제공자 및 테넌트 Google Cloud 프로젝트를 설정하고, 구성하고, SDDC를 배포하고, VMware Cloud Director service와 연결하기 위해 따라야 하는 수동 배포 프로세스에 대한 개요입니다.

아래 절차에서는 Google Cloud VMware Engine을 사용하여 VMware Cloud Director service를 성공적으로 구성하는 데 필요한 정보를 제공하지만 Google Cloud Console 또는 NSX Manager를 사용하는 데 필요한 전체 단계 및 지침을 포함하지는 않습니다. 자세한 지침을 보려면 Google Cloud 설명서 및 "NSX 관리 가이드" 가이드에 대한 관련 링크를 따르십시오.

사전 요구 사항

Google Cloud에서 제공자 및 테넌트 프로젝트를 구성하는 데 필요한 권한이 있는지 확인합니다.

제공자 프로젝트 구성

Google Cloud VMware Engine 리소스 사용을 시작하려면 제공자 클라우드 및 제공자 관리 네트워크를 구성해야 합니다.

프로시저

  1. Google Cloud Console의 제공자 프로젝트에서 클라우드 DNS API를 활성화합니다. "Google Cloud VMware Engine" 설명서에서 클라우드 DNS API 사용을 참조하십시오.
  2. VMware Engine Portal에 액세스하고 요청 메시지가 표시되면 해당 API를 활성화합니다. "Google Cloud VMware Engine" 설명서에서 VMware Engine Portal에 액세스를 참조하십시오.
  3. Google Cloud Console에서 VPC 네트워크를 생성합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 VPC 네트워크 생성 및 관리를 참조하십시오.
    • 네트워크에 대한 의미 있는 이름을 입력합니다.
    • 지역 텍스트 상자에서 환경이 있는 지역을 선택합니다.
    • 서브넷 구성에 RFC 1918 주소 공간 외부의 범위가 포함되어 있는지 확인하려면 이 확인란을 선택합니다.
    • 개인 Google 액세스를 활성화하려면 라디오 버튼을 선택합니다.
    • 글로벌 동적 라우팅 모드를 선택하고 최대 MTU를 1500으로 설정합니다.
  4. Google Cloud Platform에 대한 개인 서비스 연결을 구성하고 IP 범위를 할당할 때 생성된 네트워크에 연결합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 개인 서비스 액세스 구성을 참조하십시오.

Google Cloud VMware Engine SDDC 설정

테넌트가 사용할 리소스 제공을 시작하려면 SDDC를 생성해야 합니다.

프로시저

  1. 사설 클라우드를 생성합니다. "Google Cloud VMware Engine" 설명서에서 VMware Engine 사설 클라우드 생성을 참조하십시오.
    • 클라우드에 대한 위치로 SDDC를 생성할 Google Cloud Platform 데이터 센터를 선택합니다.
    • 노드 유형으로 최소 4개의 노드가 있는 다중 노드를 선택합니다.
  2. SDDC와 제공자 프로젝트 간에 개인 연결을 생성합니다. "Google Cloud VMware Engine" 설명서에서 VMware Engine Portal에서 개인 연결 생성 완료를 참조하십시오.
    • 서비스 텍스트 상자에서 VPC 네트워크를 선택합니다.
    • 지역 텍스트 상자에서 사설 클라우드를 생성한 지역을 선택합니다.
    • 피어 프로젝트 ID 텍스트 상자에 제공자 프로젝트 이름을 입력합니다.
      팁: Google Cloud Platform을 별도의 탭에서 열고 프로젝트 정보에서 제공자 프로젝트 이름을 복사합니다.
    • 피어 프로젝트 번호에 제공자 프로젝트 번호를 입력합니다.
      팁: [Google Cloud Platform] 탭에서 프로젝트 정보의 제공자 프로젝트 이름 아래에 있는 제공자 프로젝트 번호를 복사합니다.
    • 피어 VPC ID 텍스트 상자에 제공자 관리 네트워크의 ID 이름을 입력합니다.
    • 테넌트 프로젝트 ID 텍스트 상자에 테넌트 프로젝트의 ID를 입력합니다.
      팁: 테넌트 프로젝트 ID를 찾으려면 왼쪽 창에서 VPC 네트워크 > VPC 네트워크 피어링을 클릭합니다. 오른쪽 창에서 피어링된 프로젝트 ID 값을 복사합니다.
    • 라우팅 모드 드롭다운 메뉴에서 글로벌을 선택합니다.
    몇 분 후 지역 상태가 [연결됨]으로 표시됩니다.
  3. servicenetworking VPC 네트워크의 피어링 연결을 사용자 지정 경로 가져오기 및 내보내기 둘 다로 업데이트합니다. 설명서에서 피어링 연결 업데이트 "Google Cloud VPC(Virtual Private Cloud)" 를 참조하십시오.
  4. 지역에 대해 인터넷 액세스 및 공용 IP 네트워크 서비스를 활성화합니다. "Google Cloud VMware Engine" 설명서에서 지역에 대해 인터넷 액세스 및 공용 IP 네트워크 서비스 사용을 참조하십시오.

