는 L2VPN(Layer 2 Virtual Private Network)이 필요합니다.


VMware, Inc. 28




이 터널의 각 끝에는 ID가 있습니다. 터널 ID가 터널의 클라우드 SDDC 및 온프레미스 측에서 일치하면 두

네트워크는 동일한 브로드캐스트 도메인의 일부가 됩니다. 확장된 네트워크는 온프레미스 게이트웨이를

기본 게이트웨이로 사용합니다. DHCP 및 DNS와 같은 다른 네트워크 서비스도 온프레미스에서 제공됩니

다.

논리적 네트워크를 라우팅된 네트워크에서 확장된 네트워크로 변경하거나 또는 그 반대로 변경할 수 있습

니다. 예를 들어 온프레미스 데이터 센터에서 클라우드 SDDC로 VM을 마이그레이션할 수 있도록 논리적

네트워크를 확장된 네트워크로 구성할 수 있습니다. 마이그레이션이 완료된 후에는 VM이 VMware

Cloud on AWS 네트워킹 서비스를 사용할 수 있도록 네트워크를 라우팅된 네트워크로 변경할 수 있습니

다.


계층 2 VPN 터널을 사용할 수 있는지 확인합니다. SDDC에 계층 2 VPN 터널 구성의 내용을 참조하십시

오.

절차


2 네트워크 세그먼트 생성 또는 수정의 절차에 따라 L2VPN 터널의 터널 ID에 바인딩된 확장된 세그먼

트를 생성합니다.


4 구성 다운로드를 클릭하여 피어 코드 및 원격 측 VPN 구성의 온-프레미스를 구성할 때 필요한 기타 정

보가 포함된 파일을 다운로드합니다.

5 원격 독립형 Edge 다운로드를 클릭하여 L2VPN의 클라이언트 측으로 설치하고 구성해야 하는 OVF

형식의 NSX 독립형 Edge 이미지를 다운로드합니다. 자율 NSX Edge 다운로드 및 구성의 내용을 참

조하십시오.

자율 NSX Edge 다운로드 및 구성

L2VPN의 온-프레미스 끝에는 특수하게 구성된, 자율 Edge라고 하는 독립형 NSX Edge 장치가 필요합니

다. L2VPN을 생성하려면 이 장치 및 관련된 온-프레미스 vSphere 네트워킹을 다운로드, 설치 및 구성해

야 합니다.

L2VPN을 생성하려면 그 전에 독립형 NSX Edge 장치를 다운로드하고 구성해야 합니다. 계층 2 VPN 확

장된 세그먼트 구성을 참조하십시오. 온-프레미스 NSX-T Edge를 SDDC에 연결하는 L2VPN의 클라이언

트 측으로 사용할 수 없습니다.

절차

1 독립형 NSX Edge를 다운로드합니다.

L2VPN 페이지에서 자율 Edge 다운로드를 클릭하여 자율 독립형 NSX-T Edge를 OVF 파일로 다운

로드합니다.

2 온-프레미스 vCenter Server에서 자율 Edge를 설치하고 구성하는 방법에 대한 자세한 내용은 "NSX-

T Data Center 관리 가이드" 에서 자율 Edge를 L2 VPN 클라이언트로 추가를 참조하십시오.


VMware, Inc. 29


https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-580789EC-84CD-4172-B5C3-5A60B9115D55.html

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-580789EC-84CD-4172-B5C3-5A60B9115D55.html

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-BE8A3D3C-5E0D-4777-B4F4-908E64FCB771.html

VPN 터널 상태 및 통계 보기

VMC 콘솔은 IPSec VPN 및 L2VPN 세그먼트에 대한 상태 및 통계를 제공합니다.

절차


2 네트워킹 및 보안 > VPN을 클릭합니다.

3 경로 기반 VPN, 정책 기반 VPN 또는 계층 2 VPN을 클릭하여, 선택한 유형의 VPN을 나열합니다.

다음 작업 중 하나를 수행합니다.

n 정보 아이콘 을 클릭하여 채널(IKE 단계 1 협상) 및 터널 상태에 대한 자세한 정보를 제공하

는 상태 메시지를 표시합니다.

n VPN 행을 확장하여 VPN 세부 정보를 표시한 다음 통계 보기를 클릭하여 트래픽 통계를 표시합니

다. 모든 터널 또는 선택한 VPN(0.0.0.0/0)에서 사용하는 터널에 대한 집계된 상태와 통계를 검

색할 수 있습니다. 집계된 통계를 볼 때 통계 열에서 더 보기를 클릭하면 오류 통계 목록을 볼 수 있

습니다.

n 새로 고침 아이콘 을 클릭하여 터널 통계를 새로 고칩니다. 터널을

사용하지 않도록 설정하거나 다시 사용하도록 설정하면 모든 VPN 통계가 0으로 재설정됩니다.


VPN 연결 문제 해결에 대한 자세한 내용은 "NSX Data Center for vSphere" 설명서에서 VPN(Virtual

Private Network) 문제 해결 및 NSX-T Data Center 문제 해결 가이드를 참조하십시오.

IPsec VPN 설정 참조

모든 IPsec VPN의 온-프레미스 끝은 해당 VPN의 SDDC 끝에 대해 지정한 설정과 일치하도록 구성되어

야 합니다.

다음 표의 정보에는 사용 가능한 SDDC IPsec VPN 설정이 요약되어 있습니다. 일부 설정은 구성이 가능

합니다. 일부는 정적입니다. 이 정보를 사용하여 온-프레미스 VPN 솔루션을 SDDC의 솔루션과 일치하도

록 구성할 수 있는지 확인합니다. 이 표에 나열된 모든 정적 설정과 구성 가능한 설정을 지원하는 온-프레

미스 VPN 솔루션을 선택합니다.


VMware, Inc. 30


https://docs.vmware.com/kr/VMware-NSX-Data-Center-for-vSphere/6.4/com.vmware.nsx.troubleshooting.doc/GUID-3E4D0B69-B7E7-4C8B-BC78-A3FB3EE5E8BA.html

https://docs.vmware.com/kr/VMware-NSX-Data-Center-for-vSphere/6.4/com.vmware.nsx.troubleshooting.doc/GUID-3E4D0B69-B7E7-4C8B-BC78-A3FB3EE5E8BA.html

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/2.3/troubleshooting/GUID-54B18FEF-7C90-468F-BD2E-C74E99EC0008.html

1단계 IKE(Internet Key Exchange) 설정

표 2-2. 구성 가능한 IKE 1단계 설정

특성 허용되는 값 권장되는 값

프로토콜 IKEv1, IKEv2, IKE FLEX IKEv2

암호화 알고리즘 AES(128, 256), AES-GCM(128, 192, 256)

AES GCM

터널/IKE 다이제스트 알고리즘 SHA-1, SHA-2 SHA-2

Diffie Hellman DH 그룹 2, 5, 14-16 DH 그룹 14-16

표 2-3. 정적 IKE 1단계 설정

특성 값

ISAKMP 모드 기본 모드(적극적 모드 사용 안 함)

ISAKMP/IKE SA 수명 86400초(24시간)

IPsec 모드 터널

IKE 인증 사전 공유 키

2단계 IKE 설정

표 2-4. 구성 가능한 IKE 2단계 설정

특성 허용되는 값 권장되는 값

암호화 알고리즘 AES-256, AES-GCM, AES AES-GCM

PFS(Perfect Forward Secrecy) 사용, 사용 안 함 사용

Diffie Hellman DH 그룹 2, 5, 14-16 DH 그룹 14-16

표 2-5. 정적 IKE 2단계 설정

특성 값

해싱 알고리즘 SHA-1

터널 모드 ESP(Encapsulating Security Payload)

SA 수명 3600초(1시간)

온-프레미스 IPsec VPN 구성

VPN의 상태 페이지에서 구성 다운로드를 클릭하여 VPN 구성 세부 정보가 포함된 파일을 다운로드합니

다. 이러한 세부 정보를 사용하여 VPN의 온-프레미스 끝을 구성할 수 있습니다.

참고 VPN의 온-프레미스 쪽에 유휴 시간 초과가 발생하도록 구성하지 마십시오(예: NSX 세션 유휴 시간

초과 설정). 온-프레미스 유휴 시간 초과로 인해 주기적으로 VPN 연결이 끊어질 수 있습니다.


VMware, Inc. 31

가장 많이 사용되는 몇 가지 끝점 디바이스에 대한 샘플 구성 파일은 VMware {code}에서 사용할 수 있습

니다.

n Palo Alto Networks 방화벽

관리 게이트웨이 네트워킹 및 보안 구성

관리 네트워크 및 관리 게이트웨이는 SDDC에서 주로 미리 구성되어 있지만 vCenter 및 HCX와 같은 관리

네트워크 서비스에 대한 액세스를 구성하고 관리 게이트웨이 방화벽 규칙을 생성하여 온-프레미스 네트워

크 및 기타 SDDC 네트워크를 포함한 관리 네트워크와 기타 네트워크 간의 트래픽을 허용해야 할 수도 있

습니다.

절차

1 vCenter Server FQDN 확인 주소 설정

공용 또는 개인 IP 주소 중 하나에서 SDDC vCenter Server에 연결할 수 있습니다. 개인 IP 주소는

SDDC VPN에서 확인할 수 있습니다. 공용 IP 주소는 인터넷에서 확인할 수 있습니다.

2 HCX FQDN 확인 주소 설정

공용 또는 개인 IP 주소 중 하나에서 HCX에 연결할 수 있습니다. 개인 IP 주소는 SDDC VPN에서 확

인할 수 있습니다. 공용 IP 주소는 인터넷에서 확인할 수 있습니다.

3 관리 게이트웨이 방화벽 규칙 추가 또는 수정

기본적으로 관리 게이트웨이는 모든 소스에서 모든 대상으로 흐르는 트래픽을 차단합니다. 관리 게이

트웨이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

vCenter Server FQDN 확인 주소 설정

공용 또는 개인 IP 주소 중 하나에서 SDDC vCenter Server에 연결할 수 있습니다. 개인 IP 주소는 SDDC

VPN에서 확인할 수 있습니다. 공용 IP 주소는 인터넷에서 확인할 수 있습니다.


개인 IP 주소에서 SDDC vCenter Server에 액세스할 수 있으려면 먼저 SDDC를 온-프레미스 데이터 센터

에 연결하는 VPN을 설정해야 합니다. 경로 기반 VPN 생성 또는 정책 기반 VPN 생성 항목을 참조하십시

오.

절차


2 SDDC의 설정 탭으로 이동합니다.

3 vCenter FQDN을 펼쳐서 편집을 클릭합니다.

4 확인 주소에서 공용 IP 주소 또는 개인 IP 주소를 선택하고 저장을 클릭합니다.


VMware, Inc. 32

https://code.vmware.com/samples/6489/sample-palo-alto-routing-configuration-with-vmware-cloud-on-aws?h=Sample


HCX FQDN 확인 주소 설정

공용 또는 개인 IP 주소 중 하나에서 HCX에 연결할 수 있습니다. 개인 IP 주소는 SDDC VPN에서 확인할

수 있습니다. 공용 IP 주소는 인터넷에서 확인할 수 있습니다.


개인 IP 주소에서 HCX에 액세스할 수 있으려면 먼저 SDDC를 온-프레미스 데이터 센터에 연결하는 VPN

을 설정해야 합니다. 경로 기반 VPN 생성 또는 정책 기반 VPN 생성 항목을 참조하십시오.

절차


2 SDDC의 설정 탭으로 이동합니다.

3 HCX FQDN을 확장하고 편집을 클릭합니다.

4 확인 주소에서 공용 IP 주소 또는 개인 IP 주소를 선택하고 저장을 클릭합니다.

관리 게이트웨이 방화벽 규칙 추가 또는 수정

기본적으로 관리 게이트웨이는 모든 소스에서 모든 대상으로 흐르는 트래픽을 차단합니다. 관리 게이트웨

이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

관리 게이트웨이 방화벽 규칙은 지정된 소스에서 지정된 대상으로의 네트워크 트래픽에 대해 수행할 작업

을 지정합니다. 소스 및 대상은 임의 또는 시스템 정의 또는 사용자 정의 인벤토리 그룹의 멤버로 정의할

수 있지만 소스 또는 대상 중 하나는 시스템 정의 항목이어야 합니다. 인벤토리 그룹 보기 및 수정에 대한

자세한 내용은 관리 그룹 추가 항목을 참조하십시오.

