Edge Services Gateway 추가

데이터 센터에 여러 NSX Edge Services Gateway 가상 장치를 설치할 수 있습니다. 각 NSX Edge Appliance는 총 10개의 업링크 및 내부 네트워크 인터페이스를 사용할 수 있습니다. 내부 인터페이스는 보안 포트 그룹에 연결하여 포트 그룹에 있는 모든 보호된 가상 시스템의 게이트웨이 역할을 합니다. 내부 인터페이스에 할당된 서브넷은 라우팅된 공용 IP 주소 공간이거나 NAT가 적용된/라우팅된 RFC 1918 전용 공간일 수 있습니다. 인터페이스 간의 트래픽에는 방화벽 규칙 및 기타 NSX Edge 서비스가 적용됩니다.

ESG의 업링크 인터페이스는 업링크 포트 그룹에 연결하여 액세스 계층 네트워킹을 제공하는 서비스나 공유 회사 네트워크에 액세스할 수 있습니다.

다음 목록에서는 ESG에서 인터페이스 유형(내부 및 업링크)별로 지원되는 기능을 설명합니다.

DHCP: 업링크 인터페이스에서 지원되지 않습니다. 이 글머리 기호 목록 뒤의 참고를 참조하십시오.
DNS 전달자: 업링크 인터페이스에서 지원되지 않습니다.
HA: 업링크 인터페이스에서 지원되지 않고, 하나 이상의 내부 인터페이스가 필요합니다.
SSL VPN: 수신기 IP가 업링크 인터페이스에 속해야 합니다.
IPsec VPN: 로컬 사이트 IP가 업링크 인터페이스에 속해야 합니다.
L2 VPN: 내부 네트워크만 확장할 수 있습니다.

참고: 디자인상, DHCP 서비스는 NSX Edge의 내부 인터페이스에서 지원됩니다. 그러나 경우에 따라 Edge의 업링크 인터페이스에서 DHCP를 구성하고 내부 인터페이스를 구성하지 않도록 선택할 수 있습니다. 이 경우 Edge는 업링크 인터페이스에서 DHCP 클라이언트 요청을 수신하고 DHCP 클라이언트에 IP 주소를 동적으로 할당할 수 있습니다. 나중에 동일한 Edge에서 내부 인터페이스를 구성하는 경우 Edge가 내부 인터페이스에서 DHCP 클라이언트 요청을 수신하기 시작하기 때문에 DHCP 서비스가 작동을 멈춥니다.

다음 그림은 샘플 토폴로지를 보여줍니다. Edge Service Gateway 업링크 인터페이스는 vSphere Distributed Switch를 통해 물리적 인프라에 연결됩니다. Edge Service Gateway 내부 인터페이스는 논리적 전송 스위치를 통해 논리적 라우터에 연결됩니다.

이미지는 주변 텍스트에 설명되어 있습니다.

로드 밸런싱, 사이트 간 VPN 및 NAT 서비스에 대한 여러 개의 외부 IP 주소를 구성할 수 있습니다.

중요:

크로스 vCenter NSX 환경에서 NSX Edge에 대해 고가용성을 사용하도록 설정하는 경우 활성 및 대기 NSX Edge Appliance가 동일한 vCenter Server에 상주해야 합니다. NSX Edge HA 쌍의 장치 중 하나를 다른 vCenter Server로 마이그레이션하면 두 HA 장치가 더 이상 HA 쌍으로 작동하지 않으며 트래픽 중단이 발생할 수 있습니다.

사전 요구 사항

엔터프라이즈 관리자 또는 NSX 관리자 역할을 할당받아야 합니다.
리소스 풀에 ESG(Edge Services Gateway) 가상 장치를 배포하기에 충분한 용량이 있는지 확인합니다. 각 크기의 장치에 필요한 리소스에 대해서는 NSX Data Center for vSphere에 대한 시스템 요구 사항을 참조하십시오.
NSX Edge Appliance가 설치될 호스트 클러스터가 NSX용으로 준비되어 있는지 확인합니다. "NSX 설치 가이드" 에서 "NSX에 대한 호스트 클러스터 준비"를 참조하십시오.
DRS를 사용하도록 설정할지를 결정합니다. HA를 사용하여 Edge Services Gateway를 생성하고 DRS를 사용하도록 설정하면 DRS 반선호도 규칙이 생성되어 장치가 같은 호스트에 배포되지 않도록 합니다. DRS를 장치가 생성될 때 사용하도록 설정하지 않으면 규칙은 생성되지 않고 장치는 같은 호스트에 배포되거나 같은 호스트로 이동될 수 있습니다.