테넌트 프로젝트 구성

테넌트 프로젝트에 리소스를 제공하려면 테넌트 서비스 네트워크 및 피어링 연결을 구성합니다.

프로시저

  1. Google Cloud Console에서 테넌트 프로젝트로 이동하고 기본 VPC 네트워크를 삭제합니다.
  2. 새 VPC 네트워크를 생성합니다.
    • 지역 텍스트 상자에서 SDDC가 있는 지역을 선택합니다.
    • 서브넷 구성에 RFC 1918 주소 공간 외부의 범위가 포함되어 있는지 확인하려면 이 확인란을 선택합니다.
    • 개인 Google 액세스를 활성화하려면 라디오 버튼을 선택합니다.
    • [서브넷] 섹션에서 완료를 선택합니다.
    • 글로벌 동적 라우팅 모드를 선택합니다.
    • 최대 MTU를 1500으로 설정합니다.
  3. Google Cloud Platform에 대한 개인 서비스 연결을 구성하고 서비스 연결에서 사용할 내부 IP 범위를 할당합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 개인 서비스 액세스 구성을 참조하십시오.
  4. 3단계에서 생성한 피어링 연결을 사용자 지정 경로 가져오기 및 내보내기 둘 다로 업데이트합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 피어링 연결 업데이트를 참조하십시오.
  5. Google Cloud VMware Engine Portal에서 개인 연결을 생성합니다. "Google Cloud VMware Engine" 설명서에서 VMware Engine Portal에서 개인 연결 생성 완료를 참조하십시오.
    • 서비스 드롭다운 메뉴에서 VPC 네트워크를 선택합니다.
    • 지역 드롭다운 메뉴에서 사설 클라우드를 생성한 지역을 선택합니다.
    • 피어 프로젝트 ID 텍스트 상자에 제공자 프로젝트 이름을 입력합니다.
      팁: 별도의 탭에서 Google Cloud Console을 열고 프로젝트 정보에서 제공자 프로젝트 이름을 복사합니다.
    • 피어 프로젝트 번호 텍스트 상자에 프로젝트 번호를 입력합니다.
    • 피어 VPC ID 텍스트 상자에 2단계에서 생성한 테넌트 VPC 네트워크의 이름을 입력합니다.
    • 테넌트 프로젝트 ID 텍스트 상자에 테넌트 프로젝트의 ID를 입력합니다.
      참고: 테넌트 프로젝트 ID를 찾으려면 왼쪽 창에서 VPC 네트워크 > VPC 네트워크 피어링을 클릭합니다. 오른쪽 창에서 피어링된 프로젝트 ID 값을 복사합니다.
    • 라우팅 모드 드롭다운 메뉴에서 글로벌을 선택합니다.

다음에 수행할 작업

추가 테넌트 프로젝트를 구성하려면 각 프로젝트에 대해 이러한 단계를 반복합니다.

제공자 프로젝트에서 점프 호스트 생성 및 네트워크 액세스 허용

제공자 프로젝트의 점프 호스트를 사용하여 원격 네트워크의 vCenter Server, NSX Manager 및 기타 서비스에 대한 액세스를 제어할 수 있습니다.

