데이터 센터에 여러 NSX Edge Services Gateway 가상 장치를 설치할 수 있습니다. 각 NSX Edge 가상 장치는 총 10개의 업링크 및 내부 네트워크 인터페이스를 사용할 수 있습니다. 내부 인터페이스는 보안 포트 그룹에 연결하여 포트 그룹에 있는 모든 보호된 가상 시스템의 게이트웨이 역할을 합니다. 내부 인터페이스에 할당된 서브넷은 라우팅된 공용 IP 주소 공간이거나 NAT가 적용된/라우팅된 RFC 1918 전용 공간일 수 있습니다. 인터페이스 간의 트래픽에는 방화벽 규칙 및 기타 NSX Edge 서비스가 적용됩니다.

이 태스크 정보

ESG의 업링크 인터페이스는 업링크 포트 그룹에 연결하여 액세스 계층 네트워킹을 제공하는 서비스나 공유 회사 네트워크에 액세스할 수 있습니다.

다음 목록에서는 ESG에서 인터페이스 유형(내부 및 업링크)별로 지원되는 기능을 설명합니다.

  • DHCP: 업링크 인터페이스에서 지원되지 않습니다.

  • DNS 전달자: 업링크 인터페이스에서 지원되지 않습니다.

  • HA: 업링크 인터페이스에서 지원되지 않고, 하나 이상의 내부 인터페이스가 필요합니다.

  • SSL VPN: 수신기 IP가 업링크 인터페이스에 속해야 합니다.

  • IPSec VPN: 로컬 사이트 IP가 업링크 인터페이스에 속해야 합니다.

  • L2 VPN: 내부 네트워크만 확장할 수 있습니다.

다음 그림에서는 vSphere Distributed Switch를 통해 물리적 인프라에 연결된 ESG의 업링크 인터페이스와 NSX 논리적 전송 스위치를 통해 NSX 논리적 라우터에 연결된 ESG의 내부 인터페이스가 포함된 샘플 토폴로지를 보여줍니다.

로드 밸런싱, 사이트 간 VPN 및 NAT 서비스에는 외부 IP 주소를 여러 개 구성할 수 있습니다.

중요:

크로스 vCenter NSX 환경에서 NSX Edge에 대해 고가용성을 사용하도록 설정하는 경우 활성 및 대기 NSX Edge 장치가 동일한 vCenter Server 내에 상주해야 합니다. NSX Edge HA 쌍의 한 멤버를 다른 vCenter Server 시스템으로 마이그레이션하면 두 HA 장치가 더 이상 HA 쌍으로 작동하지 않으며 트래픽 중단이 발생할 수 있습니다.

필수 조건

  • 엔터프라이즈 관리자 또는 NSX 관리자 역할을 할당받아야 합니다.

  • 리소스 풀에 ESG(Edge Services Gateway) 가상 장치를 배포하기에 충분한 용량이 있는지 확인합니다. NSX의 시스템 요구 사항를 참조하십시오.

  • NSX Edge 장치가 설치될 호스트 클러스터가 NSX용으로 준비되어 있는지 확인합니다. NSX 설치 가이드에서 "NSX에 대한 호스트 클러스터 준비"를 참조하십시오.

프로시저

  1. vCenter에서 홈 > Networking & Security > NSX Edge(Home > Networking & Security > NSX Edges)로 이동하고 추가(Add) (추가) 아이콘을 클릭합니다.
  2. Edge Services Gateway를 선택하고 디바이스 이름을 입력합니다.

    이 이름은 vCenter 인벤토리에 나타납니다. 이 이름은 단일 테넌트 내의 모든 ESG에서 고유해야 합니다.

    필요한 경우 호스트 이름을 입력할 수도 있습니다. 이 이름이 CLI에 표시됩니다. 호스트 이름을 지정하지 않으면 자동으로 생성되는 Edge ID가 CLI에 표시됩니다.

    필요한 경우 설명과 테넌트를 입력하고 HA(고가용성)를 사용하도록 설정할 수 있습니다.

    예:

  3. ESG의 암호를 입력하고 다시 입력합니다.

    암호는 최소 12자여야 하고 다음 4개 규칙 중 3개를 준수해야 합니다.

    • 하나 이상의 대문자

    • 하나 이상의 소문자

    • 하나 이상의 숫자

    • 하나 이상의 특수 문자

  4. (선택 사항) : SSH, 고가용성, 자동 규칙 생성 및 FIPS 모드를 사용하도록 설정하고 로그 수준을 설정합니다.

    자동 규칙 생성을 사용하도록 설정하지 않을 경우 로드 밸런싱, VPN 등의 NSX Edge 서비스에 대한 제어 트래픽을 허용하도록 방화벽, NAT 및 라우팅 구성을 수동으로 추가해야 합니다. 자동 규칙 생성을 사용해도 데이터 채널 트래픽에 대한 규칙은 생성되지 않습니다.

