SASE Orchestrator를 사용하여 VMware Secure Access 서비스를 배포하려면

사전 요구 사항

  • Workspace ONE UEM에 대한 필수 구성을 완료했는지 확인합니다. 자세한 내용은 VMware Secure Access 배포 시작를 참조하십시오.
  • SASE Orchestrator에서 Secure Access에 대한 최대 PoS 수를 설정했는지 확인합니다. 최대 수는 SASE Orchestrator에 배포된 VMware SASE PoP 수에 따라 다릅니다. 최대 PoP 수를 설정하려면 구성(Configure) > 고객(Customer) > 고객 구성(Customer Configuration) > Service Access로 이동합니다.

프로시저

  1. 엔터프라이즈 사용자로 SASE Orchestrator에 로그인한 다음, 새 Orchestrator UI 열기(Open New Orchestrator UI)를 클릭합니다.
  2. 나타나는 새 Orchestrator UI(New Orchestrator UI) 모달 팝업에서 새 Orchestrator UI 시작(Launch New Orchestrator UI)을 클릭합니다.
  3. 엔터프라이즈 애플리케이션 SD-WAN(Enterprise Applications SD-WAN) 드롭다운 목록에서 Secure Access를 선택합니다.
  4. 나타나는 Secure Access 페이지에서 + 새 서비스(New Service)를 클릭합니다.
    원격 액세스(Remote Access) 마법사가 나타납니다.
  5. 원격 액세스(Remote Access) 마법사의 UEM 구성(UEM Configuration) 화면에서 다음 구성을 완료합니다.
    1. DNS 이름(DNS Name) 필드에 Workspace ONE UEM 터널을 구성할 때 제공한 호스트 이름을 입력합니다. VMware Secure Access 배포 시작의 4단계를 참조하십시오.
    2. UEM URL 필드에 UEM 환경과 관련된 Workspace ONE UEM API URL을 입력합니다.
    3. UEM 조직 그룹 ID(UEM Org Group ID) 필드에 Workspace ONE UEM 구성 중에 생성한 조직 그룹 식별자를 입력합니다. VMware Secure Access 배포 시작의 1단계를 참조하십시오.
    4. WS1 UEM 자격 증명(WS1 UEM Credentials) 섹션에서 Workspace ONE UEM Console에서 관리자 계정을 만들 때 설정한 사용자 이름 및 암호를 입력합니다. VMware Secure Access 배포 시작의 2단계를 참조하십시오.
    5. 생성한 조직 그룹 내에서 UEM 터널 호스트 이름을 구성하려면 예(Yes) 확인란을 선택합니다.
    6. 확인(Check)을 클릭합니다.
      입력한 세부 정보를 검증하기 위해 UEM 서버에 대한 API 호출이 실행됩니다. 검증이 성공하면 다음(Next)을 클릭합니다.
  6. 원격 액세스(Remote Access) 마법사의 엔터프라이즈 및 네트워크 설정(Enterprise and Network settings) 화면에서 다음 구성을 완료합니다.
    1. 엔터프라이즈 DNS 서버(Enterprise DNS Server) 드롭다운 목록에서 엔터프라이즈에 대해 구성된 필수 DNS 서버를 선택합니다. 기본값은 Google 또는 OpenDNS입니다.
    2. SD WAN 세그먼트(SD WAN Segment) 드롭다운 목록에서 Secure Access 서비스를 사용하도록 설정할 필수 세그먼트를 선택합니다. 기본값은 글로벌 세그먼트(Global Segment)입니다.
    3. 엔터프라이즈 IP 범위(Enterprise IP Ranges) 섹션에서 다음 세부 정보를 입력합니다.
      • 고객 서브넷(Customer Subnet)—고객이 소유한 서브넷으로, 네트워크에 액세스할 때 원격 사용자가 사용합니다. 이 고객 서브넷은 사용자가 배포를 위해 구성한 많은 수의 SASE PoS로 나뉘고 분산될 수 있는 수퍼넷으로 작용합니다(최대 5개의 PoP를 구성할 수 있음).
      • 서브넷 비트(Subnet Bits)—고객 서브넷을 PoP에 할당할 수 있는 개별 서브넷으로 나누도록 1~3개 서브넷 비트를 구성합니다.
      다음 표에는 고객 서브넷과 서브넷 비트 간 관계가 설명되어 있습니다.
      고객 서브넷 서브넷 비트 서브넷 수 PoP당 서브넷
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      선택한 서브넷 비트 수에 따라 고객 서브넷에서 생성될 서브넷의 수가 결정됩니다. 위의 표에 설명된 대로 다음과 같이 구성하는 경우:
      • 하나의 서브넷 비트: 고객 서브넷은 두 개의 서브넷으로 나뉘며, 두 개의 PoP에 할당될 수 있습니다.
      • 두 개의 서브넷 비트: 고객 서브넷은 4개의 서브넷으로 나뉘며, 4개의 PoP에 할당될 수 있습니다.
      • 세 개의 서브넷 비트: 고객 서브넷은 8개의 서브넷으로 나뉘며, 최대 5개의 PoP에 할당될 수 있고 3개의 서브넷은 할당되지 않은 상태로 유지됩니다.