프로시저

  1. 제공자 프로젝트에서 사설 클라우드와 동일한 지역 및 영역에 Windows Server VM 인스턴스를 생성합니다. "Google Cloud Compute Engine" 설명서에서 Windows Server VM 인스턴스 생성을 참조하십시오.
  2. 네트워킹, 디스크, 보안, 관리, 단독 테넌시에서 제공자 관리 네트워크에 대한 네트워크 인터페이스를 편집합니다.
  3. VM 인스턴스 세부 정보에서 VM에 대한 Windows 암호를 설정하고 기록해 둡니다.
  4. 수신 트래픽을 허용하는 방화벽 규칙을 생성합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 방화벽 규칙 생성을 참조하십시오.
    • 규칙의 고유하고 의미 있는 이름(예: 제공 중인 서비스)을 입력합니다.
    • 네트워크에서 제공자 관리 네트워크를 선택합니다.
    • 트래픽 방향에서 수신을 선택합니다.
    • 대상으로 네트워크의 모든 인스턴스를 선택합니다.
    • 소스 필터IP 범위를 선택하고 텍스트 상자에 0.0.0.0/0을 입력하여 네트워크의 소스를 허용합니다.
    • 프로토콜 및 포트 텍스트 상자에서 TCP 3389를 선택합니다.
  5. 제공자 프로젝트 내에서 east-west 트래픽을 허용하는 방화벽 규칙을 생성합니다.
    • 규칙의 고유하고 의미 있는 이름(예: east-west)을 입력합니다.
    • 네트워크에서 제공자 관리 네트워크를 선택합니다.
    • 트래픽 방향에서 송신을 선택합니다.
    • 대상으로 네트워크의 모든 인스턴스를 선택합니다.
    • 소스 필터IP 범위를 선택하고 텍스트 상자에 관리 네트워크의 범위를 입력합니다.
    • 프로토콜 및 포트 텍스트 상자에서 모두 허용을 선택합니다.
  6. RDP(원격 데스크톱 프로토콜) 통신에 사용할 VM 인스턴스의 외부 IP 주소를 기록해 둡니다.
  7. 외부 IP 및 Windows 자격 증명을 사용하여 새로 생성된 VM에 로그인할 수 있는지 확인합니다.

VMware Cloud Director 인스턴스 생성

테넌트 별로 클라우드 리소스를 할당하려는 모든 지역에 대해 하나 이상의 VMware Cloud Director 인스턴스를 생성합니다.

프로시저

  1. Google Cloud VMware Engine 용량이 있는 지역에서 VMware Cloud Director 인스턴스를 생성합니다. VMware Cloud Director 인스턴스를 생성하는 방법의 내용을 참조하십시오.
  2. VMware Cloud Director 인스턴스 도메인 이름을 업데이트합니다. VMware Cloud Director 인스턴스의 DNS 및 인증서 설정을 사용자 지정하는 방법의 내용을 참조하십시오.

VMware 역방향 프록시를 통해 SDDC 연결

공개적으로 액세스할 수 없고 VMware Cloud Director service 환경 내에서 인터넷에 대한 아웃바운드 액세스만 있는 인프라 리소스를 사용하려면 VMware 프록시 서비스를 사용하도록 VMware Cloud Director 인스턴스를 설정해야 합니다.

프로시저

  1. 점프 호스트 VM에서 VMware Cloud Partner Navigator에 로그인하고 VMware Cloud Director service로 이동한 후 프록시 장치를 생성합니다. VMware 역방향 프록시 OVA를 구성하고 다운로드하는 방법을 참조하십시오.
  2. 프록시 장치 연결을 확인합니다.
    1. 프록시 장치에 루트로 로그인합니다.
    2. 장치에 IP 주소를 획득했는지 확인하려면 ip a를 실행합니다.
    3. 서비스가 활성 상태이고 실행 중인지 확인하려면 systemctl status transporter-client.service를 실행합니다.
      참고: 명령으로 인해 오류가 발생하면 DNS가 작동하는지와 인터넷에 액세스할 수 있는지 확인합니다.
    4. 프록시 장치의 연결을 확인하려면 transporter-status.sh를 실행합니다.
    5. 이 명령을 실행하여 프록시 장치의 문제를 진단합니다. 
      diagnose.sh -o OUTPUT_FILE
      VMware Cloud Director service 프록시 클라이언트 장치의 문제를 해결하는 방법 항목을 참조하십시오.
  3. VMware Cloud Director service에서 프록시를 생성한 VMware Cloud Director 인스턴스로 이동하고 VMware 프록시를 통해 데이터 센터를 연결합니다. VMware 프록시를 통해 VMware Cloud Director 인스턴스를 SDDC에 연결하는 방법을 참조하십시오.
    SDDC 연결 중에 제공자 VDC를 생성하려면 인프라 리소스 생성 확인란을 선택합니다.

결과

작업이 완료되면 SDDC가 VMware Cloud Director 인스턴스 UI에 제공자 VDC로 표시됩니다.

IPsec 터널 배포 및 구성

IPsec 터널을 통해 제공자 VDC의 Tier-1 게이트웨이에 연결하도록 테넌트 프로젝트에서 VPN 장치를 배포하고 구성합니다.

