VMware Cloud Director 환경에서 NSX Data Center for vSphere 소프트웨어를 사용하면 Edge 게이트웨이에서 NAT(네트워크 주소 변환) 서비스를 제공할 수 있습니다. 이 기술을 사용하면 조직에서 사용해야 하는 공개 IP 주소의 수를 줄일 수 있기 때문에 경제적 이점과 보안 이점을 누릴 수 있습니다.

Edge 게이트웨이 NAT 서비스는 개인 네트워크의 가상 시스템 또는 가상 시스템 그룹에 공개 주소를 할당하는 기능을 제공합니다. Edge 게이트웨이가 조직 가상 데이터 센터의 개인 주소 지정 가상 시스템에서 실행 중인 서비스에 대해 액세스를 제공하도록 하려면 Edge 게이트웨이에서 NAT 규칙을 구성해야 합니다. 가장 일반적인 경우, 조직 가상 데이터 센터 네트워크의 주소가 외부 네트워크에 노출되지 않도록 NAT 서비스를 VMware Cloud Director 환경의 Edge 게이트웨이에 있는 업링크 인터페이스에 연결합니다.

NAT 서비스 구성은 SNAT(소스 NAT) 규칙과 DNAT(대상 NAT) 규칙으로 구분됩니다. VMware Cloud Director 환경의 Edge 게이트웨이에 SNAT 또는 DNAT 규칙을 구성할 때는 항상 조직 가상 데이터 센터의 관점에서 규칙을 구성해야 합니다. 특히, 이것은 다음과 같은 방식으로 규칙을 구성해야 함을 의미합니다.

  • SNAT: 트래픽이 조직 가상 데이터 센터의 내부 네트워크에 있는 가상 시스템(소스)에서 인터넷을 통해 외부 네트워크(대상)로 이동합니다. SNAT 규칙은 조직 가상 데이터 센터 네트워크에서 외부 네트워크나 다른 조직 가상 데이터 센터 네트워크로 전송되는 송신 패킷 소스 IP 주소를 변환합니다.
  • DNAT: 트래픽이 인터넷(소스)에서 조직 가상 데이터 센터 내부의 가상 시스템(대상)으로 이동합니다. DNAT 규칙은 외부 네트워크 또는 다른 조직 가상 데이터 센터 네트워크에서 들어오는 조직 가상 데이터 센터 네트워크에서 수신한 패킷의 IP 주소(필요한 경우 포트 포함)를 변환합니다.

NAT 규칙을 구성하여 조직 가상 데이터 센터 내부에 개인 IP 주소 공간을 생성할 수 있습니다. 이 구성을 통해 하나의 조직 가상 데이터 센터에서 다른 데이터 센터로 개인 IP 주소 공간을 포팅할 수 있습니다. NAT 규칙을 구성하면 다른 조직의 가상 데이터 센터에서 사용되었던 동일한 개인 IP 주소를 사용자 조직 가상 데이터 센터의 가상 시스템에도 사용할 수 있습니다.

VMware Cloud Director 환경의 NAT 규칙 기능은 다음을 지원합니다.

  • 개인 IP 주소 공간 내에 서브넷 생성
  • Edge 게이트웨이에 대해 여러 개의 개인 IP 주소 공간 생성
  • 여러 Edge 게이트웨이 인터페이스에서 여러 NAT 규칙 구성
중요: Edge 게이트웨이 네트워크의 가상 시스템에 액세스할 수 있으려면 Edge 게이트웨이에서 방화벽 및 NAT 규칙을 모두 구성해야 합니다. 기본적으로 Edge 게이트웨이는 Edge 게이트웨이 네트워크의 가상 시스템에서 들어오고 나가는 모든 네트워크 트래픽을 거부하도록 구성된 방화벽 규칙으로 배포됩니다. 또한 NAT는 Edge 게이트웨이에서 기본적으로 비활성화되므로 Edge 게이트웨이에서 NAT를 구성하는 경우가 아니면 Edge 게이트웨이가 수신 트래픽과 송신 트래픽의 IP 주소를 변환할 수 없습니다. 방화벽 규칙을 추가하여 해당 트래픽을 허용하지 않으면 NAT 규칙을 구성한 후 네트워크에서 가상 시스템에 대해 ping을 시도했을 때 ping이 실패합니다.