절차


2 네트워킹 및 보안 탭에서 게이트웨이 방화벽을 클릭합니다.

3 게이트웨이 방화벽 카드에서 관리 게이트웨이를 클릭한 다음 규칙 추가를 클릭하고 새 규칙의 이름을

지정합니다.


VMware, Inc. 33



4 새 규칙에 대한 매개 변수를 입력합니다.

매개 변수는 기본값으로 초기화됩니다(예: 소스 및 대상의 경우 모두). 매개 변수를 편집하려면 매개 변

수 값 위로 마우스 커서를 이동하고 연필 아이콘( )을 클릭하여 매개 변수 관련 편집기를 엽니다.

옵션 설명

소스 임의의 소스 주소 또는 주소 범위에서 오는 트래픽을 허용하려면 임의를 선택합니

다.

시스템 정의 그룹을 선택하고 다음 소스 옵션 중 하나를 선택합니다.

n ESXi - SDDC의 ESXi 호스트에서 오는 트래픽 허용

n NSX Manager - SDDC의 NSX-T Manager 장치에서 오는 트래픽 허용

n vCenter - SDDC의 vCenter Server에서 전송하는 트래픽 허용

사용자 정의 그룹을 선택하면 정의한 관리 그룹을 사용할 수 있습니다. 관리 그룹 추

가의 내용을 참조하십시오.

대상 임의의 대상 주소 또는 주소 범위로 향하는 트래픽을 허용하려면 임의를 선택합니

다.

시스템 정의 그룹을 선택하고 다음 대상 옵션 중 하나를 선택합니다.

n ESXi - SDDC의 ESXi 관리로 향하는 트래픽 허용

n NSX Manager - SDDC의 NSX-T로 향하는 트래픽 허용

n vCenter - SDDC의 vCenter Server에 전송되는 트래픽 허용

서비스 규칙을 적용할 서비스 유형을 선택합니다. 서비스 유형 목록은 선택한 소스 및 대상

에 따라 다릅니다.

작업 새 관리 게이트웨이 방화벽 규칙에 사용할 수 있는 유일한 작업은 허용입니다.

새 규칙은 기본적으로 사용되도록 설정됩니다. 토글을 왼쪽으로 밀어 사용하지 않도록 설정합니다.

5 게시를 클릭하여 규칙을 생성합니다.

시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.

방화벽 규칙은 위에서 아래로 적용됩니다. 맨 아래에는 기본 삭제 규칙이 항상 있고 위의 규칙은 항상

허용 규칙이기 때문에 관리 게이트웨이 방화벽 규칙 순서는 트래픽 흐름에 영향을 주지 않습니다.

예제: 관리 게이트웨이 방화벽 규칙 생성

온-프레미스 ESXi 호스트에서 SDDC의 ESXi 호스트로의 vMotion 트래픽을 허용하는 관리 게이트웨이 방

화벽 규칙을 생성하려면 다음과 같이 하십시오.

1 SDDC에 vMotion을 사용하도록 설정할 온-프레미스 ESXi 호스트가 포함된 관리 인벤토리 그룹을 생

성합니다.

2 소스 ESXi와 대상 온-프레미스 ESXi 호스트로 관리 게이트웨이 규칙을 생성합니다.

3 소스 온-프레미스 ESXi 호스트 그룹과 vMotion 서비스가 포함된 대상 ESXi로 또 다른 관리 게이트웨

이 규칙을 생성합니다.


VMware, Inc. 34


기존 방화벽 규칙에 대해 이러한 선택적 작업 전체 또는 일부를 수행할 수 있습니다.

n 기어 아이콘 을 클릭하여 규칙 로깅 설정을 보거나 수정합니다. 로그 항목은 VMwarevRealize

Log Insight Cloud 서비스로 전송됩니다. "VMware Cloud on AWS 운영 가이드" 에서 vRealize Log

Insight Cloud 사용 항목을 참조하십시오.

n 그래프 아이콘 을 클릭하여 규칙에 대한 규칙 적중 및 흐름 통계를 확인합니다.

인기도 인덱스 지난 24시간 동안 규칙이 트리거된 횟수

적중 수 규칙이 생성된 이후 트리거된 횟수

패킷 수 이 규칙을 통과하는 총 패킷 흐름입니다.

바이트 수 이 규칙을 통과하는 총 바이트 흐름입니다.

통계는 규칙을 사용하도록 설정하는 즉시 누적되기 시작합니다.

예제 관리 게이트웨이 방화벽 규칙

일부 일반 방화벽 규칙 구성에는 인터넷에서 vSphere Client에 대한 액세스 열기, 관리 VPN 터널을 통한

vCenter Server에 대한 액세스 허용 및 원격 콘솔 액세스 허용이 포함됩니다.

일반적으로 사용되는 방화벽 규칙

다음 테이블에서는 일반적으로 사용되는 방화벽 규칙에 대한 서비스, 소스 및 대상 설정을 보여 줍니다.

표 2-8. 일반적으로 사용되는 방화벽 규칙

사용 사례 서비스 소스 대상

인터넷에서 vCenter Server에

대한 액세스 제공.

일반 vSphere Client 액세스를

비롯해 vCenter Server 모니터

링에 사용합니다.

HTTPS 공용 IP 주소 vCenter

VPN 터널을 통해 vCenter

Server에 대한 액세스 제공.

관리 게이트웨이 VPN, 하이브

리드 연결 모드, 컨텐츠 라이브

러리에 필요합니다.

HTTPS 온프레미스 데이터 센터의 IP

주소 또는 CIDR 블록

vCenter

클라우드 vCenter Server에서

Active Directory, Platform

Services Controller 및 컨텐츠

라이브러리와 같은 온프레미스

서비스에 대한 액세스 제공.

임의 vCenter 온프레미스 데이터 센터의 IP

주소 또는 CIDR 블록.


VMware, Inc. 35

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-F6540D2D-B8AC-4943-9727-8E0DDD8990A1.html


표 2-8. 일반적으로 사용되는 방화벽 규칙 (계속)

사용 사례 서비스 소스 대상

콜드 마이그레이션, 온프레미스

VM에서 복제, 스냅샷 마이그레

이션, 복제 등과 같이 네트워크

파일 복사 트래픽을 포함하는

프로비저닝 작업.

프로비저닝 IP 주소 또는 CIDR 블록(공용

이거나 VPN 터널에 연결된 온

프레미스 데이터 센터에서 제

공)

ESXi 관리

VMRC 원격 콘솔 액세스.

vRealize Automation에 필요

합니다.

원격 콘솔 IP 주소 또는 CIDR 블록(공용

이거나 VPN 터널에 연결된 온

프레미스 데이터 센터에서 제

공)

ESXi 관리

VPN을 통한 vMotion 트래픽. 임의 ESXi 관리 온프레미스 데이터 센터의 IP

주소 또는 CIDR 블록

계산 게이트웨이 네트워킹 및 보안 구성

계산 게이트웨이 네트워킹에는 하나 이상의 세그먼트가 있는 계산 네트워크와 워크로드 VM의 네트워크

트래픽을 관리하는 DNS, DHCP 및 보안(게이트웨이 방화벽 및 분산 방화벽) 구성이 포함됩니다. 또한 온-

프레미스 네트워크와 SDDC 워크로드 네트워크에 걸쳐 단일 브로드캐스트 도메인을 제공하는 확장 네트

워크와 계층 2 VPN을 포함할 수 있습니다.

절차

1 네트워크 세그먼트 생성 또는 수정

네트워크 세그먼트는 SDDC 계산 네트워크에서 워크로드 VM에 사용하는 논리적 네트워크입니다.

2 계산 게이트웨이 방화벽 규칙 추가 또는 수정

기본적으로 계산 게이트웨이는 모든 업링크에 대한 트래픽을 차단합니다. 계산 게이트웨이 방화벽 규

칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

3 분산 방화벽 규칙 추가 또는 수정

분산 방화벽 규칙은 VM(vNIC) 수준에서 적용되며 SDDC 내에서 East-West 트래픽을 제어합니다.

4 DNS 서비스 구성

VMware Cloud on AWS DNS 전달 서비스는 DNS 영역에서 실행되고 영역에서 워크로드 VM을 사

용하도록 설정하여 정규화된 도메인 이름을 IP 주소로 확인합니다.

5 VMware Transit Connect를 통해 학습 및 보급된 경로 보기

SDDC 그룹의 멤버인 SDDC에서 네트워킹 및 보안 Transit Connect 도구를 사용하여 해당 그룹에

대해 생성된 VMware Transit Connect 네트워크에서 이 SDDC에 의해 학습되고 보급된 경로를 볼

수 있습니다.

네트워크 세그먼트 생성 또는 수정

네트워크 세그먼트는 SDDC 계산 네트워크에서 워크로드 VM에 사용하는 논리적 네트워크입니다.


VMware, Inc. 36

VMware Cloud on AWS는 세 가지 유형(라우팅된 네트워크, 확장된 네트워크, 연결되지 않은 네트워크)

의 네트워크 세그먼트를 지원합니다.

n 라우팅된 네트워크 세그먼트(기본 유형)는 SDDC의 다른 논리적 네트워크에 연결되며 SDDC 방화벽

을 통해 외부 네트워크에 연결됩니다.

n 확장된 네트워크 세그먼트는 기존 L2VPN 터널을 확장하여 SDDC와 온-프레미스 네트워크에 걸쳐 있

는 단일 IP 주소 공간을 제공합니다.

n 연결되지 않은 네트워크 세그먼트에는 업링크가 없으며 연결되지 않은 네트워크에 연결된 VM에만 액

세스할 수 있는 격리된 네트워크를 제공합니다. 연결되지 않은 세그먼트는 HCX에서 필요할 때 생성됩

니다(VMware HCX 시작 참조). 직접 생성할 수 있고 다른 세그먼트 유형으로 변환할 수도 있습니다.

SDDC당 세그먼트 수 및 세그먼트당 네트워크 연결 수에 대한 제한은 VMware 구성 최대값을 참조하십시

오.

단일 호스트 스타터 SDDC는 sddc-cgw-network-1이라는 라우팅된 단일 네트워크 세그먼트로 생성됩니다.

다중 호스트 SDDC는 기본 네트워크 세그먼트 없이 생성되므로 워크로드 VM에 대해 적어도 하나를 생성

해야 합니다. 세그먼트를 생성하는 경우 먼저 몇 가지 기본 매개 변수를 구성하고 세그먼트에서 DHCP 요

청이 처리되는 방법을 지정합니다. 세그먼트가 생성된 후에는 선택적인 추가 단계를 수행하여 세그먼트 프

로파일을 지정하고 DHCP 정적 바인딩을 생성할 수 있습니다.

절차


2 네트워킹 및 보안 > 세그먼트를 클릭합니다.

새 세그먼트를 생성하려면 세그먼트 추가를 클릭하고 새 세그먼트에 이름과 설명(선택 사항)을 지정합

니다.

세그먼트를 삭제하거나 수정하려면 해당 말줄임표 버튼 을 클릭하고 편집을 선택합니다. 세그먼트

유형을 포함한 모든 세그먼트 속성을 수정할 수 있습니다. 세그먼트의 DHCP 구성을 편집하거나 삭제

할 수도 있습니다.

중요 연결된 VM 또는 VIF가 있는 경우에는 모든 유형의 세그먼트를 사용하지 않도록 설정하거나 삭

제할 수 없습니다. 세그먼트를 삭제하기 전에 연결된 VM 및 VIF의 연결을 끊으십시오.

3 세그먼트 유형을 지정하고 필수 구성 매개 변수를 입력합니다.

매개 변수 요구 사항은 세그먼트 유형에 따라 다릅니다.