      다음 다이어그램은 고객 서브넷과 서브넷 비트 간 관계를 보여 줍니다.

    4. 다음(Next)을 클릭합니다.
  7. 원격 액세스(Remote Access) 마법사의 PoP 선택(PoP Selection) 화면에 있는 선택된 인스턴스(Selected Instance(s)) 드롭다운 목록에서 터널 서버가 인스턴스화될 PoP 위치를 선택합니다. 다음(Next)을 클릭합니다.
  8. 원격 액세스(Remote Access) 마법사의 추가 보안(선택사항)(Additional Security (optional)) 화면에서 Secure Access에 대해 Cloud Web Security를 사용하도록 설정할 수 있습니다.
    Cloud Web Security를 사용하도록 설정한 경우 SSL 검사(Secure Socket Layer) 우회/제외 규칙이 SSL 검사(SSL Inspection) 섹션의 CWS 정책(CWS Policy)에 생성됩니다. SSL 검사의 기본 동작은 암호화된 모든 트래픽의 암호를 해독하는 것입니다. SSL 규칙 생성은 Cloud Web Security 구성 가이드에 자세히 설명됩니다. 이 규칙은 도메인 awmdm.com으로 전송된 대상 트래픽에 적용되며 CWS가 이 트래픽의 암호를 해독하지 않도록 보장합니다. 다음(Next)을 클릭합니다.
  9. 원격 액세스(Remote Access) 마법사의 이름, 설명 태그(Name, Description, Tags) 화면에서 Secure Access 서비스의 이름을 입력하고 태그 또는 설명(필요한 경우)을 추가한 다음, 완료(Finish)를 클릭합니다.

결과

터널 서버가 온라인 상태가 되고 SASE PoP에 대한 연결을 설정하는 데 몇 분 정도 걸릴 수 있습니다. 프로비저닝이 진행되는 동안 배포 상태는 진행 중(In Progress)으로 표시됩니다. 페이지를 새로 고쳐 상태를 확인하십시오. 터널 서버가 설정되면 배포 상태가 완료됨(Completed)으로 표시됩니다.

Secure Access 서비스에 대한 열 제목 설명은 아래 표를 참조하십시오.

다음에 수행할 작업

디바이스를 Workspace ONE Intelligent Hub 애플리케이션에 등록해야 합니다. 자세한 내용은 Workspace ONE Intelligent Hub에 디바이스 등록을 참조하십시오.

터널 서비스 수정 및 업데이트

Secure Access 서비스 편집 또는 삭제

이전 섹션에 설명된 단계를 사용하여 새 서비스를 생성한 후에는 서비스를 편집(Edit), 삭제(Delete), 다시 시작(Restart)할 수 있습니다. 서비스 이름(Service Name) 옆에 있는 확인란을 클릭하여 편집하거나 삭제할 서비스를 선택합니다. 편집(Edit)을 클릭하여 [Workspace ONE UEM 구성(Workspace ONE UEM Configuration)] 대화상자를 변경합니다. 삭제(Delete)를 클릭하여 Secure Access 서비스를 삭제합니다.

Secure Access 서비스 다시 시작

Secure Access 정책(Secure Access Policies) 화면의 다시 시작 기능은 고객이 사용 중인 UEM 터널 서버 버전을 최신 버전으로 업데이트하며, 더 많은 버그 수정 및 로그 관리 기능을 포함합니다. UEM 터널 서버를 업데이트하는 동안 사용자들의 연결이 일시적으로 일괄로 끊어졌다가 자동으로 다시 연결됩니다. 이 프로세스가 완료되면 엔터프라이즈 Secure Access Portal의 [모니터링(Monitor)] > [로그(Logs)] > [Secure Access 로그(Secure Access Logs)]를 통해 사용자 로그를 볼 수 있습니다.

Secure Access 서비스를 다시 시작하려면 해당 서비스 이름 옆의 확인란을 클릭하고 다시 시작(Restart)을 클릭합니다.

후속 작업:

엔터프라이즈 Secure Access Portal에서 [모니터링(Monitor)] > [로그(Logs)] > [Secure Access 로그(Secure Access Logs)]를 통해 Secure Access 로그를 봅니다.