사전 요구 사항

Zscaler SD-WAN Gateway 선택 및 라우팅 동작

Zscaler에 대한 터널을 구축하기 위한 VMware SASE Orchestrator 구성 프로세스에서는 특정 VMware SD-WAN Gateways를 수동으로 선택할 필요가 없습니다. geo-IP 조회 프로세스를 사용하면 제공된 Zscaler IP 끝점에 대한 근접성을 기준으로 VMware SD-WAN Gateways가 동적으로 선택됩니다. 충분한 사용 권한이 있는 운영자 및 파트너 관리자는 SASE Orchestrator 기본 게이트웨이 선택 항목을 수동으로 재정의할 수 있습니다. 일반적으로 이것은 필요하지 않으며 권장 모범 사례는 시스템에서 선택한 SD-WAN Gateways를 수락하는 것입니다. SASE Orchestrator에서 Zscaler 구성이 완료되고 터널이 실행 중이며 활성 상태인 경우 충분한 사용 권한이 있는 운영자 및 파트너 관리자는 선택된 SD-WAN Gateways를 확인할 수 있습니다. 선택된 SD-WAN Gateways를 확인하려면 Orchestrator에 로그인하고 운영자(Operator) > 게이트웨이(Gateways)로 이동합니다. 특정 SD-WAN Gateway를 클릭하고 "보안 VPN 게이트웨이(Secure VPN Gateway)"를 찾습니다. "보안 VPN 게이트웨이(Secure VPN Gateway)" 옆에 구성 프로세스 중에 설정된 Zscaler 설정의 이름이 표시됩니다. 기본 SD-WAN Gateway는 " Zscaler_Name" 으로 표시되고 중복 SD-WAN Gateway는 " Zscaler_Name" 중복으로 표시됩니다.

Zscaler 터널을 특정 SD-WAN Gateway로 설정하려면 먼저 위의 프로세스에 따라 터널이 있는 SD-WAN Gateway를 찾아야 합니다. 여기에서 "보안 VPN 게이트웨이(Secure VPN Gateway)"를 클릭하고 터널을 다른 SD-WAN Gateway로 이동/할당할 수 있습니다.

1. 현재 터널 위치를 찾습니다.

   

2. 보안 VPN 게이트웨이(Secure VPN Gateway)를 클릭합니다.

   

3. SD-WAN Gateway를 선택합니다.

   

   참고: 다른 SD-WAN Gateway에 터널을 할당/이동하면 서비스에 영향을 미칩니다. 기존 터널 연결이 종료되고 새로 할당된 SD-WAN Gateway에서 새 터널이 설정됩니다.

   VMware SD-WAN Edge 구성/활성화 프로세스 동안 디바이스 구성에 따라 각 Edge에 클라우드 SD-WAN Gateways 쌍 또는 파트너 SD-WAN Gateways 집합이 할당됩니다. Edge에서 사용하는 SD-WAN Gateways가 Zscaler 터널이 포함된 SD-WAN Gateways와 동일하지 않으면 Edge는 활성화 프로세스 중에 선택된 SD-WAN Gateways 외에 Zscaler에 연결하는 SD-WAN Gateways에 대한 VCMP 터널을 자동으로 구축합니다. 이렇게 하면 Edge가 Zscaler에 연결할 수 있습니다.

Zscaler 설정 예

예 1: 중복 Velocloud 클라우드 VPN이 선택되지 않은 1.1.1.1에 대한 기본 Zscaler 터널

이 예에서는 Zscaler VPN 터널이 하나만 생성되고 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택되지 않습니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 단일 게이트웨이(이 경우 기본 SD-WAN Gateway)를 선택하면(Geo-IP 조회를 통해 결정됨) Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 비즈니스 정책 구성에 따라 SD-WAN Edge에서 기본 SD-WAN Gateway로, 다시 Zscaler로 트래픽이 흐릅니다. SD-WAN Edge에 항상 두 개 이상의 SD-WAN Gateways에 대한 VCMP 터널이 있지만, 이 설계에는 이중화가 나타나지 않습니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란을 선택하지 않았으므로 Zscaler에 대한 백업 SD-WAN Gateway 터널이 없습니다. Zscaler 또는 기본 SD-WAN Gateway가 실패하거나 어떤 이유로든 둘 사이의 IPsec 터널이 종료되면 Zscaler 방향의 트래픽이 삭제됩니다.

