VMware NSX용 NSX Edge 노드에 공용 IP 주소 켜기

  • 아티클

이 문서에서는 VMware NSX Edge 노드에서 공용 IP 주소를 설정하여 Azure VMware Solution 인스턴스에 대해 VMware NSX를 실행하는 방법을 알아봅니다.

Azure VMware Solution의 인스턴스에 대한 인터넷 액세스를 설정하기 전에 인터넷 연결 디자인 고려 사항을 검토합니다.

NSX용 NSX Edge 노드에 대한 공용 IP 주소는 Azure VMware Solution 환경에 대한 인바운드 및 아웃바운드 인터넷 액세스를 켜는 Azure VMware Solution의 기능입니다.

Important

IPv4 공용 IP 주소 사용은 Azure VMware Solution에서 직접 사용할 수 있으며 가격 책정 - 가상 머신 IP 주소에 표시된 IPv4 공용 IP 주소 접두사에 따라 요금이 청구될 수 있습니다. 데이터 수신 또는 송신에 대한 요금은 이 서비스와 관련이 없습니다.

공용 IP 주소 범위는 Azure Portal 및 Azure VMware Solution 프라이빗 클라우드 내의 NSX 인터페이스를 통해 Azure VMware Solution에서 구성됩니다.

이 기능을 사용하면 다음과 같은 기능이 제공됩니다.

  • NSX Edge 노드에 공용 IP 주소를 예약하고 사용하기 위한 응집력 있고 간소화된 환경입니다.
  • 1,000개 이상의 공용 IP 주소를 수신하는 기능. 대규모 인터넷 액세스를 설정합니다.
  • 워크로드 VM에 대한 인바운드 및 아웃바운드 인터넷 액세스
  • 인터넷과 인터넷 간의 네트워크 트래픽에 대한 DDoS(배포된 서비스 거부) 보안 보호
  • 공용 인터넷을 통한 VMware HCX 마이그레이션 지원

Important

이러한 네트워크 블록에서 최대 64개의 공용 IP 주소를 구성할 수 있습니다. 64개 이상의 공용 IP 주소를 구성하려면 필요한 주소 수를 나타내는 지원 티켓을 제출하세요.

필수 조건

  • Azure VMware Solution 프라이빗 클라우드
  • NSX 인스턴스에 대해 설정된 DNS 서버입니다.

참조 아키텍처

다음 그림에서는 공용 IP 주소를 통해 NSX용 NSX Edge 노드로 직접 Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 액세스를 보여 줍니다.

Azure VMware Solution 프라이빗 클라우드 및 공용 IP 주소에서 NSX Edge 노드로의 인터넷 액세스를 보여 주는 다이어그램.

Important

NSX용 NSX Edge 노드에서 공용 IP 주소를 사용하는 것은 역방향 DNS 조회와 호환되지 않습니다. 이 시나리오를 사용하는 경우 Azure VMware Solution에서 메일 서버를 호스트할 수 없습니다.

공용 IP 주소 또는 범위 설정

공용 IP 주소 또는 범위를 설정하려면 다음가 같이 Azure Portal을 사용합니다.

  1. Azure Portal에 로그인한 다음, Azure VMware Solution 프라이빗 클라우드로 이동합니다.

  2. 워크로드 네트워킹 아래의 리소스 메뉴에서 인터넷 연결을 선택합니다.

  3. 공용 IP를 사용하여 NSX Edge 검사 상자까지 커넥트 선택합니다.

    Important

    공용 IP를 선택하기 전에 기존 환경에 미치는 영향을 이해해야 합니다. 자세한 내용은 인터넷 연결 디자인 고려 사항을 참조하세요. 고려 사항에는 관련 네트워킹 및 보안 거버넌스 및 규정 준수 팀과의 위험 완화 검토가 포함되어야 합니다.

  4. 공용 IP를 선택합니다.

    NSX Edge 노드에 대한 공용 IP 주소를 선택하는 방법을 보여 주는 다이어그램

  5. 공용 IP 이름 값을 입력합니다. 주소 공간 드롭다운 목록에서 서브넷 크기를 선택합니다. 그런 다음, 구성을 선택합니다.