VMware, Inc. 37

https://cloud.vmware.com/vmware-hcx



표 2-9. 라우팅된 세그먼트 구성 매개 변수

매개 변수 값

VPN 터널 ID [라우팅됨] 또는 [연결 끊김] 세그먼트 유형의 경우 해당 없음.

서브넷 세그먼트에 대한 IPv4 CIDR 블록을 지정합니다. 블록은 관리 네트워크, 예

약된 네트워크 주소에 나열된 CIDR 블록 또는 연결된 Amazon VPC의 어떤

서브넷과도 겹치지 않아야 합니다. 블록의 일부가 공용 IP 공간에 있는 경우

에는 IANA 또는 다른 지역 인터넷 레지스트리에서 사용하도록 할당된 공간

에 있어야 합니다.

DHCP 구성 설정 라우팅된 세그먼트는 기본적으로 계산 게이트웨이 DHCP 서버를 사용합니

다. DHCP 릴레이를 포함한 세그먼트별 DHCP 구성은 세그먼트를 생성하거

나 업데이트할 때 지정할 수 있습니다. 세그먼트 DHCP 속성 구성의 내용을

참조하십시오.

도메인 이름 (선택 사항) 정규화된 도메인 이름을 입력합니다. 세그먼트의 정적 바인딩은

자동으로 이 도메인 이름을 상속합니다.

태그 NSX-T 개체 태그 지정에 대한 자세한 내용은 "NSX-T Data Center 관리 가

이드" 에서 개체에 태그 추가를 참조하십시오.

표 2-10. 확장된 세그먼트 구성 매개 변수

매개 변수 값

VPN 터널 ID 기존 L2VPN 터널의 터널 ID를 지정합니다. [라우팅됨] 또는 [연결 끊김] 세

그먼트 유형의 경우 해당 없음. 아직 L2VPN을 생성하지 않은 경우 SDDC에

계층 2 VPN 터널 구성 항목을 참조하십시오.

서브넷 확장된 세그먼트의 경우 해당 없음.





표 2-11. 연결이 끊긴 세그먼트 구성 매개 변수

매개 변수 값

VPN 터널 ID [라우팅됨] 또는 [연결 끊김] 세그먼트 유형의 경우 해당 없음.

서브넷 세그먼트에 대한 IPv4 CIDR 블록을 지정합니다. 블록은 관리 네트워크, 예

약된 네트워크 주소에 나열된 CIDR 블록 또는 연결된 Amazon VPC의 어떤

서브넷과도 겹치지 않아야 합니다. 블록의 일부가 공용 IP 공간에 있는 경우

에는 IANA 또는 다른 지역 인터넷 레지스트리에서 사용하도록 할당된 공간

에 있어야 합니다.






VMware, Inc. 38




4 저장을 클릭하여 세그먼트를 생성 또는 업데이트합니다.

세그먼트 구성을 계속하려면 예를 클릭합니다. 아니요를 클릭하면 필요한 경우 나중에 세그먼트를 편

집할 수 있습니다.

요청된 세그먼트가 시스템에서 생성됩니다. 이 작업을 완료하는 데에는 최대 15초 정도 걸릴 수 있습니

다. 세그먼트 상태가 작동으로 전환되면 세그먼트를 사용할 수 있습니다. 세그먼트 상태가 작동 중지인

경우 정보 아이콘 을 클릭하여 문제의 원인에 대한 자세한 내용을 볼 수 있습니다.

5 (선택 사항) 세그먼트에 대한 세그먼트 프로파일을 보려면 세그먼트 프로파일을 클릭합니다.

세그먼트 프로파일은 세그먼트 및 세그먼트 포트에 대한 계층 2 네트워킹 구성 세부 정보를 지정합니

다. 기본 세그먼트 프로파일 집합이 모든 새 세그먼트에 적용됩니다. 세그먼트 프로파일은 VMware

Cloud on AWS에 대해 읽기 전용입니다.

6 (선택 사항) DHCP 정적 바인딩을 구성합니다.

a 설정을 클릭하여 세그먼트의 VM에 대한 정적 바인딩을 지정합니다.

IPv4 정적 바인딩 추가를 클릭한 다음 바인딩에 이름을 지정하고 MAC 주소와 세그먼트에 포함된

IPv4 주소를 지정합니다. 지정된 MAC 주소를 사용하는 VM의 전원이 켜져 있고 세그먼트에 연결

된 경우 이 VM은 지정된 주소를 수신합니다. 저장을 클릭하여 바인딩을 생성한 다음 다른 바인딩

을 추가하거나 적용을 클릭하여 지정된 정적 바인딩을 세그먼트에 적용합니다.

b DHCP 옵션을 클릭하여 DHCP 클래스 없는 정적 경로(옵션 121) 및 일반 옵션을 지정합니다.

n IPv4에 대한 DHCP의 각 클래스 없는 정적 경로 옵션에는 대상이 동일한 여러 개의 경로가 있

을 수 있습니다. 각 경로에는 대상 서브넷, 서브넷 마스크, 다음 홉 라우터가 포함됩니다.

DHCPv4의 클래스 없는 정적 경로에 대한 자세한 내용은 RFC 3442를 참조하십시오.

DHCPv4 서버에 최대 127개의 클래스 없는 정적 경로를 추가할 수 있습니다.

n 일반 옵션을 추가하려면 옵션 코드를 선택하고 옵션 값을 입력합니다. 이진 값의 경우 값은

Base 64로 인코딩된 형식이어야 합니다.


세그먼트가 생성되고 [성공] 상태가 되면 통계 보기를 클릭하여 세그먼트로 들어오고 나가는 네트워크 트

래픽에 대한 통계를 볼 수 있습니다. 관련 그룹 보기를 클릭하여 이 세그먼트를 포함하는 그룹 목록을 볼

수 있습니다. NSX-T 그룹에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 그룹 추가를 참

조하십시오.

세그먼트 DHCP 속성 구성

DHCP 구성은 세그먼트별 속성입니다. 기본 구성에서 계산 게이트웨이 DHCP 서버는 라우팅된 모든 세그

먼트에서 VM의 DHCP 요청을 처리합니다. 워크로드 네트워크에서 IP 주소를 관리하는 외부 DHCP 서버

가 있는 경우 DHCP 릴레이를 사용하도록 세그먼트를 구성할 수 있습니다. 자체 로컬 DHCP 서버를 사용

하도록 세그먼트를 구성할 수도 있습니다.


VMware, Inc. 39


https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-9DFF6EE2-2E00-4097-A412-B72472596E4D.html

세그먼트별 DHCP 구성은 네트워크 세그먼트 생성 또는 수정의 세그먼트 생성/업데이트 워크플로 문서에

포함되어 있습니다.

절차


2 네트워킹 및 보안 > 세그먼트를 클릭합니다.

기존 세그먼트의 DHCP 구성을 수정하려면 해당 말줄임표 버튼을 클릭하고 편집, DHCP 구성 편집을

차례로 선택합니다.

3 DHCP 유형을 선택하고 구성 세부 정보를 지정합니다.

구성 세부 정보는 DHCP 유형에 따라 다릅니다. 설정을 지정하려면 DHCP 구성을 사용으로 전환합니

다.

DHCP 범위(지정된 경우)는 다음 요구 사항을 충족해야 합니다.

n DHCP 범위의 IP 주소는 세그먼트에 구성된 서브넷에 속해야 합니다. DHCP 범위는 여러 서브넷

의 IP 주소를 포함할 수 없습니다.

n IP 범위는 DHCP 서버 IP 주소 및 DHCP 정적 바인딩 IP 주소와 겹치지 않아야 합니다.

n DHCP IP 풀의 IP 범위는 서로 겹치지 않아야 합니다.

n DHCP 범위의 IP 주소 수는 65536을 초과하면 안 됩니다.

클래스 없는 정적 경로 및 다른 DHCP 옵션에 대한 자세한 내용은 RFC3442와 "NSX-T Data Center

관리 가이드" 에서 DHCP 서버 생성를 참조하십시오.

적용을 클릭하여 DHCP 구성을 세그먼트에 적용합니다.

DHCP 프로파일 생성 또는 수정

DHCP 프로파일은 DHCP 서버 유형 및 구성을 지정합니다. 기본 프로파일을 사용하거나 필요에 따라 다른

프로파일을 생성할 수 있습니다.

절차


2 네트워킹 및 보안 > DHCP를 선택합니다.

3 DHCP 프로파일 추가를 클릭하고 프로파일에 이름을 지정합니다.

프로파일 유형을 선택하고 필요한 구성 매개 변수를 제공합니다.

n DHCP 서버의 경우 서버 IP 주소를 쉼표로 구분된 CIDR 블록으로 지정하고 필요한 경우 리스 시간

을 변경합니다.

n DHCP 릴레이의 경우 서버 IP 주소를 온-프레미스 DHCP 서버의 주소로 지정합니다. 온-프레미스

방화벽에서 DHCP 트래픽(포트 67 및 68)이 이 주소에 도달하는 것을 허용하는지 확인합니다. 리

스 시간은 온-프레미스 서버 구성에 의해 제어됩니다.


VMware, Inc. 40



https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-A7F8F3DF-C84C-4E96-A98E-E2D8EF38B083.html


두 가지 유형의 DHCP 프로파일에 태그를 지정할 수 있습니다.

4 저장을 클릭하여 프로파일을 생성합니다.

라우팅된 세그먼트의 DHCP 구성을 지정할 때 새 프로파일을 사용할 수 있습니다. 네트워크 세그먼트

생성 또는 수정의 내용을 참조하십시오. 사용된 위치열에는 이 프로파일을 지정하는 세그먼트가 나열

됩니다.

계산 게이트웨이 방화벽 규칙 추가 또는 수정

기본적으로 계산 게이트웨이는 모든 업링크에 대한 트래픽을 차단합니다. 계산 게이트웨이 방화벽 규칙을

추가하면 필요에 따라 트래픽을 허용할 수 있습니다.

계산 게이트웨이 방화벽 규칙은 지정된 소스에서 지정된 대상으로의 네트워크 트래픽에 대해 수행할 작업

을 지정합니다. 작업은 허용(트래픽 허용) 또는 삭제(지정된 소스 및 대상과 일치하는 모든 패킷 삭제)일 수

있습니다. 소스와 대상은 물리적 네트워크 인터페이스 목록에서 선택하거나 게이트웨이에서 VPC 인터페

이스, 인터넷 인터페이스 또는 Direct Connect 인터페이스로 이동하는 모든 트래픽에 적용되는 모든 업링

크의 일반 규격에서 선택할 수 있습니다.

참고 모든 업링크에 적용하는 방화벽 규칙은 물리적 인터페이스가 아니라 가상 인터페이스인 VTI(VPN

터널 인터페이스)에는 적용되지 않습니다. VPN 터널 인터페이스는 경로 기반 VPN을 통해 워크로드 VM

통신을 관리하는 모든 방화벽 규칙의 적용 대상 매개 변수에 명확하게 지정해야 합니다.

계산 게이트웨이에는 VTI로 전송되는 모든 트래픽을 삭제하는 기본 VTI 규칙과 모든 업링크로 전송되는

트래픽을 삭제하는 기본 업링크 규칙이 포함되어 있습니다. 워크로드 VM이 VTI를 통해 통신할 수 있게 하

려면 이 규칙을 수정하거나, 규칙 계층에서 더 낮은 순위로, 즉 허용 범위가 더 넓은 규칙 다음에 오도록 이

동합니다.

방화벽을 통과하려는 모든 트래픽에는 규칙 테이블에 표시된 순서대로(상단에서 시작) 규칙이 적용됩니

다. 첫 번째 규칙에서 허용하는 패킷은 두 번째 규칙으로 전달되고 패킷이 삭제, 거부되거나 기본 규칙에

도달할 때까지 후속 규칙으로 계속 진행됩니다.


계산 게이트웨이 방화벽 규칙에는 소스 및 대상 값에 대해 명명된 인벤토리 그룹이 필요합니다. 계산 그룹

추가 또는 수정의 내용을 참조하십시오.

절차


2 네트워킹 및 보안 탭에서 게이트웨이 방화벽을 클릭합니다.

