SD-WAN Edge를 프로비저닝하려면 이 절차의 단계를 수행합니다.

사전 요구 사항

로그인하려면 SD-WAN Orchestrator 호스트 이름 및 관리자 계정이 있는지 확인합니다.

프로시저

  1. 로그인 자격 증명을 사용하여 SD-WAN Orchestrator 애플리케이션에 관리자 권한으로 로그인합니다.
  2. 구성(Configure) > Edge(Edges)로 이동합니다.
  3. Edge(Edges) 화면에서 Edge 추가(Add Edge)를 클릭합니다. Edge 프로비저닝(Provision an Edge) 화면이 나타납니다.
  4. 다음 옵션을 구성할 수 있습니다.
    옵션 설명
    모드(Mode) 기본적으로 SD-WAN Edge 모드가 선택됩니다.
    이름(Name) Edge의 고유한 이름을 입력합니다.
    모델(Model) 드롭다운 메뉴에서 가상 Edge(Virtual Edge)를 선택합니다.
    프로필(Profile) 드롭다운 메뉴에서 빠른 시작 프로필(Quick Start Profile)을 선택합니다.
    참고: Edge 자동 활성화로 인해 Edge 스테이징 프로필(Edge Staging Profile)이 옵션으로 표시되면 이 프로필은 새로 할당된 Edge에서 사용되지만 운영 프로필로 구성되지 않았음을 나타냅니다.
    Edge 라이센스(Edge License) 드롭다운 메뉴에서 Edge 라이센스를 선택합니다. 이 목록에는 운영자가 엔터프라이즈에 할당한 라이센스가 표시됩니다.
    인증(Authentication)

    드롭다운 메뉴에서 인증 모드를 선택합니다.

