온-프레미스 NSX-T Data Center 배포에서 자동으로 생성된 Tier-0 게이트웨이로 나타나는 PCG를 사용하여 VPN을 설정할 수 있습니다. 이러한 지침은 NSX 적용 모드에서 관리되는 워크로드 VM에만 해당됩니다.

여기에서 설명하는 추가 단계를 수행하여 VPN을 설정하려면 NSX Manager에서 Tier-0 게이트웨이를 사용하는 것과 동일한 방식으로 PCG를 사용합니다. 동일한 공용 클라우드나 다른 공용 클라우드에 또는 온-프레미스 게이트웨이나 라우터를 사용하여 배포된 PCG 간에 VPN 터널을 만들 수 있습니다. NSX-T Data Center의 VPN 지원에 대한 자세한 내용은 VPN(Virtual Private Network)를 참조하십시오.

두 끝점이 모두 공용 클라우드에 있고 PCG에서 관리되는 경우 CSM API를 사용하여 NSX-T Data Center에서 VPN을 구성할 수 있습니다. API를 사용하여 공용 클라우드 끝점에 대한 VPN 자동화 항목을 참조하십시오.

사전 요구 사항

  • VPC/VNet에 배포된 하나의 PCG 또는 PCG의 HA 쌍이 있는지 확인합니다.
  • 원격 피어가 경로 기반 VPN 및 BGP를 지원하는지 확인합니다.

프로시저

  1. 공용 클라우드에서 PCG에 대한 NSX 할당 로컬 끝점을 찾고 필요한 경우 공용 IP 주소를 할당합니다.
    1. 공용 클라우드의 PCG 인스턴스로 이동한 후 [태그]로 이동합니다.
    2. nsx.local_endpoint_ip 태그의 값 필드에 있는 IP 주소를 기록해 둡니다.
    3. (선택 사항) VPN 터널에 공용 IP가 필요한 경우, 예를 들어 VPN을 다른 공용 클라우드 또는 온-프레미스 NSX-T Data Center 배포로 설정하려는 경우 다음을 수행합니다.
      1. PCG 인스턴스의 업링크 인터페이스로 이동합니다.
      2. 1.b단계에서 적어둔 nsx.local_endpoint_ip IP 주소에 공용 IP 주소를 연결합니다.
    4. (선택 사항) PCG 인스턴스의 HA 쌍이 있는 경우 1.a1.b단계를 반복하고 필요한 경우 1.c단계에 설명된 대로 공용 IP 주소를 연결합니다.
  2. NSX Manager에서 cloud-t0-vpc/vnet-<vpc/vnet-id>에서와 같이 이름이 지정된 Tier-0 게이트웨이로 표시되는 PCG에 대해 IPSec VPN을 사용하도록 설정하고, 이 Tier-0 게이트웨이의 끝점과 원하는 VPN 피어의 원격 IP 주소 사이에 경로 기반 IPSec 세션을 생성합니다. 자세한 내용은 IPSec VPN 서비스 추가의 내용을 참조하십시오.
    1. 네트워킹 > VPN > VPN 서비스 > 서비스 추가 > IPSec으로 이동합니다. 다음 세부 정보를 제공합니다.
      옵션 설명
      이름 VPN 서비스를 설명하는 이름(예: <VPC-ID>-AWS_VPN 또는 <VNet-ID>-AZURE_VPN)을 입력합니다.
      Tier0/Tier1 게이트웨이 공용 클라우드의 PCG에 대한 Tier-0 게이트웨이를 선택합니다.
    2. 네트워킹 > VPN > 로컬 끝점 > 로컬 끝점 추가로 이동합니다. 다음 정보를 제공하고 로컬 끝점 추가에서 자세한 내용을 참조하십시오.
      참고: PCG 인스턴스의 HA 쌍이 있는 경우 공용 클라우드에서 연결된 해당 로컬 끝점 IP 주소를 사용하여 각 인스턴스에 대한 로컬 끝점을 생성합니다.
      옵션 설명
      이름 로컬 끝점을 설명하는 이름을 입력합니다(예: <VPC-ID>-PCG-preferred-LE 또는 <VNET-ID>-PCG-preferred-LE).
      VPN 서비스 2.a단계에서 생성한 PCG의 Tier-0 게이트웨이에 대한 VPN 서비스를 선택합니다.
      IP 주소 1.b단계에서 적어 둔 PCG의 로컬 끝점 IP 주소 값을 입력합니다.
    3. 네트워킹 > VPN > IPSec 세션 > IPSec 세션 추가 > 경로 기반으로 이동합니다. 다음 정보를 제공하고 경로 기반 IPSec 세션 추가에서 자세한 내용을 참조하십시오.
      참고: VPC에 배포된 PCG와 VNet에 배포된 PCG 간에 VPN 터널을 생성하는 경우 VPC에 있는 각 PCG의 로컬 끝점과 VNet에 있는 PCG의 원격 IP 주소에 대해 터널을 생성하고, 반대로 VNet의 PCG에서 VPC에 있는 PCG의 원격 IP 주소로의 터널을 생성해야 합니다. 활성 및 대기 PCG에 대해 별도의 터널을 생성해야 합니다. 이로 인해 두 공용 클라우드 간에 IPSec 세션의 풀 메시가 생성됩니다.
      옵션 설명
      이름 IPsec 세션을 설명하는 이름을 입력합니다(예: <VPC--ID>-PCG1-to-remote_edge).
      VPN 서비스 2.a단계에서 생성한 VPN 서비스를 선택합니다.
      로컬 끝점 2.b단계에서 생성한 로컬 끝점을 선택합니다.
      원격 IP VPN 터널을 생성하는 원격 피어의 공용 IP 주소를 입력합니다.
      참고: DirectConnect 또는 ExpressRoute를 사용하는 경우처럼 개인 IP 주소에 연결할 수 있는 경우 원격 IP가 개인 IP 주소일 수 있습니다.
      터널 인터페이스 터널 인터페이스를 CIDR 형식으로 입력합니다. 원격 피어에서 IPSec 세션을 설정하려면 동일한 서브넷을 사용해야 합니다.
  3. BGP를 확장하고 2단계에서 설정한 IPSec VPN 터널 인터페이스에 BGP 인접 네트워크를 설정합니다. 자세한 내용은 BGP 구성 항목을 참조하십시오.
    1. 네트워킹 > Tier-0 게이트웨이로 이동합니다.
    2. IPSec 세션을 생성한 자동 생성 Tier-0 게이트웨이를 선택하고 편집을 클릭합니다.
    3. BGP 섹션 아래에서 BGP 인접 항목 옆의 번호 또는 아이콘을 클릭하고 다음 세부 정보를 제공합니다.
      옵션 설명
      IP 주소

      VPN 피어에 대한 IPSec 세션의 터널 인터페이스에 구성된 원격 VTI의 IP 주소를 사용합니다.

      원격 AS 번호 이 숫자는 원격 피어의 AS 번호와 일치해야 합니다.
  4. 경로 재배포를 확장하고 재배포 프로파일을 사용하여 VPN에 사용하려는 접두사를 보급합니다. NSX 적용 모드의 재배포 프로파일, 1단계에서 Tier-1 지원 경로를 연결합니다.