프로시저

vSphere Web Client에 로그인하고 홈(Home) > 네트워킹 및 보안(Networking & Security) > NSX Edge(NSX Edges)로 이동합니다.
추가(Add)를 클릭하고 Edge Services Gateway를 클릭합니다.

ESG의 이름, 설명 및 기타 세부 정보를 입력합니다.

옵션	설명
이름	vCenter 인벤토리에 표시하려는 ESG의 이름을 입력합니다. 이 이름은 단일 테넌트 내의 모든 ESG에서 고유해야 합니다.
호스트 이름	선택 사항입니다. CLI에서 이 ESG에 대해 표시할 호스트 이름을 입력합니다. 호스트 이름을 입력하지 않으면 자동으로 생성되는 Edge ID가 CLI에 표시됩니다.
설명	선택 사항입니다. ESG에 대한 설명을 입력합니다.
NSX Edge 배포	선택 사항입니다. NSX Edge Appliance 가상 시스템을 생성하려면 이 옵션을 선택합니다. 이 옵션을 선택하지 않으면 ESG는 VM이 배포될 때까지 작동하지 않습니다.
고가용성	선택 사항입니다. ESG에서 고가용성을 사용하도록 설정하고 구성하려면 이 옵션을 선택합니다. 로드 밸런서, NAT, DHCP 등의 상태 유지 서비스를 ESG에서 실행해야 하는 경우 Edge에서 HA를 사용하도록 설정할 수 있습니다. HA는 활성 Edge가 실패하면 대기 Edge로의 페일오버 시간을 최소화하는 데 도움이 됩니다. HA를 사용하도록 설정하는 경우 클러스터의 다른 호스트에 독립형 Edge가 배포됩니다. 따라서 환경에 충분한 리소스가 있는지 확인해야 합니다. ESG에서 상태 관리 서비스를 실행하지 않고 ESG가 북-남 라우팅에만 사용되는 경우 ECMP를 사용하도록 설정하는 것이 좋습니다. ECMP는 동적 라우팅 프로토콜을 사용하여 최종 대상에 대한 다음 홉을 학습하고 오류 발생 시 컨버전스합니다. ECMP 구성은 여러 경로에 대해 트래픽을 로드 밸런싱하고 실패한 경로에 대해 Fault Tolerance를 제공하여 대역폭을 크게 높일 수 있습니다. 이 구성에서는 데이터부의 중단이 트래픽의 일부로만 제한됩니다. 또한 각 ESG에서 HA를 사용하도록 설정하여 vSphere HA에 의존하지 않고 더 빠른 페일오버를 제공하는 옵션이 제공됩니다. ECMP 구성도 환경에 충분한 리소스가 있는지 확인해야 합니다. 네트워크에서 Edge를 배포하지 않으면서 글로벌 라우팅 구성을 수행하고 Edge에서 ECMP를 사용하도록 설정할 수 있습니다.

ESG의 CLI 설정 및 기타 설정을 지정합니다.

옵션	설명
사용자 이름	Edge CLI에 로그인하는 데 사용할 사용자 이름을 입력합니다.
암호	최소 12자의 암호를 입력하고 다음 규칙을 충족해야 합니다. 255자를 초과하지 않아야 함 하나 이상의 대문자와 소문자 숫자 1개 이상 하나 이상의 특수 문자 사용자 이름을 하위 문자열로 포함하지 않아야 함 문자를 3번 이상 연속해서 반복하지 않아야 함
암호 확인	암호를 다시 입력하여 확인합니다.
SSH 액세스	선택 사항입니다. SSH를 통해 Edge에 액세스할 수 있도록 설정합니다. 기본적으로 SSH 액세스는 사용하지 않도록 설정되어 있습니다. 일반적으로 SSH 액세스는 문제 해결에 권장됩니다.
FIPS 모드	선택 사항입니다. 기본적으로 FIPS 모드는 사용하지 않도록 설정되어 있습니다. FIPS 모드를 사용하도록 설정하면 NSX Edge와의 모든 보안 통신에 FIPS에서 허용하는 암호화 알고리즘 또는 프로토콜이 사용됩니다.
자동 규칙 생성	선택 사항입니다. 기본적으로 이 옵션은 사용하도록 설정되어 있습니다. 이 옵션을 사용하면 로드 밸런싱 및 VPN을 포함하는 NSX Edge 서비스에 대한 트래픽을 제어하는 방화벽 규칙, NAT 및 라우팅 구성을 자동으로 생성할 수 있습니다. 자동 규칙 생성을 사용하지 않도록 설정하는 경우 이러한 규칙 및 구성을 수동으로 추가해야 합니다. 자동 규칙 생성을 사용해도 데이터 채널 트래픽에 대한 규칙은 생성되지 않습니다.
Edge 제어 수준 로깅	선택 사항입니다. 기본적으로 로그 수준은 정보입니다.