    이 공용 IP 주소는 약 20분 이내에 사용할 수 있습니다.

    서브넷이 나열되어 있는지 확인합니다. 서브넷이 표시되지 않으면 목록을 새로 고칩니다. 새로 고침을 수행해도 서브넷이 표시되지 않으면 구성을 다시 시도합니다.

    Azure VMware Solution의 인터넷 연결을 보여 주는 다이어그램

  6. 공용 IP 주소를 설정한 후 공용 IP를 사용하여 NSX Edge 검사box로 커넥트 선택하여 다른 모든 인터넷 옵션을 끕니다.

  7. 저장을 선택합니다.

Azure VMware Solution 프라이빗 클라우드에 대한 인터넷 연결을 성공적으로 설정하고 Microsoft에서 할당한 공용 IP 주소를 예약했습니다. 이제 이 공용 IP 주소를 NSX의 NSX Edge 노드로 설정하여 워크로드에 사용할 수 있습니다. NSX는 모든 VM(가상 머신) 통신에 사용됩니다.

NSX용 NXS Edge 노드에 예약된 공용 IP 주소를 구성하는 세 가지 옵션이 있습니다.

  • VM용 아웃바운드 인터넷 액세스
  • VM용 인바운드 인터넷 액세스
  • T1 게이트웨이에서 VM에 대한 트래픽을 필터링하기 위한 게이트웨이 방화벽

VM용 아웃바운드 인터넷 액세스

PAT(포트 주소 변환)가 포함된 SNAT(Source Network Address Translation)는 하나의 SNAT 서비스에서 많은 VM을 허용하는 데 사용됩니다. 이 유형의 연결은 많은 VM에 인터넷 연결을 제공할 수 있음을 의미합니다.

Important

지정된 주소 범위에 대해 SNAT를 사용하도록 설정하려면 사용하려는 특정 주소 범위에 대해 게이트웨이 방화벽 규칙 및 SNAT를 구성해야 합니다. 특정 주소 범위에 대해 SNAT를 설정하지 않으려면 NAT(Network Address Translation)에서 제외할 주소 범위에 대해 NAT 없음 규칙을 만들어야 합니다. SNAT 서비스가 예상대로 작동하려면 No-NAT 규칙이 SNAT 규칙보다 우선 순위가 낮아야 합니다.

SNAT 규칙 만들기

  1. Azure VMware Solution 프라이빗 클라우드에서 VMware 자격 증명을 선택합니다.

  2. NSX-T Manager URL 및 자격 증명을 찾습니다.

  3. VMware NSX Manager에 로그인합니다.

  4. NAT 규칙으로 이동합니다.

  5. T1 라우터를 선택합니다.

  6. NAT 규칙 추가를 선택합니다.

  7. 규칙의 이름을 입력합니다.

  8. SNAT를 선택합니다.

    필요에 따라 SNAT 또는 대상에 대한 서브넷과 같은 원본을 입력합니다.

  9. 변환된 IP 주소를 입력합니다. 이 IP 주소는 Azure VMware Solution 포털에서 예약한 공용 IP 주소 범위에서 가져옵니다.

    필요에 따라 규칙에 더 높은 우선 순위 번호를 지정합니다. 이 우선 순위 지정은 규칙을 규칙 목록에서 더 아래로 이동하여 더 구체적인 규칙이 먼저 일치하도록 합니다.

  10. 저장을 선택합니다.

로깅 슬라이더를 통해 로깅이 설정됩니다.

VMware NSX NAT 구성 및 옵션에 대한 자세한 내용은 NSX Data Center NAT 관리istration Guide를 참조하세요.

NAT 없음 규칙 만들기

NSX Manager에서 NAT 없음 또는 SNAT 없음 규칙을 만들어 수행 NAT에서 특정 일치 항목을 제외할 수 있습니다. 이 정책은 개인 IP 주소 트래픽이 기존 네트워크 변환 규칙을 무시하도록 허용하는 데 사용할 수 있습니다.