프로시저

  1. 테넌트 프로젝트에서 VPN 장치에 대한 액세스를 관리하는 방화벽 규칙을 생성합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 방화벽 규칙 구성을 참조하십시오.
    1. 수신 규칙을 생성합니다.
      • 규칙의 고유하고 의미 있는 이름(예: gcve-transit)을 입력합니다.
      • 네트워크tenantname-transit을 입력합니다.
      • 우선 순위100을 입력합니다.
      • 트래픽 방향에서 수신을 선택합니다.
      • 일치 시 작업으로 허용을 선택합니다.
      • 대상으로 네트워크의 모든 인스턴스를 선택합니다.
      • 소스 필터IP 범위를 선택하고 전송 네트워크의 범위(예: 100.64.0.0/16)를 입력합니다.
      • 프로토콜 및 포트 텍스트 상자에서 모두 허용을 선택합니다.
    2. 송신 규칙을 생성합니다.
      • 규칙의 고유하고 의미 있는 이름(예: ipsec-egress)을 입력합니다.
      • 네트워크tenantname-transit을 선택합니다.
      • 우선 순위100을 입력합니다.
      • 트래픽 방향에서 송신을 선택합니다.
      • 일치 시 작업으로 허용을 선택합니다.
      • 대상으로 네트워크의 모든 인스턴스를 선택합니다.
      • 소스 필터IP 범위를 선택하고 전송 네트워크의 범위(예: 100.64.0.0/16)를 입력합니다.
      • 프로토콜 및 포트 텍스트 상자에서 IPsec 포트를 선택합니다.
  2. 테넌트 프로젝트에서 IPSec VPN 터널에 사용할 CentOS 7 Linux VM을 배포하고 연결합니다. "Google Cloud Compute Engine" 설명서에서 계산 엔진에서 Linux VM 인스턴스 생성을 참조하십시오.
  3. 네트워킹, 디스크, 보안, 관리, 단독 테넌시 아래에서 IP 전달을 활성화하고 tenantname-transit 네트워크에 대한 네트워크 인터페이스를 편집합니다.
  4. Linux VM 네트워크 설정을 편집하여 네트워크의 태그 이름을 추가합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 네트워크 태그 구성을 참조하십시오.
    이 태그는 제공자가 원하는 태그일 수 있지만 인터넷을 가리키는 모든 경로에서 균일해야 하며 제공자 소유 고객 프로젝트에서 인터넷 액세스가 필요할 수 있는 모든 VM에 적용되어야 합니다.
  5. Linux VM에서 IPsec 구현을 설치하고 구성합니다.
  6. 테넌트 프로젝트에서 IPsec VPN 경로를 생성합니다. "Google Cloud VPC(Virtual Private Cloud)" 설명서에서 고정 경로 추가를 참조하십시오.
    • 경로에 대한 의미 있는 이름을 입력합니다.
    • 네트워크tenantname-transit을 선택합니다.
    • 대상 IP 범위로 테넌트에 대한 SDDC의 범위를 입력합니다.
    • 우선 순위100을 입력합니다.
    • 다음 홉으로 인스턴스 지정을 선택합니다.
    • 다음 홉 인스턴스로 IPsec VPN을 설치하고 구성한 VM을 입력합니다.

NSX Manager에서 IPsec VPN 및 테넌트 방화벽 규칙 구성

테넌트 워크로드의 네트워크 연결을 보호하려면 IPsec VPN 및 방화벽 규칙을 구성합니다.

프로시저

  1. Google Cloud VMware Engine SDDC를 관리하는 VMware Cloud Director 인스턴스에서 IPsec VPN을 구성합니다. NSX 정책 기반 IPSec VPN 구성을 참조하십시오.
  2. 제공자 점프 호스트를 통해 NSX Manageradmin으로 로그인하고 테넌트 Tier-1 게이트웨이에서 방화벽 규칙을 구성합니다. "NSX 관리 가이드" 에서 게이트웨이 방화벽 정책 및 규칙 추가를 참조하십시오.
    1. 방화벽 규칙을 추가합니다.
      • 소스로 원격 테넌트 프로젝트의 CIDR 블록을 추가합니다.
      • 대상 열에서 임의를 선택합니다.
      • 서비스 열에서 임의를 선택합니다.
      • 작업 열에서 허용을 선택합니다.
    2. 아웃바운드 방화벽 규칙을 추가합니다.
      • 소스로 로컬 네트워크에 대해 임의를 선택하거나 단일 CIDR로 잠글 수 있습니다.
      • 대상 열에 Google Cloud Platform 테넌트 프로젝트의 CIDR 블록을 입력합니다.
      • 작업 열에서 허용을 선택합니다.
    3. 두 규칙을 모두 게시합니다.