3 게이트웨이 방화벽 페이지에서 계산 게이트웨이를 클릭합니다.

4 규칙을 추가하려면 규칙 추가를 클릭한 후 새 규칙의 이름 지정합니다.


VMware, Inc. 41





옵션 설명

소스 소스 열에서 모두를 클릭하고 소스 네트워크 트래픽에 대한 인벤토리 그룹을 선택

하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생

성합니다. 저장을 클릭합니다.

대상 대상 열에서 모두를 클릭하고 대상 네트워크 트래픽에 대한 인벤토리 그룹을 선택

하거나, 새 그룹 생성을 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을

생성합니다. 저장을 클릭합니다.

서비스 서비스 열에서 모두를 클릭하고 목록에서 서비스를 선택합니다. 저장을 클릭합니다.

적용 대상 규칙이 적용되는 트래픽 유형을 정의합니다.

n 경로 기반 VPN을 통해 트래픽에 규칙을 적용하려면 VPN 터널 인터페이스를

선택합니다.

n 연결된 AWS VPC 연결을 통해 트래픽에 규칙을 적용하려면 VPC 인터페이스

를 선택합니다.

n 공용 IP를 사용하는 정책 기반 VPN을 포함하여 인터넷을 통한 트래픽에 규칙을

적용하려면인터넷 인터페이스를 선택합니다.

n 개인 IP를 사용하는 정책 기반 VPN을 포함하여 AWS Direct Connect(전용

VIF)를 통한 트래픽을 규칙에서 허용하려면 Direct Connect 인터페이스를 선

택합니다.

n VPC 인터페이스, 인터넷 인터페이스 및 Direct Connect 인터페이스에 규칙을

적용하지만 VPN 터널 인터페이스에는 적용하지 않으려면 모든 업링크를 선택

합니다.

참고 VPN 터널 인터페이스는 업링크로 분류되지 않습니다.

작업 n 모든 L2 및 L3 트래픽이 방화벽을 통과하도록 허용하려면 허용을 선택합니다.

n 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 삭제하려면 삭제를 선택

합니다. 이것은 소스나 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을

삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.

n 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 거부하려면 거부를 선택

합니다. 이 작업은 보낸 사람에게 "대상에 접속할 수 없음 메시지"를 반환합니

다. TCP 패킷의 경우 응답에 TCP RST 메시지가 포함됩니다. UDP, ICMP 및 기

타 프로토콜의 경우 응답에 "관리 목적으로 금지됨" 코드(9 또는 10)가 포함됩

니다. 연결을 설정할 수 없을 때 다시 시도 없이 보낸 사람에게 즉시 알림이 표시

됩니다.



시스템은 규칙에 의해 생성된 로그 항목에 사용되는 정수 ID 값을 새 규칙에 제공합니다.


VMware, Inc. 42












n 방화벽 규칙의 순서를 변경합니다.

새 규칙 추가 버튼을 통해 생성된 규칙은 규칙 목록의 맨 위에 배치됩니다. 방화벽 규칙은 위에서 아래

로 적용됩니다. 목록에서 규칙의 위치를 변경하려면 규칙을 선택한 후 새 위치로 끌어옵니다. 게시를

클릭하여 변경 내용을 게시합니다.

분산 방화벽 규칙 추가 또는 수정

분산 방화벽 규칙은 VM(vNIC) 수준에서 적용되며 SDDC 내에서 East-West 트래픽을 제어합니다.

분산 방화벽을 통과하려는 모든 트래픽에는 규칙 테이블에 표시된 순서대로(상단에서 시작) 규칙이 적용

됩니다. 첫 번째 규칙에서 허용하는 패킷은 두 번째 규칙으로 전달되고 패킷이 삭제, 거부되거나 기본 규칙

에 도달할 때까지 후속 규칙으로 계속 진행하여 모든 트래픽이 허용됩니다.

분산 방화벽 규칙은 정책으로 그룹화됩니다. 정책은 범주별로 구성됩니다. 각 범주에는 평가 우선 순위가

있습니다. 우선 순위가 높은 범주의 규칙은 우선 순위가 낮은 범주의 규칙보다 먼저 평가됩니다.

표 2-14. 분산 방화벽 규칙 범주

범주 평가 우선 순위 범주 이름 설명

1 이더넷 모든 계층 2 SDDC 네트워크 트래픽에 적용됨

2 긴급 격리 및 허용 규칙에 사용됨

3 인프라 공유 서비스에 대한 액세스를 정의함. 글로벌 규칙, AD,

DNS, NTP, DHCP, 백업, 관리 서버입니다.

4 환경 운영 영역, 개발 영역 또는 특정 비즈니스 목적 전용의 영

역과 같은 보안 영역 간의 규칙입니다.

5 애플리케이션 애플리케이션, 애플리케이션 계층 또는 마이크로 서비스

간의 규칙입니다.


VMware, Inc. 43



분산 방화벽 용어에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 에서 보안 용어를 참조하십시

오.


분산 방화벽 규칙은 소스 및 대상으로 사용할 인벤토리 그룹을 필요로 하며, 서비스(SDDC에 대해 정의하

는 사전 정의된 서비스 또는 사용자 지정 서비스)에 적용해야 합니다. 이러한 그룹과 서비스는 규칙을 생성

할 때 생성할 수 있지만 이 중 일부를 미리 처리하면 프로세스 속도를 높일 수 있습니다. 계산 그룹 추가 또

는 수정 및 사용자 지정 서비스 추가 항목을 참조하십시오.

절차


2 네트워킹 및 보안 > 분산 방화벽을 선택합니다.

범주별 규칙을 클릭하고 범주를 선택하여 해당 범주의 정책 및 규칙을 보고 수정하거나, 모든 규칙을

클릭하여 모든 정책 및 범주의 규칙을 봅니다(수정 안 함).

3 (선택 사항) 기본 연결 전략을 변경합니다.

분산 방화벽에는 모든 계층 2 및 계층 3 트래픽에 적용되는 기본 규칙이 포함되어 있습니다. 이러한 규

칙은 해당 범주의 다른 모든 규칙 이후에 평가되고 이전 규칙과 일치하지 않는 트래픽이 방화벽을 통

과하도록 허용합니다. 이러한 규칙 중 하나 또는 둘 다 더 제한적으로 변경할 수 있지만 어떤 규칙도 사

용하지 않도록 설정할 수는 없습니다.

n 기본 계층 2 규칙을 변경하려면 이더넷 범주에서 기본 계층 2 섹션을 확장하고 해당 규칙에 대한

작업을 삭제로 변경합니다.

n 기본 계층 3 규칙을 변경하려면 애플리케이션 범주에서 기본 계층 3 섹션을 확장하고 해당 규칙에

대한 작업을 삭제 또는 거부로 변경합니다.

게시를 클릭하여 규칙을 업데이트합니다.

4 정책을 추가하려면 적절한 범주를 열고 정책 추가를 클릭한 다음 새 정책에 대해 이름을 지정합니다.

새 정책이 해당 범주의 정책 목록 맨 위에 추가됩니다. 기존 정책 이전 또는 이후에 정책을 추가하려면

정책 행의 시작 부분에 있는 말줄임표 버튼을 클릭하여 정책 설정 메뉴를 연 다음 위에 정책 추가 또는

아래에 정책 추가를 클릭합니다.

기본적으로 새 정책은 분산 방화벽(DFW)에 적용되지만 해당 정책을 대신 적용할 인벤토리 그룹을 하

나 이상 지정할 수 있습니다. 정책의 적용 대상 값은 정책의 모든 규칙에 전파됩니다.

5 규칙을 추가하려면 정책을 선택하고 새 규칙 추가를 클릭한 후 규칙의 이름 지정합니다.


VMware, Inc. 44

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-FECD23C2-522A-487B-93E8-9295ADED2CD6.html





옵션 설명

소스 소스 열에서 모두를 클릭하고 소스 네트워크 트래픽에 대한 인벤토리 그룹을 선택

하거나, 그룹 추가를 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을 생

성합니다. 저장을 클릭합니다.

대상 대상 열에서 모두를 클릭하고 대상 네트워크 트래픽에 대한 인벤토리 그룹을 선택

하거나, 새 그룹 생성을 클릭하여 이 규칙에 사용할 새 사용자 정의 인벤토리 그룹을

생성합니다. 저장을 클릭합니다.

서비스 서비스 열에서 모두를 클릭하고 목록에서 서비스를 선택합니다. 저장을 클릭합니다.

적용 대상 규칙은 포함하는 정책의 적용 대상 값을 상속합니다.

작업 n 모든 L2 및 L3 트래픽이 방화벽을 통과하도록 허용하려면 허용을 선택합니다.

n 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 삭제하려면 삭제를 선택

합니다. 이것은 소스나 대상 시스템에 알림을 보내지 않는 작업입니다. 패킷을

삭제하면 재시도 임계값에 도달할 때까지 연결이 재시도됩니다.

n 지정된 소스, 대상 및 서비스와 일치하는 모든 패킷을 거부하려면 거부를 선택

합니다. 이 작업은 보낸 사람에게 "대상에 접속할 수 없음 메시지"를 반환합니

다. TCP 패킷의 경우 응답에 TCP RST 메시지가 포함됩니다. UDP, ICMP 및 기

타 프로토콜의 경우 응답에 "관리 목적으로 금지됨" 코드(9 또는 10)가 포함됩

니다. 연결을 설정할 수 없을 때 다시 시도 없이 보낸 사람에게 즉시 알림이 표시

됩니다.


7 (선택 사항) 고급 설정을 구성합니다.

방향성을 변경하거나 규칙의 동작을 로깅하려면 기어 아이콘 을 클릭하여 설정 페이지를 엽니다.

방향

기본적으로 이 값은 입력/출력이며, 모든 소스 및 대상에 규칙을 적용합니다. 이 값을 입력으로 변경하

여 소스에서 들어오는 트래픽에만 규칙을 적용하거나 출력으로 변경하여 대상으로 나가는 트래픽에만

규칙을 적용할 수 있습니다. 이 값을 변경하면 비대칭 라우팅 및 기타 트래픽 이상 징후를 유발할 수 있

으므로 방향에 대한 기본값을 변경하기 전에 모든 소스 및 대상에 대한 예상 결과를 이해해야 합니다.

로깅

새 규칙에 대한 로깅은 기본적으로 사용되지 않도록 설정됩니다. 토글을 오른쪽으로 밀어서 규칙 작업

의 로깅을 사용하도록 설정합니다.


시스템은 생성되는 로그 항목에서 규칙을 식별하는 데 사용되는 정수 ID 값을 새 규칙에 제공합니다.


VMware, Inc. 45












n 방화벽 규칙의 순서를 변경합니다.

새 규칙 추가 버튼을 통해 생성된 규칙은 정책의 규칙 목록 맨 위에 배치됩니다. 각 정책의 방화벽 규칙

은 위에서 아래로 적용됩니다. 목록에서 규칙의 위치를 변경하려면 규칙을 선택한 후 새 위치로 끌어

옵니다. 게시를 클릭하여 변경 내용을 게시합니다.

분산 방화벽 규칙 관리

방화벽을 통과하려는 트래픽에는 모든 규칙에 표시된 순서대로 규칙이 적용됩니다.

모든 규칙 목록에 있는 분산 방화벽 규칙의 순서는 정렬된 정책 목록과 각 정책의 정렬된 규칙 목록이 통합

된 것입니다. 섹션 내의 분산 방화벽 섹션 및 규칙은 다시 정렬할 수 있습니다. 기존 분산 방화벽 구성을 편

집하거나 방화벽 규칙 또는 섹션을 삭제 또는 복제할 수도 있습니다.

절차



3 (선택 사항) 정책 설정 수정

정책 행의 시작 부분에 있는 세로 말줄임표 버튼을 클릭하여, 정책의 모든 규칙에 영향을 주는 대량 작

업을 수행합니다.

4 (선택 사항) 정책 순서를 변경합니다.

