VMware Hands-on Labs - HOL-SDC-1603


실습 개요 - HOL-SDC-1603 - VMware NSX 소개

실습 지침 1603


다음 모듈은 실습에 관련된 정보를 제공합니다.  실습을 바로 시작하려면 8단계로 이동하십시오.

목차는 오른쪽 상단의 MORE OPTIONS(추가 옵션)에서 볼 수 있습니다.

참고: 이 실습을 완료하는 데는 90분 이상의 시간이 소요되므로 한 번에 2~3개 모듈을 완료할 수 있을 것입니다.  각 모듈은 서로 독립적이므로 순서에 관계 없이 원하는 모듈부터 실습을 시작할 수 있습니다.

서버 가상화는 데이터 센터에서 컴퓨팅 및 메모리 리소스를 효율적이면서도 유연하고 신속하게 사용 및 관리하는 방법을 제공합니다. 이는 물리적 하드웨어에서 컴퓨팅 및 메모리 리소스를 분리하기 때문에 가능합니다.

그러나 데이터 센터 내에서 방화벽 및 로드 밸런싱 장치 등 네트워크 및 네트워크 서비스의 상태를 살펴보면 물리적 하드웨어와 연결되어 있는 것을 알 수 있습니다. 예를 들어 서버 관리자가 3 Tier 애플리케이션을 프로비저닝하려는 경우 먼저 네트워크/보안 관리자에게 라우팅, 방화벽 및 로드 밸런싱 장치 서비스와 함께 일련의 분리된 네트워크를 구성해 달라고 요청해야 합니다. 물리적 디바이스를 구성하고 이들 네트워크 및 서비스를 사용하도록 설정하는 데는 며칠의 시간이 소요됩니다. 따라서 몇 번의 클릭으로 가상 머신을 프로비저닝할 경우에도 서버 관리자는 애플리케이션을 출시하려면 며칠 내지는 몇 주를 기다려야 합니다.

네트워크 및 네트워크 서비스를 프로비저닝하는 과정에서 겪게 되는 이러한 속도 및 유연성 부족 문제는 네트워크 가상화를 통해 해결할 수 있습니다. 즉, 물리적 하드웨어에서 네트워크 및 네트워크 서비스를 먼저 분리한 후에 논리적 공간에서 유사한 물리적 네트워크 토폴로지를 복제하도록 허용하면 네트워크 가상화에서 이러한 문제를 처리할 수 있습니다.

실습 모듈의 일부로 NSX 플랫폼이 3 Tier 애플리케이션에 필요한 네트워크 및 네트워크 서비스의 프로비저닝 속도를 어떻게 향상시키는지 살펴보기로 하겠습니다. 각 모듈을 간략히 설명하면 다음과 같습니다.

실습 모듈 목록:

실습 담당자:


 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 환경에 대한 모든 사용자 계정 및 암호를 제공하는 방법입니다.

 

 

정품 인증 확인 또는 복제 관리

 

실습을 시작하면 Windows가 활성화되지 않음을 나타내는 바탕 화면의 워터마크를 볼 수 있습니다.  

가상화의 주요 이점 중 하나는 가상 머신을 이동하여 모든 플랫폼에서 실행할 수 있다는 점입니다.  Hands-on Lab은 이 이점을 활용하므로 여러 데이터 센터에서 실습을 실행할 수 있습니다.  하지만, 이러한 데이터 센터에서 사용하는 프로세서가 동일하지 않을 수 있으므로 인터넷을 통한 Microsoft 정품 인증 확인이 필요합니다.

VMware 및 Hands-on Lab은 Microsoft 라이센스 요구 사항을 완벽하게 준수하고 있습니다.  사용하는 실습 환경은 독립형 포드로 인터넷에 대한 전체 액세스 권한을 가지고 있지 않으므로 Windows 정품 인증이 필요합니다.  인터넷에 대한 전체 액세스 권한이 없으면 자동 프로세스가 실패하게 되어 이 워터마크가 표시됩니다.

이 표면적 문제는 실습에 영향을 미치지 않습니다.  

 

 

VMware NSX

VMware NSX는 네트워크를 위한 가상 머신 운영 모델을 제공하는 선도적인 네트워크 가상화 플랫폼입니다. 서버 가상화가 서버 하드웨어 풀에서 실행 중인 가상 머신을 유연하게 제어하는 것과 마찬가지로, NSX를 이용한 네트워크 가상화는 단일 물리적 네트워크에서 분리된 상태로 실행되는 수많은 논리적 네트워크를 프로비저닝 및 구성할 수 있도록 중앙 집중식 API를 제공합니다.

논리적 네트워크는 물리적 네트워크에서 가상 머신 연결 및 네트워크 서비스를 분리하는 한편, 데이터 센터 내 어디에서든 가상 머신을 유연하게 배치 또는 마이그레이션하는 기능을 제공하며, 레이어 2/레이어 3 연결과 레이어 4-7 네트워크 서비스를 계속 지원합니다.

 

 

 

 

분리된 논리적 네트워크

 

 

 

부인

이 세션에는 현재 개발 중인 제품 기능이 포함될 수 있습니다.

새로운 기술에 대한 이 세션/개요에 제시된 기능이 모든 공식 출시 제품에 제공되는 것은 아닙니다.

기능은 변경될 수 있으며 계약서, 구매 주문서 또는 어떠한 종류의 판매 계약서에도 포함되어서는 안 됩니다.

기술 실현 가능성 및 시장 수요에 따라 최종 제품의 구성이 달라질 수 있습니다.

논의 또는 제시된 새 기술이나 기능에 대한 가격 및 패키징은 확정된 사안이 아닙니다.

 

모듈 1 - 논리적 스위칭(30분)

VXLAN 기반 컨트롤러


구성 요소 개요 및 논리적 스위칭

이 모듈에서는 먼저 VMware NSX의 주요 구성 요소에 대해 알아보겠습니다. 이 모듈에서 다루게 될 그 밖의 주요 측면은 다음과 같습니다.

1) VXLAN에 NSX Controller를 추가하면 물리적 Fabric에 멀티캐스트 프로토콜을 지원할 필요가 없어 집니다. 논리적 스위치를 생성한 후 이러한 논리적 스위치에 2대의 가상 머신을 연결하는 방법에 대해 살펴보겠습니다.

2) 그런 다음 논리적 스위치가 어떻게 L3 물리적 네트워크로 확장하여 2대의 웹 서버 간에 L2 연결을 계속 유지하는지 살펴보겠습니다.

3) VXLAN-VLAN 브리지 기능을 사용하면 P-V 통신 기능은 물론, P-V 마이그레이션 기능도 제공할 수 있습니다. 그에 따른 구성 프로세스를 살펴보겠습니다.

4) 마지막으로 NSX 플랫폼의 확장성 및 고가용성을 알아보도록 하겠습니다.


 

구성 요소 개요

 

바탕 화면의 Google Chrome 아이콘을 두 번 클릭하여 브라우저를 시작합니다.

 

 

vSphere Web Client에 로그인합니다.

 

vSphere Web Client에 로그인되어 있지 않은 경우 다음 단계에 따라 로그인합니다.

(vSphere Web Client 홈페이지가 표시됩니다.  홈페이지가 나타나지 않는 경우, Google Chrome에 표시되도록 작업 표시줄에서 vSphere Web Client 아이콘을 클릭하십시오.)

  1. "Use Windows session authentication"(Windows 세션 인증 사용) 확인란을 선택합니다.
  2. Login(로그인)을 클릭합니다.

 

 

Web Client에서 Networking & Security(네트워킹 및 보안) 섹션으로 이동

 

  1. Networking& Security(네트워킹 및 보안) 섹션을 클릭하여 엽니다.

 

 

구축된 구성 요소 확인

 

  1. Installation(설치)을 클릭합니다.
  2. Host Preparation(호스트 준비)을 클릭합니다.  VMware 클러스터의 호스트에 설치된 데이터 평면 구성 요소를 확인할 수 있습니다. 이를 네트워크 가상화 구성 요소라고도 부릅니다. 이러한 구성 요소에는  포트 보안, VXLAN, 분산 방화벽 및 분산 라우팅을 위한 하이퍼바이저 수준 커널 모듈이 포함됩니다.

네트워크 가상화 구성 요소를 설치하면 각 클러스터에 방화벽 및 VXLAN 기능이 구성되어 사용됩니다. 포트 보안 모듈은 VXLAN 기능을 지원하며, NSX Edge 논리적 라우터 제어 가상 머신을 구성하면 분산 라우팅 모듈을 사용하도록 설정할 수 있습니다

 

 

데이터 경로 구성 요소를 사용하여 호스트를 준비한 후의 토폴로지

 

다음 단계에서는 Logical Network Preparation(논리적 네트워크 준비) 탭을 선택하여 VXLAN 관련 구성 단계를 살펴보겠습니다.

VXLAN 구성은 3가지 중요한 단계로 구분할 수 있습니다.

 

 

VTEP 구성 확인

 

  1. Logical Network Preparation(논리적 네트워크 준비) 탭을 클릭합니다.
  2. VXLAN Transport(VXLAN 전송) 탭을 클릭합니다.
  3. twistie를 클릭하여 클러스터를 확장합니다.

다이어그램에 표시된 바와 같이 컴퓨팅 클러스터의 호스트는 관리 클러스터와 다른 서브넷의 VTEP IP 주소를 사용하여 구성됩니다.  `(왼쪽 창의 고정을 해제하거나 오른쪽으로 스크롤하면 화면 오른쪽에 있는 IP 풀 정보를 볼 수 있음)

 

 

여러 클러스터에 걸쳐 VTEP를 구성한 후의 토폴로지

 

과거에 고객이 VXLAN을 구축할 때 직면하였던 주요 과제 중 하나는 물리적 네트워크 디바이스에서 멀티캐스트 프로토콜 지원이 필요하다는 점이었습니다. NSX 플랫폼에서는 컨트롤러 기반의 VXLAN 구현을 제공하고 물리적 네트워크에서 멀티캐스트를 구성해야 할 필요를 제거함으로써 이러한 문제를 해결합니다. 이 모드(유니캐스트)가 기본 모드이므로 고객은 논리적 네트워크 풀을 정의하면서 멀티캐스트 주소를 구성할 필요가 없습니다.

 

 

세그먼트 ID 및 멀티캐스트 그룹 주소 구성

 

NSX for vSphere를 실행할 경우 멀티캐스트 주소를 사용할 필요가 없습니다.  이 실습에서는 유니캐스트 모드를 사용합니다.

 

 

Transport Zone(전송 영역) 설정을 통해 논리적 네트워크의 범위를 정의하는 마지막 단계

 

  1. Transport Zones(전송 영역)를 클릭합니다.
  2. Local-Transport-Zone-A를 두 번 클릭합니다. 

 

 

클러스터가 Local Transport Zone(로컬 전송 영역)의 구성원인지 확인

 

3개의 클러스터가 모두 Transport Zone(전송 영역)에 있는지 확인합니다.

 

 

전송 영역을 정의한 후의 토폴로지

 

Transport Zone(전송 영역)은 논리적 스위치의 범위를 정의합니다.  Transport Zone(전송 영역)은 특정 논리 네트워크의 사용에 클러스터가 참여할 수 있도록 합니다. 데이터 센터에 새 클러스터를 추가하면 전송 영역을 늘릴 수 있으며 논리적 네트워크의 범위를 확장할 수 있습니다. 모든 컴퓨팅 클러스터로 논리적 스위치의 범위를 확장함으로써 VLAN 경계 제한으로 인해 격어야 했던 모든 이동성 및 배치 제한이 해결됩니다.

다양한 NSX 구성 요소와 VXLAN 관련 구성을 살펴본 후, 논리적 스위치라고도 하는 논리적 네트워크를 생성하는 방법에 대해 살펴보겠습니다.

 

 

Networking & Security(네트워킹 및 보안) 메뉴로 돌아가기

 

 

 

새 논리적 스위치 생성

 

  1. 왼쪽의 Logical Switches(논리적 스위치)를 클릭합니다.
  2. "녹색 더하기" 기호를 클릭하여 새 논리적 스위치를 만듭니다.
  3. 논리적 스위치의 이름을 Prod_Logical_Switch로 지정합니다.
  4. Transport Zone(전송 영역) 오른쪽에 있는 Change(변경)를 클릭합니다. 참고: Local-Transport-Zone-A를 선택하면 유니캐스트 모드가 자동으로 선택됩니다.
  5. 옵션 버튼을 Local-Transport-Zone-A로 선택합니다.
  6. OK(확인)를 클릭한 다음
  7. 다시 OK(확인)를 클릭합니다.

Enable IP Discovery(IP 검색 사용) 확인란을 선택된 상태로 두고 OK(확인)를 클릭합니다.

IP 검색은 ARP Suppression을 활성화합니다.

Enable IP Discovery(IP 검색 사용)를 선택하면 ARP(Address Resolution Protocol) 억제가 활성화됩니다. ARP는 레이어 2 세그먼트에서 브로드캐스트를 전송하여 IP 주소에서 대상 MAC(Media Access Control) 주소를 확인하는 데 사용됩니다. NSX Virtual Switch와 ESXi 호스트가 VM(가상 머신) 또는 이더넷의 요청으로 ARP 트래픽을 수신하는 경우, 호스트는 ARP 표를 보관하는 NSX Controller에 요청을 전송합니다. NSX Controller 인스턴스가 이미 ARP 표의 정보를 가지고 있는 경우, 가상 머신에 응답하는 호스트로 반환됩니다.

 

 

새 논리적 스위치를 외부 액세스용 NSX Edge 서비스 게이트웨이에 연결

 

  1. 새로 생성된 논리적 스위치를 강조 표시한 다음
  2. Prod_Logical_Switch를 마우스 오른쪽 버튼으로 클릭한 다음 Connect NSX Edge(NSX Edge 연결)를 선택합니다.  

 

 

NSX Edge에 논리적 스위치 연결

 

Control Center 가상 머신 및/또는 실습 환경의 기타 가상 머신에서 새 논리적 스위치 상의 가상 머신으로 연결하기 위해서는 라우터에 연결해야 하며 라우팅은 다음 모듈에서 자세히 설명할 예정입니다. 구성 요소 섹션에서 언급한 것처럼 NSX Edge를 분산 라우터 및 경계 게이트웨이의 두 가지 형태로 설치할 수 있습니다.  

이 사례에서는 논리적 스위치를 NSX Edge 서비스 게이트웨이(Perimeter-Gateway)에 연결할 것입니다.

  1. Perimeter-Gateway 옆에 있는 옵션 버튼을 클릭합니다.
  2. Next(다음)를 클릭합니다.

 

 

NSX Edge 서비스 게이트웨이에는 10개의 인터페이스가 있으며, 그 중 vNIC5에 논리적 스위치를 연결해야 합니다.

 

  1. vnic5 옆에 있는 옵션 버튼을 클릭합니다.
  2. Next(다음)를 클릭합니다.

 

 

인터페이스 이름 지정 및 인터페이스용 IP 주소 구성

 

  1. 인터페이스 이름을 Prod_Interface로 지정합니다.
  2. Connected(연결됨)를 선택합니다.
  3. 다른 설정은 그대로 두고 더하기 기호를 선택하여 서브넷을 구성합니다.

 

 

인터페이스에 IP 지정

 

  1. Primary IP Address(기본 IP 주소)로 172.16.40.1을 입력합니다. ( Secondary IP Address(보조 IP 주소)는 비워 둡니다.)
  2. Subnet Prefix Length(서브넷 접두사 길이)로 24를 입력합니다.
  3. 설정이 올바른지 확인하고 Next(다음)를 클릭합니다.

 

 

인터페이스 편집 프로세스 완료

 

  1. Finish(마침)를 클릭합니다. (새 논리적 스위치가 논리적 스위치 목록에 표시됩니다.)

 

 

NSX Edge 서비스 게이트웨이에 Prod_Logical_Switch를 연결한 후의 토폴로지

 

논리적 스위치를 구성하고 외부 네트워크에 액세스를 제공했다면 이제 이 네트워크에 웹 애플리케이션 가상 머신을 연결합니다.

 

 

새로 생성된 Prod_Logical_Switch에 web-sv-03a 및 web-sv-04a 연결

 

  1. 새로 생성된 Logical Switch(논리적 스위치)를 클릭하여 선택합니다.
  2. 마우스 오른쪽 버튼을 클릭하여 Add VM(가상 머신 추가) 메뉴 항목을 선택합니다.

 

 

새 논리적 스위치에 연결할 가상 머신 추가

 

  1. 필터를 입력하여 이름이 "web"으로 시작하는 가상 머신을 찾습니다.
  2. 가상 머신 web-03a 및 web-04a를 선택합니다.
  3. 오른쪽 화살표를 클릭하여 가상 머신을 선택하고 논리적 스위치를 추가합니다.
  4. Next(다음)를 클릭합니다.

 

 

가상 머신의 vNIC를 논리적 스위치에 추가

 

  1. 두 가상 머신의 vNIC를 선택합니다.
  2. Next(다음)를 클릭한 후, 다음 화면에서

 

 

가상 머신을 논리적 스위치에 추가 완료

 

  1. Finish(마침)를 클릭합니다.

 

 

가상 머신을 논리적 스위치와 연결한 후의 토폴로지

 

이 네트워크 가상화 플랫폼을 사용하면 신속하고 간편하게 논리적 스위치를 생성하고 논리적 스위치에 가상 머신을 연결할 수 있습니다.

이 방식은 물리적 디바이스를 재구성하는 프로세스보다 훨씬 간편하고 신속하게 논리적 스위치를 프로비저닝할 수 있습니다.

이제 논리적 네트워크에서 가상 머신 간의 통신을 살펴보겠습니다. 가상 머신에 보안 셸 세션을 설정하면 외부 네트워크에서의 액세스하는 것을 확인할 수 있습니다. 2개의 다른 클러스터에서 호스팅된 가상 머신 간에 통신이 된다는 것은 논리적 스위치가 물리적 계층 3 경계를 가로질러 작동하여 계층 2 연결을 계속 제공하고 있음을 나타냅니다.

 

 

호스트 및 클러스터 보기

 

  1. Home(홈) 버튼을 클릭합니다.
  2. 드롭다운 메뉴에서 Select Hosts and Clusters(호스트 및 클러스터 선택)를 선택합니다.

이 단계에서는 새 논리적 스위치가 레이어 3 컴퓨팅 인프라를 거쳐 레이어 2 논리적 세그먼트에 도달하는 기능을 살펴보겠습니다.연결을 계속 제공하고 있음을 나타냅니다.

 

 

클러스터 확장

 

 

 

PuTTY 열기

 

  1. Start(시작)를 클릭합니다.
  2. Start(시작) 메뉴에서 Putty 애플리케이션 아이콘을 클릭합니다.

192.168.110.0/24 서브넷에 있는 제어 센터에서 연결하여 트래픽은 NSX Edge를 통과해 웹 인터페이스로 이동합니다.

 

 

web-03a에 대한 보안 셸 세션 열기

 

  1. web-03a.corp.local을 선택합니다.
  2. Open(열기)을 클릭합니다.

**참고 - web-03a가 어떤 이유로 인해 옵션으로 표시되지 않을 경우 Host Name(호스트 이름) 상자에 IP 주소 172.16.40.13을 입력하는 방법을 시도해 볼 수 있습니다.  그래도 연결되지 않으면 이전 단계를 검토한 후 실습 강사에게 도움을 요청할 수 있습니다.

 

 

가상 머신에 로그인

 

참고: web-03a에 연결하는 데 문제가 있는 경우, 이전 단계를 검토하여 각 단계가 올바르게 완료되었는지 확인합니다.

