이 부문에서는 SASE Orchestrator의 주요 개념과 핵심 구성에 관해 설명합니다.
구성
VMware 서비스에는 계층적 관계가 있는 4개의 코어 구성이 있습니다. SASE Orchestrator에서 이러한 구성을 생성합니다.
다음 표에서는 구성에 대한 개요를 제공합니다.
구성 | 설명 |
---|---|
네트워크(Network) | IP 주소 지정 및 VLAN과 같은 기본 네트워크 구성을 정의합니다. 네트워크는 회사(Corporate) 또는 게스트(Guest)로 지정할 수 있으며 각 네트워크에 대해 여러 개의 정의가 있을 수 있습니다. |
네트워크 서비스 | VMware 서비스에서 사용하는 몇 가지 공통 서비스(예: 백홀 사이트, 클라우드 VPN 허브, 비 SD-WAN 대상, 클라우드 프록시 서비스, DNS 서비스 및 인증 서비스)를 정의합니다. |
프로필 | 여러 Edge에 적용할 수 있는 템플릿 구성을 정의합니다. 프로필은 네트워크(Network) 및 네트워크 서비스(Network Services)를 선택하여 구성합니다. 프로필을 하나 이상의 Edge 모델에 적용하고 LAN, 인터넷, 무선 LAN 및 WAN Edge 인터페이스에 대한 설정을 정의합니다. 프로필은 Wi-Fi 무선(Wi-Fi Radio), SNMP, Netflow, 비즈니스 정책(Business Policies) 및 방화벽(Firewall) 구성에 대한 설정을 제공할 수도 있습니다. |
Edge | 구성은 Edge 디바이스로 다운로드할 수 있는 전체 설정 그룹을 제공합니다. Edge 구성은 선택한 프로필, 선택한 네트워크 및 네트워크 서비스의 설정 집합입니다. Edge 구성은 설정을 재정의하거나 지시된 정책을 프로필, 네트워크 및 네트워크 서비스에 정의된 정책에 추가할 수도 있습니다. |
다음 이미지에서는 여러 Edge, 프로필, 네트워크 및 네트워크 서비스의 관계 및 구성 설정에 대한 자세한 개요를 보여 줍니다.
단일 프로필을 여러 Edge에 할당할 수 있습니다. 개별 네트워크 구성을 둘 이상의 프로필에서 사용할 수 있습니다. 네트워크 서비스 구성은 모든 프로필에서 사용됩니다.
네트워크(Networks)
- 회사 또는 신뢰할 수 있는 네트워크: 겹치는 주소 또는 겹치지 않는 주소로 구성할 수 있습니다.
- 게스트 또는 신뢰할 수 없는 네트워크: 항상 겹치는 주소를 사용합니다.
여러 회사 및 게스트 네트워크를 정의하고 두 네트워크 모두에 VLAN을 할당할 수 있습니다.
겹치는 주소를 사용하는 경우 네트워크를 사용하는 모든 Edge의 주소 공간이 동일합니다. 겹치는 주소는 비 VPN 구성과 연결됩니다.
겹치지 않는 주소를 사용하면 주소 공간이 동일한 수의 주소 블록으로 분할됩니다. 겹치지 않는 주소는 VPN 구성과 연결됩니다. 주소 블록은 각 Edge에 고유한 주소 집합이 포함되도록 네트워크를 사용하는 Edge에 할당됩니다. Edge 간 및 Edge- 비 SD-WAN 대상 간 VPN 통신에는 겹치지 않는 주소는 필요합니다. VMware 구성은 VPN 액세스를 위해 엔터프라이즈 데이터 센터 게이트웨이에 액세스하는 데 필요한 정보를 생성합니다. 엔터프라이즈 데이터 센터 게이트웨이의 관리자는 비 SD-WAN 대상 VPN 구성 중에 생성된 IPSec 구성 정보를 사용하여 비 SD-WAN 대상에 대한 VPN 터널을 구성합니다.
다음 이미지에서는 네트워크 구성의 고유한 IP 주소 블록이 SD-WAN Edge에 할당되는 상황을 보여 줍니다.
네트워크 서비스
엔터프라이즈 네트워크 서비스를 정의하고 모든 프로필에서 사용할 수 있습니다. 여기에는 인증, 클라우드 프록시, 비 SD-WAN 대상 및 DNS에 대한 서비스가 포함됩니다. 정의된 네트워크 서비스는 프로필에 할당된 경우에만 사용됩니다.
프로필(Profiles)
프로필은 VLAN, 클라우드 VPN 설정, 유선 및 무선 인터페이스 설정, 네트워크 서비스(예: DNS 설정, 인증 설정, 클라우드 프록시 설정 및 비 SD-WAN 대상에 대한 VPN 연결) 목록을 정의하는 명명된 구성입니다. 프로필을 사용하여 하나 이상의 SD-WAN Edges에 대한 표준 구성을 정의할 수 있습니다.