  1. Azure VMware Solution 프라이빗 클라우드에서 VMware 자격 증명을 선택합니다.
  2. NSX-T Manager URL 및 자격 증명을 찾습니다.
  3. NSX Manager에 로그인한 다음, NAT 규칙을 선택합니다.
  4. T1 라우터를 선택한 다음, NAT 규칙 추가를 선택합니다.
  5. NAT 규칙 형식으로 SNAT 없음 규칙을 선택합니다.
  6. 변환하지 않으려는 주소 범위로 원본 IP 값을 선택합니다. 대상 IP 값은 원본 IP 주소 범위 범위에서 도달하는 내부 주소여야 합니다.
  7. 저장을 선택합니다.

VM용 인바운드 인터넷 액세스

DNAT(대상 네트워크 변환) 서비스는 특정 공용 IP 주소 및/또는 특정 포트에서 VM을 노출하는 데 사용됩니다. 이 서비스는 워크로드 VM에 대한 인바운드 인터넷 액세스를 제공합니다.

DNAT 규칙 만들기

  1. Azure VMware Solution 프라이빗 클라우드에서 VMware 자격 증명을 선택합니다.

  2. NSX-T Manager URL 및 자격 증명을 찾습니다.

  3. NSX Manager에 로그인한 다음, NAT 규칙을 선택합니다.

  4. T1 라우터를 선택한 다음, NAT 규칙 추가를 선택합니다.

  5. 규칙의 이름을 입력합니다.

  6. 작업으로 DNAT를 선택합니다.

  7. 대상 일치에 대해 예약된 공용 IP를 입력합니다. 이 IP 주소는 Azure VMware Solution 포털에서 예약한 공용 IP 주소 범위에서 가져옵니다.

  8. 변환된 IP에 VM 개인 IP를 입력합니다.

  9. 저장을 선택합니다.

    선택적으로 보다 구체적인 일치를 위해 변환된 포트 또는 원본 IP 주소를 구성합니다.

VM은 이제 특정 공용 IP 주소 또는 특정 포트에서 인터넷에 노출됩니다.

T1 게이트웨이에서 VM에 대한 트래픽을 필터링하기 위한 게이트웨이 방화벽 설정

게이트웨이 방화벽을 통해 공용 인터넷 안팎의 네트워크 트래픽에 대한 보안 보호를 제공할 수 있습니다.

  1. Azure VMware Solution 프라이빗 클라우드에서 VMware 자격 증명을 선택합니다.

  2. NSX-T Manager URL 및 자격 증명을 찾습니다.

  3. NSX Manager에 로그인합니다.

  4. NSX 개요 페이지에서 게이트웨이 정책을 선택합니다.

  5. 게이트웨이 특정 규칙을 선택하고 T1 게이트웨이를 선택한 다음, 정책 추가를 선택합니다.

  6. 새 정책을 선택하고 정책 이름을 입력합니다.

  7. 정책을 선택하고 규칙 추가를 선택합니다.

  8. 다음과 같이 규칙을 구성합니다.

    1. 새 규칙을 선택합니다.
    2. 설명이 포함된 이름을 입력하세요.
    3. 원본, 대상, 서비스 및 작업을 구성합니다.

  9. NAT 규칙의 외부 주소에 방화벽 규칙을 적용하려면 외부 주소 일치를 선택합니다.

    예를 들어 다음 규칙은 외부 주소 일치로 설정됩니다. 이 설정은 공용 IP 주소에 대한 SSH(Secure Shell) 트래픽 인바운드를 허용합니다.

    공용 IP 주소에 대한 인터넷 연결 인바운드를 보여 주는 스크린샷

내부 주소 일치가 지정된 경우 대상은 VM의 내부 또는 개인 IP 주소가 됩니다.

NSX 게이트웨이 방화벽에 대한 자세한 내용은 NSX 게이트웨이 방화벽 관리istration Guide를 참조하세요. 분산 방화벽은 VM에 대한 트래픽을 필터링하는 데 사용할 수 있습니다. 자세한 내용은 NSX 분산 방화벽 관리istration Guide를 참조하세요.

관련 콘텐츠