 

 

web-sv-04a 웹 서버에 대해 Ping을 실행하여 레이어 2 연결을 표시

 

SEND TEXT(텍스트 보내기) 옵션을 사용하여 이 명령을 콘솔에 전송해야 합니다. (실습 지침 참조)

ping -c 2 web-04a명령을 입력하여 지속적인 ping 실행 대신 두 번의 ping만 전송합니다.  참고: web-04a의 IP가 172.16.40.14인 경우, 필요에 따라 이름 대신 IP로 ping할 수 있습니다.

ping -c 2  web-04a 

***DUP! 패킷이 나타날 수 있습니다. 이는 VMware의 중첩된 실습 환경에 내포된 속성 때문이며, 실제 운영 환경에서는 발생하지 않습니다.

****PuTTY 세션을 닫지 말고 나중에 사용할 수 있도록 창을 최소화합니다.

이제 논리적 스위치 네트워크를 물리적 VLAN으로 확장할 수 있는 NSX Edge의 또 다른 기능을 살펴보기로 하겠습니다. 논리적 스위치에서 외부 환경으로 트래픽을 라우팅하는 대신, 논리적 환경과 물리적 환경을 서로 연결할 수 있습니다. 이 기능의 일반적인 활용 사례는 다음과 같습니다.

 

 

VXLAN-VLAN 간 연결 구성: 논리적 스위치를 VLAN 100에 연결하는 과정을 보여주는 토폴로지

 

특정 VXLAN-VLAN 쌍에 대해 위와 같이 VXLAN-VLAN 매핑이 구성된 특정 DLR의 Active Control 가상 머신을 호스팅하는 단일 ESXi 호스트의 커널에서 L2 연결 기능이 수행됩니다.

 

 

VXLAN-VLAN 간 연결 구성

 

이 중첩된 실습 설정에서는 VLAN 태깅 기능을 사용할 수 없으므로 물리적 및 논리적 L2 네트워크를 통한 통신에 대해서는 다루지 않습니다. 대신, 저장하지 않고구성 단계를 수행하는방법에 대해 살펴보도록 하겠습니다. 이것은 데모 목적으로만 사용됩니다.

  1. 마우스를 Home(홈) 아이콘위로 가져갑니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

연결 구성을 위해 Distributed-Router라는 이름의 NSX Edge 선택

 

  1. 왼쪽 패널에서 NSX Edge를 선택합니다.
  2. edge-4 분산 라우터를 두 번 클릭하여 속성을 편집합니다.

 

 

논리적 네트워크를 VLAN에 연결

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Bridging(연결)을 선택합니다.
  3. 더하기 기호를 클릭합니다.

브리지를 완료하기 위한 세 가지 옵션이 나타납니다.  Bridge(연결)에 이름을 지정하고 물리적 네트워크에 연결할 논리적 스위치를 선택한 후, 논리적 공간으로 Bridge(연결)하려는 VLAN과 연결된 Distributed Virtual Port Group(분산 가상 포트 그룹)을 선택합니다.

4.     이 실습 환경에서는 이 구성이 지원되지 않으므로 Cancel(취소)을 클릭합니다.

논리적 스위치와 VLAN만 선택하면 되므로 구성 작업은 간단합니다.

 

 

NSX Controller 확장성/가용성

 

이 섹션에서는 컨트롤러 확장성과 가용성에 대해 살펴보겠습니다. NSX 플랫폼의 Controller Cluster는 하이퍼바이저의 스위칭 및 라우팅 모듈을 관리해야 할 책임이 있는 제어 평면 구성 요소입니다. Controller Cluster는 특정 논리적 스위치를 관리하는 Controller 노드로 구성되어 있습니다. VXLAN 기반 논리적 스위치를 관리하는 Controller Cluster를 사용하면 물리적 네트워크 인프라에서 멀티캐스트 지원이 필요하지 않습니다.

복원력과 성능을 유지를 위해 운영 환경 구축 시 Controller Cluster를 여러 노드로 구축해야 합니다. NSX Controller Cluster는 수평 확장 분산 시스템을 제공하여 각 Controller 노드에 노드가 수행할 수 있는 작업 유형을 정의하는 역할이 할당됩니다.  Controller 노드는 홀수로 구축됩니다. 클러스터에 대한 최신 모범 사례(겸 지원되는 유일한 구성)는 3개 노드를 active-active-active로 구성하여 부하를 공유하고 이중화하는 것입니다.

NSX 아키텍처의 확장성을 높이기 위해 모든 Controller 노드를 특정 시점에 활성화할 수 있는 “슬라이싱” 메커니즘이 활용됩니다.

컨트롤러에 장애가 발생하더라도 데이터 평면(가상 머신) 트래픽은 영향을 받지 않고 계속해서 진행됩니다. 이는 논리적 네트워크 정보가 논리적 스위치(데이터 평면)로 이전되었기 때문이며, 제어 평면(Controller Cluster)이 없으면 추가/이동/변경을 할 수 없습니다.

  1. 마우스를 Home(홈) 아이콘위로 가져갑니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

기존의 컨트롤러 설정 확인

 

  1. Installation(설치)을 클릭합니다.
  2. Management(관리)를 클릭합니다.

NSX Controller 노드를 살펴보면 3개의 컨트롤러가 구축되어 있는 것을 확인할 수 있습니다. 고가용성과 확장성을 위해 NSX Controller는 항상 홀수로 구축됩니다.

 

 

NSX Controller 가상 머신 확인

 

다음과 같이 가상 환경에서 NSX Controller를 확인합니다.

  1. 마우스를 Home(홈) 아이콘위로 가져갑니다.
  2. VMs and Templates(가상 머신 및 템플릿)를 클릭합니다.

 

 

3개의 NSX Controller가 표시됩니다.

 

  1. "Data Center Site A"(데이터 센터 사이트 A) 컨테이너를 확장합니다.
  2. NSX Controller폴더를 확장합니다.
  3. NSX Controller 중 1개를 선택합니다.
  4. Summary(요약) 탭을 선택합니다. 이 컨트롤러가 연결되는 esx 호스트를 볼 수 있습니다. 이 실습 환경에서는 다른 컨트롤러가 다른 esx 호스트에 있을 수 있습니다. 운영 환경에서 각 컨트롤러는 DRS 반선호도 규칙을 사용하는 클러스터의 다른 호스트에 위치하여 호스트 하나가 중단되더라도 여러 컨트롤러에 장애가 발생하지 않도록 합니다.

 

 

모듈 1 결론

이 모듈에서 살펴본 NSX 플랫폼의 주요 장점은 다음과 같습니다.

빠른 속도로 논리적 스위치를 프로비저닝하고 이를 가상 머신 및 외부 네트워크와 연결

전송 영역 및 컨트롤러 노드를 확장하는 기능은 이 플랫폼의 확장성을 입증합니다.

 

모듈 2 - 논리적 라우팅(30분)

라우팅 개요


실습 개요

이전 모듈에서 사용자가 몇 번의 클릭만으로 분리된 논리적 스위치/네트워크를 생성할 수 있음을 살펴보았습니다. 이러한 분리된 논리적 레이어 2 네트워크에 걸쳐 통신을 제공하려면 라우팅 지원이 필수적입니다. NSX 플랫폼에서 분산 논리적 라우터를 사용하면 논리적 스위치 간에 트래픽을 라우팅할 수 있습니다. 이러한 논리적 라우터의 차별화된 주요 기능 중 하나는 라우팅 기능이 하이퍼바이저에서 분산된다는 점입니다. 이 논리적 라우팅 구성 요소를 통합하면 논리적 공간 내에서 복잡한 라우팅 토폴로지를 재현할 수 있습니다. 예를 들어 3개의 논리적 스위치와 연결된 3 Tier 애플리케이션에서 각 Tier 간 라우팅은 이 분산 논리적 라우터에 의해 처리됩니다.

이 모듈에서 살펴볼 내용을 정리하면 다음과 같습니다.

1) 외부 물리적 라우터 또는 NSX Edge 서비스 게이트웨이에서 라우팅을 처리할 때 트래픽의 흐름 방식을 살펴보겠습니다.

2) 논리적 라우터에서 논리적 인터페이스(LIF)를 구성하면서 애플리케이션의 애플리케이션과 DB Tier 간에 라우팅을 사용하도록 설정해 보겠습니다.

3) 그리고 분산 논리적 라우터와 NSX Edge 서비스 게이트웨이 간 동적 라우팅 프로토콜을 구성하여 외부 라우터에 대한 내부 라우팅 알림이 어떻게 제어되는지 살펴보겠습니다.

4) 마지막으로 ECMP와 같이 Edge 서비스 게이트웨이를 확장하고 보호하는 데 사용할 수 있는 다양한 라우팅 프로토콜을 살펴보겠습니다.

이 모듈은 NSX 플랫폼에서 지원되는 몇 가지 라우팅 기능에 대해 알아보고, 3 Tier 애플리케이션을 구축하는 동안 이러한 기능을 활용하는 방법을 이해하는 데 도움이 될 것입니다.


 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 관련 유틸리티(CMD, Putty, 콘솔 등)에서 복잡한 명령 또는 암호를 쉽게 복사하여 붙여 넣는 방법입니다. 국가에 따라 특정 문자가 키보드에 없는 경우가 종종 있는데,  이처럼 키보드에 일부 문자가 포함되어 있지 않은 경우에도 마찬가지로 이 텍스트 파일이 포함되어 있습니다.

텍스트 파일은 README.txt이며 데스크톱에 있습니다.  

 

동적 및 분산 라우팅


먼저 분산 라우팅의 구성부터 살펴보고 커널 수준에서 라우팅을 수행하는 데 따른 장점을 확인해 보겠습니다.


 

현재 토폴로지 및 패킷 흐름 확인

 

위 그림에서 애플리케이션 가상 머신과 데이터베이스 가상 머신은 실습 시나리오의 내용에서 알 수 있듯이 모두 동일한 물리적 호스트에 위치합니다.  분산 라우팅이 없는 조건에서 이러한 2개의 가상 머신이 통신을 수행할 경우, 상기의 빨간 화살표 단계에 따라 트래픽 흐름을 확인할 수 있습니다.  모듈 3을 진행하기 전에 다음 정리 단계를 완료하십시오.  해당 환경 내에서 이것은 관리 클러스터에 위치하는 NSX(경계) Edge입니다.  NSX Edge는 트래픽을 호스트로 다시 전송하며 호스트에서 데이터베이스 가상 머신에 최종적으로 도달합니다.  

실습 종료 시, 이와 비슷한 트래픽 흐름 다이어그램을 다시 확인해 분산 라우팅 구성 후 이 동작을 어떻게 변경했는지 살펴보겠습니다.

 

 

vSphere Web Client 액세스

 

 

 

vSphere Web Client에 로그인

 

Windows 세션 인증을 사용하여 vSphere Web Client에 로그인합니다.

  1. Use Windows session authentication(Windows 세션 인증 사용)을 클릭하면 자격 증명 administrator@corp.local/VMware1!가 자동으로 채워집니다.
  2. Login(로그인)을 클릭합니다.

 

 

3 Tier 애플리케이션 기능 확인

 

  1. 새 브라우저 탭을 엽니다.
  2. 3-Tier Web App(3 Tier 웹 애플리케이션) 즐겨찾기를 클릭합니다.

 

 

Advanced(고급 설정) 선택

 

 

 

웹 페이지로 이동

 

 

 

웹 애플리케이션 반환 데이터베이스 정보

 

분산 라우팅 구성을 시작하기 전에 3 Tier의 웹 애플리케이션이 올바르게 작동하고 있는지 확인해 보겠습니다. 애플리케이션의 3개 Tier(웹, 애플리케이션 및 데이터베이스)는 서로 다른 논리적 스위치를 사용하며 NSX Edge가 각 Tier 간 라우팅을 제공합니다.

 

 

경계 에지에서 애플리케이션 및 DB 인터페이스 제거

 

이전 토폴로지에서 살펴본 것처럼 3개의 논리적 스위치 또는 3개 Tier의 애플리케이션이 경계 에지에서 끝납니다. 경계 에지는 3개의 Tier 간에 라우팅을 제공합니다. 경계 에지에서 애플리케이션 및 DB 인터페이스를 먼저 제거해 토폴로지를 변경해 보겠습니다. 인터페이스를 삭제한 뒤 인터페이스를 분산 에지로 이동시킵니다.  구성 요소 구축에 걸리는 시간을 단축하기 위해 분산 라우터를 생성해 두었습니다.

  1. Networking & Security(네트워킹 및 보안) 버튼을 클릭합니다.

 

 

NSX Edge 선택

 

  1. 왼쪽 탐색 창에서 NSX Edge를 클릭합니다.
  2. "edge-2 Perimeter-Gateway"를 두 번 클릭하면 Perimeter-Gateway 구성이 열립니다.

 

 

Settings(설정) 탭에서 Interface(인터페이스)를 선택하여 현재 인터페이스 표시

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Settings(설정)를 클릭합니다.
  3. Settings(설정) 탐색 탭 내에 있는 Interfaces(인터페이스)를 클릭합니다.

현재 구성된 인터페이스와 그 속성이 표시됩니다.  vNIC 번호, 인터페이스 이름, 인터페이스가 내부 또는 업링크로 구성되어 있는지 여부 그리고 사용 여부에 관한 현재 상태도 정보에 포함됩니다.

 

 

애플리케이션 인터페이스 삭제

 

  1. "Internal_App" 인터페이스를 선택하면 Actions(작업) 표시줄이 밝게 켜지면서 선택한 인터페이스에 대한 특정 옵션을 이용할 수 있습니다.
  2. 빨간색 "X"를 클릭하면 경계 에지에서 선택한 인터페이스를 삭제할 수 있습니다.  해당 인터페이스를 삭제할 것인지 묻는 경고 대화 상자가 나타나면
  3. "OK"(확인)를 클릭하고 삭제를 확인합니다.

 

 

DB 인터페이스 삭제

 

  1. "Internal_DB" 인터페이스를 선택하면 Actions(작업) 표시줄이 밝게 켜지면서 선택한 인터페이스에 대한 특정 옵션을 이용할 수 있습니다.
  2. 빨간색 "X"를 클릭하면 경계 에지에서 선택한 인터페이스를 삭제할 수 있습니다.  해당 인터페이스를 삭제할 것인지 묻는 경고 대화 상자가 나타나면
  3. "OK"(확인)를 클릭하고 삭제를 확인합니다.

 

 

경계 에지에서 애플리케이션 및 DB 인터페이스를 삭제한 후의 토폴로지

 

 

 

NSX 홈 페이지로 돌아가기

 

경계 에지에서 애플리케이션 및 DB 인터페이스를 제거했다면 분산 에지에 액세스하기 위해 에지 디바이스 화면으로 다시 돌아가야 합니다.  

 

 

애플리케이션 및 DB 인터페이스를 분산 라우터에 추가

 

이제 애플리케이션과 DB 인터페이스를 "Distributed Router"(분산 라우터)에 추가하여 분산 라우팅 구성을 시작하겠습니다.

 

 

분산 라우터에 있는 인터페이스 표시

 

  1. Manage(관리)를 클릭합니다.
  2. Settings(설정)를 클릭합니다.
  3. Interfaces(인터페이스)를 클릭하면 분산 라우터에 현재 구성된 모든 인터페이스가 표시됩니다.

 

 

분산 라우터에 인터페이스 추가

 

  1. 녹색 더하기 기호를 클릭하여 새 인터페이스를 추가합니다.
  2. 인터페이스 이름으로 App_Interface를 입력합니다.
  3. Connected To Section(섹션에 연결)에서 Select(선택)를 클릭합니다.

 

 

네트워크 지정

 

  1. 이 인터페이스가 통신을 실행할 네트워크로 "App_Tier_01" 옵션 버튼을 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

서브넷 추가

 

  1. 녹색 더하기 기호를 클릭하여 서브넷을 구성합니다.
  2. Primary IP Address(기본 IP 주소)상자를 클릭하고 IP 주소로 172.16.20.1을 입력합니다.
  3. "Subnet Prefix Length"(서브넷 접두사 길이)로 24를 입력합니다.
  4. OK(확인)를 클릭하여 서브넷 추가를 완료합니다.

 

 

App_Interface가 추가되었는지 확인

 

시스템이 인터페이스를 구성 및 추가하는 작업을 완료하면 기본 인터페이스 페이지가 화면에 표시되면서 방금 추가한 App_Interface 인터페이스를 볼 수 있습니다.  

 

 

DB 인터페이스 추가

 

시스템이 DB_Interface를 추가 및 구성하는 작업을 완료하면 기본 인터페이스 창이 화면에 표시되어 2개의 인터페이스가 모두 추가되었는지 확인할 수 있습니다.  

 

 

애플리케이션 및 DB 인터페이스를 분산 라우터로 옮긴 후의 새 토폴로지

 

분산 라우터에서 이러한 인터페이스를 구성한 후, 해당 인터페이스 구성은 환경 내 각 호스트에 자동으로 전달됩니다. 이후 호스트의 분산 라우팅(DR) 커널 로드 가능 모듈에서 애플리케이션 인터페이스와 DB 인터페이스 간 라우팅을 처리합니다. 따라서 두 개의 서로 다른 서브넷에 연결된 가상 머신 두 개가 통신이 필요한 동일 호스트에서 실행될 경우, 앞서 트래픽 흐름 다이어그램에서 확인한 바와 같이 해당 트래픽은 최적화되지 않은 경로를 선택하지 않습니다.

 

 

3 Tier 웹 애플리케이션이 있는 브라우저 탭으로 돌아가기

 

변경 후 3 Tier 애플리케이션 액세스가 실패하는지 테스트합니다.  분산 라우터로 라우팅 처리를 설정할 때 오류가 발생하는 이유는 현재 웹 서버와 연결되는 경로가 없기 때문입니다.

참고: 이전 단계에서 이 탭을 닫은 경우 새 브라우저 탭을 열고 3-Tier Web App(3 Tier 웹 애플리케이션) 즐겨찾기를 클릭합니다.

 

 

3 Tier 애플리케이션 작동 중지 확인

 

  1. Refresh(새로 고침)를 클릭합니다.

애플리케이션이 실제로 시간 초과 상태가 되는 데에는 몇 초 정도 걸릴 수 있으며, 빨간색 "x"를 선택하여 브라우저를 중지해야 할 수도 있습니다.  고객 데이터가 표시될 경우, 이전 데이터에서 캐싱된 것일 수 있으므로 브라우저를 닫고 다시 열어야 할 수 있습니다.  

웹 서버에 대한 연결을 테스트하기 위해 생성된 탭을 닫습니다. 그런 다음, 라우팅을 구성하여 서비스를 복구합니다.

참고: 브라우저를 다시 열어야 할 경우, 3 Tier 애플리케이션이 작동하지 않는 것을 확인한 후에 브라우저에서 vSphere Web Client에 대한 북마크를 클릭하고 자격 증명으로 "root", 암호는 "VMware1!"를 입력하여 다시 로그인합니다.  그런 다음 Networking and Security(네트워킹 및 보안), Edge Appliances(에지 어플라이언스)를 차례로 클릭하고 마지막으로 "Distributed-Router"(분산 라우터)를 두 번 클릭합니다.

 

 

분산 라우터에서 동적 라우팅 구성

 

  1. Routing(라우팅) 탭을 클릭합니다.
  2. Global Configuration(글로벌 구성)을 클릭합니다.
  3. Dynamic Routing Configuration(동적 라우팅 구성)옆에 있는 Edit(편집) 버튼을 클릭합니다.

 

 

동적 라우팅 구성 편집

 

  1. 업링크 인터페이스의 IP 주소를 기본 라우터 ID로 선택합니다. 이 경우에는 Edge_Uplink - 192.168.5.2입니다.
  2. OK(확인)를 클릭합니다.