SNAT 또는 DNAT 규칙 추가

SNAT(소스 NAT) 규칙을 만들어 소스 IP 주소를 공개 IP 주소에서 개인 IP 주소로 또는 그 반대로 변경할 수 있습니다. DNAT(대상 NAT) 규칙을 만들어 대상 IP 주소를 공개 IP 주소에서 개인 IP 주소로 또는 그 반대로 변경할 수 있습니다.

NAT 규칙을 만들 때 다음 형식을 사용하여 원래 IP 주소와 변환된 IP 주소를 지정할 수 있습니다.

  • IP 주소(예: 192.0.2.0)
  • IP 주소 범위(예: 192.0.2.0-192.0.2.24)
  • IP 주소/서브넷 마스크(예: 192.0.2.0/24)
  • any

VMware Cloud Director 환경의 Edge 게이트웨이에 SNAT 또는 DNAT 규칙을 구성할 때는 항상 조직 가상 데이터 센터의 관점에서 규칙을 구성해야 합니다. SNAT 규칙은 조직 가상 데이터 센터 네트워크에서 외부 네트워크 또는 다른 조직 가상 데이터 센터 네트워크로 전송되는 패킷의 소스 IP 주소를 변환합니다. DNAT 규칙은 외부 네트워크 또는 다른 조직 가상 데이터 센터 네트워크에서 들어오는 조직 가상 데이터 센터 네트워크에서 수신한 패킷의 IP 주소(필요한 경우 포트 포함)를 변환합니다.

사전 요구 사항

규칙을 추가할 NSX Data Center for vSphere Edge 게이트웨이 인터페이스에 공개 IP 주소가 추가된 상태여야 합니다. DNAT 규칙의 경우 원래(공용) IP 주소가 Edge 게이트웨이 인터페이스에 추가되어 있어야 하고 SNAT 규칙의 경우 변환된(공용) IP 주소가 인터페이스에 추가되어 있어야 합니다.

프로시저

  1. Edge 게이트웨이 서비스를 엽니다.
    1. 위쪽 탐색 모음에서 네트워킹을 클릭하고 Edge 게이트웨이를 클릭합니다.
    2. 편집할 Edge 게이트웨이를 선택하고 서비스를 클릭합니다.
  2. NAT를 클릭하여 [NAT 규칙] 화면을 표시합니다.
  3. 만드는 NAT 규칙의 유형에 따라 DNAT 규칙 또는 SNAT 규칙을 클릭합니다.
  4. 대상 NAT 규칙(외부에서 내부로 들어옴)을 구성합니다.
    옵션 설명
    적용 대상 규칙을 적용할 인터페이스를 선택합니다.
    원래 IP/범위

    필요한 IP 주소를 입력하거나 목록에서 할당된 IP 주소를 선택합니다.

    이 주소는 DNAT 규칙을 구성하는 Edge 게이트웨이의 공개 IP 주소여야 합니다. 검사 중인 패킷에서 이 IP 주소 또는 범위는 패킷의 대상 IP 주소로 나타나는 주소 또는 범위입니다. 이러한 패킷 대상 주소가 이 DNAT 규칙에 의해 변환됩니다.

    프로토콜 규칙을 적용할 프로토콜을 선택합니다. 모든 프로토콜에 이 규칙을 적용하려면 임의를 선택합니다.
    원래 포트 (선택 사항) 수신 트래픽이 Edge 게이트웨이에서 가상 시스템이 연결된 내부 네트워크에 연결할 때 사용하는 포트 또는 포트 범위를 선택합니다. 프로토콜ICMP 또는 임의로 설정된 경우에는 포트 또는 포트 범위를 선택할 수 없습니다.
    ICMP 유형 ICMP(디바이스 간 오류 정보 전달에 사용되는 오류 보고 및 진단 유틸리티)를 프로토콜로 선택하는 경우 드롭다운 메뉴에서 ICMP 유형을 선택합니다.