    기본적으로 SSH 및 HA는 사용하지 않도록 설정되어 있고, 자동 규칙 생성은 사용하도록 설정되어 있습니다.

    기본적으로 FIPS 모드는 사용하지 않도록 설정되어 있습니다.

    기본적으로 로그 수준은 긴급입니다.

    예:

  5. 시스템 리소스에 따라 NSX Edge 인스턴스의 크기를 선택합니다.

    대형(Large) NSX Edge에는 소형(Compact) NSX Edge보다 CPU, 메모리 및 디스크 공간이 더 많이 있으므로 지원하는 동시 SSL VPN-Plus 사용자 수가 더 많습니다. 초대형(X-Large) NSX Edge는 수백만 개의 동시 세션에서 로드 밸런서를 사용하는 환경에 적합합니다. 처리량이 많고 속도가 빠른 연결이 필요할 경우 4배 대형 NSX Edge가 적합합니다.

    NSX의 시스템 요구 사항를 참조하십시오.

  6. Edge 장치를 생성합니다.

    vCenter 인벤토리에 추가되는 ESG 가상 장치에 대한 설정을 입력합니다. 장치를 추가하지 않은 상태로 NSX Edge를 설치하면 장치를 추가할 때까지 NSX Edge가 오프라인 모드로 유지됩니다.

    HA를 사용하도록 설정한 경우 두 개 장치를 추가할 수 있습니다. 한 장치만 추가하면 NSX Edge가 대기 장치를 위해 해당 구성을 복제합니다. 이는 DRS 및 vMotion을 사용한 후에도 두 HA NSX Edge 가상 시스템이 동일한 ESX 호스트에 있지 않도록 보장하기 위해서 입니다(단, 수동으로 vMotion을 통해 동일한 호스트로 이동하는 경우는 제외). HA가 올바로 작동하려면 공유 데이터스토어에 두 장치를 모두 배포해야 합니다.

    예:

  7. Edge를 배포 모드에서 추가하려면 NSX Edge 배포(Deploy NSX Edge)를 선택합니다. Edge를 배포하려면 먼저 Edge에 대한 장치 및 인터페이스를 구성해야 합니다.
  8. 인터페이스를 구성합니다.

    ESG에서 IPv4 및 IPv6 주소가 모두 지원됩니다.

    HA가 작동하려면 내부 인터페이스를 하나 이상 추가해야 합니다.

    인터페이스에는 겹치지 않는 서브넷이 여러 개 포함될 수 있습니다.

    인터페이스에 대한 IP 주소를 둘 이상 입력하는 경우 기본 IP 주소를 선택할 수 있습니다. 인터페이스는 하나의 기본 IP 주소와 여러 개의 보조 IP 주소를 사용할 수 있습니다. NSX Edge는 기본 IP 주소를 로컬에서 생성된 트래픽(예: 원격 syslog 및 운영자가 시작한 ping)의 소스 주소로 간주합니다.

    IP 주소를 기능 구성에 사용하기 전 인터페이스에 추가해야 합니다.

    필요한 경우 인터페이스에 대한 MAC 주소를 입력할 수 있습니다.

    나중에 API 호출을 사용하여 MAC 주소를 변경하는 경우 MAC 주소를 변경한 후에 Edge를 다시 배포해야 합니다.

    HA를 사용하도록 설정한 경우 두 개의 관리 IP 주소를 CIDR 형식으로 입력할 수도 있습니다. 두 NSX Edge HA 가상 시스템의 하트비트가 이러한 관리 IP 주소를 통해 통신합니다. 관리 IP 주소는 동일한 L2/서브넷에 있어야 하며 서로 통신할 수 있어야 합니다.

    필요한 경우 MTU를 수정할 수 있습니다.

    ESG가 다른 시스템을 대상으로 한 ARP 요청에 응답할 수 있도록 허용하려면 프록시 ARP를 사용하도록 설정합니다. 예를 들어, WAN 연결의 양쪽에 동일한 서브넷이 있는 경우 유용합니다.

    라우팅 정보를 호스트에 전달하려면 ICMP 리디렉션을 사용하도록 설정합니다.

    역방향 경로 필터링을 사용하도록 설정하여 전달될 패킷의 소스 주소가 연결되는지 확인합니다. 사용 모드에서는 라우터가 반환 패킷을 전달하는 데 사용할 인터페이스에서 패킷을 수신해야 합니다. 소프트 모드에서는 소스 주소가 라우팅 테이블에 나타나야 합니다.

    서로 다른 fence 환경에서 IP 및 MAC 주소를 다시 사용할 경우 fence 매개 변수를 구성합니다. 예를 들어, CMP(Cloud Management Platform)에서 Fence를 사용하면 완전히 분리되거나 "fence"된 동일한 IP 및 MAC 주소를 사용하여 여러 클라우드 인스턴스를 동시에 실행할 수 있습니다.

