먼저 인프라를 설정한 다음, 게이트웨이 보안을 위해 환경을 구성해야 합니다.

1. NSX Edge 전송 노드 배포

먼저 NSX Edge 전송 노드를 배포해야 합니다.

사전 요구 사항

NSX Manager를 배포하고 유효한 라이센스를 구성했습니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address> 또는 https://<nsx-manager-fqdn>)에 로그인합니다.
  2. 시스템 > 패브릭 > 노드 > Edge 전송 노드 > Edge 노드 추가를 선택합니다.

    Edge 전송 노드 추가

  3. NSX Edge의 이름을 입력합니다.
  4. VMware vCentersubdomain.example.com 형식으로 호스트 이름 또는 FQDN을 입력합니다.
  5. NSX Edge VM 장치에 대한 폼 팩터를 선택합니다.
  6. NSX Edge VM 장치에 할당된 CPU 및 메모리를 사용자 지정하려면 다음 매개 변수를 조정합니다. 그러나 최대 성능을 위해서는 NSX Edge VM 장치에 사용 가능한 리소스의 100%가 할당되어야 합니다.
    경고: NSX Edge VM에 할당된 리소스를 사용자 지정하는 경우 나중에 예약을 100%로 다시 설정하여 성능을 극대화합니다.
    옵션 설명
    메모리 예약(%)

    예약 백분율은 폼 팩터의 미리 정의된 값에 상대적입니다.

    100은 NSX Edge VM에 대해 메모리의 100%가 예약되었음을 나타냅니다.
    50을 입력하면 할당된 메모리의 50%가 Edge 전송 노드용으로 예약되었음을 나타냅니다.
    참고: UPT 모드에서 NSX Edge VM 데이터 경로 인터페이스를 사용하려면 NSX Edge 전송 노드에 대해 할당된 메모리의 100%를 예약합니다.
    CPU 예약 우선 순위 공유 리소스를 경합하는 다른 VM을 기준으로 NSX Edge VM에 할당할 공유 수를 선택합니다.
    다음 공유는 중형 폼 팩터의 NSX Edge VM을 위한 것입니다.
    • 낮음 - 2,000개 공유
    • 보통 - 4,000개 공유
    • 높음 - 8,000개 공유
    • 매우 높음 - 10,000개 공유
    CPU 예약(MHz)
    경고: CPU 예약을 보다 자세히 제어해야 하는 경우가 아니면 이 필드를 사용하지 마십시오. 대신 CPU 예약 우선 순위 필드에서 CPU 예약을 변경합니다.

    최대 CPU 예약 값은 물리적 CPU 코어의 정상 CPU 작동 속도에 vCPU 수를 곱한 값을 초과하면 안 됩니다.

    입력한 MHz 값이 물리적 CPU 코어의 최대 CPU 용량을 초과하는 경우 할당이 수락되더라도 NSX Edge VM이 시작되지 않을 수 있습니다.

    예를 들어 2개의 Intel Xeon E5-2630 CPU가 있는 시스템을 가정해 보겠습니다. 각 CPU에는 2.20GHz에서 실행되는 10개의 코어가 포함되어 있습니다. 두 개의 vCPU로 구성된 VM에 대한 최대 CPU 할당은 2 x 2200MHz = 4400MHz입니다. CPU 예약이 8000MHz로 지정된 경우 VM의 재구성이 성공적으로 완료됩니다. 하지만 VM의 전원을 켜지 못했습니다.