    ICMP 메시지는 유형 필드로 식별됩니다. 기본적으로 ICMP 유형은 [임의]로 설정됩니다.

    변환된 IP/범위 인바운드 패킷의 대상 주소를 변환할 IP 주소 또는 IP 주소 범위를 입력합니다.

    이러한 주소는 외부 네트워크의 트래픽을 수신할 수 있도록 DNAT를 구성하는 하나 이상의 가상 시스템에 대한 IP 주소입니다.

    변환된 포트 (선택 사항) 인바운드 트래픽이 내부 네트워크의 가상 시스템에서 연결하는 포트 또는 포트 범위를 선택합니다. 이러한 포트는 DNAT 규칙이 가상 시스템에 대한 인바운드 패킷에 대해 변환하는 포트입니다.
    소스 IP 주소 규칙을 특정 도메인의 트래픽에 대해서만 적용하려는 경우 이 도메인에 대한 IP 주소 또는 IP 주소 범위를 CIDR 형식으로 입력합니다. 이 텍스트 상자를 비워 두는 경우 DNAT 규칙이 로컬 서브넷의 모든 IP 주소에 적용됩니다.
    소스 포트 (선택 사항) 소스에 대한 포트 번호를 입력합니다.
    설명 (선택 사항) DNAT 규칙에 대한 의미 있는 설명을 입력합니다.
    사용 이 규칙을 활성화하려면 토글을 설정합니다.
    로깅 사용 이 규칙에 의해 수행된 주소 변환을 기록하려면 토글을 켭니다.
  5. 소스 NAT 규칙(내부에서 외부로 나감)을 구성합니다.
    옵션 설명
    적용 대상 규칙을 적용할 인터페이스를 선택합니다.
    원래 소스 IP/범위 이 규칙에 적용할 원래 IP 주소 또는 IP 주소 범위를 입력하거나 목록에서 할당된 IP 주소를 선택합니다.

    이러한 주소는 외부 네트워크로 트래픽을 전송할 수 있도록 SNAT 규칙을 구성하는 하나 이상의 가상 시스템에 대한 IP 주소입니다.

    변환된 소스 IP/범위 필요한 IP 주소를 입력합니다.

    이 주소는 항상 SNAT 규칙을 구성하는 게이트웨이의 공개 IP 주소입니다. 외부 네트워크로 트래픽을 전송할 때 아웃바운드 패킷의 소스 주소(가상 시스템)를 변환할 IP 주소를 지정합니다.

    대상 IP 주소 (선택 사항) 규칙을 특정 도메인으로 전송되는 트래픽에 대해서만 적용하려는 경우 이 도메인에 대한 IP 주소 또는 IP 주소 범위를 CIDR 형식으로 입력합니다. 이 텍스트 상자를 비워 두는 경우 SNAT 규칙이 로컬 서브넷 외부의 모든 대상에 적용됩니다.
    대상 포트 (선택 사항) 대상에 대한 포트 번호를 입력합니다.
    설명 (선택 사항) SNAT 규칙에 대한 의미 있는 설명을 입력합니다.
    사용 이 규칙을 활성화하려면 토글을 설정합니다.
    로깅 사용 이 규칙에 의해 수행된 주소 변환을 기록하려면 토글을 켭니다.
  6. 유지를 클릭하여 화면에 표시된 테이블에 규칙을 추가합니다.
  7. 추가 규칙을 구성하려면 단계를 반복합니다.
  8. 변경 내용 저장을 클릭하여 시스템에 규칙을 저장합니다.

다음에 수행할 작업

방금 구성한 SNAT 또는 DNAT 규칙에 대해 해당하는 Edge 게이트웨이 방화벽 규칙을 추가합니다. NSX Data Center for vSphere Edge 게이트웨이 방화벽 규칙 추가의 내용을 참조하십시오.