NSX Edge Appliance의 배포를 구성합니다.

작업 환경에 따라 장치의 크기를 선택합니다.

장치 크기	설명
소형	실험실 또는 PoC 환경에만 적합합니다.
중형	소형보다 CPU, 메모리 및 디스크 공간이 더 많이 있으며 더 많은 수의 동시 SSL VPN-Plus 사용자를 지원합니다.
대형	높은 처리량 및 높은 연결 속도가 필요할 때 적합합니다.
초대형	수백만 개의 동시 세션에서 로드 밸런서를 사용하는 환경에 적합합니다.

각 크기의 장치에 필요한 리소스에 대해서는 NSX Data Center for vSphere에 대한 시스템 요구 사항을 참조하십시오.

NSX Edge Appliance를 추가하고 VM 배포에 대한 리소스 세부 정보를 지정합니다.

예:

옵션	값
클러스터/리소스 풀	관리 및 Edge
데이터스토어	ds-1
호스트	esxmgt-01a.corp.local
리소스 예약	시스템 관리

리소스 예약에 대한 자세한 내용은 "NSX 관리 가이드" 에서 "NSX Edge 장치 리소스 예약 관리"를 참조하십시오.

HA를 사용하도록 설정하면 장치를 두 개 추가할 수 있습니다. 단일 장치를 추가하면 NSX Edge는 대기 장치를 위해 해당 구성을 복제합니다. HA가 올바로 작동하려면 공유 데이터스토어에 두 장치를 모두 배포해야 합니다.

ESG의 인터페이스를 구성합니다.

이름, 유형 및 기타 기본 인터페이스 세부 정보를 지정합니다.

옵션	설명
이름	인터페이스의 이름을 입력합니다.
유형	내부 또는 업링크를 선택합니다. 고가용성이 작동하려면 Edge Appliance에 하나 이상의 내부 인터페이스가 있어야 합니다.
연결 대상	이 인터페이스를 연결할 포트 그룹 또는 논리적 스위치를 선택합니다.

인터페이스의 서브넷을 구성합니다.

옵션	설명
기본 IP 주소	ESG에서 IPv4 및 IPv6 주소가 모두 지원됩니다. 인터페이스에는 하나의 기본 IP 주소, 여러 개의 보조 IP 주소 및 여러 개의 겹치지 않는 서브넷이 있을 수 있습니다. 인터페이스에 대해 IP 주소를 둘 이상 입력하는 경우 기본 IP 주소를 선택할 수 있습니다. 인터페이스당 하나의 기본 IP 주소만 허용되며 Edge는 로컬로 생성된 트래픽의 소스 주소로 기본 IP 주소를 사용합니다(예: 원격 syslog 및 운영자가 시작한 ping).
보조 IP 주소	보조 IP 주소를 입력합니다. 여러 IP 주소를 입력하려면 쉼표로 구분된 목록을 사용합니다.
서브넷 접두사 길이	인터페이스의 서브넷 마스크를 입력합니다.

옵션

설명

기본 IP 주소

ESG에서 IPv4 및 IPv6 주소가 모두 지원됩니다. 인터페이스에는 하나의 기본 IP 주소, 여러 개의 보조 IP 주소 및 여러 개의 겹치지 않는 서브넷이 있을 수 있습니다.

인터페이스에 대해 IP 주소를 둘 이상 입력하는 경우 기본 IP 주소를 선택할 수 있습니다.

인터페이스당 하나의 기본 IP 주소만 허용되며 Edge는 로컬로 생성된 트래픽의 소스 주소로 기본 IP 주소를 사용합니다(예: 원격 syslog 및 운영자가 시작한 ping).

보조 IP 주소

보조 IP 주소를 입력합니다. 여러 IP 주소를 입력하려면 쉼표로 구분된 목록을 사용합니다.

서브넷 접두사 길이

인터페이스의 서브넷 마스크를 입력합니다.

인터페이스에 대해 다음 옵션을 지정합니다.