  7. [자격 증명] 창에서 다음 세부 정보를 입력합니다.
    • NSX Edge의 CLI 및 루트 암호를 지정합니다. 암호는 암호 길이 제한을 준수해야 합니다.
      • 12자 이상
      • 하나 이상의 소문자
      • 하나 이상의 대문자
      • 하나 이상의 숫자
      • 하나 이상의 특수 문자
      • 5개 이상의 다른 문자
      • 사전 단어 제외
      • 회문 제외
      • 4자를 초과하는 단조 문자 시퀀스는 허용되지 않습니다.
    • 관리자에 대해 SSH를 사용하도록 설정하려면 SSH 로그인 허용 버튼을 전환합니다.
    • 루트 사용자에 대해 SSH를 사용하도록 설정하려면 루트 SSH 로그인 허용 버튼을 전환합니다.
    • 감사 역할에 대한 자격 증명을 입력합니다. Audit 자격 증명 섹션에 자격 증명을 입력하지 않으면 감사 역할이 사용되지 않도록 설정된 상태로 유지됩니다.
      참고: NSX Edge 노드를 배포한 후에는 배포 중에 설정한 루트 사용자에 대한 SSH 설정을 변경할 수 없습니다. 예를 들어, 배포 중에 SSH를 사용하지 않도록 설정한 경우 루트 사용자에 대해 사용하도록 설정할 수 없습니다.
  8. NSX Edge 세부 정보를 입력합니다.
    옵션 설명
    계산 관리자 드롭다운 메뉴에서 계산 관리자를 선택합니다.

    계산 관리자는 관리부에 등록된 VMware vCenter입니다.

    클러스터 드롭다운 메뉴에서 NSX Edge가 연결될 클러스터를 지정합니다.
    리소스 풀 또는 호스트 드롭다운 메뉴에서 NSX Edge에 대해 리소스 풀 또는 특정 호스트를 할당합니다.
    데이터스토어 드롭다운 메뉴에서 NSX Edge 파일에 대한 데이터스토어를 선택합니다.
  9. NSX Edge 관리 인터페이스 세부 정보를 입력합니다.
    옵션 설명
    관리 IP 할당

    NSX ManagerNSX Controller와 통신하는 데 필요한 NSX Edge 노드에 할당된 IP 주소에 사용되는 IP 버전을 지정합니다.

    IPv4만 또는 IPv4 및 IPv6을 선택합니다.

    • IPv4만을 선택하는 경우 DHCP 또는 고정 IP를 선택합니다.

      고정을 선택하는 경우 다음 값을 입력합니다.
      • 관리 IP: CIDR 표기법으로 NSX Edge의 IP 주소를 입력합니다.
      • 기본 게이트웨이: NSX Edge의 게이트웨이 IP 주소를 입력합니다.
    • IPv4 및 IPv6을 선택하는 경우 다음 값을 입력합니다.
      • 관리 IP: CIDR 표기법으로 NSX Edge의 IP 주소를 입력합니다.
      • 기본 게이트웨이: NSX Edge의 게이트웨이 IP 주소를 입력합니다.
    관리 인터페이스 드롭다운 메뉴에서 NSX Edge 관리 네트워크에 연결하는 인터페이스를 선택합니다. 이 인터페이스는 NSX Manager에서 연결할 수 있거나, NSX ManagerNSX Controller와 동일한 관리 인터페이스에 있어야 합니다.

    NSX Edge 관리 인터페이스는 NSX Manager 관리 인터페이스와의 통신을 설정합니다.

    NSX Edge 관리 인터페이스는 분산 포트 그룹 또는 세그먼트에 연결됩니다.

    도메인 이름 검색 'example.com' 형식으로 도메인 이름을 입력하거나 IP 주소를 입력하십시오.
    DNS 서버 DNS 서버의 IP 주소를 입력합니다.
    NTP 서버 NTP 서버의 IP 주소 또는 FQDN을 입력합니다.

    데이터 경로 인터페이스에 대해 UPT 모드 사용

    NSX Edge 데이터 경로 인터페이스에서 UPT(Uniform Passthrough) 모드를 사용하도록 설정하여 가상 네트워크에 대한 직접 I/O 액세스 또는 패스스루를 사용하도록 설정합니다. NSX Edge 노드의 전반적인 성능이 향상됩니다.
    이 필드를 사용하도록 설정하기 전에 다음을 확인하십시오.
    • NSX Edge 하드웨어 버전은 20 또는 vmx-20 이상입니다. 이전 하드웨어 버전은 UPT 모드를 지원하지 않습니다.
    • ESXi 호스트 버전은 8.0 이상이어야 합니다.
    경고: NSX Edge VM 가상 네트워크에서 UPT 설정을 적용하기 위해 NSX ManagerNSX Edge VM을 유지 보수 모드로 전환하고 전원을 껐다가 다시 켭니다.
  10. N-VDS 정보를 입력합니다.