    예:

    다음 예제에서 두 개 인터페이스를 보여주는데 하나는 vSphere Distributed Switch에서 업링크 포트 그룹을 통해 ESG를 외부에 연결하고 있고, 다른 하나는 논리적 분산 라우터가 연결되어 있는 논리적 전송 스위치에 ESG를 연결하고 있습니다.

  9. 기본 게이트웨이를 구성합니다.

    MTU 값을 편집할 수 있지만, 인터페이스에 구성된 MTU보다 클 수는 없습니다.

    예:

  10. 방화벽 정책, 로깅 및 HA 매개 변수를 구성합니다.
    주의:

    방화벽 정책을 구성하지 않을 경우 모든 트래픽을 거부하도록 기본 정책이 설정됩니다.

    기본적으로 모든 새 NSX Edge 장치에서 로그가 사용되도록 설정되어 있습니다. 기본 로깅 수준은 [알림]입니다. 로그가 ESG에 로컬로 저장된 경우 로깅을 수행하면 너무 많은 로그가 생성되고 NSX Edge의 성능에 영향을 줄 수 있습니다. 이러한 이유로 원격 Syslog 서버를 구성하고, 분석 및 모니터링을 위해 모든 로그를 중앙 수집기로 전달하는 것이 좋습니다.

    HA를 사용하도록 설정한 경우 HA 섹션을 완료하십시오. 기본적으로 HA에서는 자동으로 내부 인터페이스를 선택하고 링크-로컬 IP 주소를 할당합니다. NSX Edge는 고가용성을 위해 두 개의 가상 시스템을 지원하며 둘 다 사용자 구성으로 최신으로 유지됩니다. 기본 가상 시스템에서 하트비트 오류가 발생하면 보조 가상 시스템이 활성 상태로 변경됩니다. 따라서 네트워크에서 NSX Edge 가상 시스템 하나는 항상 활성 상태입니다. NSX Edge는 대기 장치를 위해 기본 장치의 구성을 복제하며, DRS 및 vMotion을 사용한 후에도 두 HA NSX Edge 가상 시스템이 동일한 ESX 호스트에 있지 않도록 보장합니다. 두 가상 시스템은 구성된 장치와 동일한 리소스 풀 및 데이터스토어의 vCenter에 배포됩니다. 서로 통신할 수 있도록 NSX Edge HA의 HA 가상 시스템에 로컬 링크 IP 주소가 할당됩니다. HA 매개 변수를 구성할 내부 인터페이스를 선택합니다. 인터페이스에 대해 [임의]를 선택하지만 구성된 내부 인터페이스가 없는 경우 UI에서 오류를 표시합니다. 두 개의 Edge 장치가 생성되지만 구성된 내부 인터페이스가 없기 때문에 새 Edge는 대기 상태를 유지하고 HA는 사용하지 않도록 설정됩니다. 내부 인터페이스가 구성되면 Edge 장치에서 HA가 사용하도록 설정됩니다. 지정한 시간 내에 백업 장치가 기본 장치로부터 하트비트 신호를 받지 못하면 기본 장치를 비활성 상태로 간주하여 백업 장치가 작업을 맡도록 할 기간(초)을 입력합니다. 기본 간격은 15초입니다. 필요한 경우 HA 가상 시스템에 할당된 로컬 링크 IP 주소를 재정의하려면 관리 IP 주소 두 개를 CIDR 형식으로 입력할 수 있습니다. 관리 IP 주소가 다른 인터페이스에서 사용되는 IP 주소와 겹치지 않고 트래픽 라우팅을 방해하지 않는지 확인합니다. 네트워크가 NSX Edge에 직접 연결되어 있지 않은 경우에도 해당 네트워크상의 어딘가에 존재하는 IP 주소를 사용해서는 안 됩니다.

    예:

결과

ESG가 배포된 후 호스트 및 클러스터 보기로 이동하고 Edge 가상 장치의 콘솔을 엽니다. 콘솔에서 연결된 인터페이스를 Ping할 수 있는지 확인합니다.

다음에 수행할 작업

NSX Edge 장치를 설치할 때 vSphere HA가 클러스터에서 사용되지 않도록 설정되어 있으면 NSX는 호스트에서 자동 VM 시작/종료를 사용하도록 설정합니다. 장치 VM이 나중에 클러스터의 다른 호스트로 마이그레이션되는 경우 새 호스트가 자동 VM 시작/종료를 사용하도록 설정하지 않을 수도 있습니다. 이러한 이유로 vSphere HA가 사용되지 않도록 설정된 클러스터에서 NSX Edge 장치를 설치할 때는 클러스터의 모든 호스트를 점검하여 자동 VM 시작/종료가 사용되도록 설정되어 있는지 확인해야 합니다. vSphere 가상 시스템 관리에서 "가상 시스템 시작 및 종료 설정 편집"을 참조하십시오.

이제 외부 디바이스에서 VM으로 연결을 허용하도록 라우팅을 구성할 수 있습니다.