프로필은 VPN용으로 구성된 Edge에 대한 클라우드 VPN 설정을 제공합니다. 클라우드 VPN 설정은 Edge 간 및 Edge-비 SD-WAN 대상 간 VPN 연결을 활성화하거나 비활성화할 수 있습니다.
프로필은 비즈니스 정책 및 방화벽 설정에 대한 규칙 및 구성을 정의할 수도 있습니다.
Edge
프로필을 Edge에 할당할 수 있으며 Edge는 프로필에서 대부분의 구성을 파생합니다.
Edge 구성에서 수정하지 않고 프로필, 네트워크 또는 네트워크 서비스에 정의된 대부분의 설정을 사용할 수 있습니다. 그러나 Edge 구성 요소에 대한 설정을 재정의하여 특정 시나리오에 대한 Edge를 조정할 수 있습니다. 여기에는 인터페이스, Wi-Fi 무선 설정, DNS, 인증, 비즈니스 정책 및 방화벽에 대한 설정이 포함됩니다.
또한 프로필 또는 네트워크 구성에 없는 설정을 확대하도록 Edge를 구성할 수 있습니다. 여기에는 포트 포워딩 및 1:1 NAT에 대한 서브넷 주소 지정, 고정 경로 설정 및 인바운드 방화벽 규칙이 포함됩니다.
Orchestrator 구성 워크플로
VMware는 여러 구성 시나리오를 지원합니다. 다음 표에는 몇 가지 일반 시나리오가 나열되어 있습니다.
시나리오 | 설명 |
---|---|
SaaS | Edge 간, Edge-비 SD-WAN 대상 또는 Edge-VMware SD-WAN Site 간에 VPN 연결이 필요하지 않은 Edge에 사용됩니다. 이 워크플로에서는 회사 네트워크에 대한 주소 지정이 겹치는 주소 지정을 사용한다고 가정합니다. |
VPN을 통한 비 SD-WAN 대상 | Amazon Web Services, Zscaler, Cisco ISR 또는 ASR 1000 시리즈와 같은 비 SD-WAN 대상에 대해 VPN 연결이 필요한 Edge에 사용됩니다. 이 워크플로는 회사 네트워크에 대한 주소 지정이 겹치지 않는 주소 지정을 사용하고 비 SD-WAN 대상가 프로필에 정의되어 있다고 가정합니다. |
VMware SD-WAN Site VPN | Edge 허브 또는 클라우드 VPN 허브와 같은 VMware SD-WAN Site에 대해 VPN 연결이 필요한 Edge에 사용됩니다. 이 워크플로는 회사 네트워크에 대한 주소 지정이 겹치지 않는 주소 지정을 사용하고 VMware SD-WAN Sites가 프로필에 정의되어 있다고 가정합니다. |
각 시나리오의 경우 다음과 같은 순서로 SASE Orchestrator의 구성을 수행합니다.
1단계: 네트워크
2단계: 네트워크 서비스
3단계: 프로필
4단계: Edge
다음 표에는 각 워크플로의 빠른 시작 구성에 대한 개략적인 개요가 나와 있습니다. 빠른 시작 구성에 미리 구성된 네트워크, 네트워크 서비스 및 프로필 구성을 사용할 수 있습니다. VPN 구성의 경우 기존 VPN 프로필을 수정하고 VMware SD-WAN Site 또는 비 SD-WAN 대상를 구성합니다. 마지막 단계는 새 Edge를 생성하고 활성화하는 것입니다.
빠른 시작 구성 단계 |
SaaS | 비 SD-WAN 대상 VPN |
VMware SD-WAN Site VPN |
---|---|---|---|
1단계: 네트워크 | 빠른 시작 인터넷 네트워크(Quick Start Internet Network) 선택 | 빠른 시작 VPN 네트워크(Quick Start VPN Network) 선택 | 빠른 시작 VPN 네트워크(Quick Start VPN Network) 선택 |
2단계: 네트워크 서비스 | 미리 구성된 네트워크 서비스 사용 | 미리 구성된 네트워크 서비스 사용 | 미리 구성된 네트워크 서비스 사용 |
3단계: 프로필 | 빠른 시작 인터넷 프로필(Quick Start Internet Profile) 선택 | 빠른 시작 VPN 프로필(Quick Start VPN Profile) 선택 클라우드 VPN 활성화 및 비 SD-WAN 대상 구성 |
빠른 시작 VPN 프로필(Quick Start VPN Profile) 선택 클라우드 VPN 활성화 및 VMware SD-WAN Sites 구성 |
4단계: Edge | 새 Edge 추가 및 Edge 활성화 | 새 Edge 추가 및 Edge 활성화 |
새 Edge 추가 및 Edge 활성화 |
자세한 내용은 SD-WAN Edges 활성화를 참조하십시오.