참고: 라우터 ID는 자율적인 시스템에서 라우터의 ID를 나타내기 때문에 OSPF의 작동에서 중요합니다.  이 ID는 IP 주소로 표시되는 32비트 ID에 해당하지만 특정 라우터와 관계하는 서브넷에 따라 지정할 수 있습니다. 여기서는 허용 가능하지만 불필요한 에지 디바이스에서 업링크 인터페이스의 IP 주소와 동일한 라우터 ID를 사용합니다.  화면은 기본 "Global Configuration(글로벌 구성)" 화면으로 돌아가며 "Publish Changes(변경 사항 게시)" 녹색 대화 상자가 다시 나타납니다.

 

 

변경 사항 게시

 

 

 

OSPF 특정 매개 변수 구성

 

동적 라우팅 프로토콜로 OSPF를 사용합니다.

  1. Routing(라우팅) 아래 탐색 트리에서 "OSPF"를 선택하여 기본 OSPF 구성 페이지를 엽니다.
  2. OSPF Configuration(OSPF 구성) 화면의 오른쪽에 있는 "Edit"(편집)을 클릭하여 "OSPF Configuration"(OSPF 구성) 대화 상자를 엽니다.

 

 

OSPF를 사용하도록 설정

 

  1. "Enable OSPF"(OSPF를 사용하도록 설정) 대화 상자를 클릭합니다.
  2. "Protocol Address"(프로토콜 주소) 상자에 192.168.5.3을 입력합니다.
  3. "Forwarding Address"(주소 전달) 상자에 192.168.5.2를 입력합니다.
  4. "Enable Graceful Restart"(안전한 재시작 사용) 대화 상자가 선택되어 있는지 확인합니다.
  5. 그런 다음 "OK"(확인)를 클릭합니다.

참고: 분산 라우터의 경우, "Protocol Address"(프로토콜 주소) 필드는 제어 트래픽을 분산 라우터 제어 가상 머신으로 전송하기 위해 입력해야 하는 필드입니다. 전달 주소에서는 정상적인 데이터 경로 트래픽이 모두 전송됩니다.  화면은 기본 "OSPF" 구성 창으로 돌아갑니다.  녹색 "Publish Changes(변경 사항 게시)" 대화 상자가 표시됩니다.

참고: NSX에서 제어 평면과 데이터 평면 트래픽의 분리를 통해 제어 기능을 다시 시작하거나 다시 로드할 동안 라우팅 인스턴스의 데이터 전달 기능을 계속 유지할 수 있습니다. 이 기능을 "Graceful Restart(안전한 재시작)" 또는 "Non-stop Forwarding(무중단 전달)"이라고 합니다.

변경 사항을 아직 게시하지 마십시오!매 단계에서 변경 사항을 게시하는 대신, 구성 변경을 완료한 후 마지막에 모든 변경 사항을 게시할 것입니다.

 

 

Area Definition(영역 정의) 구성

 

  1. 녹색 더하기 기호를 클릭하면 "New Area Definition"(새 영역 정의) 대화 상자가 열립니다.
  2. "Area ID"(영역 ID) 대화 상자에 10을 입력합니다.  그 외 대화 상자 설정은 기본값을 유지합니다.
  3. OK(확인)를 클릭합니다.

참고: OSPF에 대한 Area ID(영역 ID)는 매우 중요합니다.  OSPF 영역에는 여러 종류가 있으므로  네트워크 내 OSPF 구성의 나머지 요소와 함께 원활하게 작동할 수 있도록 에지 디바이스가 올바른 영역에 있는지 확인해야 합니다.

 

 

영역-인터페이스 매핑

 

  1. "Area to Interface Mapping"(영역-인터페이스 매핑) 영역 아래의 녹색 더하기 기호를 클릭하면 "New Area to Interface Mapping"(새로운 영역-인터페이스 매핑) 대화 상자가 열립니다.
  2. 인터페이스에서 Edge_Uplink를 선택합니다.
  3. 영역에서 10을 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

분산 라우터에서 OSPF 라우팅을 사용하도록 설정되어 있는지 확인

 

이제 분산 에지에서 OSPF를 사용하도록 설정하고 구성했는지 확인할 수 있습니다.  모든 정보가 정확한지 확인합니다.

 

 

라우트 재분배 확인

 

 

 

라우트 재분배 확인

 

 

 

경계 에지에서 OSPF 라우팅 구성

 

이제 테스트 3 Tier 애플리케이션과의 연결을 복구하려면 경계 에지 디바이스에서 동적 라우팅을 구성해야 합니다.  

 

 

경계 에지 선택

 

기본 "NSX Edge" 페이지에는 구성된 에지 디바이스가 표시됩니다.  

 

 

경계 에지에 대한 글로벌 구성

 

  1. Manage(관리) 탐색 탭을 클릭합니다.
  2. Routing(라우팅) 탐색 버튼을 선택하여 디바이스 라우팅 구성 페이지로 이동합니다.
  3. OSPF를 클릭합니다.

Edge 디바이스가 이미 OSPF가 포함된 동적 라우팅을 위해 구성되었음을 알 수 있습니다.  라우팅 구성이 설정되면 Edge 디바이스는 전체 실습을 진행하는 라우터에 라우트를 전달하고 배포할 수 있습니다.  분산 라우터에서 수행한 방법과 마찬가지로 글로벌 라우터와 OSPF 설정을 완료하였으므로,  이제 논리적 분산 라우터에 Edge 디바이스를 연결하여 계속 진행합니다.  

 

 

Area to Interface Mapping(영역-인터페이스 매핑)에 전송 인터페이스 추가

 

이제 분산 라우터와 통신하게 될 인터페이스와 통신하기 위해 OSPF에 직접 지시를 내려야 합니다.

  1. "Area to Interface Mapping"(영역-인터페이스 매핑)에서 녹색 더하기 기호를 클릭합니다.
  2. "vNIC"에서 Transit_Network를 선택합니다.
  3. "Area"(영역)에서 10을 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

새 토폴로지 검토

 

현재 토폴로지의 상태를 살펴보면, 분산 라우터와 NSX 경계 에지 디바이스 사이에 발생하는 경로 피어링을 확인할 수 있습니다.  이제 분산 라우터 아래에 생성되는 모든 네트워크는 물리적 네트워크로 라우팅하는 방법을 제어할 수 있는 Edge까지 배포됩니다.

자세한 내용은 다음 섹션에서 살펴보겠습니다.

 

 

3 Tier 애플리케이션과의 통신 확인

 

이제 라우팅이 작동하는지 확인해 보겠습니다.  라우팅 정보가 분산 라우터에서 Perimeter-Gateway로 현재 교환되고 있으며 결과적으로 웹 애플리케이션에 대한 연결이 복원되었습니다.  이를 확인하기 위해 웹 애플리케이션을 다시 한 번 테스트하겠습니다.

  1. 웹 애플리케이션을 테스트하기 위해 이전에 열어둔 탭을 클릭하면 이전에 실패한 테스트로 인해 탭에 "503 Service Temp..."라고 표시되어 있을 수 있습니다.
  2. 브라우저 새로 고침을 실행하여 3 Tier Webapp이 다시 작동하는지 확인합니다.

참고: 이 경로 전파 작업은 중첩된 환경으로 인해 1분 정도 소요됩니다.

 

 

동적 라우팅 및 분산 라우팅 완료

이것으로 동적 라우팅 및 분산 라우팅의 구성에 관한 섹션을 마치겠습니다.  다음 섹션에서는 경계 에지를 포함한 중앙 집중식 라우팅에 대해 살펴보겠습니다.

 

중앙 집중식 라우팅


다음 섹션에서는 라우팅이 Edge에서 Northbound로 진행된 방법을 확인하기 위해 다양한 요소를 살펴보겠습니다.  여기에는 OSPF 동적 라우팅이 시스템 전반에 걸쳐 제어, 업데이트 및 전파되는 방법이 포함됩니다.  전체 실습을 실행하고 라우팅하는 가상 라우팅 어플라이언스를 통해 경계 에지 어플라이언스의 라우팅을 확인해 보겠습니다.

참고: 데스크톱에 있는 README.txt라는 텍스트 파일에는  실습에 필요한 CLI 명령이 포함되어 있습니다.  명령을 입력하는 데 문제가 있을 경우 이 파일에서 명령을 복사하여 puTTy 세션에 붙여넣을 수 있습니다.  텍스트 파일에서 이 모듈의 CLI 명령에 해당하는 명령을 찾을 수 있도록 "{1}"과 같이 중괄호로 묶인 번호가 표시됩니다.


 

현재 실습 토폴로지

 

이 다이어그램은 vPod 라우터에 대한 Northbound 링크가 포함된 현재 실습 토폴로지입니다.  vPod 라우터에서 분산 논리적 라우터에 이르기까지 OSPF가 라우트를 재분배하는 방법을 볼 수 있습니다.

 

 

Perimeter-Gateway의 OSPF 라우팅 살펴보기

먼저 웹 애플리케이션이 작동하는지 확인한 다음, NSX 경계 에지에 로그인하여 OSPF 이웃을 확인하고 기존 경로 분산을 확인합니다.  이를 통해 Perimeter-Gateway가 분산 라우터뿐만 아니라 전체 실습을 진행하는 vPod 라우터의 라우트를 학습하는 방법을 볼 수 있습니다.

 

 

3 Tier 애플리케이션 기능 확인

 

 

 

웹 애플리케이션 반환 데이터베이스 정보

 

분산 라우팅 구성을 시작하기 전에 3 Tier의 웹 애플리케이션이 올바르게 작동하고 있는지 확인해 보겠습니다. 애플리케이션의 3개 Tier(웹, 애플리케이션 및 데이터베이스)는 서로 다른 논리적 스위치를 사용하며 NSX Edge가 각 Tier 간 라우팅을 제공합니다.

웹 서버는 데이터베이스에 저장된 고객 정보가 담긴 웹 페이지를 표시합니다.

 

 

vSphere Web Client로 이동

 

아직 로그인하지 않은 경우 vSphere Web Client로 이동합니다.

 

 

Perimeter-Gateway 가상 머신으로 이동

 

 

 

원격 콘솔 시작

 

  1. Datacenter Site A(데이터 센터 사이트 A) 및 Edge폴더를 확장합니다.
  2. Perimeter-Gateway를 선택합니다.
  3. Summary(요약) 탭을 선택합니다.
  4. Launch Remote Console(원격 콘솔 시작)을 클릭합니다.

 

 

원격 콘솔 액세스

 

VMRC 창을 처음 열면 검은색이 나타납니다.  창 클릭하고 화면 보호기에서 콘솔이 나타나도록 Enter 키를 몇 번 누릅니다.

***참고*** 창에서 커서를 해제하려면 Ctrl+Alt 키를 누르십시오.

 

 

Perimeter-Gateway 로그인

 

다음 자격 증명을 사용하여 Perimeter-Gateway에 로그인합니다.  모든 Edge 디바이스는 12자 이상의 복잡한 암호로 되어 있습니다.

 

 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 관련 유틸리티(CMD, Putty, 콘솔 등)에서 복잡한 명령 또는 암호를 쉽게 복사하여 붙여 넣는 방법입니다. 국가에 따라 특정 문자가 키보드에 없는 경우가 종종 있는데,  이처럼 키보드에 일부 문자가 포함되어 있지 않은 경우에도 마찬가지로 이 텍스트 파일이 포함되어 있습니다.

텍스트 파일은 README.txt이며 데스크톱에 있습니다.  

 

 

OSPF 이웃 보기

 

먼저 실습 라우팅 계층 중간에 있는 경계 에지에 대한 OSPF 이웃을 살펴보겠습니다.

참고 - 탭 완성 기능은 NSX의 Edge 디바이스에서 작동합니다.

show ip ospf neighbor

 

 

표시된 OSPF 이웃 정보 검토

 

이제 표시된 컨텐츠와 이것이 의미하는 바를 살펴보겠습니다.

  1. 이웃 ID 192.168.5.2 - NSX 환경 내부의 논리적 분산 라우터의 라우터 ID입니다.
  2. 주소 192.168.5.3 - 경계 에지의 OSPF가 연결되는 IP 주소로 이전 실습에서 구성한 것입니다.
  3. 인터페이스 vNic_1 - Edge에서 인터페이스 내부를 살펴보면 상관 관계를 파악할 수 있으므로 이 피어링 통신이 발생하는 인터페이스를 확인할 수 있습니다.  이것은 Southbound 인터페이스입니다.
  4. 이웃 ID 192.168.250.2 - 전체 실습을 실행하는 가상 라우터인 vPod 라우터의 라우터 ID입니다.  이것은 vCenter와 같이 제어 센터 및 다른 구성 요소를 사용하여 통신하는 라우터입니다.
  5. 주소 192.168.100.1 - 경계 에지의 OSPF가 연결되는 IP 주소로 vPod 라우터의 인터페이스 중 하나입니다.
  6. 인터페이스 vNic_0 - Edge에서 인터페이스 내부를 살펴보면 상관 관계를 파악할 수 있으므로 이 피어링 통신이 발생하는 인터페이스를 확인할 수 있습니다.  이것은 Northbound 인터페이스입니다.

 

 

경계 에지의 라우트 및 해당 출처 검토

 

"show ip route"를 입력합니다.

show ip route

 

 

라우트 정보 검토

 

표시된 라우트의 컨텐츠에 대해 살펴보겠습니다.

  1. OSPF를 통해 학습한 것을 나타내는 줄의 시작 지점에서 첫 번째 줄은 vPod 라우터(192.168.100.1)O에서 시작되는 기본 라우트를 표시합니다.
  2. 두 번째 줄은 웹 계층의 논리적 스위치와 인터페이스입니다.  Edge와 바로 연결되어 있기 때문에 줄의 시작 부분에 C가 있습니다.
  3. 섹션의 세 번째 줄은 웹 애플리케이션의 다른 두 부분으로 애플리케이션 및 DB 계층을 위한 네트워크 세그먼트로 이루어져 있습니다.  줄 1에서 언급했듯이, 줄의 시작 부분에 O가 있어 분산 라우터(192.168.5.2)를 거치는 OSPF를 통해 학습한 것을 보여줍니다.
  4. 섹션 4의 모든 네트워크 세그먼트는 OSPF를 거쳐 vPod 라우터(192.168.100.1)에서 경계 에지에 의해 학습된 네트워크입니다.  이러한 모든 네트워크는 NSX 가상 네트워크의 내부에서 연결할 수 있으며 반대의 경우도 마찬가지입니다.

 

 

 

OSPF 라우트 배포 제어

OSPF 라우트를 물리적 환경에 배포하지 않고 가상 환경의 내부에만 배포하고자 하는 상황이 있을 수 있습니다.  이 경우, Edge 인터페이스에서 쉽게 라우트 배포를 제어할 수 있습니다.

 

 

vSphere Web Client에서 NSX로 이동

 

**NOTE** Perimeter-Gateway의 VMRC 창을 그대로 두려면 Ctrl+Alt 키를 눌러야 합니다.

 

 

Perimeter-Gateway 액세스

 

  1. NSX Edges를 클릭합니다.
  2. Edge-2를 두 번 클릭합니다.

 

 

OSPF 라우팅 구성 액세스

 

  1. Manage(관리) 탭을 선택합니다.
  2. Routing(라우팅)을 클릭합니다.
  3. 왼쪽 창에서 OSPF를 클릭합니다.

 

 

Northbound 인터페이스에 대한 영역 매핑 제거

 

이제 업링크 인터페이스에서 OSPF Area 10(영역 10)의 매핑을 제거하도록 하겠습니다.  이렇게 하면 Perimeter-Gateway와 vPod 라우터는 더 이상 라우트가 피어링되지 않습니다.

  1. Uplink(업링크) vNIC를 선택합니다.
  2. 빨간색 X를 클릭하여 매핑을 삭제합니다.

 

 

삭제 확인

 

 

 

변경 사항 게시

 

 

 

Perimeter-Gateway VMRC로 이동

 

작업 표시줄에서 Perimeter-Gateway를 선택합니다.

 

 

OSPF 이웃 표시

 

**참고** 창이 표시되었을 때 안쪽을 클릭하고 Enter 키를 누르면 화면이 나타납니다.

1. "show ip ospf neighbor"를 입력하고 Enter키를 누릅니다.

show ip ospf neighbor

이제 유일한 이웃이 분산 라우터(192.168.5.2) 이고 vPod 라우터(192.168.250.1)가 목록에서 제거된 것을 볼 수 있습니다.

 

 

라우트 표시

 

1. "show ip route"를 입력하고 Enter키를 누릅니다.

show ip route

이제 OSPF를 통해 학습된 라우트는 분산 라우터(192.168.5.2)가 유일한 것임을 알 수 있습니다.

 

 

3 Tier 애플리케이션 작동 중지 확인

 

**NOTE** Perimeter-Gateway의 VMRC 창을 그대로 두려면 Ctrl+Alt 키를 눌러야 합니다.

제어 센터와 가상 네트워킹 환경 사이에 라우트가 존재하지 않으므로 웹 애플리케이션에 장애가 발생합니다.

  1. HOL - Multi-Tier App(멀티 Tier 애플리케이션) 탭을 클릭합니다.
  2. Refresh(새로 고침)를 클릭합니다.

애플리케이션이 실제로 시간 초과 상태가 되기까지 약간의 시간이 소요될 수 있으며, 빨간색 "x"를 선택하여 브라우저를 중지해야 할 수도 있습니다.  고객 데이터가 표시될 경우, 이전 데이터에서 캐싱된 것일 수 있으므로 브라우저를 닫고 다시 열어야 할 수 있습니다.  

 

 

라우트 피어링 재설정

 

이제 Perimeter-Gateway와 vPod 라우터 사이에 라우트 피어링을 다시 설정해 보겠습니다.

 

 

Area to Interface Mapping(영역-인터페이스 매핑) 다시 추가

 

  1. Area to Interface Mapping(영역-인터페이스 매핑) 아래의 녹색 더하기 기호를 클릭합니다.
  2. vNIC 아래의 Uplink를 선택합니다.
  3. Area(영역)에서 10을 선택합니다.
  4. Ignore Interface MTU(인터페이스 MTU 무시) 설정을 선택했는지확인합니다. 참고 - 일반적으로는 선택하지 않지만 실습 환경에 어떤 제약이 있는 경우 선택합니다.
  5. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

Perimeter-Gateway VMRC로 이동

 

작업 표시줄에서 Perimeter-Gateway를 선택합니다.

 

 

OSPF 이웃 표시

 

**참고** 창이 표시되었을 때 안쪽을 클릭하고 Enter 키를 누르면 화면이 나타납니다.

1. "show ip ospf neighbor"를 입력하고 Enter키를 누릅니다.

show ip ospf neighbor

이제 분산 라우터(192.168.5.2) vPod 라우터(192.168.250.1)모두가 이웃으로 표시된 것을 볼 수 있습니다.

 

 

경계 에지의 라우트 및 해당 출처 검토

 

"show ip route"를 입력합니다.

show ip route

 

 

라우트 표시

 

이제 vPod 라우터(192.168.100.1)의 모든 라우트가 다시 목록에 포함되어 있습니다.

 

 

3 Tier 애플리케이션 작동 확인

 

**NOTE** Perimeter-Gateway의 VMRC 창을 그대로 두려면 Ctrl+Alt 키를 눌러야 합니다.

라우트를 원래 위치에 둔 상태에서 웹 애플리케이션을 다시 실행해야 합니다.

  1. HOL - Multi-Tier App(멀티 Tier 애플리케이션) 탭을 클릭합니다.
  2. Refresh(새로 고침)를 클릭합니다.

이 실습 섹션을 마무리하고 이제 NSX Edge를 사용한 고가용성 및 ECMP에 대해 살펴보겠습니다.

 

ECMP 및 고가용성


이 섹션에서는 또 다른 경계 에지를 네트워크에 추가한 다음, ECMP(Equal Cost Multipath Routing)를 사용하여 Edge 용량을 수평 확장하고 가용성을 높이도록 하겠습니다.  NSX를 사용하면 Edge 디바이스를 추가할 수 있고 ECMP를 활성화할 수 있습니다.