옵션	설명
MAC 주소	선택 사항입니다. 각 인터페이스에 대한 MAC 주소를 입력할 수 있습니다. 나중에 API 호출을 사용하여 MAC 주소를 변경하면 MAC 주소를 변경한 후에 Edge를 다시 배포해야 합니다.
MTU	업링크 및 내부 인터페이스의 기본값은 1500입니다. 트렁크 인터페이스의 기본값은 1600입니다. 필요한 경우 기본값을 수정할 수 있습니다. 트렁크 하위 인터페이스의 기본값은 1500입니다. 트렁크 인터페이스의 MTU는 하위 인터페이스의 MTU보다 크거나 같아야 합니다.
프록시 ARP	ESG가 다른 가상 시스템을 대상으로 한 ARP 요청에 응답할 수 있도록 허용하려면 이 옵션을 선택합니다. 예를 들어, WAN 연결의 양쪽에 동일한 서브넷이 있는 경우 이 옵션이 유용합니다.
ICMP 리디렉션 보내기	ESG에서 호스트에 라우팅 정보를 전달하도록 하려면 이 옵션을 선택합니다.
역방향 경로 필터	기본적으로 이 옵션은 사용하도록 설정되어 있습니다. 사용하도록 설정되면 전달되는 패킷에서 소스 주소의 연결 가능성이 확인됩니다. 사용 모드에서는 라우터가 반환 패킷을 전달하는 데 사용할 수 있는 인터페이스에서 패킷을 수신해야 합니다. 소프트 모드에서는 소스 주소가 라우팅 테이블에 나타나야 합니다.
Fence 매개 변수	서로 다른 fence 환경에서 IP 및 MAC 주소를 다시 사용할 경우 fence 매개 변수를 구성합니다. 예를 들어, CMP(Cloud Management Platform)에서 Fence를 사용하면 분리되거나 "fence"된 같은 IP 및 MAC 주소를 사용하여 여러 클라우드 인스턴스를 동시에 실행할 수 있습니다.

다음 표에는 두 개의 NSX Edge 인터페이스 예제가 표시됩니다. 업링크 인터페이스는 vSphere Distributed Switch의 업링크 포트 그룹을 통해 외부 환경에 ESG를 연결합니다. 내부 인터페이스는 역시 논리적 분산 라우터가 연결된 논리적 전송 스위치에 ESG를 연결합니다.

표 1. 예: NSX Edge 인터페이스
vNIC#	이름	IP 주소	서브넷 접두사 길이	연결 대상
0	업링크	192.168.100.30	24	Mgmt_VDS-HQ_Uplink
1	내부	192.168.10.1*	29	transit-switch

중요: NSX 6.4.4 이하에서는 ESG에서 단일 업링크 인터페이스에서 멀티캐스트를 지원합니다. NSX 6.4.5부터 ESG의 최대 2개 업링크 인터페이스에서 멀티캐스트가 지원됩니다. 다중 vCenter 배포 시나리오에서 NSX Edge가 6.4.4 이하 버전인 경우 단일 업링크 인터페이스에서만 멀티캐스트를 사용하도록 설정할 수 있습니다. 2개의 업링크 인터페이스에서 멀티캐스트를 사용하도록 설정하려면 Edge를 6.4.5 이상으로 업그레이드해야 합니다.

기본 게이트웨이 설정을 구성합니다.

예:

옵션	값
vNIC	업링크
게이트웨이 IP	192.168.100.2
MTU	1500

참고: MTU 값을 편집할 수 있지만, 인터페이스에 구성된 MTU보다 클 수는 없습니다.

기본 방화벽 정책을 구성합니다.

경고: 방화벽 정책을 구성하지 않을 경우 모든 트래픽을 거부하도록 기본 정책이 설정됩니다. 하지만, 방화벽은 기본적으로 배포 동안 ESG에서 사용하도록 설정됩니다.

ESG 로깅 및 HA 매개 변수를 구성합니다.

NSX Edge Appliance에서 로깅을 사용하거나 사용하지 않도록 설정합니다.

기본적으로 모든 새 NSX Edge 장치에서 로그가 사용되도록 설정되어 있습니다. 기본 로깅 수준은 정보입니다. 로그가 ESG에 로컬로 저장된 경우 로깅을 수행하면 너무 많은 로그가 생성되고 NSX Edge의 성능에 영향을 줄 수 있습니다. 이러한 이유로 원격 Syslog 서버를 구성하고, 분석 및 모니터링을 위해 모든 로그를 중앙 수집기로 전달해야 합니다.

고가용성을 사용하도록 설정한 경우 다음 HA 매개 변수를 구성합니다.

