VMware Cloud on AWS를 사용하여 SDDC에서 워크로드를 실행하기 시작하려면 온-프레미스 데이터 센터를 SDDC에 연결하는 네트워크를 설정해야 합니다. 이 네트워크에는 AWS Direct Connect, IPsec VPN 또는 둘 모두를 통한 전용 연결이 포함될 수 있습니다.

Direct Connect를 통해 IPsec VPN 트래픽을 라우팅하면 더 적은 비용으로 더 나은 성능을 제공할 수 있지만, 우선 인터넷을 통해 SDDC에 연결하는 IPsec VPN을 설정하고 나중에 Direct Connect를 사용하도록 VPN을 재구성할 수 있습니다.

새 SDDC의 네트워킹 및 보안 탭을 열면 네트워킹 및 보안 설정 마법사를 실행하여 Direct Connect 및 VPN을 구성하고, SDDC에서 vCenter에 액세스하고, 필요한 경우 기본 DNS 서버를 변경하는 데 필요한 단계를 안내받을 수 있습니다.

인터넷을 통해 온-프레미스 데이터 센터를 SDDC에 연결하는 경로 기반 VPN만 설정하려면 다음 단계를 수행하면 됩니다.

사전 요구 사항

네트워킹 및 보안 탭에서 기능을 보고 구성하려면 NSX 관리자 서비스 역할이 있어야 합니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 조직 멤버에게 NSX 서비스 역할 할당을 참조하십시오.

프로시저

  1. SDDC에서 경로 기반 VPN을 생성합니다.
    경로 기반 VPN은 IPsec 터널 인터페이스를 생성하고 이 인터페이스를 통해 SDDC 라우팅 테이블에 지정된 대로 트래픽을 라우팅합니다. 경로 기반 VPN은 여러 서브넷에 대해 복원력이 있고 안전한 액세스를 제공합니다. 경로 기반 VPN을 사용하면 새 네트워크가 생성될 때 새 경로가 자동으로 추가됩니다. " VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 경로 기반 VPN 생성을 참조하십시오.
  2. 온-프레미스 IPsec VPN을 구성합니다.
    NSX 또는 IPsec VPN을 종료할 수 있는 다른 디바이스를 사용할 수 있습니다.
    중요:

    IPsec VPN의 SDDC 쪽에는 시간 기반 키 재생성만 지원됩니다. 온-프레미스 디바이스는 lifebytes 키 재생성을 사용하지 않도록 설정해야 합니다.

    VPN의 온-프레미스 쪽에 유휴 시간 초과가 발생하도록 구성하지 마십시오(예: NSX 세션 유휴 시간 초과 설정). 온-프레미스 유휴 시간 초과로 인해 주기적으로 VPN 연결이 끊어질 수 있습니다.

    1. 온-프레미스 VPN 게이트웨이가 방화벽 뒤에 있는 경우에는 IPsec 프로토콜 트래픽을 전달하도록 해당 방화벽을 구성해야 합니다.
      • UDP 포트 500을 열어 ISAKMP(Internet Security Association and Key Management Protocol) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
      • IP 프로토콜 ID 50을 설정하여 IPsec ESP(Encapsulating Security Protocol) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
      • IP 프로토콜 ID 51을 설정하여 AH(Authentication Header) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
    2. SDDC IPsec VPN 구성 파일을 다운로드합니다.
      이 파일의 내용 및 온-프레미스 VPN 끝점을 구성하는 데 도움이 되도록 이 파일을 사용하는 방법에 대한 자세한 내용은 " VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 IPsec VPN 설정 참조를 참조하십시오.
  3. (선택 사항) 네트워크 세그먼트를 생성합니다.
    단일 호스트 스타터 SDDC는 sddc-cgw-network-1이라는 라우팅된 단일 네트워크 세그먼트로 생성됩니다. 다중 호스트 SDDC는 기본 네트워크 세그먼트 없이 생성되므로 워크로드 VM에 대해 적어도 하나를 생성해야 합니다. " VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 네트워크 세그먼트 생성을 참조하십시오.
  4. 관리 게이트웨이에서 몇 가지 기본 방화벽 규칙을 생성합니다.
    기본적으로 관리 게이트웨이는 모든 소스에서 모든 대상으로 흐르는 트래픽을 차단합니다. 관리 게이트웨이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다. " VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 관리 게이트웨이 방화벽 규칙 추가 또는 수정을 참조하십시오.
  5. 관리 네트워크 개인 DNS를 구성합니다.
    관리 게이트웨이, ESXi 호스트 및 관리 VM이 FQDN(정규화된 도메인 이름)을 관리 네트워크의 IP 주소로 확인할 수 있도록 개인 DNS 서버의 주소를 지정합니다. vMotion을 사용한 마이그레이션, 콜드 마이그레이션 또는 하이브리드 연결 모드 같은 기능을 사용하려면 vCenter Server 확인을 VPN에서 확인 가능한 개인 IP 주소로 전환해야 합니다. " VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 HCX FQDN 확인 주소 설정을 참조하십시오.