    NSX Edge 노드의 vNIC를 구성하기 전에 다음 사항을 고려하십시오.

    N-VDS 스위치는 4개의 빠른 경로 vNIC와 하나의 관리 vNIC가 있는 Edge 노드 VM 내에서 호스팅됩니다.

    • 하나의 vNIC는 관리 트래픽 전용입니다.
    • 하나의 vNIC는 오버레이 트래픽 전용입니다(fp-eth0 DPDK 빠른 경로 인터페이스).
    • 두 vNIC는 외부 트래픽(fp-eth1, fp-eth2 DPDK 빠른 경로 인터페이스)에만 사용됩니다.
    옵션 설명
    Edge 스위치 이름 스위치의 이름을 입력하거나 기본 이름을 유지합니다.
    전송 영역 이 전송 노드가 속한 전송 영역을 선택합니다. NSX Edge 전송 노드는 2개 이상의 전송 영역, 즉 NSX 연결용 오버레이와 업링크 연결용 VLAN에 속합니다.
    참고: NSX Edge 노드는 다음과 같은 전제 조건이 충족될 때 다중 오버레이 터널(다중 TEP)을 지원합니다.
    • TEP 구성은 하나의 N-VDS에서만 수행해야 합니다.
    • 모든 TEP는 오버레이 트래픽에 동일한 전송 VLAN을 사용해야 합니다.
    • 모든 TEP IP는 동일한 서브넷에 있어야 하며 동일한 기본 게이트웨이를 사용해야 합니다.
    업링크 프로파일 드롭다운 메뉴에서 업링크 프로파일을 선택합니다. 사용 가능한 업링크는 선택된 업링크 프로파일의 구성에 따라 다릅니다.
    참고: NSX Edge는 여러 활성 업링크로 구성된 업링크 프로파일이나 대기 업링크로 구성된 업링크를 지원하지 않습니다.
    IP 주소 유형(TEP) TEP(터널 끝점)에 사용할 IP 버전을 선택합니다. 옵션은 IPv4IPv6입니다.
    중요: 전송 노드 전달 모드 및 TEP IP 주소 유형이 동일한지 확인합니다. 예를 들어 전송 노드 전달 모드가 IPv6로 설정된 경우 TEP IP 주소 유형을 IPv6로 설정합니다. 서로 다른 경우 트래픽 손실이 발생할 수 있습니다.
    IPv4 할당(TEP)

    이 필드는 IP 주소 유형(TEP)IPv4로 설정한 경우에 나타납니다.

    IPv4 주소가 구성된 NSX Edge 스위치에 할당되는 방식을 선택합니다. NSX Edge의 터널 끝점으로 사용됩니다. 옵션은 다음과 같습니다.

    • IP 풀 사용: IPv4 풀을 선택합니다.
    • 고정 IPv4 목록 사용: 다음 필드를 지정합니다.
      • 고정 IP 목록: NSX Edge에서 사용할 쉼표로 구분된 IPv4 주소 목록을 입력합니다.
      • IPv4 게이트웨이: 다른 네트워크의 다른 TEP 패킷을 라우팅하는 데 사용되는 TEP의 기본 게이트웨이를 입력합니다. 예를 들어 ESXi TEP가 20.20.20.0/24에 있고 NSX Edge TEP가 10.10.10.0/24에 있는 경우 기본 게이트웨이를 사용하여 이러한 네트워크 간에 패킷을 라우팅합니다.
      • IPv4 서브넷 마스크: NSX Edge에서 사용되는 TEP 네트워크의 서브넷 마스크를 입력합니다.
    IPv6 할당(TEP)

    이 필드는 IP 주소 유형(TEP)IPv6로 설정한 경우에 나타납니다.

    IPv6 주소가 구성된 NSX Edge 스위치에 할당되는 방식을 선택합니다. NSX Edge의 터널 끝점으로 사용됩니다. 옵션은 다음과 같습니다.