 

vSphere Web Client에서 NSX 액세스

 

  1. Use Windows session authentication(Windows 세션 인증 사용) 확인란을 선택합니다.
  2. Login(로그인)을 클릭합니다.

 

 

vSphere Web Client에서 NSX로 이동

 

**NOTE** Perimeter-Gateway의 VMRC 창을 그대로 두려면 Ctrl+Alt 키를 눌러야 합니다.

  1. Home(홈) 아이콘을 클릭합니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

부가적인 Perimeter-Gateway Edge 추가

 

첫 번째 단계는 부가적인 경계 에지 디바이스를 추가하는 것입니다.

  1. NSX Edges를 클릭합니다.
  2. 녹색 더하기 기호를 클릭합니다.

 

 

Edge 선택 및 이름 지정

 

  1. Install Type(설치 유형)에서 Edge Services Gateway(Edge 서비스 게이트웨이)를 클릭합니다.
  2. Name(이름)에서 Perimeter-Gateway-2를 입력합니다.
  3. Next(다음)를 클릭합니다.

 

 

암호 설정

 

  1. 암호에 VMware1!VMware1!를 입력합니다.
  2. 암호 확인에 VMware1!VMware1!를 입력합니다.
  3. Enable SSH Access(SSH 액세스 활성화)를 선택합니다.
  4. Next(다음)를 클릭합니다.

참고 - 모든 NSX Edge용 암호는 12자 이상의 복잡한 암호로 되어 있습니다.

 

 

Edge 어플라이언스 추가

 

  1. NSX 어플라이언스 아래의 녹색 더하기 기호를 클릭하여 Add NSX Edge Appliance(NSX Edge 어플라이언스 추가) 대화 상자를 엽니다.
  2. 클러스터/리소스 풀에서 Management and Edge Cluster(관리 및 에지 클러스터)를 선택합니다.
  3. 데이터스토어에서 ds-site-a-nfs01을 선택합니다.
  4. 호스트에서 esx-04a.corp.local을 선택합니다.
  5. 폴더에서 Edges를 선택합니다.
  6. OK(확인)를 클릭합니다.

 

 

배포(계속)

 

 

 

업링크 인터페이스 추가

 

 

 

Switch Connected To(스위치에 연결) 선택

 

이 Edge는 분산 포트 그룹이므로 Northbound 스위치 인터페이스를 선택해야 합니다.

  1. Connected To(연결) 필드 옆에 있는 Select(선택)를 클릭합니다.
  2. Distributed Portgroup(분산 포트 그룹)을 클릭합니다.
  3. vds_mgt_Uplink Network(vds_mgt_Uplink 네트워크)를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

이름 및 IP 추가

 

  1. Name(이름)에서 Uplink(업링크)를 입력합니다.
  2. Type(유형)에서 Uplink(업링크)를 선택합니다.
  3. 녹색 더하기 기호 아이콘을 클릭합니다.
  4. 기본 IP 주소로 192.168.100.5를 입력합니다.
  5. Subnet Prefix Length(서브넷 접두사 길이)로 24를 입력합니다.
  6. OK(확인)를 클릭합니다.

 

 

Edge 전송 인터페이스 추가

 

 

 

Switch Connected To(스위치에 연결) 선택

 

이 Edge는 VXLAN 기반 논리적 스위치이므로 Northbound 스위치 인터페이스를 선택해야 합니다.

  1. Connected To(연결) 필드 옆에 있는 Select(선택)를 클릭합니다.
  2. Logical Switch(논리적 스위치)를 클릭합니다.
  3. Edge_Transit_01_5000을 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

이름 및 IP 추가

 

  1. Name(이름)에서 Transit_Network를 입력합니다.
  2. Type(유형)에서 Internal(내부)을 선택합니다.
  3. 녹색 더하기 기호 아이콘을 클릭합니다.
  4. 기본 IP 주소로 192.168.5.4를 입력합니다.
  5. Subnet Prefix Length(서브넷 접두사 길이)로 29를 입력합니다. 참고 - 24가 아니라 29입니다!  올바른 숫자를 입력하지 않으면 실습이 작동하지 않습니다.
  6. OK(확인)를 클릭합니다.

 

 

배포(계속)

 

중요! 계속하기 전에, 정보 및 IP 주소와 Subnet Prefix Length(서브넷 접두사) 숫자가 올바른지 확인합니다.

 

 

기본 게이트웨이 제거

 

OSPF를 통해 정보를 수신하므로 기본 게이트웨이를 제거합니다.

  1. 기본 게이트웨이 구성을 선택 해제합니다.
  2. Next(다음)를 클릭합니다.

 

 

기본 방화벽 설정

 

  1. Configure Firewall default policy(방화벽 기본 정책 구성)를 선택합니다.
  2. ACCEPT(동의)를 선택합니다.
  3. Next(다음)를 클릭합니다.

 

 

구축 마무리

 

 

 

Edge 구축

 

Edge 구축에는 몇 분 정도 소요됩니다.

  1. Edge-5의 사용량이 많은상태임을 알 수 있으며 1개의 항목이 설치 중임을 보여줍니다.  즉, 구축이 진행 중임을 의미합니다.
  2. 웹 클라이언트에서 Refresh(새로 고침) 아이콘을 클릭하면 이 화면에서의 자동 새로 고침 속도를 높일 수 있습니다.

Deployed(구축됨) 상태가 되면 다음 단계로 이동할 수 있습니다.

 

 

새 Edge에 라우팅 구성

 

이제 ECMP를 사용하기 전에 새 Edge 디바이스에 OSPF를 구성해야 합니다.

 

 

Global Configuration(글로벌 구성) 라우팅

 

네트워크에 라우터를 식별하려면 기본 구성을 설정해야 합니다.

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 선택합니다.
  4. Dynamic Routing Configuration(동적 라우팅 구성) 옆에 있는 Edit(편집)을 클릭합니다.
  5. Router ID(라우터 ID)에서 업링크 -192.168.100.5를 선택합니다.
  6. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

대화 상자에서 "Publish Changes"(변경 사항 게시) 버튼을 다시 클릭하여 업데이트된 구성을 분산 에지 디바이스로 전달합니다.

 

 

OSPF를 사용하도록 설정

 

  1. 왼쪽 창에서 OSPF를 선택합니다.
  2. OSPF Configuration(OSPF 구성) 옆에 있는 Edit(편집)을 클릭합니다.
  3. Enable OSPF(OSPF를 사용하도록 설정)를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

새 영역 추가

 

  1. Area Definitions(영역 정의)에서 녹색 더하기 기호를 클릭합니다.
  2. Area ID(영역 ID)에 10을 입력합니다.
  3. OK(확인)를 클릭합니다.

 

 

업링크 인터페이스 매핑에 추가

 

이전 실습의 마지막 부분에서 수행한 방법과 유사하게 OSPF를 사용하여 업링크 인터페이스에 영역 매핑을 해야 합니다.

  1. Area to Interface Mapping(영역-인터페이스 매핑)에서 녹색 더하기 기호를 클릭합니다.
  2. vNIC에서 Uplink (업링크)를 선택합니다.
  3. 영역에서 10을 선택합니다.
  4. Ignore Interface MTU(인터페이스 MTU 무시) 설정을 선택했는지확인합니다. 참고 - 일반적으로는 선택하지 않지만 실습 환경에 어떤 제약이 있는 경우 선택합니다.
  5. OK(확인)를 클릭합니다.

 

 

인터페이스 매핑 전송 추가

 

이제 다운링크 인터페이스를 분산 라우터에 동일하게 수행해야 합니다.

  1. Area to Interface Mapping(영역-인터페이스 매핑)에서 녹색 더하기 기호를 클릭합니다.
  2. vNIC에서 Transit_Network를 선택합니다.
  3. 영역에서 10을 선택합니다.
  4. OK(확인)를 클릭합니다.

참고 - Ignore Interface MTU(인터페이스 MTU 무시)를 선택하지 마십시오. 이것은 업링크에만 해당됩니다!

 

 

변경 사항 게시

 

대화 상자에서 "Publish Changes"(변경 사항 게시) 버튼을 다시 클릭하여 업데이트된 구성을 분산 에지 디바이스로 전달합니다.

 

 

OSPF 라우트 재분배를 사용하도록 설정

 

이 에지를 통해 라우트에 액세스할 수 있도록 하려면 OSPF 라우트 재분배를 사용하도록 설정해야 합니다.

  1. 왼쪽 창에서 Route Redistribution(라우트 재분배)을 클릭합니다.
  2. Route Redistribution Status(라우트 재분배 상태)에서 Edit(편집)을 클릭합니다.
  3. OSPF를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

라우트 재분배 표

 

  1. Route Redistribution Table(라우트 재분배 표) 아래의 녹색 더하기 기호를 클릭합니다.
  2. Connected(연결됨)를 선택합니다.
  3. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

대화 상자에서 "Publish Changes"(변경 사항 게시) 버튼을 다시 클릭하여 업데이트된 구성을 분산 에지 디바이스로 전달합니다.

 

 

ECMP를 사용하도록 설정

 

이제 분산 라우터와 Perimeter-Gateways 모두에서 ECMP를 사용하도록 설정해 보겠습니다.

 

 

분산 라우터 액세스

 

먼저 분산 라우터에서 OSPF 라우팅을 사용하도록 설정합니다.

  1. NSX Edges를 클릭합니다.
  2. Edge-4를 두 번 클릭합니다.

 

 

DLR에서 ECMP를 사용하도록 설정

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 클릭합니다.
  4. ECMP 옆에 있는 ENABLE(활성화) 버튼을 클릭합니다.
  5. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

Edge 디바이스로 돌아가기

 

 

 

Perimeter-Gateway 1 액세스

 

 

 

Perimeter-Gateway 1에 ECMP를 사용하도록 설정

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 클릭합니다.
  4. ECMP 옆에 있는 ENABLE(활성화) 버튼을 클릭합니다.
  5. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

Edge 디바이스로 돌아가기

 

 

 

Perimeter-Gateway 2 액세스

 

 

 

Perimeter-Gateway 2에 ECMP를 사용하도록 설정

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 클릭합니다.
  4. ECMP 옆에 있는 ENABLE(활성화) 버튼을 클릭합니다.
  5. OK(확인)를 클릭합니다.

 

 

변경 사항 게시

 

 

 

토폴로지 개요

 

이 단계에서는 실습 토폴로지에 대해 살펴보겠습니다.  여기에는 새로 추가된 Perimeter-Gateway, 라우팅 구성 및 ECMP 사용 설정이 포함됩니다.

 

 

분산 라우터에서 ECMP 기능 확인

 

이제 분산 라우터에 액세스하여 OSPF가 통신하고 있고 ECMP가 작동하는지 확인하겠습니다.

 

 

원격 콘솔 시작

 

  1. Refresh Icon(새로 고침) 아이콘을 클릭합니다.
  2. Datacenter Site A(데이터 센터 사이트 A) 및 Edge폴더를 확장합니다.
  3. Distributed-Router-0을 선택합니다.
  4. Summary(요약) 탭을 선택합니다.
  5. Launch Remote Console(원격 콘솔 시작)을 클릭합니다.

 

 

원격 콘솔 액세스

 

VMRC 창을 처음 열면 검은색이 나타납니다.  창 클릭하고 화면 보호기에서 콘솔이 나타나도록 Enter 키를 몇 번 누릅니다.

***참고*** 창에서 커서를 해제하려면 Ctrl+Alt 키를 누르십시오.

 

 

Perimeter-Gateway 로그인

 

다음 자격 증명을 사용하여 분산 라우터에 로그인합니다.

 

 

OSPF 이웃 보기

 

먼저 분산 라우터에 대한 OSPF 이웃을 살펴보겠습니다.

참고 - 탭 완성 기능은 NSX의 Edge 디바이스에서 작동합니다.

show ip ospf neighbor를 입력하고 Enter 키를 누릅니다.  (SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.)

show ip ospf neighbor 

이제 분산 라우터가 하나의 피어에서 두 개로 바뀐 것을 확인할 수 있습니다.  Perimeter-Gateway-1(192.168.100.3)Perimeter-Gateway-2 (192.168.100.5)모두가 이웃이 됩니다.

 

 

경계 에지의 라우트 검토

 

show ip route를 입력하고 Enter키를 누릅니다.

show ip route

 

 

라우트 정보 검토

 

모든 라우트는 위와 같이 표시되어야 합니다.  각 네트워크 세그먼트는 두 개의 다른 네트워크 주소를 통해 라우팅할 수 있습니다.  이러한 주소는 Perimeter-Gateway 라우트 1 및 2입니다.

 

 

vPod 라우터에서 ECMP 기능 확인

 

***참고*** 창에서 커서를 해제하려면 Ctrl+Alt 키를 누르십시오.

이제 네트워크에서 물리적 라우터를 시뮬레이션하는 vPod 라우터에서 ECMP를 살펴보겠습니다.

 

 

vPod 라우터에 대한 SSH 세션 열기

 

  1. 스크롤 바를 아래로 스크롤하여 vPod Router(vPod 라우터)를 선택합니다.
  2. Load(로드)를 클릭합니다.
  3. Open(열기)을 클릭합니다.

 

 

vPod 라우터에 로그인

 

다음 자격 증명을 사용하여 vPod 라우터에 로그인합니다.

 

 

OSPF 모듈 액세스

 

vPod 라우터에서 OSPF를 제어하는 모듈로 Telnet해야 합니다.

1.  telnet localhost 2604를 입력하고 Enter 키를 누릅니다.  (SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.)

telnet localhost 2604

2.  암호로 VMware1!를 입력합니다.

 

 

OSPF 이웃 표시

 

vPod 라우터에서 OSPF를 제어하는 모듈로 Telnet해야 합니다.

1.  show ip ospf neighbor를 입력하고 Enter키를 누릅니다.

show ip ospf neighbor

 

 

라우트 표시

 

1. show ip ospf route를 입력하고 Enter키를 누릅니다.

show ip ospf route

2. 이 섹션에는 172.16.10.0/24에 하나의 라우터만 표시되어 있는 것을 볼 수 있으며, 이는 해당 네트워크가 Perimeter-Gateway-1(192.168.100.3)에 직접 연결되고 Perimeter-Gateway-2로 라우팅되지 않기 때문입니다.

3. 이 섹션에는 172.16.20.0/24 및 172.16.30.0/24Perimeter-Gateway 1(192.168.100.3) 및 Perimeter-Gateway-2 (192.168.100.5)라는 두 개의 라우터를 가지고 있음을 볼 수 있습니다.  이는 두 라우터 모두가 분산 라우터를 통해 해당 세그먼트에 통신할 수 있기 때문입니다.

이 시점에서, 분산 라우터에 연결된 모든 트래픽은 ECMP를 사용하는 Perimeter-Gateway 중 하나에 송신할 수 있습니다.

다음 단계를 위해 이 창을 열어 둡니다.

 

 

ECMP를 통한 고가용성

 

ECMP 및 OSPF를 사용하면 특정 경로에 장애가 발생할 경우 라우트를 동적으로 변경할 수 있습니다.  이제 경로 중 하나를 중단하여 라우트 재분배 발생을 시뮬레이션하겠습니다.

 

 

Ping db-01a 데이터베이스 서버

 

ping -t db-01a를 입력하고 Enter키를 누릅니다.

ping -t db-01a

제어 센터에서 데이터베이스 서버(db-01a)시작으로 ping을 볼 수 있습니다.  이 창을 열어 두고 다음 단계로 이동하여 실행합니다.

 

 

Perimeter-Gateway 2 종료

 

Perimeter-Gateway-2를 종료하여 노드의 오프라인 전환을 시뮬레이션하겠습니다.

  1. Datacenter Site A(데이터 센터 사이트 A) 및 Edge폴더를 확장합니다.
  2. Perimeter-Gateway-2-0을 마우스 오른쪽 버튼으로 클릭합니다.
  3. Power(전원)를 클릭합니다.
  4. Shut Down Guest OS(게스트 운영 체제 종료)를 클릭합니다.

 

 

종료 확인

 

 

 

Ping 테스트로 돌아가기

 

 

 

라우팅 변경 발생

 

Edge가 오프라인이 되었기 때문에 라우팅을 변경하여 데이터베이스 가상 머신 드롭 오프라인에 대한 ping을 확인한 다음, Route Reconverge(라우트 재통합)으로 다시 시작합니다.

**참고** - 실습 설명서의 빠른 진행을 위해 이 실습에서는 기본 라우트 타이머를 사용합니다.  타이머를 2초 감소시켜 통합 속도를 높일 수 있습니다.

 

 

vPod 라우터 PuTTy 세션 액세스

 

 

 

현재 라우트 확인

 

  1. show ip ospf route를 입력하고 Enter키를 누릅니다.
show ip ospf route 

172.16.x.x네트워크에 대한 모든 라우트는 Perimeter-Gateway-1(192.168.100.3)을 통해서만 제공되어야 합니다.

다음 단계를 위해 이 창을 열어 둡니다.

 

 

Perimeter-Gateway 2 전원 켜기

 

  1. Datacenter Site A(데이터 센터 사이트 A) 및 Edge폴더를 확장합니다.
  2. Perimeter-Gateway-2-0을 마우스 오른쪽 버튼으로 클릭합니다.
  3. Power(전원)를 클릭합니다.
  4. Power On(전원 켜기)을 클릭합니다.

 

 

Perimeter-Gateway 2가 온라인 상태인지 확인

 

가상 머신을 시작하는 데에는 1~2 분 정도 소요됩니다.  가상 머신 요약에서 VMTools가 온라인 상태로 표시되면 다음 단계로 넘어갈 수 있습니다.  

 

 

vPod 라우터 PuTTy 세션 액세스

 

 

 

라우트 표시

 

게이트웨이 백업을 구동했으므로 vPod 라우터의 라우트의 상태를 확인해 보겠습니다.

  1. show ip ospf route를 입력하고 Enter키를 누릅니다.
show ip ospf route

섹션 2에서는 이중 연결로 돌아온 라우트에 대해 살펴보겠습니다.  

 

 

ECMP에 대한 최종 정리

이 실습의 ECMP 및 HA에 대한 최종 정리입니다.  Perimeter-Gateway-2를 종료하는 결과와 Perimeter-Gateway-1을 종료하는 결과는 동일합니다.  

주의해야 할 점은 웹 서버 가상 머신이 직접 연결되어 Perimeter-Gateway-1이 오프라인 상태인 경우 웹 애플리케이션은 작동하지 않습니다.  이 경우 데이터베이스와 애플리케이션 네트워크에서 수행한 방법과 같이 웹 애플리케이션을 분산 라우터 아래로 이동하면 문제를 해결할 수 있습니다.  이렇게 하면 게이트웨이 1 또는 2가 오프라인 상태인 경우에도 웹 애플리케이션은 정상적으로 작동합니다.

참고 - 이 실습에서 위의 작업을 실행하면 다른 모듈을 진행할 수 없습니다!  이 작업은 수동 작업으로 진행할 수 없기 때문입니다.  다른 모듈을 실습할 계획이 없다면 위의 작업을 시도하면 됩니다.

 

모듈 3을 진행하기 전에 다음 정리 단계를 완료하십시오.


이 실습에서 모듈 2를 완료한 후 다른 모듈을 계속 진행하려는 경우, 다음 단계를 완료하지 않으면 향후 실습이 제대로 진행되지 않습니다.


 

두 번째 경계 에지 디바이스 삭제

 

 

 

Edge-5 삭제

 

방금 생성한 Edge를 삭제해야 합니다.

  1. NSX Edges를 선택합니다.
  2. Edge-5를 선택합니다.
  3. 빨간색 X를 클릭하여 삭제합니다.

 

 

삭제 확인

 

 

 

DLR에서 ECMP 및 Gateway-1을 해제합니다.