    • 인증서 비활성화됨(Certificate Deactivated) - Edge에서 사전 공유한 키 인증 모드를 사용합니다.
      경고: 이 모드는 고객 배포에 권장되지 않습니다.
    • 인증서 획득(Certificate Acquire): 이 모드는 기본적으로 선택되어 있으며 모든 고객 배포에 권장됩니다. 인증서 획득(Certificate Acquire) 모드를 사용하면 Edge 활성화 시 인증서가 발급되고 자동으로 갱신됩니다. Orchestrator는 키 쌍을 생성하고 Orchestrator에 인증서 서명 요청을 전송하여 SD-WAN Orchestrator의 CA(인증 기관)에서 인증서를 획득하도록 Edge에 지시합니다. 획득하게 되면 Edge는 SD-WAN Orchestrator에서 인증을 받고 VCMP 터널을 설정하기 위해 인증서를 사용합니다.
      참고: 인증서를 획득한 후에는 필요에 따라 이 옵션을 인증서 필요(Certificate Required)로 업데이트할 수 있습니다.
    • 인증서 필요(Certificate Required): 이 모드는 "고정"인 고객 엔터프라이즈에만 적합합니다. 고정 엔터프라이즈는 소수의 새 Edge가 배포될 가능성이 높고 새로운 PKI 지향 변경이 예상되지 않는 엔터프라이즈로 정의됩니다.
      중요: 인증서 필요(Certificate Required)인증서 획득(Certificate Acquire)보다 보안 이점이 없습니다. 두 모드 모두 동일하게 안전하며 인증서 필요(Certificate Required)를 사용하는 고객은 이 섹션에 설명된 이유로만 이 옵션을 사용해야 합니다.
      인증서 필요(Certificate Required) 모드는 유효한 인증서가 없으면 Edge 하트비트가 수락되지 않음을 의미합니다.
      경고: 이 모드를 사용하면 고객이 이러한 엄격한 적용을 인식하지 못하는 경우 Edge 장애가 발생할 수 있습니다.
      이 모드에서는 Edge가 PKI 인증서를 사용합니다. 운영자는 Orchestrator의 시스템 속성을 편집하여 Edge의 인증서 갱신 기간을 변경할 수 있습니다. 자세한 내용은 운영자에게 문의하십시오.
    참고:
    • 배스천 Orchestrator 기능을 사용하도록 설정한 경우 배스천 Orchestrator로 스테이징될 Edge의 인증 모드가 인증서 획득(Certificate Acquire) 또는 인증서 필요(Certificate Required)로 설정되어야 합니다.
    • Edge 인증서가 해지되면 Edge가 비활성화되고 활성화 프로세스를 진행해야 합니다. 현재 QuickSec 디자인은 CRL(인증서 해지 목록) 시간 유효성을 검사합니다. 새로 설정된 연결에 영향을 미치려면 CRL 시간 유효성이 Edge의 현재 시간과 일치해야 합니다. 이를 구현하려면 Edge의 날짜 및 시간과 일치하도록 Orchestrator 시간을 올바르게 업데이트해야 합니다.
    디바이스 암호화(Encrypt Device Secrets) Edge가 모든 플랫폼에서 중요한 데이터를 암호화하도록 허용하려면 사용(Enable) 확인란을 선택합니다. 이 옵션은 Edge 개요(Overview) 페이지에서도 사용할 수 있습니다.
    참고: Edge 버전 5.2.0 이상의 경우 이 옵션을 비활성화하기 전에 먼저 원격 작업을 사용하여 Edge를 비활성화해야 합니다. 이 작업을 수행하면 Edge가 다시 시작됩니다.
    고가용성(High Availability) 사용(Enable) 확인란을 선택하여 HA(고가용성)를 적용합니다. Edge를 단일 독립형 디바이스로 설치하거나 다른 Edge와 연결하여 HA(고가용성)를 지원할 수 있습니다.
    로컬 연락처 이름(Local Contact Name) Edge에 대한 사이트 담당자의 이름을 입력합니다.
    로컬 담당자 이메일(Local Contact Email) Edge에 대한 사이트 담당자의 이메일 주소를 입력합니다.
  5. 필요한 모든 세부 정보를 입력하고 다음(Next)을 클릭하여 다음 추가 옵션을 구성합니다.
    참고: 다음(Next) 버튼은 모든 필수 세부 정보를 입력하는 경우에만 활성화됩니다.
    옵션 설명
    일련번호(Serial Number) Edge의 일련번호를 입력합니다. 지정된 경우 Edge는 활성화된 해당 일련번호를 표시해야 합니다.
    참고: AWS Edge에 가상 VMware SD-WAN Edge를 배포하는 경우 인스턴스 ID를 Edge의 일련번호로 사용해야 합니다.
    설명(Description) 해당 설명을 입력합니다.
    위치(Location) 위치 설정(Set Location) 링크를 클릭하여 Edge의 위치를 설정합니다. 지정하지 않으면 Edge가 활성화될 때 IP 주소에서 위치가 자동으로 감지됩니다.
  6. Edge 추가(Add Edge)를 클릭합니다.
    Edge가 프로비저닝되고 활성화 키가 페이지 상단에 표시됩니다. AliCloud 콘솔에서 Edge를 실행하는 데 사용할 수 있도록 활성화 키를 기록해 둡니다.
    참고: Edge 디바이스가 활성화되지 않은 경우 활성화 키는 1달 후에 만료됩니다.
  7. 가상 Edge 인터페이스를 구성합니다. 다음 단계는 토폴로지 A를 고려하여 설명됩니다.
    1. 구성(Configure) > Edge(Edges)로 이동합니다. Edge(Edges) 페이지에 기존 Edge가 표시됩니다.
    2. Edge에 대한 링크를 클릭하거나 Edge의 디바이스(Device) 열에서 보기(View) 링크를 클릭합니다. 선택한 Edge에 대한 구성 옵션이 디바이스(Device) 탭에 표시됩니다.
    3. 인터페이스 설정(Interface Settings) 영역으로 이동합니다.
    4. 연결(Connectivity) 범주에서 인터페이스(Interfaces)를 확장합니다. 선택한 Edge에 사용할 수 있는 다양한 유형의 인터페이스가 표시됩니다.
    5. 인터페이스 재정의(Override Interface) 확인란을 선택하고 다음과 같이 가상 Edge 인터페이스 GE1 인터페이스(GE1 Interface), GE2 인터페이스(GE2 Interface)GE3 인터페이스(GE3 Interface)의 구성을 업데이트합니다.
      • GE1 인터페이스 기능을 라우팅됨(Routed)으로 변경하고 WAN 오버레이(WAN Overlay)NAT 직접 트래픽(NAT Direct Traffic)을 비활성화합니다.
      • GE2 인터페이스 기능을 라우팅됨(Routed)으로 변경하고 WAN 오버레이(WAN Overlay)NAT 직접 트래픽(NAT Direct Traffic)이 활성화되어 있는지 확인합니다.
      • GE3 인터페이스의 경우 개인 VPC 서브넷에 연결된 디바이스(LAN 디바이스)의 다음 홉이 되는 WAN 오버레이(WAN Overlay)NAT 직접 트래픽(NAT Direct Traffic)을 비활성화합니다.
    자세한 내용은 " VMware SD-WAN 관리 가이드" 에서 " Edge에 대한 인터페이스 설정 구성" 항목을 참조하십시오.

결과

가상 Edge가 SD-WAN Orchestrator에 프로비저닝되었습니다.

다음에 수행할 작업

GCP에 가상 Edge를 배포합니다. 다음 방법 중 하나를 사용하여 가상 Edge를 배포할 수 있습니다.