정책 추가 버튼을 통해 생성된 규칙은 정책 목록 맨 위에 배치됩니다. 각 정책의 방화벽 규칙은 위에서

아래 순서로 적용됩니다. 목록에서 정책(정책 내의 모든 규칙 포함)의 위치를 변경하려면 정책을 선택

한 후 새 위치로 끌어옵니다. 게시를 클릭하여 변경 내용을 게시합니다.


VMware, Inc. 46




5 (선택 사항) 규칙을 복제하거나 복사합니다.

규칙 행의 시작 부분에 있는 세로 말줄임표 버튼을 클릭합니다.

n 이 정책에 있는 규칙의 사본을 만들려면 규칙 복제를 선택합니다.

n 다른 정책에 추가할 수 있는 규칙 사본을 만들려면 규칙 복사를 선택합니다.

6 (선택 사항) 규칙을 추가하거나 삭제합니다.

규칙 행의 시작 부분에 있는 세로 말줄임표 버튼을 클릭합니다.

n 규칙을 이 정책에 추가하려면 규칙 추가를 선택합니다.

n 규칙을 이 정책에서 삭제하려면 규칙 삭제를 선택합니다.

7 (선택 사항) 분산 방화벽 구성을 저장하거나 봅니다.

VMware Cloud on AWS의 분산 방화벽 구성은 온-프레미스 NSX-T의 방화벽 초안 기능과 유사합니

다. 저장된 구성 목록을 보려면 작업 > 구성 > 보기를 클릭합니다. 현재 구성을 저장하려면 작업 > 구성

> 저장을 클릭합니다. 구성은 기본적으로 자동 저장됩니다. 초안 자동 저장을 사용하지 않도록 설정하

려면 작업 > 설정 > 일반 설정을 클릭합니다.

분산 방화벽 제외 목록 관리

분산 방화벽 제외 목록을 사용하면 분산 방화벽 범위에서 제외할 인벤토리 그룹을 지정할 수 있습니다. 제

외된 그룹의 멤버에 대한 East-West 네트워크 트래픽은 적용되어야 하는 분산 방화벽 규칙에서 제외됩니

다.

분산 방화벽 제외 목록을 사용하면 분산 방화벽 규칙이 특정 인벤토리 그룹을 고려하지 않도록 할 수 있습

니다. 기본적으로 vCenter, NSX Manager 및 NSX 컨트롤러 같은 관리 VM 및 장치가 제외 목록에 포함됩

니다. 목록을 편집하여 항목을 추가하거나 제거할 수 있습니다.

절차



3 작업 > 설정 > 제외 목록을 클릭하여 제외 목록 관리 페이지를 표시합니다.

n 기존 그룹을 제외 목록에 추가하려면 그룹 추가를 클릭하고 기존 그룹 이름을 선택합니다.

n 제외 목록 관리에서 그룹을 생성하려면 그룹 이름 필드에 그룹 이름을 입력한 다음 멤버 설정을 클

릭하여 인벤토리 그룹 생성 페이지를 엽니다. 이 페이지를 사용하는 방법에 대한 자세한 내용은 계

산 그룹 추가 또는 수정 항목을 참조하십시오.

n 목록에서 그룹을 제거하려면 그룹 행의 시작 부분에 있는 세로 말줄임표 버튼을 클릭하고 삭제를

클릭합니다.

4 적용을 클릭하여 변경 내용을 저장합니다.


VMware, Inc. 47

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-90C7E636-9EE8-4E12-8872-C6EBF89B5784.html


DNS 서비스 구성

VMware Cloud on AWS DNS 전달 서비스는 DNS 영역에서 실행되고 영역에서 워크로드 VM을 사용하

도록 설정하여 정규화된 도메인 이름을 IP 주소로 확인합니다.

SDDC에는 관리 게이트웨이 및 계산 게이트웨이에 대한 기본 DNS 영역이 포함됩니다. 각 영역에는 미리

구성된 DNS 서비스가 포함됩니다. DNS 서비스 페이지의 DNS 서비스 탭을 사용하여 기본 영역에 대한

DNS 서비스의 속성을 보거나 업데이트합니다. 추가 DNS 영역을 생성하거나 원하는 영역에서 DNS 서비

스의 추가 속성을 구성하려면 DNS 영역 탭을 사용합니다.

VMware Cloud on AWS에 대한 DNS 구성 선택 항목에 대한 자세한 내용은 VMware Cloud on AWS에

대한 DNS 전략을 참조하십시오.

절차


2 네트워킹 및 보안 > DNS를 선택합니다.

3 DNS 서비스를 클릭하여 DNS 서비스 페이지를 엽니다.

4 DNS 서비스 매개 변수를 보거나 편집합니다.

대부분의 게이트웨이 DNS 서비스 매개 변수는 읽기 전용이지만 세로 말줄임표 버튼을 클릭하고 DNS 서버 IP 편집을 선택하여 이 서비스에 대한 서버 IP 주소를 추가하거나 수정할 수 있습니다.


DNS 영역 추가

SDDC 네트워크의 각 DNS 영역은 직접 관리하는 DNS 네임스페이스의 일부를 나타냅니다.

SDDC의 DNS 영역은 두 가지 범주로 나뉩니다.

n 서버가 영역의 서브넷에 있는 모든 SDDC VM의 DNS 쿼리를 수신하는 기본 영역.

n 서버가 기본 영역에서 전달된 DNS 요청을 수신하는 FQDN 영역.

계산 및 관리 게이트웨이는 각각 단일 기본 DNS 영역으로 구성됩니다. 여러 DNS 서버 및 하위 도메인을

포함할 수 있는 유연성을 제공하기 위해 각 유형의 영역을 4개까지 더 추가할 수 있습니다. NSX-T가 DNS

영역을 구현하는 방식에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 의 DNS 영역 추가를 참

조하십시오.

절차


2 네트워킹 및 보안 > DNS를 클릭하고 DNS 영역 탭을 엽니다.


VMware, Inc. 48

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/solutions/GUID-25B7F9346825C50F67BF60403CCCAE21.html

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/solutions/GUID-25B7F9346825C50F67BF60403CCCAE21.html


https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/2.5/administration/GUID-B57B5A51-8F32-479F-AA54-463BD7D13E6D.html


3 기본 영역을 추가하려면 DNS 영역 추가 > 기본 영역 추가를 선택합니다.

기본 DNS 영역에서 관리 게이트웨이 및 계산 게이트웨이 DNS 전달자에 대한 IP 주소를 추가하거나

수정할 수 있습니다. 기본 영역에 있는 VM의 DNS 쿼리는 FQDN 영역에 대한 조건과 일치하지 않는

경우 기본적으로 이러한 IP 주소로 전송됩니다.

a 이름 및 설명(선택 사항)을 입력합니다. 이 이름은 이 영역의 트래픽에 적용되는 DNS 방화벽 규칙

을 생성할 때 사용합니다.

b 최대 3개의 DNS 서버의 IP 주소를 입력합니다. 지정하는 모든 DNS 서버는 동일하게 구성해야 합

니다.

c (선택 사항) 소스 IP 필드에 IP 주소를 입력합니다.

4 FQDN 영역을 추가하려면 DNS 영역 추가 > FQDN 영역 추가를 선택합니다.

DNS 전달을 사용하도록 설정할 하나 이상의 FQDN을 지정합니다. DNS 전달자는 기본 DNS 영역 및

최대 5개의 FQDN DNS 영역과 연결되어 있습니다. DNS 전달자는 영역의 VM에서 DNS 쿼리가 수신

되면 쿼리의 도메인 이름을 FQDN DNS 영역의 도메인 이름과 비교합니다. 일치 항목을 찾으면 쿼리

가 FQDN DNS 영역에 지정된 DNS 서버로 전달됩니다. 그렇지 않으면 쿼리가 기본 DNS 영역에 지정

된 DNS 서버로 전달됩니다.

a 이름 및 설명(선택 사항)을 입력합니다. 이 이름은 이 영역의 트래픽에 적용되는 DNS 방화벽 규칙

을 생성할 때 사용합니다.

b 도메인의 FQDN을 입력합니다. example.com과 같은 FQDN(정규화된 도메인 이름)이어야 합니

다.

c 최대 3개의 DNS 서버의 IP 주소를 입력합니다.

d (선택 사항) 소스 IP 필드에 IP 주소를 입력합니다.

5 (선택 사항) DNS 영역에 태그를 지정합니다.




VMware Transit Connect를 통해 학습 및 보급된 경로 보기

SDDC 그룹의 멤버인 SDDC에서 네트워킹 및 보안 Transit Connect 도구를 사용하여 해당 그룹에 대해

생성된 VMware Transit Connect 네트워크에서 이 SDDC에 의해 학습되고 보급된 경로를 볼 수 있습니

다.

SDDC 그룹에서, 그룹 멤버 간의 모든 네트워크 트래픽은 VMware Transit Connect 네트워크를 통해 이

동합니다. 그룹 내 모든 SDDC의 계산 네트워크 간 라우팅은 서브넷이 추가되고 삭제될 때 VMware

Transit Connect에 의해 자동으로 관리됩니다. Transit Connect 및 SDDC 그룹 도구는 해당 네트워크를

통한 경로에 대한 정보를 제공합니다. SDDC 그룹 생성 또는 SDDC 추가에 대한 자세한 내용은 "VMware

Cloud on AWS 운영 가이드" 에서 SDDC 배포 그룹 생성 및 관리를 참조하십시오.


VMware, Inc. 49




절차


2 네트워킹 및 보안 탭에서 Transit Connect를 클릭하거나 개요 페이지에서 SDDC 그룹 아이콘을 클릭

합니다.

Transit Connect 페이지에는 이 SDDC에 의해 그룹의 다른 SDDC로부터 학습된 경로 및 이 SDDC에

의해 그룹의 다른 SDDC로 보급된 경로의 목록이 표시됩니다. 해당 목록을 CSV 형식으로 다운로드하

려면 다운로드 아이콘( )을 클릭합니다.

트래픽 그룹이 포함된 다중 Edge SDDC 구성

기본 구성에서 SDDC 네트워크에는 모든 North-South 트래픽이 흐르는 단일 Edge(T0) 라우터가 있습니

다. VPN을 통해 이동하지 않거나 인터넷에서 다른 경로를 사용하지 않는 이 트래픽의 하위 집합에 대해 추

가 대역폭이 필요한 경우 각각 추가 T0 라우터를 생성하는 트래픽 그룹을 생성하여 SDDC를 다중 Edge로

재구성할 수 있습니다.

트래픽 그룹은 연결 맵을 사용하여 CIDR 블록의 접두사 목록을 SDDC의 계산 게이트웨이 같은 T1 게이트

웨이에 매핑합니다. 접두사 목록은 게이트웨이에 독립적입니다. 언제든지 생성하고 업데이트할 수 있지만

연결 맵에 포함된 접두사 목록은 제거할 수 없습니다. 접두사 목록을 게이트웨이 개체와 연결하면 해당 게

이트웨이를 통해 목록의 모든 CIDR 블록에서 모든 트래픽이 라우팅됩니다.

참고 NAT 규칙은 항상 기본 T0 라우터에서 실행되므로 추가 T0 라우터는 NAT 규칙이 필요한 소스 또는

대상이 있는 트래픽을 처리할 수 없습니다. 여기에는 AWS S3 서비스로 들어오고 나가는 트래픽 뿐만 아

니라 인터넷으로 들어오고 나가는 트래픽이 포함됩니다. 접두사 목록을 생성할 때는 이 제한 사항을 염두

에 두어야 합니다.


n 트래픽 그룹을 생성하려면 먼저 VMware Transit Connect™를 사용하여 SDDC를 VTGW(VMware

관리 Transit Gateway)에 연결해야 합니다. "VMware Cloud on AWS 운영 가이드" 에서 SDDC배포

그룹 생성 및 관리를 참조하십시오.

n 트래픽 그룹은 장치 크기가 큰 SDDC에서만 생성할 수 있습니다.

n 다중 AZ(확장된 클러스터) SDDC가 지원할 수 있는 트래픽 그룹의 수는 SDDC가 각 지역에서 제공하

는 호스트 수에 따라 다르며 다음과 같은 공식으로 나타낼 수 있습니다.