 

 

 

분산 라우터에서 ECMP를 해제합니다.

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 클릭합니다.
  4. ECMP 옆에 있는 DISABLE(사용 안 함) 버튼을 클릭합니다.

 

 

변경 사항 게시

 

 

 

Edge 디바이스로 돌아가기

 

 

 

Perimeter-Gateway 1 액세스

 

 

 

Perimeter-Gateway 1에서 ECMP를 해제합니다.

 

  1. Manage(관리) 탭을 클릭합니다.
  2. Routing(라우팅) 탭을 클릭합니다.
  3. 왼쪽 창에서 Global Configuration(글로벌 구성)을 클릭합니다.
  4. ECMP 옆에 있는 DISABLE(사용 안 함) 버튼을 클릭합니다.

 

 

변경 사항 게시

 

 

 

결론

이제 논리적 라우팅에 관한 모듈 2를 마치겠습니다.

이 랩을 통해 라우팅 부분을 잘 활용하고 NSX에 대한 이해를 높일 수 있는 시간이 되셨기를 바랍니다.

 

모듈 3 - 분산 방화벽(60분)

분산 방화벽 횡방향 보호 - 마이크로 세분화


NSX 분산 방화벽(DFW). 분산 방화벽 커널 모듈은 NSX의 구성 요소 중 하나입니다.  이 기능을 사용하려면 각 vSphere 호스트에 분산 방화벽을 설치해야 합니다. 분산 방화벽은 회선 속도에 가깝고 vSphere 호스트 플랫폼의 복원 기능을 제공하며 사용자 ID를 인식하고 고유한 활동 모니터링 툴을 제공합니다.

이 모듈에서는 분산 방화벽으로 3 Tier 애플리케이션을 어떻게 보호할 수 있는지 살펴보고  IP 주소 기반이 아닌, 보안 그룹 및 ID를 기반으로 방화벽 규칙을 생성하는 프로세스를 살펴보겠습니다.  IP 주소 기반 규칙의 경우 모바일 가상 머신에 하드 제한이 있으며 리소스 풀을 이용할 수 있는 유연성이 감소합니다.

이 모듈은 공통의 3 Tier 애플리케이션을 구성하는 4개의 게스트 가상 머신을 기준으로 합니다.  웹 Tier에는 2대의 웹 서버(web-01a 및 web-02a)가 있으며, 나중에 로드 밸런싱 풀에 표시됩니다.  웹 Tier는 애플리케이션 Tier로 작동하며 애플리케이션 소프트웨어를 실행하는 app-01a라는 이름의 가상 머신과 통신합니다.  그런 다음 애플리케이션 Tier 가상 머신은 데이터베이스 Tier에서 MySQL을 실행하는 db-01a라는 가상 머신과 통신합니다.  Tier 간 액세스 규칙은 NSX DFW 방화벽에서 적용합니다.  

이 모듈의 내용을 요약하면 다음과 같습니다.

분산 방화벽 기본 기능

방화벽 기능을 위한 향상된 IP 검색 메커니즘

ID 방화벽

데스크톱에서 모듈을 시작합니다.  데스크톱은 가상 환경에 있는 Control Center점프 박스입니다.  이 데스크톱에서 가상 데이터 센터에 구축된 vCenter Server Appliance에 액세스합니다.

참고: 데스크톱에 있는 README.txt라는 텍스트 파일에는  실습에 필요한 CLI 명령이 포함되어 있습니다.  명령을 입력하는 데 문제가 있을 경우 이 파일에서 명령을 복사하여 puTTy 세션에 붙여넣을 수 있습니다.  텍스트 파일에서 이 모듈의 CLI 명령에 해당하는 명령을 찾을 수 있도록 "{1}"과 같이 중괄호로 묶인 번호가 표시됩니다.


 

브라우저 및 vSphere Web Client 시작

 

 

 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 환경에 대한 모든 사용자 계정 및 암호를 제공하는 방법입니다.

 

 

DFW 사용 확인

 

먼저 NSX 분산 방화벽을 살펴볼 수 있습니다.

vSphere Web Client에 로그인되어 있지 않은 경우 다음 단계에 따라 로그인합니다.

작업 표시줄에서 Google Chrome 아이콘을 클릭합니다. vSphere Web Client 홈페이지가 표시됩니다.

 

 

오른쪽 작업 창을 접어 화면 공간 확보

 

 

 

새 NSX 분산 방화벽 탐색

 

 

 

설치 열기

 

  1. 먼저 Installation(설치)을 클릭합니다.
  2. Host Preparation(호스트 준비) 탭을 클릭합니다.  테이블에는 가상 데이터 센터에 있는 클러스터들이 표시됩니다.

NSX가 클러스터 수준에서 설치되므로 설치, 제거 및 업데이트가 모두 클러스터 수준에서 정의됩니다.  나중에 새 물리적 호스트가 클러스터에 추가되면 이 호스트에 자동으로 NSX가 추가됩니다.  따라서 NSX가 없는 호스트로 가상 머신을 마이그레이션하는 데 따른 염려 없이 클러스터 수준의 네트워크 및 보안을 제공합니다.

 

 

웹 애플리케이션 액세스 규칙 구성

이제 3 Tier 애플리케이션에 대한 분산 방화벽 액세스를 구성해 보겠습니다.  이 애플리케이션에는 2개의 웹 서버, 즉 애플리케이션과 데이터베이스 서버가 하나씩 있습니다.  또한 2개의 웹 서버를 처리하는 로드 밸런싱 장치도 제공합니다.

 

 

PuTTY를 사용한 3 Tier 가상 머신 간 연결 테스트

 

다음으로, 3 Tier 애플리케이션을 구성하는 네트워크 세그먼트와 게스트 가상 머신 사이의 통신과 액세스를 테스트합니다. 첫 번째 테스트에서는 web-sv-01a에 대한 콘솔을 열고 나머지 구성원에 대해 ping을 실행합니다.

  1. 데스크톱 작업 표시줄에서 PuTTY바로 가기를 클릭합니다.
  2. web-01a.corp.local을 선택합니다. 
  3. Open(열기)을 클릭합니다.

 

 

web-01a에서 다른 3 Tier 구성원으로 ping 실행

 

먼저 다음을 입력하여 web-01a에서 web-02a에 대해 ping을 실행할 수 있음을 확인합니다.

ping -c 2 172.16.10.12

이제 다음과 같은 방법으로 web-01a 및 app-01a and db-01a간 연결을 테스트합니다.

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11 

(참고: ping 라인 끝에 DUP!가 나타날 수 있는데  이는 가상 실습 환경에서 가상 라우터에 중첩된 가상화 및 무차별 모드를 사용하기 때문이며 실제 운영 환경에서는 표시되지 않습니다.)

창을 닫지 말고 나중에 사용할 수 있도록 최소화합니다.

 

 

웹 브라우저를 사용하여 3 Tier 애플리케이션 표시

 

브라우저로 3 Tier 애플리케이션에 액세스하여 세 Tier 간의 기능을 시연합니다.  

  1. 새 브라우저 탭을 엽니다.
  2. "3Tier-Web-App"(3 Tier 웹 애플리케이션) 북마크를 클릭합니다.

 

 

브라우저 고급 설정 클릭

 

 

 

web-app.corp.local로 이동(안전하지 않음)

 

 

 

웹 브라우저를 사용하여 3 Tier 애플리케이션 표시 - 계속

 

웹 Tier에서 app-01a가상 머신으로 전달되어 마지막으로 db-01a가상 머신을 쿼리한 데이터를 다시 가져와야 합니다.

로드 밸런싱 장치 풀에서 웹 서버와 연결되었던 페이지가 다시 표시됩니다.

 

 

기본 방화벽 정책을 허용에서 차단으로 변경

 

이 섹션에서는 기본 Allow(허용) 규칙을 Block(차단)으로 변경하고 3 Tier 애플리케이션에 대한 통신이 차단됨을 확인합니다.  그런 다음, 안전한 방법으로 통신을 재구축하기 위해 새로운 액세스 규칙을 생성합니다.

 

 

기본 규칙 검사

 

  1. "twistie"를 사용하여 섹션을 확장합니다.  

각 규칙에는 녹색확인 표시가 있습니다.  이 표시는 규칙을 사용하도록 설정되어 있음을 의미합니다.  규칙은 소스, 대상 및 서비스 필드를 포함하는 일반적인 방식으로 작성합니다.  서비스는 프로토콜과 포트를 결합한 것입니다.  

마지막 기본 규칙은 기본적인 any-to-any-allow입니다.

 

 

마지막 기본 규칙 탐색

 

오른쪽으로 스크롤하여 Action:Allow(작업:허용)필드에 커서를 올려 놓으면, 기본 규칙에 어떤 Action(작업)이 선택되어 있는지 확인할 수 있습니다.  이때 표시되는 연필 기호를 사용하면 이 필드에 어떤 항목이 선택되어 있는지 확인할 수 있습니다.

 

 

마지막 기본 규칙 작업을 허용에서 차단으로 변경

 

  1. Block(차단) 작업 항목을 선택합니다.
  2. OK(확인)를 클릭합니다. 

 

 

기본 규칙 변경 사항 게시

 

Publish Changes(변경 사항 게시), Revert Changes(변경 전으로 되돌리기) 또는 Save Changes(변경 사항 저장)를 선택해야 한다는 내용의 녹색 바가 나타납니다.  Publish(게시)는 DFW로 변경 사항을 보내고,  Revert(되돌리기)는 편집한 내용을 취소합니다.  Save Changes(변경 사항 저장)를 선택하면 저장한 후 나중에 게시할 수 있습니다.

 

 

규칙 변경으로 통신이 차단되는지 확인

 

다음과 같이 이전 PuTTY 및 브라우저 세션을 사용하여 차단 규칙을 테스트합니다.

 

 

3 Tier 보안 그룹 생성

 

Service Composer(서비스 컴포저)를 사용하면 가상 및 클라우드 환경에서 네트워크 및 보안 서비스를 소비하기 위한 새로운 모델을 정의할 수 있습니다. 타사 솔루션으로 향상되었거나 기본 내장되어 있는 서비스를 간단히 시각화하고 소비하여 정책을 실행할 수 있습니다. 내보내기/가져오기 기능으로 동일한 정책을 반복적으로 실행할 수 있으므로 문제가 발생할 경우 더 손쉽게 환경을 유지 및 복구할 수 있습니다. Security Group(보안 그룹)도 이와 같이 반복해서 사용 가능한 객체 중 하나입니다.

 

 

보안 그룹 추가

 

  1. Security Groups(보안 그룹)를 선택합니다. 참고: 다른 실습 모듈에서 사용할 기존의 보안 그룹이 있을 수 있습니다.
  2. 새 보안 그룹을 추가하려면 New Security Group(새 보안 그룹) 아이콘을 클릭합니다.

 

 

새 보안 그룹 - 웹

 

  1. 첫 번째 그룹의 이름을 Web-tier로 지정합니다.
  2. Next(다음)를 선택합니다.
  3. Next(다음)를 클릭하여 "Select objects to include"(포함할 객체 선택) 섹션으로 이동합니다.

 

 

포함할 객체 선택

 

  1. Object Types(객체 유형) 풀다운 메뉴에서 Virtual Machines(가상 머신)를 선택합니다.
  2. 검색 창에 웹을 입력하여필터링할 수 있습니다.
  3. web-01a를 선택합니다.
  4. 오른쪽 화살표를 클릭하여 Selected Objects(선택된 객체) 창으로 가상 머신을 이동합니다.
  5. web-02a에 대해서도 이를 반복합니다.
  6. Finish(마침)를 클릭합니다.

참고:  왼쪽의 가상 머신을 두 번 클릭하면 한 번에 바로 오른쪽으로 이동합니다.

 

 

보안 그룹 생성 확인

 

Web-tier라는 이름의 보안 그룹을 만들어 2대의 가상 머신을 지정했습니다.

 

 

3 Tier 액세스 규칙 생성

 

이제 웹 가상 머신에 대한 액세스를 허용할 새 규칙을 추가한 다음 각 Tier 간 액세스를 설정하겠습니다.  

 

 

3 Tier 애플리케이션에 대한 새 규칙 섹션 추가

 

  1. "Firewalling without VMTools (Rule1)"(VMTools 없는 방화벽(규칙1)) 행의 오른쪽 끝에 폴더 모양의 Add Section(섹션 추가)을 클릭합니다.
  2. 이름으로 3-Tier App을 지정합니다.
  3. OK(확인)를 클릭합니다.

 

 

새 섹션에 규칙 추가

 

 

 

새 규칙 편집

 

  1. "twistie"를 클릭하여 규칙을 엽니다.
  2. 마우스로 "Name"(이름) 필드의 오른쪽 상단을 가리키고 연필 아이콘이 나타나면 연필을 클릭합니다.
  3. 이름으로 "Ext to Web"을 입력합니다.
  4. OK(확인)를 클릭합니다.

 

 

규칙 소스 및 대상 설정

 

소스:규칙 소스 설정을 any(모두)로 유지합니다.

 

 

보안 그룹 값 설정

 

대상:

  1. Object Type(객체 유형) 풀다운 메뉴에서 Security Group(보안 그룹)이 나타날 때까지 아래로 스크롤합니다.
  2. Web-tier를 클릭합니다.
  3. 상단 화살표를 클릭하면 객체가 오른쪽으로 이동합니다.
  4. OK(확인)를 클릭합니다.

 

 

규칙 서비스 설정

 

마우스로 Service(서비스) 필드를 가리킨 다음 연필 기호를 클릭합니다.  

  1. 검색 필드에서 서비스 패턴이 일치하는 항목을 검색할 수 있습니다.  "https"를 입력하고 Enter 키를 누르면 https 이름과 관련된 모든 서비스가 표시됩니다.
  2. 단순한 HTTPS서비스를 선택합니다.
  3. 상단 화살표를 클릭합니다.
  4. 참고: 위의 1-3단계를 반복하여 보안 셸을 검색 및추가합니다.  (모듈의 뒷부분에서 보안 셸이 필요합니다.)
  5. OK(확인)를 클릭합니다.

참고: 변경 사항을 게시하거나 변경 전으로 되돌릴 수 있는 녹색 바가 나타납니다.

규칙을 더 만들어야 하기 때문에 아직 게시하지 마십시오.

 

 

애플리케이션 논리적 스위치에 대한 웹 보안 그룹 액세스의 허용 규칙 생성

 

이제 Web Security Group(웹 보안 그룹)이 애플리케이션 포트를 통해 App Security Group(애플리케이션 보안 그룹)에 액세스할 수 있도록 허용할 두 번째 규칙을 추가하겠습니다.  

  1. 먼저 연필 기호를 눌러 엽니다.
  2. 이 규칙을 이전 규칙 아래에서 처리해야 하므로 드롭다운 상자에서 Add Below(아래에 추가)를 선택합니다.

 

 

두 번째 규칙 이름 및 소스 필드 생성

 

  1. 이전에 한 것처럼 마우스로 Name(이름) 필드를 가리킨 다음 더하기 기호를 클릭합니다.  이름으로 "Web to App"을 입력합니다.
  2. Source(소스) 필드에 대해 Web-tier 보안 그룹을 선택합니다.

 

 

두 번째 규칙 대상 필드 생성: 논리적 네트워크 선택

 

첫 번째 규칙에서는 Web-tier보안 그룹을 대상으로 사용했습니다.  나머지 규칙도 동일한 방식으로 진행할 수 있습니다.  단, 드롭다운 메뉴에 표시된 대로 이미 정의된 여러 vCenter 객체를 사용할 수 있습니다.  vSphere가 NSX Security와 통합되어 있어 규칙의 가상 데이터 센터 객체를 처음부터 새로 만들지 않고도 기존 객체를 그대로 사용할 수 있어 시간을 절감할 수 있습니다.  여기서는 VXLAN 논리적 스위치를 대상으로 사용하겠습니다. 그러면 이 네트워크에 연결된 모든 가상 머신에 적용할 규칙을 생성할 수 있습니다.

  1. Object Type(객체 유형) 드롭다운 메뉴에서 아래로 스크롤하여 Logical Switch(논리적 스위치) 항목을 클릭합니다.
  2. App_Tier-01을 선택합니다.
  3. 상단 화살표를 클릭하면 객체가 오른쪽으로 이동합니다.
  4. OK(확인)를 클릭합니다.

 

 

두 번째 규칙 서비스 필드 생성: 새 서비스

 

3 Tier 애플리케이션은 웹 및 애플리케이션 Tier 간 TCP 포트 8443을 사용합니다.  허용된 서비스로 MyApp이라는 새 서비스를 만듭니다.

  1. New Service(새 서비스)를 클릭합니다.
  2. 새 서비스의 이름으로 MyApp을 입력합니다.
  3. Protocol(프로토콜)에 대해 TCP를 선택합니다.
  4. 포트 번호로 8443을 입력합니다.
  5. OK(확인)를 클릭합니다.

 

 

OK 클릭

 

 

 

세 번째 규칙 생성: 논리적 스위치 애플리케이션이 논리적 스위치 데이터베이스에 액세스하도록 허용

 

위 단계를 반복하여 애플리케이션 및 데이터베이스 Tier 간 액세스를 제공하는 세 번째 및 마지막 규칙을 직접 만듭니다.

  1. MySQL에 대해 사전 정의된 서비스를 통해 App Logical Switch(애플리케이션 논리적 스위치)가 Database Logical Switch(데이터베이스 논리적 스위치)와 통신할 수 있도록 허용하는 최종 규칙을 생성합니다.  서비스가 사전 정의되어 있으므로 서비스를 생성하지 않고 검색하면 됩니다.
  2. 변경 사항 게시

 

 

3 Tier 애플리케이션 통신을 허용하는 새 규칙 확인

 

참고: 아직 열려 있는 탭이 없거나 이전 탭을 닫은 경우  즐겨찾기 모음에서 "Web-App Direct Connect"(Web App - 직접 연결) 즐겨찾기를 사용합니다.

 

 

web-01a에 대한 Putty 세션 다시 시작

 

  1. 왼쪽 상단의 Session(세션) 아이콘을 클릭합니다.
  2. Restart Session(세션 다시 시작)을 클릭합니다.

 

 

Tier 간 ping 테스트

 

3 Tier 애플리케이션 게스트 가상 머신에 대해 ping을 실행합니다.

참고: SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.

web-02a

ping -c 2 172.16.10.12 

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

규칙에 의해 Tier 간 또는 Tier 구성원 간 ICMP가 허용되지 않기 때문에 ping이 허용되지 않고 실패합니다.  이제 기본 규칙에 의해 Tier 간 ICMP는 물론 그 외 모든 트래픽이 차단됩니다.

 

 

3 Tier 애플리케이션에 대한 분산 방화벽 규칙을 추가한 후의 토폴로지

 

다이어그램에 vNIC 수준 방화벽의 상대적인 적용 지점이 표시되어 있습니다.  DFW가 vSphere ESXi 호스트의 커널 로드 가능 모듈이지만 규칙은 게스트 가상 머신의 vNIC에서 적용됩니다.  이 보호는 vMotion 과정에서 가상 머신에 따라 이동하며 가상 머신에 공격이 발생할 "가능성"을 완전히 차단하는 완벽한 보호를 제공합니다.

 

ID 기반 방화벽



 

ID 기반 방화벽 규칙

이제 NSX 제품군에서 Active Directory 그룹을 사용하여 규칙을 생성할 수 있으며,  이 기능으로 네트워크, IP 주소, 보안 그룹 등 다른 보안 객체에 대한 사용자 액세스를 제어할 수 있습니다.

사용자 기반 규칙을 생성하기 전에 NSX를 Active Directory로 링크해야 합니다.

 

 

NSX 및 Active Directory 간 링크 탐색

 

왼쪽에서 아래에 있는 NSX Manager로 이동합니다.  NSX Manager는 1개만 표시됩니다.  

