다중 테넌트 NSX 환경에서 프로젝트 관리자는 프로젝트의 Tier-1 게이트웨이에서 L2 VPN 및 IPSec VPN 서비스를 구성할 수 있습니다.
프로젝트의 Tier-1 게이트웨이에서 VPN을 구성하려면 프로젝트에 Edge 클러스터를 할당해야 합니다.
프로젝트의 VPN 서비스에 대해 다음 기능이 지원됩니다.
- 프로젝트의 각 Tier-1 게이트웨이에서 하나의 IPSec 서비스와 하나의 L2 VPN 서비스만 구성할 수 있습니다.
- 경로 기반 IPSec VPN을 구성하기 위해 고정 경로가 지원됩니다. BGP를 사용하는 VTI(가상 터널 인터페이스)를 사용한 동적 라우팅은 프로젝트의 Tier-1 게이트웨이에서 지원되지 않습니다.
- 프로젝트에서 IPSec VPN 및 L2 VPN 서비스를 구성하는 워크플로는 기본 공간에서 이러한 서비스를 구성하는 워크플로와 동일합니다. 자세한 내용은 NSX VPN 서비스 추가 항목을 참조하십시오.
- IPSec VPN 세션을 구성하기 위해 사전 공유 키 인증과 인증서 기반 인증이 모두 지원됩니다.
- 엔터프라이즈 관리자는 필요한 경우 서비스 인증서 및 CRL(인증서 해지 목록)을 프로젝트와 공유할 수 있습니다. 프로젝트 관리자는 IPSec VPN 세션에 대해 인증서 기반 인증이 구성된 경우 공유 인증서를 사용하여 IPSec 끝점을 인증할 수 있습니다.
- 또는 프로젝트 관리자는 프로젝트 보기에서 서비스 인증서 및 CRL을 생성, 업데이트 또는 관리하고 이를 사용하여 프로젝트에서 IPSec VPN 세션을 구성할 수 있습니다.
- 시스템 생성 VPN 프로파일은 기본적으로 시스템의 모든 프로젝트와 공유됩니다. 프로젝트 관리자는 다음 기본 VPN 프로파일을 사용하거나 새 프로파일을 생성하여 프로젝트에서 VPN 서비스를 구성할 수 있습니다.
- IKE 프로파일
- IPSec 터널 프로파일
- DPD 프로파일
- L2 VPN 터널 프로파일
- 규정 준수 제품군 관련 프로파일
IKE, IPSec 및 DPD 프로파일을 추가하는 방법에 대한 자세한 내용은 프로파일 추가 항목을 참조하십시오. 엔터프라이즈 관리자가 기본 공간에서 VPN 프로파일을 생성한 경우 필요에 따라 특정 프로젝트와 공유할 수 있습니다. 공유 프로파일은 프로젝트에서 읽기 전용 모드로 사용할 수 있습니다.
- 엔터프라이즈 관리자는 다양한 개체 유형에 대한 할당량을 정의하여 프로젝트에서 생성할 수 있는 VPN 관련 개체의 수를 제한할 수 있습니다. 예를 들어 다음 VPN 개체에 대해 할당량을 정의할 수 있습니다.
- IPSec VPN 세션
- L2 VPN 세션
- 로컬 끝점
- IPSec VPN 서비스
- L2 VPN 서비스
- VPN 프로파일
이 목록에 모든 개체 목록이 포함되어 있지는 않습니다. 전체 개체 목록을 보려면 NSX Manager UI의 할당량 탭으로 이동합니다.
- 프로젝트 보기에서 VPN 서비스, VPN 세션 및 기타 VPN 통계의 모니터링 상태가 지원됩니다.
- 동일한 NSX 배포에서 서로 다른 두 프로젝트의 Tier-1 게이트웨이 간에 L2 VPN 및 IPSec VPN 터널을 구성할 수 있습니다.
- 동일한 프로젝트의 Tier-1 게이트웨이 간에 L2 VPN 및 IPSec VPN 터널을 구성할 수 있습니다.
프로젝트의 Tier-1 게이트웨이에서 VPN 서비스를 구성할 때는 다음 사항에 유의해야 합니다.
- IPSec 로컬 끝점은 프로젝트의 Tier-1 게이트웨이에서 루프백 IP로 인식됩니다. 로컬 끝점 IP는 데이터 센터 전체에서 고유해야 합니다. 끝점 IP는 프로젝트와 연결된 Tier-0 게이트웨이에 보급된 다음 BGP를 통해 업스트림 네트워크로 푸시됩니다.
- Tier-1 게이트웨이에 대한 IPSec 패킷(IKE UDP 포트 500 및 4500, ESP)을 허용하려면 엔터프라이즈 관리자가 프로젝트와 연결된 Tier-0 게이트웨이에서 방화벽 규칙을 정의해야 합니다. Tier-0 게이트웨이의 방화벽 규칙은 시스템에서 자동으로 생성되지 않습니다. 그러나 프로젝트의 Tier-1 게이트웨이에 있는 방화벽 규칙은 IPSec VPN 세션의 끝점 간에 IKE 및 ESP 트래픽을 허용하도록 자동으로 생성됩니다.