예 2: 중복 Velocloud 클라우드 VPN이 선택된 1.1.1.1에 대한 기본 Zscaler 터널

이 예에서는 Zscaler VPN 터널이 하나만 생성되고 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택됩니다. Zscaler 위치에 가장 가까운 원격 VPN 게이트웨이에 대한 근접성을 기준으로 두 개의 SD-WAN Gateways를 선택하면(Geo-IP 조회를 통해 결정됨) Zscaler에 대한 IPsec 터널이 구축됩니다. 이러한 두 터널은 모두 활성 상태입니다. 그러나 Zscaler로 전송되는 모든 트래픽은 기본 SD-WAN Gateway를 통과합니다. 기본 SD-WAN Gateway가 실패하면 트래픽이 보조 SD-WAN Gateway로 전환됩니다. 단일 Zscaler 끝점만 정의되므로 이 끝점이 종료되면 Zscaler로의 트래픽은 삭제됩니다.

예 3: 중복 Velocloud 클라우드 VPN이 선택되지 않은 1.1.1.1에 대한 기본 Zscaler 터널, 2.2.2.2에 대한 보조 Zscaler 터널

이 예에서는 보조 Zscaler IP 주소를 추가하여 SASE Orchestrator에서 Zscaler에 대한 중복 IPsec 터널을 구성하지만, 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란은 선택되지 않습니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 단일 SD-WAN Gateway를 선택하면(Geo-IP 조회를 통해 결정됨) 두 Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 이러한 두 터널은 모두 활성 상태이지만 구성 설정에 따라 SD-WAN Gateway에서 Zscaler에 대한 기본 경로가 어떤 IPsec 터널인지 알고 해당 터널을 통해 트래픽을 전송하게 됩니다. Zscaler는 기본 또는 백업 IPsec 터널을 표시하지 않습니다. Zscaler는 요청을 시작한 SD-WAN Gateway를 통해 트래픽을 반환하기만 합니다. 기본 Zscaler 위치가 종료되면 SD-WAN Gateway의 트래픽이 보조 Zscaler IPsec 터널로 전환됩니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택되지 않았으므로 Zscaler에 대한 중복 SD-WAN Gateway 연결이 없습니다. SD-WAN Gateway가 실패하면 Zscaler로 전송되는 트래픽이 삭제됩니다.

예 4: 중복 Velocloud VPN이 선택된 1.1.1.1에 대한 기본 Zscaler 터널, 2.2.2.2에 대한 보조 Zscaler 터널

이 예에서는 보조 Zscaler IP 주소를 추가하여 SASE Orchestrator에서 Zscaler에 대한 중복 IPsec 터널을 구성하며 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란이 선택됩니다. 원격 VPN 게이트웨이에 대한 근접성을 기준으로 두 SD-WAN Gateways를 선택하면(Geo-IP 조회를 통해 결정됨) 두 Zscaler VPN 끝점에 대한 IPsec 터널이 생성됩니다. 이러한 모든 터널은 활성 상태이지만 구성 설정에 따라 SD-WAN Gateways에서는 둘 중 어떤 것이 기본 SD-WAN Gateway이고 어떤 것이 보조 게이트웨이인지 알 수 있습니다. 또한 SD-WAN Gateways는 Zscaler에 대한 IPsec 터널 중 어떤 것이 기본 경로이고 어떤 것이 보조 경로인지도 알고 있습니다. Zscaler는 기본 또는 백업 IPsec 터널을 표시하지 않습니다. Zscaler는 요청을 시작한 SD-WAN Gateway를 통해 트래픽을 반환하기만 합니다. 기본 Zscaler 위치가 종료되면 기본 SD-WAN Gateway의 트래픽이 보조 Zscaler IPsec 터널로 전환됩니다. 중복 Velocloud 클라우드 VPN(Redundant Velocloud Cloud VPN) 확인란을 선택했으므로 기본 SD-WAN Gateway가 실패하면 트래픽이 보조 SD-WAN Gateway로 전환됩니다. 보조 SD-WAN Gateway는 해당 경로를 사용할 수 있는 경우 기본 IPsec 터널을 활용합니다. 그렇지 않다면 보조 IPsec 터널을 사용하여 Zscaler에 연결합니다.