 

 

NSX Manager 선택

 

 

 

도메인 커넥터 탐색

 

테이블에 1개의 항목이 있습니다.  이 항목은 다른 실습 모듈을 위해 부분적으로 구성되었지만 프로세스를 단계적으로 진행하면서 연결이 어떻게 생성되었는지 살펴볼 수 있습니다.  

이 연결에서 vCenter가 AD에 액세스하여 그룹 정보를 가져오려면 AD 정보를 입력해야 합니다.  참고: 이 경우는 사용자/역할에 사용되는 사용 권한을 얻기 위해 vCenter를 AD에 연결하는 것과 다릅니다.  

  1. Manage(관리) 탭을 클릭합니다.
  2. Domains(도메인) 탭을 클릭합니다.
  3. corp.local을 클릭합니다.
  4. 연필을 클릭하여 편집합니다.

 

 

NetBIOS 이름 제공

 

이름 필드에 이름을 입력한 후   도메인의 NetBIOS 이름도 입력합니다.   

  1. Next(다음)를 클릭합니다.

 

 

LDAP(Lightweight Directory Access Protocol) 옵션 입력

 

여기에서 구성을 완료할 수 있습니다.

  1. AD 서버 주소로 192.168.110.10을 입력합니다.
  2. User name(사용자 이름)으로 administrator를 입력합니다.
  3. Password(암호)로 VMware1!를 입력합니다.
  4. Next(다음)를 클릭합니다.

 

 

보안 이벤트 로그 액세스 옵션

 

이 단계에서는 로그 액세스에 대한 설정을 입력합니다.

  1. Use Domain Credentials(도메인 자격 증명 사용) 상자를 선택 해제합니다.
  2. 자격 증명으로 administrator 및 VMware1!를 입력합니다.
  3. Next(다음)를 클릭합니다.

 

 

완료 준비 - 설정 확인

 

이제 모든 설정을 확인합니다.

 

 

AD 동기화

 

  1. "Double-Gear"(이중 기어)를 클릭합니다.
  2. "Single-Gear"(단일 기어)를 클릭하여 AD에서 업데이트를 가져옵니다.  Success(성공) 상태와 현재 날짜가 표시되어야 합니다.

성공을 거둘 때까지 2~3분 정도 소요됩니다.

AD 연결의 구성 및 동기화가 완료되어 이제 보안 정책에서 AD 그룹을 사용할 수 있습니다.

 

 

AD 그룹을 기반으로 하나의 보안 객체 생성

 

  1. Networking & Security(네트워킹 및 보안)를 클릭합니다.  이는 기록 버튼입니다.

 

 

Ext to Web 규칙 편집

 

Ext to Web 규칙의 Source(소스) 필드에 Domain Group(도메인 그룹)을 추가합니다.

  1. Firewall(방화벽)을 클릭합니다.
  2. 마우스로 Source(소스) 필드를 가리킨 다음 연필 기호를 클릭합니다.
  3. Object Type(객체 유형) 풀다운 메뉴에서 Security Group(보안 그룹)을 선택합니다.
  4. New Security Group(새 보안 그룹)을 클릭합니다.

 

 

새 보안 그룹 이름 지정 - AD Sales

 

  1. 이름으로 AD_Sales를 입력합니다.
  2. Select objects to include(포함할 객체 선택)를 클릭합니다.

 

 

포함할 객체 선택

 

  1. 드롭다운 메뉴에서 "Entity"(엔티티)를 선택합니다.
  2. "Belongs to"(소속)를 선택합니다.
  3. 클릭하여 "Select Entity"(엔티티 선택) 창을 엽니다.
  4. Type(유형)에서 "Directory Group"(디렉토리 그룹)을 선택합니다.
  5. 검색 상자에 "sales"를 입력합니다.
  6. "Sales"를 선택합니다.
  7. "OK"(확인)를 클릭합니다.
  8. "Finish"(마침)를 클릭합니다.

 

 

설정에서 OK 클릭

 

 

 

변경 사항 게시

 

이제 AD-Sales라는 Domain Group(도메인 그룹)이 생성되었으므로 Web-tier에 대한 액세스 소스로 설정합니다.  이 예에서는 사용자가 3 Tier 애플리케이션의 Web-tier에 액세스할 수 있으려면 AD Sales 그룹의 구성원이 되어야 합니다.

 

 

사용자 ID 규칙 테스트

 

도메인의 다른 가상 머신에 대한 콘솔을 열고 Active Directory 영업 그룹의 구성원으로 로그인을 실행하면 새 ID 기반 규칙을 테스트할 수 있습니다.  사용자: Sales1은 영업 그룹의 구성원입니다.  사용자: NonSales는 그룹의 구성원이 아닙니다.  각 자격 증명으로 로그인하면 3 Tier 애플리케이션에 대한 액세스 시도 결과가 나타납니다.

  1. Home(홈) 아이콘을 클릭합니다.
  2. VMs and Templates(가상 머신 및 템플릿)를 클릭합니다.

 

 

win8-01a에 대한 콘솔 열기

 

"Hands-on Lab" 및 "검색된 가상 머신"에 대한 컨테이너를 확장하여 win8-01a를 찾습니다.

  1. Misc VMs(기타 가상 머신)를 확장합니다.
  2. "win8-01a"를 마우스 오른쪽 버튼으로 클릭합니다.
  3. "Open Console"(콘솔 열기)을 클릭합니다.

 

 

NonSales로 로그인

 

  1. Send Ctrl-Alt-Del(Ctrl-Alt-Del 전송)을 클릭합니다.  콘솔 버튼을 사용합니다.
  2. 왼쪽 화살표를 클릭합니다.
  3. Other user(다른 사용자)를 선택합니다
  4. 사용자 이름으로 nonsales를 입력합니다.
  5. 암호로 VMware1!를 입력합니다.
  6. 화살표를 클릭합니다.

 

 

Internet Explorer 열기

 

작업 표시줄에서 Internet Explorer를 시작합니다.

nonsales 사용자는 AD-Sales 그룹의 구성원이 아니며 3 Tier 애플리케이션 액세스가 차단됩니다.

 

 

nonsales 로그오프

 

  1. Send Ctrl-Alt-Del(Ctrl-Alt-Del 전송)을 클릭합니다.
  2. "Sign Out"(로그아웃)을 클릭합니다.

 

 

다른 사용자로 전환

 

  1. Send Ctrl-Alt-Del(Ctrl-Alt-Del 전송)을 클릭합니다.
  2. "Other User"(다른 사용자)를 클릭합니다.

 

 

Sales1으로 로그인

 

  1. 사용자 이름으로 Sales1을 입력합니다. 암호는 VMware1!입니다.
  2. 화살표를 클릭합니다.

 

 

IE를 사용한 3 Tier 애플리케이션 액세스

 

작업 표시줄에서 IE를 엽니다.

  1. "HOL - Muti-Tier App"(HOL - 멀티 Tier 애플리케이션)" 즐겨찾기를 클릭합니다.
  2. 리스크를 허용합니다.

 

 

액세스 확인

 

Sales1 사용자는 AD-Sales 그룹의 구성원이며 3 Tier 애플리케이션 액세스가 허용됩니다.

 

 

다음 섹션 실습 준비

 

vSphere Web Client에 대한 브라우저 탭을 클릭합니다.

  1. Firewall(방화벽)을 클릭합니다.
  2. 첫 번째 규칙에서 마우스로 Source(소스) 필드의 AD_Sales 객체를 가리킵니다.  빨간색 X를 클릭하여 객체를 삭제하고 필드를 "any"(모두)로 재설정합니다.

 

 

마지막 세션 실습 준비 - 기본 규칙을 허용으로 설정

 

  1. 기본 섹션에서 기본 규칙을 허용으로 설정합니다.
  2. Publish Changes(변경 사항 게시)를 클릭합니다.

이렇게 하면 다음 섹션이 올바르게 작동합니다.

 

가상 머신 및 SpoofGuard를 위한 향상된 IP 검색 메커니즘


NSX 분산 방화벽을 작동하려면 소스 또는 대상으로 지정되는 객체에 대한 IP 주소를 검색해야 합니다.  NSX 6.2가 출시되기 전에는 가상 머신 내에서 VMtools를 통해 수행되었습니다. 이 실습에서는 VMtools 없이 IP 주소를 검색하는 방법을 보여줍니다.

이 실습에서 사용된 가상 머신 Linux-01a에는 VMtools가 설치되어 있지 않으므로 NSX 분산 방화벽은 새 기능을 사용하지 않고 객체에 대한 IP 주소를 검색할 수 없습니다.


 

기존 방화벽 규칙 검토

 

vSphere Web Client에 대한 브라우저 탭을 클릭합니다.

  1. Home(홈) 아이콘을 클릭합니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

규칙 보기

 

  1. Firewall(방화벽)을 클릭합니다.
  2. 가로 화살표를 클릭하여 "Firewalling-without-VMTools"(VMTools 없는 방화벽) 섹션을 확장합니다.

 

 

Linux-01a와의 통신을 차단하는 규칙 검토

 

"Deny traffic TO Linux-01a"(Linux-01a로의 트래픽 거부) 규칙은 Linux-01a로의 모든 트래픽을 차단해야 하지만 이 경우 VMware Tools의 부재로 인해 NSX 분산 방화벽이 가상 머신의 IP 주소를 인식하지 못하므로 차단할 수 있습니다.

 

 

ping을 차단해야 하는 "거부"규칙에도 불구하고 데스크톱에서 Linux-01a에 대해 ping을 실행할 수 있는지 확인

 

 

 

Linux-01a에 대해 ping 실행

 

SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.

ping 192.168.100.221(192.168.100.221에 대해 ping 실행)을 입력하고 "Return" 키를 누릅니다.

ping 192.168.100.221

여기서 볼 수 있듯이 "거부" 규칙이 ping을 차단해야 하지만 Linux-01a에 대해 ping을 실행할 수 있습니다. NSX 분산 방화벽에 Linux-01의 IP 주소가 없으므로 ping을 차단할 수 없습니다.

 

 

ARP 스누핑을 통해 IP 주소 검색을 사용하도록 설정

 

"vSphere Web Client"에 대한 브라우저 탭을 클릭하여 vSphere Web Client로 되돌아갑니다.

  1. SpoofGuard를 클릭합니다.
  2. Change(변경)를 클릭합니다.

 

 

IP 감지 유형을 ARP 스누핑으로 변경

 

이제 이 가상 머신에 설치되어 있지 않은 VMware Tools 대신 "ARP 스누핑"을 통해 IP 주소 검색을 사용하도록 설정할 수 있습니다.

  1. ARP Snooping(ARP 스누핑)을 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

Linux-01a에 대해 ping을 다시 실행하여 "거부"규칙이 적용되는지 확인

 

 

 

Linux-01a에 대해 ping을 다시 실행하여 연결 테스트

 

SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.

ping 192.168.100.221(192.168.100.221에 대해 ping 실행)을 입력하고 "Return" 키를 누릅니다.  참고:  적용된 규칙을 보려면 ping을 두 번 실행해야 할 수 있습니다.

ping 192.168.100.221

더 이상 linux-01a에 대해 ping을 실행할 수 없습니다. 이는 방화벽에 의해 거부되며 응답에서 "host unreachable"(호스트에 연결할 수 없음)"을 통해 분명히 알 수 있습니다.

결과적으로 ping을 차단해야 하는 규칙이 있음에도 불구하고 시작 단계에서 Linux-01a 가상 머신에 대해 ping을 실행할 수 있습니다. 이는 NSX 방화벽이 VMtools의 부재로 인해 가상 머신의 IP 주소를 인식하지 못하기 때문입니다. After IP 주소 기록이 ARP 스누핑(NSX 6.2 기능)을 통해 사용하도록 설정된 후 "거부" 규칙이 실행되어 더 이상 Linux-01a 가상 머신에 대해 ping을 실행할 수 없습니다.

 

 

Linux-01a가 ARP 스누핑을 통해 검색되는지 확인

 

  1. Default Policy(기본 정책)를 클릭합니다.
  2. View(보기) 드롭다운 메뉴에서 Active Virtual NICs(작동 중인 가상 NIC)를 선택합니다.
  3. "lin"을 입력하고 Enter 키를 눌러 Linux-01a를 필터링합니다.

Source(소스) 필드에 192.168.100.221 주소에 대한 ARP가 표시됩니다.

 

 

계속 진행하기 전에 규칙 비활성화

 

 

 

SpoofGuard 탐색

 

vCenter Server와 동기화한 후 NSX Manager는 각 가상 머신의 VMware Tools에서 모든 vCenter 게스트 가상 머신의 IP 주소를 수집합니다. 가상 머신의 성능이 저하된 경우 IP 주소가 스푸핑될 수 있고 악의적인 전송이 방화벽 정책을 회피하여 진행될 수 있습니다.

VMware Tools를 통해 보고된 IP 주소를 승인할 수 있는 특정 네트워크에 대한 SpoofGuard 정책을 만들어 필요한 경우 스푸핑을 차단하도록 변경할 수 있습니다. SpoofGuard는 본질적으로 VMX 파일 및 vSphere SDK에서 수집된 가상 머신의 MAC 주소를 신뢰합니다. 방화벽 규칙과 별도로 운영되므로 SpoofGuard를 사용하여 스푸핑될 트래픽을 차단할 수 있습니다.

SpoofGuard는 IPv4 주소와 IPv6 주소를 모두 지원합니다. IPv4를 사용하면 SpoofGuard 정책이 vNIC에 할당된 단일 IP 주소를 지원합니다. IPv6는 vNIC에 할당된 다수의 IP 주소를 지원합니다. SpoofGuard 정책은 다음 모드 중 하나에서 가상 머신에서 보고한 IP 주소를 모니터링하고 관리합니다.

이 모드는 vNIC-to-IP 주소 할당 테이블을 작성하는 동안 가상 머신의 모든 트래픽이 통과하도록 허용합니다. 언제든지 이 테이블을 간편하게 검토하여 IP 주소를 변경할 수 있습니다. 이 모드는 vNIC에서 모든 ipv4 및 ipv6 주소를 자동으로 승인합니다.

이 모드는 각 vNIC-to-IP 주소 할당을 승인할 때까지 모든 트래픽을 차단합니다.

SpoofGuard는 사용 모드에 관계없이 본질적으로 DHCP 요청을 허용합니다. 그러나 수동 검사 모드에서는 DHCP에서 할당한 IP 주소가 승인될 때까지 트래픽이 통과되지 않습니다.

SpoofGuard에는 다른 SpoofGuard 정책이 적용되지 않는 논리 네트워크와 포트 그룹에 적용되는 시스템에서 생성된 기본 정책이 포함되어 있습니다. 새로 추가된 네트워크는 기존 정책에 추가하거나 새 정책을 만들 때까지 자동으로 기본 정책에 추가됩니다.

 

 

기본 SpoofGuard 정책 편집

 

  1. Default Policy(기본 정책)를 클릭합니다.
  2. 연필을 클릭하여 편집합니다.

 

 

SpoofGuard를 사용하도록 설정

 

  1. Enabled(사용) 옵션 버튼을 클릭합니다.
  2. Finish(마침)를 클릭합니다.

 

 

Linux-01a 가상 머신 찾기

 

  1. vCenter Search(vCenter 검색) 필드에 "linux"를 입력합니다.
  2. Linux-01a를 클릭합니다.

 

 

Linux-01a에 대한 콘솔 열기

 

이 가상 머신에 VMware Tools가 설치되어 있지 않은 것을 볼 수 있습니다.

  1. "Summary"(요약) 탭을 클릭합니다.
  2. "Console"(콘솔)을 클릭하여 새 브라우저 탭에서 콘솔을 엽니다.

 

 

Linux-01a에 로그인

 

  1. root를 사용자로 하여 로그인합니다.
  2. 암호는 VMware1!입니다.

 

 

Linux-01a IP 주소 변경

 

IP 주소를 변경하여 SpoofGuard의 보안 적용을 확인합니다.  

  1. ipswap221-231을 입력합니다.  Linux-01a의 현재 IP 주소가 192.168.100.221인 것을 확인할 수 있습니다.  이 Linux 배시 파일은 IP 주소를 192.168.100.231로 변경합니다.
ipswap221-231

 

 

Linux-01a 연결 테스트

 

ping -c 2 192.168.100.3

 

 

네트워킹 및 보안으로 돌아가기

 

  1. Home(홈) 아이콘을 클릭합니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.
  3. SpoofGuard를 클릭합니다.

 

 

Linux-01a IP 주소 192.168.100.231

 

  1. View(보기)를 "Active Virtual NICs Since Last Publish"(마지막 게시 이후 작동 중인 가상 NIC)로 변경합니다.
  2. Linux-01a의 IP 주소는 192.168.100.231로 보고되고 Source(소스)는 "TOFUARP"(Trusted On First Use-ARP)로 보고됩니다.

 

 

Linux-01a IP 변경

 

ipswap231-221

변경된 IP가 표시됩니다.

 

 

연결 테스트

 

ping -c 2 192.168.100.3

이제 ping이 실패한 것을 알 수 있습니다.

 

 

새 Linux-01a IP 주소 승인

 

  1. View(보기)를 Virtual NICs IP Required Approval(승인이 필요한 가상 NIC IP)로 변경합니다.
  2. 필터 필드에 "lin"을 입력하고 Enter 키를 누릅니다. 이제 ARP 스누핑을 통해 기록된 IP 주소 192.168.100.221이 승인이 필요하다는 것을 알 수 있습니다.
  3. Approve(승인)를 클릭합니다.

 

 

IP 승인 게시

 

 

 

IP 승인이 네트워크 연결을 허용하는지 확인

 

ping -c 2 192.168.100.3

이제 192.168.100.221 승인이 네트워크 연결을 허용하는지 알 수 있습니다.

 

모듈 4 - Edge 서비스 게이트웨이(30분)

DHCP 릴레이


이 실습에서는 NSX 내에서의 DHCP 릴레이 기능에 대해 살펴볼 것입니다. 이 실습을 완료하는 데 약 15분 정도 소요됩니다.

단일 네트워크 세그먼트만 있는 네트워크에서 DHCP 클라이언트는 DHCP 서버와 직접 통신할 수 있습니다.  또한 DHCP 서버는 동일한 세그먼트에 없더라도 여러 네트워크에 대한 IP 주소를 제공할 수 있습니다.   그러나 외부 세그먼트에 있는 IP 범위에 대한 IP 주소를 처리할 때 해당 클라이언트와 직접 통신할 수 없습니다.  이는 클라이언트에 라우팅할 수 있는 IP 주소 또는 게이트웨이가 없기 때문입니다.

이러한 상황에서는 DHCP 클라이언트에서 수신된 브로드캐스트를 유니캐스트로 DHCP 서버에 전송하여 중계하기 위해 DHCP 릴레이 에이전트가 필요합니다.  DHCP 서버는 유니캐스트가 전송되는 범위를 기반으로 DHCP 범위를 선택하여 클라이언트에 대한 원래 네트워크에 다시 브로드캐스트되는 에이전트 주소로 돌려보냅니다.

이 실습에서 다루는 내용은 다음과 같습니다.

이 실습에서는 다음과 같은 항목이 사전 설정되어 있습니다.


 

실습 토폴로지

 

이 다이어그램은 이 실습 모듈에서 생성 및 사용되는 최종 토폴로지의 레이아웃을 보여줍니다.

 

 

vSphere Web Client 액세스

 

 

 

vSphere Web Client에 로그인

 

Windows 세션 인증을 사용하여 vSphere Web Client에 로그인합니다.

  1. Use Windows session authentication(Windows 세션 인증 사용)을 클릭하면 자격 증명 administrator@corp.local/VMware1!가 자동으로 채워집니다.
  2. Login(로그인)을 클릭합니다.