    • IP 풀 사용: IPv4 풀을 선택합니다.
    • 고정 IPv6 목록 사용: 다음 필드를 지정합니다.
      • 고정 IP 목록: NSX Edge에서 사용할 쉼표로 구분된 IPv4 주소 목록을 입력합니다.
      • IPv6 게이트웨이: 다른 네트워크의 다른 TEP 패킷을 라우팅하는 데 사용되는 TEP의 기본 게이트웨이를 입력합니다.
      • IPv6 서브넷 마스크: NSX Edge에서 사용되는 TEP 네트워크의 서브넷 마스크를 입력합니다.
    DPDK 빠른 경로 인터페이스/가상 NIC

    업링크를 DPDK 빠른 경로 인터페이스에 매핑합니다.

    NSX 4.0.1부터는 smartNIC 지원 DVPG, VLAN 논리적 스위치 또는 세그먼트에서 지원하는 업링크를 DPDK 빠른 경로 인터페이스에 매핑할 수 있습니다. 사전 요구 사항은 NSX Edge VM 가상 네트워크에서 UPT 모드를 사용하도록 설정하는 것입니다. UPT 모드에서는 하나 이상의 DPDK 인터페이스가 DPU(데이터 처리 장치) 지원 네트워크라고도 하는 smartNIC 지원 하드웨어에서 지원되어야 합니다.

    참고: NSX Edge 노드에 적용된 업링크 프로파일이 명명된 팀 구성 정책을 사용하는 경우 다음 조건이 충족되어야 합니다.
    • 명명된 팀 구성 정책을 사용하는 논리적 스위치를 통해 트래픽이 흐르려면 기본 팀 구성 정책의 모든 업링크를 Edge VM의 해당 물리적 네트워크 인터페이스에 매핑해야 합니다. 참고 항목

    최대 4개의 고유한 데이터 경로 인터페이스를 NSX Edge VM에 업링크로 구성할 수 있습니다.

    업링크를 DPDK 빠른 경로 인터페이스에 매핑할 때 NSX Edge가 사용 가능한 모든 인터페이스(총 4개)를 표시하지 않으면 추가 인터페이스가 아직 NSX Edge VM에 추가되지 않았거나 업링크 프로파일의 업링크 수가 더 적다는 의미입니다.

    이전 버전의 NSX에서 3.2.1 이상으로 업그레이드된 NSX Edge VM의 경우 다시 배포 API 호출을 호출하여 NSX Edge VM을 다시 배포합니다. 다시 배포 API를 호출하면 배포된 NSX Edge VM이 NSX Manager UI에서 사용 가능한 모든 데이터 경로 인터페이스를 인식합니다. 업링크 프로파일이 추가 데이터 경로 NIC를 사용하도록 올바르게 구성되어 있는지 확인합니다.

    • 자동 배포된 NSX Edge(NSX Manager UI 또는 API에서 배포된 Edge 노드)의 경우 다시 배포 API를 호출합니다. 다음 API는 더 이상 사용되지 않습니다.
      POST api/v1/transport-nodes/<transport-node-id>?action=redeploy
    • 수동으로 배포된 Edge(VMware vCenter UI의 OVA/OVF 파일을 사용하여 배포된 Edge)의 경우 새 NSX Edge VM을 배포합니다. 이전 NSX Edge VM의 모든 vmx 사용자 지정을 새 NSX Edge VM에 대해서도 수행했는지 확인합니다.

    큰 크기의 링 버퍼를 사용하는 여러 vNIC가 있는 대형 VM을 생성할 경우 NSX Edge VM에서 vMotion을 수행하면 ESXi에서 공유 버퍼 풀의 리소스가 부족할 수 있습니다. 공유 버퍼의 깊이를 늘리려면 ESXiShareCOSBufSize 매개 변수를 수정합니다. 버퍼 크기를 구성하려면 https://kb.vmware.com/s/article/76387 항목을 참조하십시오.

