VMware Cloud on AWS를 사용하여 SDDC에서 워크로드를 실행하기 시작하려면 온-프레미스 데이터 센터를 SDDC에 연결하는 네트워크를 설정해야 합니다.이 네트워크에는 AWS Direct Connect, IPsec VPN 또는 둘 모두를 통한 전용 연결이 포함될 수 있습니다.

Direct Connect를 통해 IPsec VPN 트래픽을 라우팅하면 더 적은 비용으로 더 나은 성능을 제공할 수 있지만, 우선 인터넷을 통해 SDDC에 연결하는 IPsec VPN을 설정하고 나중에 Direct Connect를 사용하도록 VPN을 재구성할 수 있습니다.

새 SDDC의 네트워킹 및 보안 탭을 열면 네트워킹 및 보안 설정 마법사를 실행하여 Direct Connect 및 VPN을 구성하고, SDDC에서 vCenter에 액세스하고, 필요한 경우 기본 DNS 서버를 변경하는 데 필요한 단계를 안내받을 수 있습니다.

인터넷을 통해 데이터 센터를 SDDC에 연결하는 경로 기반 VPN만 설정하려면 다음 단계를 수행합니다.

사전 요구 사항

네트워킹 및 보안 탭에서 기능을 보고 구성하려면 NSX 관리자 서비스 역할이 있어야 합니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 조직 멤버에게 NSX 서비스 역할 할당을 참조하십시오.

프로시저

  1. SDDC에서 경로 기반 VPN을 생성합니다.
    경로 기반 VPN은 IPsec 터널 인터페이스를 생성하고 이 인터페이스를 통해 SDDC 라우팅 테이블에 지정된 대로 트래픽을 라우팅합니다. 경로 기반 VPN은 여러 서브넷에 대해 복원력이 있고 안전한 액세스를 제공합니다. 경로 기반 VPN을 사용하면 새 네트워크가 생성될 때 새 경로가 자동으로 추가됩니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 경로 기반 VPN 생성을 참조하십시오.
  2. 온-프레미스 IPsec VPN을 구성합니다.
    NSX 또는 IPsec VPN을 종료할 수 있는 다른 디바이스를 사용할 수 있습니다.
    중요:

    IPsec VPN의 SDDC 쪽에는 시간 기반 키 재생성만 지원됩니다. 온-프레미스 디바이스는 lifebytes 키 재생성을 사용하지 않도록 설정해야 합니다.

    VPN의 온-프레미스 쪽에 유휴 시간 초과가 발생하도록 구성하지 마십시오(예: NSX 세션 유휴 시간 초과 설정). 온-프레미스 유휴 시간 초과로 인해 주기적으로 VPN 연결이 끊어질 수 있습니다.

    1. 온-프레미스 VPN 게이트웨이가 방화벽 뒤에 있는 경우에는 IPsec 프로토콜 트래픽을 전달하도록 해당 방화벽을 구성해야 합니다.
      • UDP 포트 500을 열어 ISAKMP(Internet Security Association and Key Management Protocol) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
      • IP 프로토콜 ID 50을 설정하여 IPsec ESP(Encapsulating Security Protocol) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
      • IP 프로토콜 ID 51을 설정하여 AH(Authentication Header) 트래픽이 방화벽을 통해 전달되도록 허용합니다.
    2. SDDC IPsec VPN 구성 파일을 다운로드합니다.
      이 파일의 내용 및 온-프레미스 VPN 끝점을 구성하는 데 도움이 되도록 이 파일을 사용하는 방법에 대한 자세한 내용은 "VMware Cloud on AWS 네트워킹 및 보안 " 가이드의 IPsec VPN 설정 참조 가이드의 " IPsec VPN 설정 참조" 를 참조하십시오.
  3. (선택 사항) 네트워크 세그먼트를 생성합니다.
    단일 호스트 스타터 SDDC는 sddc-cgw-network-1이라는 라우팅된 단일 네트워크 세그먼트로 생성됩니다. 다중 호스트 SDDC는 기본 네트워크 세그먼트 없이 생성되므로 워크로드 VM에 대해 적어도 하나를 생성해야 합니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 네트워크 세그먼트 생성을 참조하십시오.
  4. 관리 게이트웨이에서 몇 가지 기본 방화벽 규칙을 생성합니다.
    기본적으로 관리 게이트웨이는 모든 소스에서 모든 대상으로 흐르는 트래픽을 차단합니다. 관리 게이트웨이 방화벽 규칙을 추가하면 필요에 따라 트래픽을 허용할 수 있습니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 관리 게이트웨이 방화벽 규칙 추가 또는 수정을 참조하십시오.
  5. 관리 네트워크 개인 DNS를 구성합니다.
    관리 게이트웨이, ESXi 호스트 및 관리 VM이 FQDN(정규화된 도메인 이름)을 관리 네트워크의 IP 주소로 확인할 수 있도록 개인 DNS 서버의 주소를 지정합니다. vMotion을 사용한 마이그레이션콜드 마이그레이션 또는 하이브리드 연결 모드 같은 기능을 사용하려면 vCenter Server 확인을 VPN에서 확인 가능한 개인 IP 주소로 전환해야 합니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 HCX FQDN 확인 주소 설정을 참조하십시오.