옵션	설명
vNIC	HA 매개 변수를 구성할 내부 인터페이스를 선택합니다. 기본적으로 HA에서는 자동으로 내부 인터페이스를 선택하고 링크-로컬 IP 주소를 할당합니다. 인터페이스에 대해 [임의]를 선택하지만 구성된 내부 인터페이스가 없는 경우 UI에서 오류를 표시합니다. 두 개의 Edge 장치가 생성되지만 구성된 내부 인터페이스가 없기 때문에 새 NSX Edge는 대기 상태를 유지하고 HA는 사용하지 않도록 설정됩니다. 내부 인터페이스가 구성되면 NSX Edge 장치에서 HA가 사용하도록 설정됩니다.
비활성 시간 선언	지정한 시간 내에 백업 장치가 기본 장치로부터 하트비트 신호를 받지 못하면 기본 장치를 비활성 상태로 간주하여 백업 장치가 작업을 맡도록 할 기간(초)을 입력합니다. 기본 간격은 15초입니다.
관리 IP	필요한 경우 HA 가상 시스템에 할당된 로컬 링크 IP 주소를 재정의하려면 관리 IP 주소 두 개를 CIDR 형식으로 입력할 수 있습니다. 관리 IP 주소가 다른 인터페이스에서 사용되는 IP 주소와 겹치지 않고 트래픽 라우팅을 방해하지 않는지 확인합니다. 네트워크가 장치에 직접 연결되어 있지 않아도 해당 네트워크상의 어딘가에 존재하는 IP 주소는 사용하지 마십시오. 관리 IP 주소는 동일한 L2/서브넷에 있어야 하며 서로 통신할 수 있어야 합니다.

옵션

설명

vNIC

HA 매개 변수를 구성할 내부 인터페이스를 선택합니다. 기본적으로 HA에서는 자동으로 내부 인터페이스를 선택하고 링크-로컬 IP 주소를 할당합니다.

인터페이스에 대해 [임의]를 선택하지만 구성된 내부 인터페이스가 없는 경우 UI에서 오류를 표시합니다. 두 개의 Edge 장치가 생성되지만 구성된 내부 인터페이스가 없기 때문에 새 NSX Edge는 대기 상태를 유지하고 HA는 사용하지 않도록 설정됩니다. 내부 인터페이스가 구성되면 NSX Edge 장치에서 HA가 사용하도록 설정됩니다.

비활성 시간 선언

지정한 시간 내에 백업 장치가 기본 장치로부터 하트비트 신호를 받지 못하면 기본 장치를 비활성 상태로 간주하여 백업 장치가 작업을 맡도록 할 기간(초)을 입력합니다.

기본 간격은 15초입니다.

관리 IP

필요한 경우 HA 가상 시스템에 할당된 로컬 링크 IP 주소를 재정의하려면 관리 IP 주소 두 개를 CIDR 형식으로 입력할 수 있습니다.

관리 IP 주소가 다른 인터페이스에서 사용되는 IP 주소와 겹치지 않고 트래픽 라우팅을 방해하지 않는지 확인합니다. 네트워크가 장치에 직접 연결되어 있지 않아도 해당 네트워크상의 어딘가에 존재하는 IP 주소는 사용하지 마십시오.

관리 IP 주소는 동일한 L2/서브넷에 있어야 하며 서로 통신할 수 있어야 합니다.

장치를 배포하기 전에 모든 ESG 설정을 검토합니다.

결과

ESG가 배포된 후 호스트 및 클러스터 보기로 이동하고 NSX Edge 가상 장치의 콘솔을 엽니다. 콘솔에서 연결된 인터페이스를 Ping할 수 있는지 확인합니다.

다음에 수행할 작업

NSX Edge Appliance를 설치할 때 vSphere HA가 클러스터에서 사용하지 않도록 설정되어 있으면 NSX는 호스트에서 자동 VM 시작/종료를 사용하도록 설정합니다. 장치 VM이 나중에 클러스터의 다른 호스트로 마이그레이션되는 경우 새 호스트가 자동 VM 시작/종료를 사용하도록 설정하지 않을 수도 있습니다. 이러한 이유로 vSphere HA가 사용하지 않도록 설정된 클러스터에서 NSX Edge Appliance를 설치할 때는 클러스터의 모든 호스트를 점검하여 자동 VM 시작/종료가 사용하도록 설정되어 있는지 확인해야 합니다. "vSphere 가상 시스템 관리" 에서 "가상 시스템 시작 및 종료 설정 편집"을 참조하십시오.

이제 외부 디바이스에서 VM으로 연결을 허용하도록 라우팅을 구성할 수 있습니다.