    참고:
    • LLDP 프로파일은 NSX Edge VM 장치에서 지원되지 않습니다.
    • NSX Manager를 사용하여 또는 베어메탈 서버에 NSX Edge를 설치한 경우 업링크 인터페이스가 DPDK 빠른 경로 인터페이스로 표시됩니다.
    • vCenter Server를 사용하여 NSX Edge를 수동으로 설치한 경우 업링크 인터페이스가 가상 NIC로 표시됩니다.
  11. 전송 노드 페이지에서 연결 상태를 확인합니다.
    NSX Edge를 전송 노드로 추가하고 약 10~12분 후에 Edge 전송 노드 페이지의 구성 상태가 성공으로 표시되고 노드 상태가 실행 중으로 표시됩니다.

1.1: NSX Edge 클러스터 프로비저닝

고가용성을 위해서는 Edge 클러스터에 2개의 Edge 노드가 있어야 합니다.

프로시저

  1. Edge 클러스터를 추가합니다. 시스템 > 패브릭 > 노드 > Edge 클러스터로 이동하고 Edge 클러스터 추가를 클릭합니다.
  2. 이름 텍스트 상자에 Edge 클러스터의 이름을 입력합니다. 예: Edge-cluster-1.
  3. 생성된 Edge 노드(Edge-1)를 사용 가능에서 선택됨 창으로 이동하고 추가를 클릭합니다.

2. Tier-0 또는 Tier-1 게이트웨이 생성

사용 사례에 따라 Tier-1 또는 Tier-0 게이트웨이를 생성합니다.

프로시저

  1. 게이트웨이를 추가하려면 다음을 수행합니다.
    • Tier-0 게이트웨이를 추가하려면 NSX Manager UI에서 네트워킹 > Tier-0 게이트웨이 > 게이트웨이 추가 > Tier-0를 클릭합니다.

      Tier-0 게이트웨이 추가

    • Tier-1 게이트웨이를 추가하려면 NSX Manager UI에서 네트워킹 > Tier-1 게이트웨이 > 게이트웨이 추가 > Tier-1를 클릭합니다.
  2. 다음 정보를 제공합니다.
    이름 게이트웨이의 이름을 입력합니다. 예: T0-gateway-1.
    Edge 클러스터 생성된 Edge 클러스터를 선택합니다. 예: Edge-cluster-1.
  3. 저장을 클릭합니다.

    자세한 내용은 "NSX 관리 가이드" 를 참조하십시오.

3. Tier-0 또는 Tier-1 게이트웨이에서 인터페이스 생성

NSX 게이트웨이에는 다양한 인터페이스 유형이 있습니다. 네트워크 토폴로지를 기준으로 네트워크에 연결하는 데 필요한 인터페이스를 선택하고 게이트웨이를 통과하는 트래픽에 방화벽 기능을 제공할 수 있습니다.

NSX 게이트웨이에 대한 다양한 인터페이스 유형을 보여주는 다이어그램.

Tier-0 외부 인터페이스:

  • 외부 연결을 위해 물리적 라우터에 연결합니다.
  • Tier-0 게이트웨이의 VLAN 세그먼트에서 이 인터페이스를 생성합니다.

Tier-1 업링크 인터페이스:

  • gier-0에 연결합니다.
  • 시스템은 Tier-1이 Tier-0에 연결될 때 이 인터페이스를 생성합니다.

서비스 인터페이스:

  • NSX 관리형 VLAN 워크로드에 NSX 서비스(GFW 및 기타)를 제공하는 데 사용됩니다.
  • VLAN 세그먼트에 연결합니다.
  • Tier-0 및 Tier-1 둘 다에서 지원됩니다.

다운링크 인터페이스:

  • 게이트웨이의 오버레이 세그먼트 인터페이스
  • Tier-0 및 Tier-1 둘 다에서 지원됩니다.
  • GFW 지원 없음
게이트웨이 방화벽은 워크로드가 네트워크에 연결되는 방식에 따라 두 가지 시나리오에 주로 사용될 수 있습니다.
  • VLAN 연결 워크로드
  • NSX 네트워크 오버레이 세그먼트와 연결된 워크로드

이러한 각 시나리오는 이 섹션의 설명에 따라 약간 다른 단계를 수행하여 네트워크 인터페이스를 생성합니다.

3.1: VLAN 연결 워크로드에 NSX 게이트웨이 방화벽 인터페이스 생성

환경을 설정하려면 다음 단계를 수행해야 합니다.