TG=(hosts-per-region - 2)/2

여기서 TG는 SDDC에서 지원할 수 있는 트래픽 그룹의 최대 수를 나타내며 hosts-per-region은

SDDC가 차지하는 각 지역에서 SDDC가 배포하는 호스트 수입니다.

절차


2 네트워킹 및 보안 > 트래픽 그룹을 클릭합니다.


VMware, Inc. 50





3 트래픽 그룹을 생성합니다. 트래픽 그룹페이지의 트래픽 그룹 탭에서 트래픽 그룹 추가를 클릭하고 새

트래픽 그룹에 이름을 지정한 다음 저장을 클릭하여 트래픽 그룹과 이 그룹에 대한 추가 T0 라우터를

생성합니다.

새 T0 Edge가 생성되는 동안 트래픽 그룹의 상태가 진행 중으로 전환됩니다. 프로세스 완료까지는 최

대 30분이 걸릴 수 있습니다. 프로세스가 완료되면 트래픽 그룹의 상태가 성공으로 전환되고 이에 대

한 연결 맵을 생성할 수 있습니다.

4 접두사 목록을 생성합니다.

다중 Edge SDDC는 트래픽 그룹에서 소스 기반 라우팅을 사용하기 때문에 접두사 목록에는 대상 주

소가 아닌 소스 주소가 포함되어야 합니다.

a 트래픽 그룹 페이지의 IP 접두사 목록 탭에서 IP 접두사 목록 추가를 클릭하고 새 접두사 목록에 이

름 및 설명(선택 사항)을 지정합니다.

b 설정을 클릭하여 접두사 설정 창을 표시한 다음 접두사 추가를 클릭하고 추가 T0를 통해 라우팅할

트래픽이 있는 워크로드 VM의 소스 주소가 포함된 SDDC 네트워크 세그먼트의 CIDR 블록을 입

력합니다.

중요 여기에서 SDDC 관리 CIDR 블록을 사용하거나 VPN의 로컬 IP 주소를 제공하는 세그먼트의

CIDR 블록을 사용할 수 없습니다. 이러한 CIDR을 접두사 목록에 추가하면 연결 맵에서 목록을 사

용할 수 없게 됩니다.

지정된 접두사를 목록에 추가하려면 추가를 클릭합니다. 접두사를 추가하거나 목록에 이미 있는

접두사를 편집하려면 말줄임표 버튼 을 클릭하여 접두사 편집기를 엽니다.

c 적용을 클릭하여 변경 내용을 접두사 목록에 적용합니다.

d 접두사 추가 또는 편집이 완료되면 저장을 클릭하여 접두사 목록을 저장하거나 생성합니다.

5 접두사 목록을 게이트웨이와 연결합니다. 트래픽 그룹 페이지의 트래픽 그룹 탭에서 사용할 트래픽 그

룹을 찾은 다음, 해당하는 말줄임표 버튼을 클릭하고 편집을 선택합니다.

연결 맵 영역에서 더하기 아이콘 을 클릭하고 매핑에 이름을 지정한 후 접두사 드롭다운에서 기존

접두사 목록을 선택합니다. 게이트웨이 드롭다운에서 게이트웨이를 선택하고 저장을 클릭하여 연결

맵을 생성합니다.

6 (선택 사항) 트래픽 그룹을 제거하려면 먼저 해당 연결 맵을 제거해야 합니다.

a 트래픽 그룹 페이지에서 트래픽 그룹을 찾습니다. 해당 말줄임표 버튼 을 클릭한 다음 편집을

선택합니다.

b 연결 맵의 상태 레이블 오른쪽에서 빼기 아이콘 을 클릭하여 삭제할 맵을 선택한 다음 저장을

클릭하여 맵을 삭제합니다.

c 편집 닫기를 클릭한 다음 트래픽 그룹 페이지의 트래픽 그룹으로 돌아갑니다. 해당 말줄임표 버튼

을 클릭하고 삭제를 선택합니다.


VMware, Inc. 51

트래픽 그룹을 제거하는 데 최대 30분이 소요될 수 있습니다. 트래픽 그룹을 제거하면 해당 그룹을 지

원하기 위해 생성된 T0 라우터가 제거됩니다. HCX(사용 중인 경우)는 자체 연결 맵을 생성합니다. 이

맵은 볼 수 있지만 수정할 수는 없습니다. HCX에서 생성한 연결 맵을 제거하려면 HCX를 제거해야 합

니다. "VMware HCX 사용자 가이드" 에서 VMware HCX 제거를 참조하십시오.

예제: T0 라우터 추가 후 경로 테이블 변경 사항

이 간소화된 예제는 트래픽 그룹을 생성하고 이를 두 호스트 경로(/32)의 접두사 목록과 연결할 때의 결과

를 보여 줍니다.

초기 구성

첫 번째 트래픽 그룹을 추가하고 새 T0 라우터를 생성하기 전에 기본 T0 라우터 및 계산 게이트웨이

(CGW)의 경로 테이블 항목에 대해 이러한 값을 가정합니다.

표 2-17. 기본 T0 경로

서브넷 다음 홉

0.0.0.0/0 인터넷 게이트웨이

192.168.150.51/24 CGW

192.168.151.0/24 CGW

VTGW, DXGW 서브넷 VTGW, DXGW 연결

관리 CIDR MGW

표 2-18. 기본 T0을 사용하는 CGW 경로


0.0.0.0/0 기본 T0

192.168.150.0/24 기본 T0

192.168.151.0/24 기본 T0

다중 Edge 구성

트래픽 그룹이 생성되면 새 경로가 기본 T0에 추가됩니다. 트래픽 그룹과 연결된 접두사 목록에 다음

과 같은 항목이 있다고 가정합니다.

192.168.150.100/32

192.168.151.51/32

그러면 기본 T0, 새 T0 및 CGW에 대한 경로 테이블이 다음과 같이 됩니다.

표 2-19. 트래픽 그룹 추가 후 기본 T0 경로


0.0.0.0/0 인터넷 게이트웨이

192.168.150.0/24 CGW


VMware, Inc. 52

https://docs.vmware.com/kr/VMware-HCX/services/user-guide/GUID-28172DB0-93C6-4A7A-B5A9-51C8325B02DC.html

표 2-19. 트래픽 그룹 추가 후 기본 T0 경로 (계속)


192.168.150.100/32 새 T0

192.168.151.0/24 CGW

192.168.151.51/32 새 T0


관리 CIDR MGW

새 경로(예제 테이블의 192.168.150.100/32 및 192.168.151.51/32)는 새 T0를 다음 홉으로 사용하고 새

T0는 가장 긴 접두사 일치를 사용하여 해당 트래픽을 CGW로 라우팅합니다.

표 2-20. 새 T0의 경로


0.0.0.0/0 기본 T0

192.168.150.100/32 CGW

192.168.151.51/32 CGW


관리 CIDR MGW

CGW 경로 테이블이 새 경로에 대한 다음 홉으로 새 T0 라우터를 지정하도록 업데이트됩니다.

표 2-21. 추가 T0을 사용하는 CGW 경로


0.0.0.0/0 기본 T0

192.168.150.0/24 기본 T0

192.168.150.100/32 새 T0

192.168.151.0/24 기본 T0

192.168.151.51/32 새 T0

인벤토리 그룹 사용

VMware Cloud on AWS 네트워킹 및 보안 인벤토리를 사용하여 방화벽 규칙을 생성할 때 사용할 수 있는

VM 및 네트워크 서비스 그룹을 생성합니다.

방화벽 규칙은 일반적으로 다음과 같은 특정한 공통 특성이 있는 VM 그룹에 적용됩니다.

n 명명 규칙을 따르는 이름(예: Windows VM의 경우 Win*, Photon VM의 경우 Photon*)

n 특정 범위 또는 CIDR 블록 내의 IP 주소

n 태그


VMware, Inc. 53

또한 서비스 유형 및 네트워크 프로토콜과 같은 특성으로 구분되는 네트워크 서비스에 적용될 수 있습니

다. VMware Cloud on AWS 네트워킹 및 보안 인벤토리 기능은 방화벽 보호에 대한 유사한 요구가 있는

VM 그룹 생성 프로세스를 간소화합니다. 또한 이 기능을 사용하여 새 네트워크 서비스를 서비스의 기본

제공 목록에 추가함으로써 방화벽 규칙에 해당 서비스를 포함할 수 있습니다.

VMware Cloud on AWS는 모든 새 SDDC에서 관리 그룹 및 서비스 인벤토리를 생성합니다. 또한 워크로

드 VM 및 태그의 목록을 유지합니다. 관리 또는 계산 VM의 고유한 인벤토리 그룹을 추가하거나 수정할

수 있습니다.

관리 그룹 추가

관리 인벤토리 그룹에는 SDDC 인프라 구성 요소가 포함됩니다. 관리 게이트웨이 방화벽 규칙에서 이러한

그룹을 사용합니다.

미리 정의된 관리 인벤토리 그룹은 vCenter 및 NSX Manager와 같은 SDDC 인프라 구성 요소에 대해 자

동으로 생성됩니다. 미리 정의된 관리 그룹을 수정할 수 없지만 그룹 멤버가 연결되는 CIDR 블록을 지정하

여 추가 관리 인벤토리 그룹을 생성할 수 있습니다.

절차


2 네트워킹 및 보안 탭에서 인벤토리 > 그룹을 클릭합니다.

3 그룹 카드에서 관리 그룹을 클릭한 다음 그룹 추가를 클릭하고 그룹에 이름 및 선택적 설명을 지정합

니다.

4 멤버 설정을 클릭하여 멤버 선택 페이지를 엽니다.

CIDR 형식으로 관리 VM의 하나 이상의 IP 주소를 입력합니다.

5 (선택 사항) 그룹에 태그를 지정합니다.



6 저장을 클릭하여 그룹을 생성합니다.


세로 말줄임표 버튼을 클릭하고 편집 또는 삭제를 선택하여 생성한 관리 그룹을 수정하거나 삭제할 수 있

습니다.

계산 그룹 추가 또는 수정

계산 인벤토리 그룹은 이름, IP 주소 및 태그와 같은 조건을 사용하여 계산 VM을 분류합니다.

계산 인벤토리 그룹은 계산 VM으로 구성되기 때문에 계산 네트워크 세그먼트에 배포합니다. VMware

Cloud on AWS는 이를 생성할 수 없습니다. 계산 게이트웨이 방화벽 규칙을 개발하려면 직접 생성해야 합

니다.


VMware, Inc. 54




절차


2 네트워킹 및 보안 탭에서 인벤토리 > 그룹을 클릭합니다.

3 그룹 카드에서 계산 그룹을 클릭한 다음 그룹 추가를 클릭하고 그룹에 이름 및 선택적 설명을 지정합

니다.

기존 그룹을 수정하려면 이를 선택하고 그룹 행의 시작 부분의 말줄임표 버튼을 클릭합니다.

4 멤버 설정을 클릭하여 멤버 선택 페이지를 엽니다.

관리 그룹에는 관리 네트워크의 VM이 포함됩니다. 관리 그룹 멤버는 IP 주소로 지정해야 합니다. 계산

그룹에는 계산 네트워크 세그먼트와 같은 VM 또는 네트워크 개체가 포함됩니다. 계산 그룹에서 멤버

자격을 지정하는 방법에는 여러 가지가 있습니다.

옵션 설명

멤버 자격 조건 조건 추가를 클릭하고 드롭다운 컨트롤을 사용하여 다음 형식의 하나 이상의 조건

을 지정합니다.

Object Type, Property, Condition, Value

튜플. 예를 들어 다음과 같은 조건을 가진 그룹이 있습니다.

Virtual Machine Name Contains db_

이름에 db_ 문자열이 포함된 VM을 그룹에 포함합니다. 태그를 지정하여 태그가 지

정된 네트워크 세그먼트, 세그먼트 포트 또는 IP 집합의 그룹을 생성할 수도 있습니

다. 또는

Segment Tag Equals testbeds

testbeds 태그가 포함된 네트워크 세그먼트를 포함합니다

선택한 모든 조건과 일치하는 개체가 그룹에 포함됩니다.