계층 7 상태 점검

ZIA(Zscaler Internet Access)용으로 지정된 Zscaler 데이터 센터에 대한 IPsec/GRE 터널을 설정하면 ZIA용 Zscaler 로드 밸런서의 VIP(가상 IP)에 대한 SD-WAN Edge 또는 SD-WAN Gateway 간에 터널이 설정됩니다. 분기의 최종 사용자 트래픽이 로드 밸런서에 도달하면 로드 밸런서는 ZIA 공용 서비스 Edge로 트래픽을 분산합니다. DPD(Dead Peer Detection) 및 GRE 킵얼라이브는 로드 밸런서의 공용 VIP에 대한 가용성만 감지할 수 있습니다(터널 대상이기 때문). 공용 VIP는 고가용성 끝점이며 지정된 ZIA 공용 서비스 Edge의 가용성을 반영하지 않습니다. 계층 7 상태 점검을 사용하면 HTTP 프로브를 기준으로 ZIA Edge의 성능 및 가용성을 모니터링할 수 있으며 결과를 기준으로 대체 터널로 페일오버할 수 있습니다. 프로브를 활성화한 경우 SD-WAN Edge 또는 SD-WAN Gateway는 HTTP 프로브 URL(다음 형식)으로 검색 요청을 주기적으로 전송합니다.

프로브 URL은 SASE Orchestrator에서 구성할 수 있지만, 현재 검색 간격 및 재시도 횟수는 SASE Orchestrator에서 편집할 수 없습니다. 정의된 재시도 횟수에 대해 프로브가 연속적으로 실패하면 터널이 종료된 것으로 표시되고 트래픽이 정의된 경우 보조 터널로 페일오버됩니다. https 응답(200 OK)이 수신되지 않았거나 지연 시간이 정의된 임계값보다 크면 검색 실패가 발생할 수 있습니다. Edge에 조건부 백홀이 구성된 경우 기본 및 보조 터널에 대한 검색이 실패하면 구성된 백홀 허브로의 트래픽 페일오버가 트리거됩니다. 프로브가 다시 실행되면 트래픽이 CSS 터널로 폴백됩니다. 게이트웨이를 통한 NSD(비 SD-WAN 대상)에 대해 중복 클라우드 VPN이 구성된 경우 기본 게이트웨이에서 기본 및 보조 터널로의 검색이 실패하면 보조 게이트웨이로의 트래픽 페일오버가 트리거됩니다. 기본 게이트웨이의 프로브가 다시 실행되면 트래픽이 기본 게이트웨이의 CSS 터널로 폴백됩니다.

Zscaler 및 VMware SD-WAN 배포 구성

ZIA(Zscaler Internet Access) 및 VMware SD-WAN을 통합하기 위한 구성 단계를 설명합니다.

1. ZIA(Zscaler Internet Access) 구성: 계정을 생성하고, VPN 자격 증명을 추가하고, 위치를 추가합니다.
2. 비 SD-WAN 대상을 생성하고 구성합니다.
3. 구성 프로필에 비 SD-WAN 대상을 추가합니다.
4. 비즈니스 우선 순위 규칙을 구성합니다.

자세한 내용은 https://www.zscaler.com/resources/solution-briefs/partner-vmware-sdwan-deployment-guide.pdf를 참조하십시오. 이 가이드에서는 Zscaler Internet Access 및 VMware SASE Orchestrator를 구성하기 위한 GUI 예를 제공합니다.

계층 7 상태 점검 이벤트