 

 

Web Client를 통해 NSX 액세스

 

Web Client의 Networking & Security(네트워킹 및 보안) 섹션에 액세스합니다.

 

 

새 논리적 스위치 생성

 

먼저 새 172.16.50.0/2 네트워크를 실행하는 새 논리적 스위치를 생성해야 합니다.

  1. Logical Switches(논리적 스위치)를 선택합니다.
  2. 녹색 더하기 기호를 클릭하여 새 논리적 스위치를 만듭니다.

 

 

새 스위치 매개 변수 입력

 

논리적 스위치를 구성하려면 이름과 전송 영역을 설정해야 합니다.

 

 

전송 영역 선택

 

  1. Local-Transport-Zone-A(로컬 전송 영역 A)를 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

새 스위치 매개 변수 입력

 

  1. Name(이름)에 DHCP-Relay를 입력합니다. 이름은 특별히 중요하지는 않지만 스위치를 식별하는 데 사용됩니다.
  2. OK(확인)를 클릭합니다.

 

 

Perimeter Gateway에 논리적 스위치 연결

 

이제 논리적 스위치를 Perimeter Gateway의 인터페이스에 연결합니다.  이 인터페이스는 172.16.50.0/24 네트워크의 기본 게이트웨이로 주소는 172.16.50.1입니다.

  1. 왼쪽 창에서 NSX Edge를 클릭합니다.
  2. 이 실습에서 Perimeter-Gateway인 edge-2를 두 번 클릭합니다.

 

 

인터페이스 추가

 

이 섹션에서는 논리적 스위치를 Perimeter Gateway의 인터페이스에 연결합니다.

  1. Manage(관리)를 클릭합니다.
  2. Settings(설정)를 클릭합니다.
  3. Interfaces(인터페이스)를 클릭합니다.
  4. vnic9를 클릭합니다.
  5. 연필 아이콘을 클릭하여 인터페이스를 편집합니다.

 

 

연결되는 논리적 스위치 인터페이스 선택

 

연결되는 논리적 스위치 인터페이스를 선택합니다.

 

 

새로 생성된 논리적 스위치 선택

 

이전 단계에서 방금 생성한 새 논리적 스위치를 선택합니다.

  1. DHCP-Relay논리적 스위치를 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

인터페이스 IP 주소 추가

 

새 IP 주소를 추가합니다.

 

 

인터페이스 IP 주소 구성

 

새 인터페이스에 IP 주소를 할당합니다.

  1. Primary IP Address(기본 IP 주소)로 172.16.50.1을 입력합니다.
  2. Subnet Prefix Length(서브넷 접두사 길이)로 24를 입력합니다.

 

 

인터페이스 구성 완료

 

모든 정보를 확인하고 구성을 완료합니다.

  1. 나중에 쉽게 식별할 수 있도록 이름을 vnic9에서 DHCP Relay로 변경합니다.
  2. OK(확인)를 클릭합니다.

 

 

DHCP 릴레이 구성

 

Perimeter Gateway 내에서 DHCP 릴레이의 글로벌 구성을 수행해야 합니다.

  1. Manage(관리) 탭을 클릭합니다.
  2. DHCP버튼을 클릭합니다.
  3. 왼쪽 창에서 Relay(릴레이) 섹션을 클릭합니다.
  4. Edit(편집)을 클릭합니다.

 

 

DHCP 글로벌 구성

 

DHCP의 글로벌 구성 내에서 게스트 가상 머신의 DHCP 요청에 대응하는 DHCP 서버를 선택합니다.

DHCP 서버 IP를 설정할 수 있는 세 가지 방법이 있습니다.

IP 세트

IP 세트는 NSX Manager Global Configuration(NSX Manager 글로벌 구성)에서 구성되며 이를 통해 이름이 지정된 그룹을 생성하여 하위 DHCP 서버를 지정할 수 있습니다.

IP 주소

DHCP 서버의 IP 주소를 수동으로 지정할 수 있습니다.

도메인 이름

DHCP 서버 주소가 하나이거나 여러 개일 수 있는 DNS 이름을 지정할 수 있습니다.

 

이 실습에서는 단일 IP 주소를 사용합니다.

  1. IP Addresses(IP 주소)에 DHCP 서버의 IP 주소인 192.168.110.10을 입력합니다.
  2. OK(확인)를 클릭합니다.

 

 

DHCP 릴레이 에이전트 구성

 

DHCP 릴레이 에이전트는 논리적 스위치의 게이트웨이 주소에서 구성된 DHCP 서버로의 모든 DHCP 요청을 중계합니다.  172.16.50.0/24에 생성된 논리적 스위치/세그먼트에 에이전트를 추가해야 합니다.

 

 

Perimeter-Gateway 인터페이스 선택

 

릴레이 에이전트가 있는 Perimeter Gateway의 인터페이스를 선택합니다.

  1. vNIC드롭다운 메뉴를 클릭하여 이전에 만든 인터페이스인 DHCP Relay Internal(DHCP 릴레이 내부)을 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

DHCP 릴레이 설정에 설정 게시

 

이제 분산 라우터에 변경 사항을 모두 게시해야 합니다.

 

 

PXE 부팅용 빈 가상 머신 생성

 

이제 중계하는 DHCP 서버에서 PXE 부팅을 실행할 빈 가상 머신을 만듭니다.

  1. Home(홈) 아이콘을 클릭합니다.
  2. Hosts and Clusters(호스트 및 클러스터)를 클릭합니다.

 

 

새 가상 머신 생성

 

  1. Datacenter Site A(데이터 센터 사이트 A)를 확장하고 Compute Cluster A(컴퓨팅 클러스터 A)를 확장합니다.
  2. esx-02a.corp.local호스트를 마우스 오른쪽 버튼으로 클릭합니다.
  3. New Virtual Machine(새 가상 머신)을 선택합니다.
  4. New Virtual Machine(새 가상 머신)을 클릭합니다.

 

 

새 가상 머신 구성

 

  1. Create a New Virtual Machine(새 가상 머신 생성)을 선택합니다.
  2. Next(다음)를 클릭합니다.

 

 

가상 머신 이름 지정

 

  1. 이름으로 PXE VM을 입력합니다.
  2. Next(다음)를 클릭합니다.

 

 

호스트 선택

 

 

 

스토리지 선택

 

이를 기본값으로 둡니다.

 

 

호환성 선택

 

이를 기본값으로 둡니다.

 

 

게스트 운영 체제 선택

 

이를 기본값으로 둡니다.

  1. Guest OS Family(게스트 운영 체제 제품군)에서 Linux를 선택합니다.
  2. Guest OS Version(게스트 운영 체제 버전)에서 Other Linux (64-bit)(기타 Linux(64비트))를 선택합니다.
  3. Next(다음)를 클릭합니다.

 

 

하드웨어 지정 - 하드 디스크 제거

 

네트워크에서 부팅하므로 하드 디스크는 필요하지 않기 때문에 기본으로 제공되는 하드 디스크를 삭제해야 합니다.  이는 PXE 이미지가 RAM 내에서 완벽하게 부팅 및 실행되기 때문입니다.

 

 

하드웨어 지정 - 네트워크 선택

 

이제 이전에 만든 VXLAN 기반 논리적 스위치인 DHCP-Relay를 선택합니다.  여기에서 바로 선택할 수도 있고 가상 머신을 논리적 스위치에 할당할 수도 있습니다.  이는 NSX 논리적 스위치 메뉴에서 논리적 스위치를 선택하고 Add(추가)를 클릭하여 수행합니다.

  1. DHCP Relay라는 단어가 있는 네트워크를 선택합니다.  논리적 스위치의 전체 UUID는 위의 스크린샷과 다를 수 있지만 DHCP-Relay라는 단어가 있는 UUID는 하나뿐입니다.
  2. Next(다음)를 클릭합니다.

 

 

가상 머신 생성 완료

 

 

 

새로 생성된 가상 머신 액세스

 

이제 이 가상 머신에 대한 콘솔을 열고 전원을 켠 후 PXE 이미지를 통한 부팅을 볼 수 있습니다.  이전에 구성한 원격 DHCP 서버를 통해 이 정보가 수신됩니다.

  1. 왼쪽 창에서 PXE VM을 선택합니다.
  2. Summary(요약) 탭을 선택합니다.
  3. Launch Remote Console(원격 콘솔 시작)을 클릭합니다.

 

 

가상 머신 전원 켜기

 

새 가상 머신 구성의 전원을 켭니다.

 

 

원격 서버에서 DHCP 가져오기

 

이제 가상 머신이 부팅되어 DHCP 주소를 가져오려고 합니다.

 

 

부팅 이미지

 

이 화면은 가상 머신에 DHCP 주소가 있고 부팅 서버에서 PXE 이미지를 다운로드할 때 표시됩니다.  이 화면은 약 1~2분 정도 표시됩니다. 다음 단계로 이동하십시오.

 

 

DHCP 임대 확인

 

가상 머신이 부팅될 때까지 기다리는 동안 DHCP 임대에 사용된 주소를 확인할 수 있습니다.

 

 

임대 보기

 

가상 머신이 DHCP 서버에서 가져온 주소를 확인할 수 있습니다.

  1. 화살표를 클릭하여 섹션을 확장합니다.
  2. Address Leases(주소 임대)를 선택합니다.
  3. 이전에 생성한 범위의 172.16.50.10 주소가 표시됩니다.

 

 

옵션 보기

 

PXE 이미지 부팅에 사용된 범위 옵션을 확인할 수 있습니다.

  1. Scope Options(범위 옵션)를 선택합니다.
  2. 옵션 66 및 67이 사용된 것으로 표시됩니다.

이제 DHCP를 닫으면 됩니다.

 

 

부팅된 가상 머신 액세스

 

 

 

주소 및 연결 확인

 

 

 

연결 확인

 

가상 네트워크에 동적 라우팅이 이미 사용되고 있으므로 가상 머신을 만들 때 가상 머신과의 연결이 설정됩니다.  제어 센터에서 ping을 실행하여 확인할 수 있습니다.

  1. 작업 표시줄에서 Command Prompt(명령 프롬프트) 아이콘을 클릭합니다.

2.     ping 172.16.50.10을 입력하고 Enter 키를 누릅니다.   (SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.)

ping 172.16.50.10

그러면 가상 머신에 ping 응답이 표시됩니다.  이제 이 명령 창을 닫으면 됩니다.

 

 

결론

이 실습에서는 새 네트워크 세그먼트의 생성을 완료한 다음 해당 네트워크에서 외부 DHCP 서버로의 DHCP 요청을 중계했습니다.  따라서 Linux 운영 체제에서 이 외부 DHCP 서버 및 PXE의 추가 부팅 옵션에 액세스할 수 있게 되었습니다.

이제 이 실습이 완료되었습니다. DHCP 릴레이 실습을 완료해 주셔서 감사합니다.

 

NSX Edge 서비스 게이트웨이 - 논리적 로드 밸런싱


NSX Edge 서비스 게이트웨이는 로드 밸런싱 기능도 제공할 수 있습니다.  로드 밸런싱 장치가 내장되어 더욱 효과적으로 리소스를 활용하기 위해 다양한 시나리오를 구현할 수 있습니다. 이러한 시나리오에는 네트워크 처리량의 효율적인 사용, 애플리케이션 응답 시간 단축, 확장 기능, 서비스 이중화 전략 구현 등이 포함됩니다.

NSX Edge 서비스 게이트웨이는 Open Systems Interconnection(OSI) 모델의 레이어 7까지 로드 밸런싱 기능을 제공할 수 있으므로 TCP, HTTP 또는 HTTP 요청의 부하를 분산할 수 있습니다.  

이 섹션에서는 새 NSX Edge를 생성 및 구성한 후 기존의 구성을 수정하는 다음 두 가지 로드 밸런싱 시나리오를 수행해 보겠습니다.


 

새 Edge 서비스 게이트웨이 - 토폴로지

 

 

 

vSphere Web Client 로그인

 

vSphere Web Client에 로그인되어 있지 않은 경우 다음 단계에 따라 로그인합니다.

작업 표시줄에서 Google Chrome 아이콘을 클릭합니다. vSphere Web Client 홈페이지가 표시됩니다.

  1. Use Windows session authentication(Windows 세션 인증 사용) 확인란을 선택합니다.
  2. Login(로그인) 버튼을 클릭합니다.

 

 

오른쪽 작업 창을 접어 화면 공간 확보

 

 

 

네트워킹 및 보안 열기

 

 

 

새 Edge 서비스 게이트웨이 생성

 

새 Edge 서비스 게이트웨이에 One Arm 모드의 로드 밸런싱 서비스를 구성하기 위해 먼저 새 Edge 생성 프로세스를 시작할 수 있도록 vSphere Web Client의 Networking & Security(네트워킹 및 보안) 섹션으로 이동합니다.

  1. NSX Edge를 클릭합니다.
  2. 녹색 더하기 기호 아이콘을 클릭합니다.

 

 

이름 및 유형 정의

 

새 NSX Edge 서비스 게이트웨이의 다음 구성 옵션을 설정합니다.

  1. 이름으로 OneArm-LoadBalancer를 입력합니다.
  2. Next(다음) 버튼을 클릭합니다.

 

 

관리자 계정 구성

 

  1. 암호로 VMware1!VMware1!를 입력합니다.
  2. Next(다음) 버튼을 클릭합니다.

 

 

Edge 크기 및 가상 머신 배치 정의

 

Edge 서비스 게이트웨이에 대해 다음과 같은 4가지 어플라이언스 규격(CPU 수, 메모리)을 선택할 수 있습니다.

이 새 Edge 서비스 게이트웨이에서는 소형 Edge를 선택하지만, 구축 후 더 큰 규모로 Edge 서비스 게이트웨이를 업그레이드할 수 있습니다.  계속해서 다음 단계에 따라 새 Edge 서비스 게이트웨이를 생성합니다.

 

 

클러스터/데이터스토어 배치

 

  1. Cluster/Resource Pool(클러스터/리소스 풀) 배치에 Management and Edge Cluster(관리 및 에지 클러스터)를 선택합니다.
  2. Datastore(데이터스토어) 배치에 ds-site-a-nfs01을 선택합니다.
  3. Host(호스트)를 esx-04-a.corp.local로 선택합니다.
  4. Folder(폴더)는 Edges로 둡니다.
  5. OK(확인)를 클릭합니다.

 

 

Edge 크기 및 배치 확인

 

데이터 센터 배치에 대한 Hands-on Lab의 설정/선택 사항을 검토합니다. 이 새 Edge에 선택된 크기는 소형이고, Deploy NSX Edge(NSX Edge 배포) 확인란이 선택되어 있습니다. 설정을 확인한 후 다음을 수행합니다.

 

 

NSX Edge에 새 네트워크 인터페이스 지정

 

One Arm 모드의 로드 밸런싱 장치이므로 하나의 네트워크 인터페이스만 필요합니다.  새 NSX Edge 프로세스의 이 섹션에서는 이 Edge에 새 네트워크 어댑터를 지정하고 구성합니다.  

 

 

NSX Edge의 새 네트워크 인터페이스 구성

 

이 섹션에서는 이 새 NSX Edge의 첫 번째 네트워크 인터페이스를 구성합니다.  

  1. 새 인터페이스의 이름으로 WebNetwork를 지정합니다.
  2. Type(유형)으로 "Internal"(내부)을 선택합니다.
  3. Select(선택) 링크를 클릭합니다.

 

 

새 Edge 인터페이스에 대한 네트워크 선택

 

이 One Arm 모드의 로드 밸런싱 장치의 인터페이스는 이 Edge가 로드 밸런싱 서비스를 제공할 2개의 웹 서버와 동일한 네트워크에 있어야 합니다.

  1. Logical Switch(논리적 스위치) 탭을 선택하여 모든 논리적 스위치를 표시합니다.
  2. "Web-Tier-01 - 5001" 옵션 버튼을 선택합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

서브넷 구성

 

이제 이 인터페이스의 IP 주소를 구성합니다.

 

 

서브넷 구성 팝업 창

 

다음과 같이 이 인터페이스에 새 IP 주소를 추가합니다.

  1. IP 주소로 172.16.10.10을 입력합니다.
  2. Subnet Prefix Length(서브넷 접두사 길이)로 24를 입력합니다.
  3. OK(확인)를 클릭합니다.

 

 

인터페이스 목록 확인

 

설정 및 선택 사항을 검토합니다.

 

 

기본 게이트웨이 구성

 

새 Edge 프로비저닝의 다음 섹션인 여기서는 이 Edge 서비스 게이트웨이에 대한 기본 게이트웨이를 구성할 수 있습니다.  다음과 같이 게이트웨이를 구성합니다.

  1. 게이트웨이 IP로 172.16.10.1을 입력합니다.
  2. Next(다음) 버튼을 클릭합니다.

 

 

방화벽 및 고가용성 옵션 구성

 

지금 일부 기본 방화벽 옵션을 구성하고 Edge 서비스 게이트웨이를 High Availability(HA) 모드로 실행하도록 설정하면 뒤에 나오는 단계에서 시간을 절약할 수 있습니다.  두 기능 모두 이 모듈의 이 특정 세션과 관련이 있으므로 계속하려면 다음을 구성합니다.

  1. Configure Firewall default policy(방화벽 기본 정책 구성) 확인란을 선택합니다.
  2. Default Traffic Policy(기본 트래픽 정책)를 Accept(허용)로 선택합니다.
  3. Next(다음)를 클릭합니다.

 

 

전체 구성 검토

 

 

 

구축 모니터링

 

다음과 같이 Edge 서비스 게이트웨이의 구축을 모니터링합니다.

그러면 나중에 Edge 구축의 진행 과정이 표시됩니다.  

 

 

로드 밸런싱 장치 서비스 구성

 

위에 표시된 구축 후 토폴로지에는 방금 구축한 NSX Edge 서비스 게이트웨이가 제공하는 로드 밸런싱 장치 서비스가 포함되어 있습니다.  먼저 vSphere Web Client의 Networking & Security(네트워킹 및 보안) 플러그인 내 NSX Edges영역에서 방금 생성된 Edge를 두 번 클릭하여 관리 페이지로 이동합니다.

 

 

One Arm 모드의 로드 밸런싱 장치의 로드 밸런싱 기능 구성

 

 

 

새 Edge의 관리 페이지로 이동

 

  1. Load Balancer(로드 밸런싱 장치) 하위 탭을 클릭합니다.
  2. Global Configuration(글로벌 구성)을 클릭합니다.
  3. Edit(편집) 버튼을 클릭하여 Edit Load Balancer global configuration(로드 밸런싱 장치 글로벌 구성 편집) 팝업 창으로 이동합니다.

 

 

로드 밸런싱 장치 글로벌 구성 편집

 

다음과 같이 로드 밸런싱 장치 서비스를 사용하도록 설정합니다.

  1. Enable Load Balancer(로드 밸런싱 장치 사용) 확인란을 선택합니다.
  2. OK(확인) 버튼을 클릭합니다.

 

 

새 애플리케이션 프로필 생성

 

애플리케이션 프로필을 사용하면 일반적인 유형의 네트워크 트래픽 동작을 정의할 수 있습니다.  그런 다음 이 프로필을 가상 서버(VIP)에 적용하여 애플리케이션 프로필에 지정된 값을 바탕으로 트래픽을 처리합니다.  

프로필을 사용하면 오류를 줄이면서 보다 효율적으로 트래픽을 관리할 수 있습니다.  

  1. Application Profiles(애플리케이션 프로필)를 클릭합니다.
  2. 녹색 더하기 기호 아이콘을 클릭하여 New Profile(새 프로필) 팝업 창을 엽니다.

 

 

새 애플리케이션 프로필 HTTPS 구성

 

새 애플리케이션 프로필에 대해 다음 옵션을 구성합니다.