멤버 범주 선택 드롭다운 목록에서 멤버 자격 범주를 선택한 다음 목록에서 멤버를 선택

합니다.

IP/MAC 주소 IP 주소, MAC 주소, CIDR 블록 또는 ip-ip(예: 192.168.1.1-192.168.1.100) 형식의

IP 주소 범위를 입력합니다.

5 (선택 사항) 그룹에 태그를 지정합니다.



6 저장을 클릭하여 그룹을 생성합니다.


그룹 멤버를 검토하려면 그룹을 선택하고 멤버 보기를 클릭하여 그룹 멤버 목록을 검토하고 그룹 멤버 및

멤버 자격 조건을 봅니다. 사용된 위치를 클릭하여 그룹을 포함하는 방화벽 규칙 목록을 봅니다.


VMware, Inc. 55




사용자 지정 서비스 추가

방화벽 규칙은 종종 네트워크 서비스의 트래픽에 적용됩니다. 새 SDDC에는 대부분의 공통 네트워크 서비

스 유형에 대한 인벤토리 항목이 포함되지만 필요한 경우 사용자 지정 서비스를 추가할 수 있습니다.

방화벽 규칙을 생성할 때 SDDC의 서비스 인벤토리에 정의된 하나 이상의 서비스의 네트워크 트래픽에 적

용되도록 지정할 수 있습니다. 기본 목록에는 원격 콘솔 및 프로비저닝, IKE, ICMP, TCP와 같은 표준 서비

스 및 잘 알려진 여러 타사 서비스와 같은 VMware 서비스가 포함됩니다. 서비스 유형 및 추가 서비스 속

성 목록에서 값(일반적으로 포트 및 프로토콜)을 선택하여 이 목록에 서비스를 추가할 수 있습니다.

절차


2 네트워킹 및 보안 탭에서 인벤토리 > 서비스를 클릭합니다.

서비스 카드에는 미리 정의된 서비스가 나열됩니다.

3 새 서비스 추가를 클릭하고 새 서비스에 이름을 지정합니다.

4 서비스 항목 설정을 클릭하여 서비스 항목 설정 페이지를 엽니다.

5 서비스 항목 설정 페이지에서 새 서비스 항목 추가를 클릭합니다.

알려진 서비스 목록을 보려면 드롭다운 컨트롤을 사용하여 서비스 유형 및 추가 속성 목록 전체를 스

크롤합니다. 서비스를 추가하려면 드롭다운 메뉴에서 서비스 유형을 선택하고 서비스의 소스 또는 대

상 포트와 같은 추가 속성을 지정한 다음 적용을 클릭합니다.

6 (선택 사항) 서비스 설명을 제공하고 서비스에 태그를 지정합니다.



7 저장을 클릭하여 서비스 정의를 생성합니다.

가상 시스템 인벤토리 보기

VMware Cloud on AWS는 SDDC에 있는 워크로드 가상 시스템의 인벤토리를 유지합니다. VM은 이름과

몇 개의 태그를 사용하여 나열됩니다.

가상 시스템 인벤토리는 자동으로 생성됩니다. 이 목록에서 VM에 할당된 태그는 편집할 수 있지만 VM은

추가하거나 제거할 수 없습니다. 이 작업은 VM을 생성하거나 삭제할 때 시스템에서 자동으로 수행합니다.

절차


2 네트워킹 및 보안 탭에서 인벤토리 > 가상 시스템을 클릭합니다.

가상 시스템에 태그가 있으면 태그 수가 태그 열에 표시됩니다. 태그를 보려면 숫자를 클릭합니다. VM

태그를 추가하거나 제거하려면 VM 행 시작 부분에 있는 세로 말줄임표를 클릭하고 편집을 선택하여

태그 편집기를 표시합니다. 태그를 더 추가하려면 아이콘을 클릭합니다.


VMware, Inc. 56







워크로드 연결 관리

워크로드 VM은 기본적으로 인터넷에 연결됩니다. NAT 규칙 및 분산 방화벽 규칙을 통해 이러한 연결을

세부적으로 제어할 수 있습니다.

계산 네트워크 세그먼트에 VM 연결 또는 계산 네트워크 세그먼트에서 워크로드 VM 분리

vSphere Web Client를 사용하여 계산 네트워크 세그먼트에 대한 워크로드 VM 연결을 관리합니다.


SDDC 계산 네트워크에 세그먼트가 하나 이상 있어야 합니다. 네트워크 세그먼트 생성 또는 수정의 내용

을 참조하십시오.

절차

1 SDDC에 대한 vSphere Client에 로그인합니다.

2 메뉴 > 글로벌 인벤토리 목록을 선택합니다.

3 논리적 네트워크를 선택합니다.

4 vCenter Server 드롭다운 메뉴에서 사용할 논리적 네트워크를 관리하는 vCenter Server를 선택합니

다.

5 논리적 네트워크 이름 옆을 클릭하여 선택합니다.

6 VM을 연결하거나 분리할지 선택합니다.

n VM을 선택된 네트워크에 연결하려면 VM 연결을 클릭합니다.

n VM을 선택된 네트워크에서 분리하려면 VM 분리를 클릭합니다.

7 연결하거나 분리할 가상 시스템을 선택하고 >>를 클릭하여 해당 가상 시스템을 선택된 개체 열로 이동

한 후 다음을 클릭합니다.


VMware, Inc. 57



8 각 VM의 경우 연결할 가상 NIC를 선택하고 다음을 클릭합니다.

9 마침을 클릭합니다.

공용 IP 주소 요청 또는 해제

워크로드 VM에 할당할 공용 IP 주소를 요청하여 인터넷에서 이러한 VM에 액세스할 수 있도록 허용할 수

있습니다. VMware Cloud on AWS는 AWS의 IP 주소를 프로비저닝합니다.

가장 좋은 방법은 사용되지 않는 공용 IP 주소를 릴리스하는 것입니다.


VM에 논리적 네트워크에서 할당된 정적 IP 주소가 있는지 확인합니다.

절차


2 네트워킹 및 보안 > 공용 IP를 선택합니다.

3 새 공용 IP 주소를 요청하려면 새 IP 요청을 클릭합니다.

필요에 따라 요청에 대한 메모를 입력할 수 있습니다.

4 더 이상 필요하지 않은 기존 공용 IP 주소를 해제하려면 말줄임표 버튼을 클릭하고 IP 해제를 클릭합니

다.

NAT 규칙에서 해당 주소를 사용 중인 경우에는 공용 IP 주소 해제 요청이 실패합니다.


잠시 후 새 공용 IP 주소가 프로비저닝됩니다.


공용 IP 주소가 프로비저닝된 후 공용 IP 주소에서 SDDC에 있는 VM의 내부 IP 주소로 트래픽을 보내도록

NAT를 구성합니다. NAT 규칙 생성 또는 수정의 내용을 참조하십시오.

NAT 규칙 생성 또는 수정

NAT(네트워크 주소 변환)는 계산 네트워크의 내부 IP 주소를 공용 인터넷에 표시된 주소에 매핑합니다.

NAT 규칙을 생성하려면 워크로드 VM 또는 서비스의 내부 주소 및 포트 번호 및 시스템에서 가져온 공용

IP 주소 및 포트 번호를 제공합니다.


VMware, Inc. 58


NAT 규칙은 워크로드 VM의 공용 주소가 표시되는 SDDC의 인터넷 인터페이스에서 실행해야 합니다. 패

킷 소스 및 대상을 검토하는 방화벽 규칙은 계산 게이트웨이에서 실행되고 적용 가능한 NAT 규칙에 의해

변환된 후 트래픽을 처리합니다. NAT 규칙을 생성할 때 VM의 내부 또는 외부 IP 주소 및 포트 번호를 해

당 VM에서 송수신되는 네트워크 트래픽에 영향을 미치는 방화벽 규칙에 표시할지 여부를 지정할 수 있습

니다.

중요 SDDC의 공용 IP 주소에 대한 인바운드 트래픽은 항상 생성된 NAT 규칙에 의해 처리됩니다. 아웃바

운드 트래픽(SDDC 워크로드 VM의 응답 패킷)은 보급된 경로를 따라 라우팅되고 SDDC 네트워크의 기본

경로가 SDDC의 인터넷 인터페이스를 통과할 때 NAT 규칙에 의해 처리됩니다. 하지만 기본 경로가

Direct Connect 또는 VPN 연결을 통과하는 경우(예를 들어 0.0.0.0/0이 BGP를 통해 보급되었거나

0.0.0.0/0의 원격 네트워크를 포함하는 정책 기반 VPN이 있는 경우), NAT 규칙이 인바운드 트래픽에 대

해서는 실행되지만 아웃바운드 트래픽에 대해서는 실행되지 않기 때문에 해당 공용 IP 주소에서 VM에 연

결할 수 없는 비대칭 경로가 생성됩니다. 기본 경로가 온-프레미스 환경에서 보급되면 온-프레미스 인터넷

연결 및 공용 IP를 사용하여 온-프레미스 네트워크에서 NAT 규칙을 구성해야 합니다.


n VM은 계산 네트워크 세그먼트에 연결해야 합니다. 정적 또는 동적(DHCP) 주소가 있는 VM에 대한

NAT 규칙을 생성할 수 있습니다. 단, DHCP 주소 할당을 사용한 VM에 대한 NAT 규칙은 VM에 규칙

에 지정된 항목과 더 이상 일치하지 않는 내부 규칙이 할당될 경우 무효화될 수 있음에 유의해야 합니

다.

n VM에 대한 공용 IP 주소를 요청해야 합니다. 공용 IP 주소 요청 또는 해제의 내용을 참조하십시오.

절차


2 네트워킹 및 보안 > NAT를 선택합니다.

3 NAT 규칙 추가를 클릭하고 규칙에 이름을 지정합니다.

4 NAT 규칙 매개 변수를 입력합니다.

옵션 설명

공용 IP VM의 프로비저닝된 공용 IP 주소가 채워집니다.

서비스 다음 중 하나를 선택합니다.

n 모든 트래픽을 선택하여 모든 트래픽에 적용되는 규칙을 생성합니다.

n 특정 프로토콜 및 포트를 사용하는 트래픽에만 적용되는 규칙을 생성하려면 나

열된 서비스 중 하나를 선택합니다.

공용 포트 서비스를 모든 트래픽으로 지정한 경우 기본 공용 포트는 임의입니다.

특정 서비스를 선택한 다음에는 규칙이 해당 서비스에 대해 할당된 공용 포트에 적

용됩니다.

내부 IP VM의 내부 IP 주소를 입력합니다.


VMware, Inc. 59


옵션 설명

내부 포트 서비스를 모든 트래픽으로 지정한 경우 기본 내부 포트는 임의입니다.

특정 서비스를 선택한 다음에는 규칙이 해당 서비스에 대해 할당된 공용 포트에 적

용됩니다.

방화벽 이 NAT 규칙을 따르는 트래픽이 방화벽 규칙에 표시되는 방식을 지정합니다. 기본

적으로 방화벽 규칙은 내부 IP 및 내부 포트의 조합과 일치합니다. 외부 주소 일치를

선택하여 방화벽 규칙이 외부 IP 및 외부 포트의 조합과 일치하게 합니다.

5 (선택 사항) 로깅을 전환하여 규칙 작업을 로깅합니다.

6 새 규칙은 기본적으로 사용되도록 설정됩니다. 사용을 전환하여 사용하지 않도록 설정합니다.

7 저장을 클릭하여 규칙을 생성합니다.

규칙이 생성되고 해당 상태가 작동으로 보고됩니다.

계산 및 관리 네트워크 간의 트래픽을 관리하는 방화벽 규칙 생성

기본 구성에서 방화벽 규칙은 계산 네트워크의 VM이 관리 네트워크의 VM에 액세스하지 못하도록 막습니

다. 개별 워크로드 VM이 관리 VM에 액세스하도록 허용하려면 워크로드 및 관리 인벤토리 그룹을 생성한

다음, 이를 참조하는 관리 게이트웨이 방화벽 규칙을 생성합니다.