  1. NSX에서 VLAN 세그먼트를 생성합니다.
    1. NSX Manager 네트워킹 > 세그먼트 > 세그먼트 추가를 클릭합니다.
    2. 다음 정보를 제공합니다.
      세그먼트 이름 세그먼트의 이름을 입력합니다. 예: VLAN-100.
      전송 영역 VLAN 트래픽의 기본 전송 영역을 선택합니다. 예: nsx-vlan-transportzone.
      VLAN 100을 입력합니다.
    3. 저장을 클릭합니다.
  2. Tier-0 또는 Tier-1 게이트웨이에 서비스 인터페이스를 생성합니다.
    1. NSX Manager에서 네트워킹 > Tier-1 게이트웨이 게이트웨이 추가 > Tier-1을 클릭합니다.
    2. 생성한 게이트웨이를 편집합니다. 예: T1-gateway-1.
    3. 서비스 인터페이스에서 설정을 클릭합니다.
    4. 인터페이스 추가를 클릭합니다.
    5. 다음 정보를 제공합니다.
      이름 인터페이스의 이름을 입력합니다. 예: SI-VLAN-100.
      IP 주소/마스크 IP 주소를 입력합니다. 예: 192.168.50.12/24.
      연결 대상(세그먼트) 구성된 세그먼트를 선택합니다. 예: VLAN-100.
    6. 저장을 클릭합니다.

    네트워크 요구 사항에 따라 더 많은 서비스 인터페이스를 생성합니다.

    Tier-0에는 연결 요구 사항에 따라 외부 인터페이스 또는 서비스 인터페이스를 생성하는 옵션이 있습니다. 외부 인터페이스가 생성되면 Edge 클러스터의 일부로, Edge당 하나의 외부 인터페이스를 생성해야 합니다.

    워크플로의 일부로, 언급된 매개 변수 외에 해당 인터페이스를 생성할 Edge 노드를 선택합니다.

자세한 내용은 "NSX 관리 가이드" 항목을 참조하십시오.

3.2: 네트워크 오버레이 워크로드에 NSX 게이트웨이 방화벽 인터페이스 생성

다음 단계를 수행하십시오.
  1. Tier-1 게이트웨이를 생성합니다.
    1. 네트워킹 > Tier-1 게이트웨이 > Tier-1 게이트웨이 추가를 클릭합니다.
    2. Tier-1 게이트웨이의 이름을 입력합니다. 예: PROD-Tier1.

      Tier-1 게이트웨이 추가

    3. Tier-1에 업링크를 생성할 Tier-0 게이트웨이를 선택합니다.
    4. 게이트웨이 서비스를 구현할 Edge 클러스터를 선택합니다.

      Tier-1 게이트웨이를 추가한 후 데이터 추가

    5. 저장을 클릭합니다.
  2. 또한 워크로드를 연결하기 위한 오버레이 세그먼트를 생성해야 합니다. 이렇게 하면 게이트웨이에 다운링크 인터페이스가 생성되고 NSX 세그먼트를 가상 시스템과의 네트워크 연결을 위해 ESXi에서 사용할 수 있게 됩니다.
    1. 네트워킹 > 세그먼트 > NSX > 세그먼트 추가를 클릭합니다.

      세그먼트 추가

    2. 다음 정보를 제공합니다.
      이름 세그먼트의 이름을 입력합니다. 예: LS1.1.
      연결 구성된 Tier-1 게이트웨이를 선택합니다. 예: T1-Tenant1.
      전송 영역 오버레이 트래픽의 기본 전송 영역을 선택합니다. 예: nsx-overlay-transportzone.
      서브넷 필요한 서브넷을 입력합니다. 예: 10.x.x.1/24.
    3. 저장을 클릭합니다.
  3. 구성된 오버레이 세그먼트를 VMware vCenter에서 사용할 수 있는지 확인합니다. VMware vCenter에서 호스트 및 클러스터로 이동한 다음, 생성되고 나서 오버레이 세그먼트에 연결된 VM이 유효한지 검사합니다.

자세한 내용은 "NSX 설치 가이드" 항목을 참조하십시오.