절차

1 워크로드 인벤토리 그룹을 생성합니다. 하나는 관리 네트워크용이고 다른 하나는 여기에 액세스할 워

크로드 VM용입니다.

네트워킹 및 보안 탭의 인벤토리 범주에서 그룹을 클릭한 다음 워크로드 그룹을 클릭합니다. 워크로드

그룹을 두 개 생성합니다.

n 그룹 추가를 클릭하고 관리 네트워크의 CIDR 블록과 IP 주소의 멤버 유형으로 그룹을 생성합니다.

저장을 클릭하여 그룹을 생성합니다.

n 그룹 추가를 클릭하고 가상 시스템의 멤버 유형 및 vSphere 인벤토리의 멤버 VM으로 그룹을 생

성합니다. 저장을 클릭하여 그룹을 생성합니다.

2 워크로드 그룹에서 액세스할 관리 네트워크를 나타내는 관리 인벤토리 그룹을 생성합니다.

네트워킹 및 보안 탭의 인벤토리 범주에서 그룹을 클릭한 다음 관리 그룹을 클릭합니다. 그룹 추가를

클릭하고 IP주소의 멤버 유형 및 관리 네트워크 CIDR 블록으로 그룹을 생성합니다. 저장을 클릭하여

그룹을 생성합니다.

3 관리 네트워크로 아웃바운드 트래픽을 허용하는 계산 게이트웨이 방화벽 규칙을 생성합니다.

계산 게이트웨이 방화벽 규칙 생성에 대한 자세한 내용은 계산 게이트웨이 방화벽 규칙 추가 또는 수

정 항목을 참조하십시오. 워크로드 VM이 관리 VM에서 vSphere 및 PowerCLI/OVFtool에만 액세스

하면 된다고 가정하면 규칙은 포트 443에 대한 액세스만 허용하면 됩니다.


VMware, Inc. 60

표 2-22. ESXi 및 vCenter에 대한 아웃바운드 트래픽을 허용하는 계산 게이트웨이 규칙

이름 소스 대상 서비스 작업 적용 대상

포트 443의 관리

네트워크로 아웃바

운드

워크로드 VM 개

인 IP

VMC 관리 네트워

크

HTTPS 허용 모든 업링크

4 vCenter Server 및 ESXi에 대한 인바운드 트래픽을 허용하는 관리 게이트웨이 방화벽 규칙을 생성합

니다.

관리 게이트웨이 방화벽 규칙 생성에 대한 자세한 내용은 관리 게이트웨이 방화벽 규칙 추가 또는 수

정 항목을 참조하십시오. 워크로드 VM이 vCenter와 ESXi에서 vSphere, PowerCLI 또는 OVFtool에

만 액세스하면 된다고 가정하면 규칙은 포트 443에 대한 액세스만 허용하면 됩니다.

표 2-23. ESXi 및 vCenter에 대한 인바운드 트래픽을 허용하는 관리 게이트웨이 규칙

이름 소스 대상 서비스 작업

ESXi 포트 443에 인바

운드

워크로드 VM 개인 IP ESXi HTTPS(TCP 443) 허용

vCenter 포트 443에 인

바운드

워크로드 VM 개인 IP vCenter HTTPS(TCP 443) 허용


VMware, Inc. 61

모니터링 및 문제 해결 기능 구성 3NSX-T에서 제공하는 IPFIX 및 포트 미러링 기능을 사용하여 SDDC 네트워킹 및 보안을 모니터링하고 문

제를 해결합니다.

기본적으로 SDDC ESXi 호스트는 오버레이 네트워크에 액세스할 수 있기 때문에 SDDC에서 VM 워크로

드로 배포된 모니터링 및 문제 해결 애플리케이션과 통신할 수 있습니다. 단, ESXi 호스트와 워크로드 VM

이 연결되어 있는 논리적 세그먼트 사이에 트래픽을 허용하도록 방화벽을 구성해야 합니다. 계산 및 관리

네트워크 간의 트래픽을 관리하는 방화벽 규칙 생성의 내용을 참조하십시오.

n IPFIX 구성

IPFIX(Internet Protocol Flow Information Export)는 분석 정보의 문제 해결, 감사 또는 수집을 위

한 네트워크 흐름 정보의 내보내기 및 형식에 대한 표준입니다.

n 포트 미러링 구성

포트 미러링을 통해 소스에서 들어오는 모든 트래픽을 복제하고 리디렉션할 수 있습니다. 미러링된

트래픽은 GRE(Generic Routing Encapsulation) 터널 내에 캡슐화되어 수집기로 전송되기 때문에

원격 대상까지 네트워크를 통과하는 동안 원래 패킷 정보가 모두 보존됩니다.

n 연결된 VPC 정보 보기

연결된 Amazon VPC에는 SDDC와 해당 네트워크가 모두 포함됩니다. 활성 ENI, VPC 서브넷 및

VPC ID를 비롯한 이 VPC에 대한 정보는 네트워킹 및 보안 탭에서 확인할 수 있습니다.

IPFIX 구성

IPFIX(Internet Protocol Flow Information Export)는 분석 정보의 문제 해결, 감사 또는 수집을 위한 네

트워크 흐름 정보의 내보내기 및 형식에 대한 표준입니다.

논리적 세그먼트에서 흐름 모니터링을 구성할 수 있습니다. 해당 논리적 세그먼트에 연결된 VM에서 나오

는 모든 흐름이 캡처되어 IPFIX 수집기로 전송됩니다. 수집기 이름은 각 IPFIX 스위치 프로파일에 대한 매

개 변수로 지정됩니다.


논리적 세그먼트가 구성되어 있는지 확인합니다. 네트워크 세그먼트 생성 또는 수정의 내용을 참조하십시

오.

VMware, Inc. 62

절차


2 네트워킹 및 보안 > IPFIX를 선택합니다.

3 새 수집기를 추가하려면 수집기 > 새 수집기 추가를 클릭하고 수집기에 이름을 지정합니다.

수집기 IP 주소 및 포트를 입력합니다. 기본 UDP 포트는 4739입니다. IPFIX 수집기를 4개까지 추가할

수 있습니다.

4 저장을 클릭하여 수집기를 생성합니다.

5 스위치 IPFIX 프로파일을 클릭하여 스위치 IPFIX 프로파일을 생성하거나 편집합니다.

NSX-T 스위치 IPFIX 프로파일 매개 변수에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 의

스위치 IPFIX 프로파일 구성을 참조하십시오.

6 (선택 사항) 프로파일에 태그를 지정합니다.



7 저장을 클릭하여 프로파일을 생성합니다.


스위치 IPFIX 프로파일 옆에 있는 말줄임표 버튼을 클릭하고 편집을 클릭하여 구성을 변경합니다.

포트 미러링 구성

포트 미러링을 통해 소스에서 들어오는 모든 트래픽을 복제하고 리디렉션할 수 있습니다. 미러링된 트래픽

은 GRE(Generic Routing Encapsulation) 터널 내에 캡슐화되어 수집기로 전송되기 때문에 원격 대상까

지 네트워크를 통과하는 동안 원래 패킷 정보가 모두 보존됩니다.

포트 미러링은 다음과 같은 시나리오에서 사용됩니다.

n 문제 해결 - 트래픽을 분석하여 침입을 감지하고 디버그하고 네트워크 상의 오류를 진단합니다.

n 규정 준수 및 모니터링 - 분석 및 업데이트 적용을 위해 모니터링된 모든 트래픽을 네트워크 장치로 전

달합니다.

포트 미러링에는 데이터가 모니터링되는 소스 그룹과 수집된 데이터가 복사되는 대상 그룹이 포함됩니다.

소스 그룹 멤버 자격 조건의 경우 웹 그룹이나 애플리케이션 그룹과 같은 워크로드를 기반으로 VM을 그룹

화해야 합니다. 대상 그룹 멤버 자격 조건의 경우 IP 주소를 기반으로 VM을 그룹화해야 합니다.

포트 미러링에는 하나의 적용 지점이 있으며 여기에서 SDDC 환경에 정책 규칙을 적용할 수 있습니다.

포트 미러링의 트래픽 방향은 수신, 송신 또는 양방향 트래픽입니다.

n 수신은 VM에서 논리적 네트워크로 향하는 아웃바운드 네트워크 트래픽입니다.

n 송신은 논리적 네트워크에서 VM으로 향하는 인바운드 네트워크 트래픽입니다.


VMware, Inc. 63


https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-3458F2B3-089E-4BFC-8348-705172F2B802.html



n 양방향은 VM에서 논리적 네트워크로 향하고, 논리적 네트워크에서 VM으로 향하는 두 방향 트래픽입

니다. 기본 옵션입니다.

NSX-T와의 포트 미러링에 대한 자세한 내용은 "NSX-T Data Center 관리 가이드" 의 포트 미러링 프로파

일 추가를 참조하십시오.


IP 주소 및 VM 멤버 자격 조건이 있는 워크로드가 사용 가능한지 확인합니다. 계산 그룹 추가 또는 수정의

내용을 참조하십시오.

절차


2 네트워킹 및 보안 > 포트 미러링을 선택합니다.

3 포트 미러링 페이지에서 프로파일 추가를 클릭하고 프로파일에 이름 및 선택적 설명을 지정합니다.

4 프로파일 매개 변수를 지정합니다.

매개 변수 설명

방향 드롭다운 목록에서 트래픽 방향을 선택합니다.

스냅 길이 패킷에서 캡처할 바이트 수를 지정합니다.

소스 소스에는 세그먼트, 세그먼트 포트, VM 그룹 및 vNIC 그룹이 포함될 수 있습니다.

대상 대상은 최대 3개 IP 주소의 그룹입니다. 기존 인벤토리 그룹을 사용하거나 대상 설정 페이지에서 새 항목을 생성할 수 있습니다.

캡슐화 유형 GRE여야 합니다.

GRE 키 특정 GRE 데이터 스트림을 식별하는 값입니다. RFC 6245를 참조하십시오.

5 (선택 사항) 포트 미러링 프로파일에 태그를 지정합니다.



6 저장을 클릭하여 세션을 저장합니다.


포트 미러링 프로파일 옆에 있는 말줄임표 버튼을 클릭하고 편집을 선택하여 구성을 변경합니다.

연결된 VPC 정보 보기

연결된 Amazon VPC에는 SDDC와 해당 네트워크가 모두 포함됩니다. 활성 ENI, VPC 서브넷 및 VPC ID

를 비롯한 이 VPC에 대한 정보는 네트워킹 및 보안 탭에서 확인할 수 있습니다.


VMware, Inc. 64

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-DBF4B64F-5F77-4255-95BF-73C9A87518C2.html

https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/3.0/administration/GUID-DBF4B64F-5F77-4255-95BF-73C9A87518C2.html





네트워킹 및 보안 탭의 시스템 범주에서 연결된 VPC를 클릭하여 연결된 Amazon VPC페이지를 열면 다

음 정보가 제공됩니다.

AWS 계정 ID

SDDC를 생성할 때 지정한 AWS 계정 ID입니다.

VPC ID

이 VPC의 AWS ID입니다.

VPC 서브넷

SDDC를 생성할 때 지정한 VPC 서브넷의 AWS ID입니다.

활성 네트워크 인터페이스

이 VPC의 VMC가 사용하는 ENI에 대한 식별자입니다.

IAM 역할 이름

이 VPC에 정의된 AWS ID 및 액세스 관리 역할 이름입니다. "VMware Cloud on AWS 운영 가이드"

의 AWS 역할 및 사용 권한을 참조하십시오.

CloudFormation 스택 이름

SDDC를 생성하는 데 사용되는 AWS CloudFormation 스택의 이름입니다.

서비스 액세스

이 VPC에서 사용하도록 설정된 AWS 서비스 목록입니다.


VMware, Inc. 65

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-DE8E80A3-5EED-474C-AECD-D30534926615.html

Documents

VMware Cloud on AWS 네트워킹 및 보안 - VMware Cloud on AWS · 2020. 8. 10. · 온 프레미스 데이터 센터를 VMware Cloud on AWS SDDC에 연결하려면 공용 인터넷을