  1. 이름: OneArmWeb-01
  2. 유형: HTTPS
  3. Enable SSL Passthrough(SSL 통과 사용) 확인란을 선택합니다.이를 통해 HTTPS로 풀 서버를 종료할 수 있습니다.
  4. 작업을 마치면 OK(확인) 버튼을 클릭합니다.

 

 

기본 HTTPS 모니터 수정

 

모니터에서 가상 서버 역할을 하는 풀 구성원이 가동되어 실행 중인지 확인합니다. 기본 HTTPS 모니터는 간단하게 "/"에서 "GET"을 수행합니다. 기본 모니터를 수정하여 애플리케이션별 URL에서 상태 점검을 수행할 수 있습니다. 이렇게 하면 풀 구성원 서버뿐만 아니라 애플리케이션이 가동되고 실행되는지 확인할 수 있습니다.

  1. "Service Monitoring"(서비스 모니터링)을 클릭합니다.
  2. "default_https_monitor"를 클릭하여 강조 표시합니다.
  3. 연필 아이콘을 클릭합니다.
  4. {2} URL에 "/cgi-bin/hol.cgi"를 입력합니다.
  5. "OK"(확인)를 클릭합니다.

 

 

새 풀 만들기

 

서버 의 그룹은 트래픽을 로드 밸런싱하는 노드를 나타내는 엔티티입니다.  새 풀에 2대의 웹 서버(web-01aweb-02a)를 추가합니다. 다음과 같이 새 풀을 만듭니다.

  1. Pools(풀)를 클릭합니다.
  2. 녹색 더하기 기호 아이콘을 클릭하여 Edit Pool(풀 편집) 팝업 창을 엽니다.

 

 

새 풀 구성

 

이 새 풀의 설정을 다음과 같이 구성합니다.

  1. 이름: Web-Tier-Pool-01
  2. 모니터: default_https_monitor
  3. 녹색 더하기 기호 아이콘을 클릭합니다.

 

 

풀에 구성원 추가

 

  1. 이름으로 web-01a를 입력합니다.
  2. IP Address(IP 주소)에 172.16.10.11을 입력합니다.
  3. Port(포트)에 443을 입력합니다.
  4. Monitor Port(모니터 포트)에 443을 입력합니다.
  5. OK(확인)를 클릭합니다.

 

풀 구성원을 한 번 더 추가하려면 다음 정보를 사용하여 위의 과정을 반복합니다.

 

 

풀 설정 저장

 

 

 

새 가상 서버 생성

 

가상 서버는 로드 밸런싱이 적용된 서비스 구성의 "프런트엔드"에서 발생된 트래픽을 수신하는 엔티티입니다.  사용자 트래픽은 가상 서버의 IP 주소로 전송되며, 그런 다음 로드 밸런싱 장치의 "백엔드"에서 각 노드로 분산됩니다. 다음 단계에 따라 이 Edge 서비스 게이트웨이에서 새 가상 서버를 구성합니다.

  1. Virtual Servers(가상 서버)를 클릭합니다.
  2. 작은 녹색 더하기 기호 아이콘을 클릭하여 New Virtual Server(새 가상 서버) 팝업 창을 엽니다.

 

 

새 가상 서버 구성

 

이 새 가상 서버에 대해 다음 옵션을 구성합니다.

  1. 이 가상 서버의 이름을 Web-Tier-VIP-01로 지정합니다.
  2. IP 주소로 172.16.10.10을 입력합니다.
  3. 프로토콜로 HTTPS를 선택합니다.
  4. Web-Tier-Pool-01을 선택합니다.
  5. OK(확인) 버튼을 클릭하여 이 새 가상 서버의 생성을 완료합니다.

 

 

가상 서버에 대한 액세스 테스트

 

  1. 빈 브라우저 탭을 클릭합니다.
  2. "One-Arm Load Bala..." 즐겨찾기 북마크를 클릭합니다.
  3. "Advanced"(고급 설정)를 클릭합니다.

 

 

SSL 오류 무시

 

 

 

가상 서버에 대한 액세스 테스트

 

이제 방금 구성한 One Arm 모드의 로드 밸런싱 장치에 액세스할 수 있습니다.  

 

 

풀 통계 표시

 

다음과 같이 개별 풀 구성원의 상태를 확인합니다.

  1. Pools(풀)를 클릭합니다.
  2. Show Pool Statistics(풀 통계 표시)를 클릭합니다.
  3. "pool-1"을 클릭합니다.

각 구성원의 현재 상태를 확인할 수 있습니다.

 

 

모니터(상태 점검) 응답성 향상

 

문제 해결에 도움이 되도록 NSX 6.2 로드 밸런싱 장치의 "show ...pool" 명령을 실행하여 풀 구성원 장애에 대한 유용한 설명을 확인합니다. 이제 로드 밸런싱 장치 Edge 게이트웨이에서 다른 종류의 장애 두 개를 생성한 후 응답을 살펴보겠습니다.

  1. 오른쪽 상단의 vSphere Web Client 검색 상자에 "LoadBalancer"를 입력합니다.
  2. "OneArm-LoadBalancer-0"(One Arm 모드 로드 밸런싱 장치 0)을 클릭합니다.

 

 

로드 밸런싱 장치 콘솔 열기

 

  1. Summary(요약) 탭을 클릭합니다.
  2. Launch Remote Console(원격 콘솔 시작)을 클릭합니다.

참고: 콘솔은 새 브라우저 탭에서 열립니다.

 

 

OneArm-LoadBalancer-0 로그인

 

  1. 사용자 이름 admin, 암호 VMware1!VMware1!를 사용하여 로그인합니다.

 

 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 환경에 대한 모든 사용자 계정 및 암호를 제공하는 방법입니다.

 

 

장애 발생 전 풀 상태 검사

 

사용자 이름 "admin", 암호 "VMware1!VMware1!"를 사용하여 로그인합니다.

show service loadbalancer pool

참고: 풀 구성원 web-sv-01a의 상태가 "UP"으로 표시됩니다.

 

 

PuTTY 시작

 

 

 

web-sv-01a에 대한 보안 셸

 

  1. 아래로 스크롤하여 Web-01a.corp.local을 찾습니다.
  2. Web-01a.corp.local을 선택합니다.
  3. Load(로드)를 클릭합니다.
  4. Open(열기)을 클릭합니다.

 

 

HTTPD 종료

 

HTTPS를 종료하여 첫 번째 장애 조건을 시뮬레이션합니다.

service httpd stop

 

 

로드 밸런싱 장치 콘솔

 

show service loadbalancer pool

서비스 작동이 중단되었으므로 장애 세부 정보에는 클라이언트가 SSL 세션을 설정할 수 없다고 표시됩니다.

 

 

HTTPD 서비스 다시 시작

Putty SSH 세션을 172.16.10.11로 다시 전환합니다.

{5} service httpd start를 입력합니다.

service httpd start

 

 

web-01a 종료

 

  1. 오른쪽 상단의 vSphere Web Client 검색 상자에 "web-01a"를 입력합니다.
  2. web-01a를 클릭합니다.

 

 

web-01a 전원 끄기

 

  1. Actions(작업)를 클릭합니다.
  2. Power(전원)를 클릭합니다.
  3. Power Off(전원 끄기)를 클릭합니다.

 

 

로드 밸런싱 장치에 대한 콘솔

 

 

 

풀 상태 확인

 

show service loadbalancer pool

가상 머신 작동이 중단되었으므로 장애 세부 정보에는 클라이언트가 이전 단계의 L7(SSL) 연결과 반대로 L4 연결을 설정할 수 없다고 표시됩니다.

 

 

web-01a 전원 켜기

 

  1. Actions(작업)를 클릭합니다.
  2. Power(전원)를 클릭합니다.
  3. Power On(전원 켜기)을 클릭합니다.

 

NSX Edge 서비스 게이트웨이 - SSL 오프로드를 이용한 논리적 로드 밸런싱 장치



 

SSL 오프로드 - 로드 밸런싱 장치에서 SSL 세션 종료

 

이 다음 섹션에서는 로드 밸런싱이 적용된 서비스에 SSL 종료를 적용합니다.  이를 통해 로드 밸런싱 장치에서 SSL 세션을 종료할 수 있습니다.  이를 통해 로드 밸런싱 장치와 풀 구성원 서버 간에 HTTP를 사용할 수 있습니다.  

이를 위해 "edge-1"을 구성합니다.

  1. Home(홈) 아이콘을 클릭합니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

Perimeter-Gateway의 관리 페이지로 이동

 

  1. NSX Edge를 클릭합니다.
  2. "edge-2 Perimeter-Gateway"를 두 번 클릭하여 Edge의 관리 페이지로 이동합니다.

 

 

SSL 인증서 생성

 

먼저 자체 서명 인증서 생성 과정이 필요합니다. 시작합니다.

  1. Settings(설정) 버튼을 클릭합니다.
  2. Certificates(인증서)를 클릭합니다.
  3. Actions(작업) 버튼을 클릭합니다.
  4. Generate CSR(CSR 생성)을 선택하여인증서 서명 요청을 생성하는 팝업 창을 엽니다.

 

 

인증서 서명 요청 생성

 

다음과 같이 이 인증서 서명 요청의 매개 변수를 설정합니다.

  1. Common Name(일반 이름) 및 Organization Name(조직 이름)에 web-app.corp.local을 입력합니다.
  2. Organization Unit(조직 단위)에 VMWorld를 입력합니다.
  3. Locality(지역)에 San Francisco를 입력합니다.
  4. State(주)에 CA를 입력합니다.
  5. Country(국가)에 United States [US]를 선택합니다.
  6. OK(확인) 버튼을 클릭하여 계속합니다.

 

 

인증서 서명 요청 자체 서명

 

이제 이전 단계에서 생성된 인증서 서명 요청에 서명합니다.

  1. Actions(작업)를 클릭합니다.
  2. Self Sign Certificate(인증서 자체 서명)를 선택합니다.

 

 

 

인증서 수명 주기 설정

 

  1. 이 자체 서명 인증서의 유효 기간 일수로 356를 입력합니다.
  2. OK(확인)를 클릭합니다.

 

 

자체 서명 인증서 생성 확인

 

web-app.corp.local에 대해 발행된 Self Signed(자체 서명) 유형의 항목을 확인할 수 있습니다.

이제 SSL 종료에 사용할 인증서가 준비되었으므로 이 인증서를 SSL 종료에 대해 구성된 새 애플리케이션 프로필에 지정합니다.

 

 

SSL 종료에 사용할 새 애플리케이션 프로필 생성

 

외부 가상 서버를 통해 수신하는 SSL-Passthrough(SSL-통과)용 기존 로드 밸런싱 장치 애플리케이션 프로필입니다.    SSL-오프로드에 대한 새 애플리케이션 프로필을 생성합니다.

  1. Load Balancer(로드 밸런싱 장치) 탭을 클릭합니다.
  2. Application Profiles(애플리케이션 프로필)를 클릭합니다.
  3. 녹색 더하기 기호 아이콘을 클릭하여새 애플리케이션 프로필을 만듭니다.

 

 

새 애플리케이션 프로필 구성(SSL 종료)

 

이 새 애플리케이션 프로필에서는 다음 설정을 사용합니다.

  1. 이름: Web-SSL-Term-Profile-01
  2. 유형: HTTPS
  3. Configure Service Certificate(서비스 인증서 구성) 확인란을 선택합니다. 이렇게 하면 생성한 인증서를 사용할 수 있습니다.
  4. OK(확인) 버튼을 클릭합니다.

 

 

인라인 로드 밸런싱 장치의 토폴로지

 

앞으로 수행할 작업에 대한 이해를 위해 위 토폴로지를 자세히 살펴봅니다. Ccontrol Center에서 192.168.100.4 IP 주소의 가상 서버를 방문합니다. 이 주소의 Edge 서비스 게이트웨이에서 SSL 종료를 처리하고, HTTP 패킷을 web-sv-01aweb-sv-02a로 전달합니다.

이제 새 을 구성합니다.

 

 

새 풀 만들기

 

  1. Pools(풀)를 클릭합니다.
  2. 녹색 더하기 기호 아이콘을 클릭하여새 풀 팝업 창을 엽니다.

 

 

새 풀 구성

 

이 새 에 대해 다음 매개 변수를 구성합니다.

  1. 이름으로 Web-Tier-Pool-02를 입력합니다.
  2. 녹색 더하기 기호 아이콘을 클릭하여이 풀의 구성원을 선택할 수 있는 팝업 창을 엽니다.

 

 

풀 구성원으로 web-sv-01 및 web-sv-02 추가

 

  1. 이름으로 web-01a를 입력합니다.
  2. IP Address(IP 주소)에 172.16.10.11을 입력합니다.
  3. Port(포트)에 80을 입력합니다.
  4. Monitor Port(모니터 포트)에 80을 입력합니다.
  5. OK(확인)를 클릭합니다.

 

 

풀 설정 저장

 

1.     다음 설정에 대해 위 프로세스를 반복합니다.

2.     OK(확인)를 클릭합니다.

 

 

SSL 오프로드에 대한 기존 가상 서버 수정

 

  1. Virtual Servers(가상 서버)를 클릭합니다.
  2. 연필 기호를 클릭하여 기존 가상 서버를 편집합니다.

 

 

가상 서버 구성 편집

 

외부 클라이언트가 SSL 세션을 생성하여 로드 밸런싱 장치를 종료하고 HTTP를 사용하여 로드 밸런싱 장치에서 풀 구성원 서버까지 세션을 완료할 수 있도록 합니다.

가상 서버 설정을 편집합니다.

  1. Application Profile(애플리케이션 프로필)에 대해 Web-SSLTerm-Profile-01을 선택합니다.
  2. 이 가상 서버의 이름으로 Web-Tier-SSL-01을 입력합니다.
  3. IP Address(IP 주소)에 192.168.100.4를 입력합니다.
  4. Default Pool(기본 풀)에 대해 Web-Tier-Pool-02를 선택합니다.
  5. 작업을 마치면 OK(확인) 버튼을 클릭합니다. 이제 로드 밸런싱 장치의 기능을 테스트할 준비가 되었습니다.

 

 

보안 인증서 수락

 

브라우저에서 빈 탭을 클릭합니다.

  1. "SSL-Offload-Web..." 북마크를 클릭합니다.
  2. "Advanced"(고급 설정)를 클릭합니다.

 

 

애플리케이션으로 이동 화면

 

 

 

로드 밸런싱 장치 기능 확인

 

멀티 Tier 애플리케이션 대한 웹 페이지가 제공됩니다.

 

모듈 5 - 서비스 추가 및 보안 정책(30분)

서비스 컴포저


서비스 컴포저는 네트워크 및 보안 서비스 사용을 위한 새로운 모델을 정의하는 기본 툴으로, 가상 인프라에서 실시간으로 애플리케이션에 대한 방화벽 정책 및 보안 서비스를 프로비저닝하고 할당할 수 있는 기능을 제공합니다. 보안 정책은 가상 머신 그룹에 지정되며, 이 그룹에 새 가상 머신이 추가되어도 새 가상 머신에 보안 정책이 자동으로 적용됩니다.

실용적인 관점에서, NSX Service Composer는 바이러스 백신/맬웨어 보호, IPS, DLP, 방화벽 규칙 등의 네트워크 보안 서비스를 적용하고 자동화하는 일관된 중앙 집중식 방법을 관리자에게 제공하는 구성 인터페이스입니다. 이러한 서비스는 NSX 또는 강화된 타사 솔루션에서 기본적으로 사용할 수 있습니다.

이 모듈에서는 서비스 컴포저 및 기본 NSX Data Security 기능을 사용하여 PCI(Payment Card Industry) 규정 준수를 위반한 워크로드를 동적으로 식별하고 격리하는 방법에 대해 살펴보겠습니다.

모듈은 다음과 같이 세 개의 섹션으로 구성되어 있습니다.

  1. 서비스 컴포저
  2. 서비스 추가
  3. 데이터 보안

섹션 1에서는 서비스 컴포저를 사용하여 보안 그룹 및 보안 정책을 수립해 보겠습니다. 정적 포함 및 동적 포함 모두를 사용하여 보안 그룹을 생성하는 방법에 대해 배우게 됩니다. 아래 다이어그램과 같이, 보안 그룹에 연결되는 2개의 보안 그룹 및 2개의 보안 정책을 생성할 것입니다. 보안 그룹 "Non-CDE"(CDE 이외)(카드 소유자 데이터 환경 - 모든 카드 소유자 정보가 처리되는 신용 카드 환경)는 단일 가상 머신 "win8-01a"를 포함하여 생성됩니다.  이 가상 머신은 CDE의 일부가 아니며 어떠한 카드 소유자 데이터도 포함해서는 안 되는 가상 머신을 나타냅니다. 그런 다음, Data Security 스캔에 의해 동적으로 할당된 보안 태그를 사용하여 생성한 "PCI-Violation"(PCI 위반)이라는 이름의 보안 그룹을 만들 것입니다. 또한 "win8-01a" 가상 머신과의 상호 액세스를 제한 없이 허용하는 "Non-CDE Security Policy"(CDE 이외 보안 정책) 및 민감한 데이터가 발견되어 PCI 규정 위반에 따라 가상 머신과의 통신 제한이 필요한 경우 가상 머신을 격리하는 "PCI-Violation Security Policy"(PCI 위반 보안 정책)라는 두 개의 보안 정책을 생성할 것입니다.

섹션 2에서는 보안 정책 "PCI-Violation Security Policy"(PCI 위반 보안 정책)를 수정하여 Data Security를 서비스로 추가해 보겠습니다.

섹션 3에서는 데이터 패턴 및 Data Security 스캔 범위를 구성하여 가상 머신 "win8-01a"를 수동으로 검사해 보겠습니다. 가상 머신에 몇 가지 중요한 정보를 배치하였습니다. 스캔 결과에 따라, "PCI-VIolation"(PCI 위반) 보안 그룹에 설정한 기준과 일치하는 "vmware.datasecurity.violating"라는 태그가 가상 머신에 태그 지정될 것입니다.

이 모듈에서는 서비스 컴포저의 성능 및 이를 활용하여 워크로드 또는 워크로드 그룹 전반에 걸쳐 보안 상태를 변경하고 물리적 위치 또는 인프라 변경 없이 격리하는 방법을 보여줍니다. 이 모듈에서 사용된 원리는 타사 공급업체가 제공하는 고급 보안 서비스 도입에 동일하게 활용할 수 있습니다.

참고: CDE(카드 데이터 환경)

 

 


 

시나리오 설명 및 다이어그램

 

 

 

vCenter에 로그인

 

작업 표시줄에서 Chrome을 클릭합니다.

 

 

작업 창 확대

 

작업 창을 확대하려면

  1. "x"를 클릭합니다.
  2. "x"를 클릭합니다.
  3. 핀을 클릭합니다.

 

 

Networking and Security(네트워킹 및 보안) 선택

 

 

 

CDE 이외 워크로드에 대한 보안 그룹 생성

 

  1. Service Composer(서비스 컴포저)를 클릭합니다.
  2. Security Groups(보안 그룹)를 클릭합니다.
  3. 더하기 기호를 클릭하여 보안 그룹을 생성합니다.

 

 

새 보안 그룹(정적 포함)

 

먼저 카드 데이터 환경(CDE)에 속하지 않는 가상 머신을 포함하는 정적 보안 그룹을 생성합니다.

  1. 보안 그룹 이름을 입력합니다.
  2. 옵션: 설명을 입력하거나 그룹의 목적을 기록합니다.
  3. Select objects to include(포함할 객체 선택)를 클릭합니다.

 

 

Select objects to include(포함할 객체 선택)

 

  1. Object Type dropdown(객체 유형 드롭다운)을 선택합니다.
  2. 아래로 스크롤하여 Virtual Machine(가상 머신)을 선택합니다.

 

 

Virtual Machine(가상 머신) 선택

 

  1. "win8-01a"를 선택합니다.
  2. Selected Objects(선택된 객체)로 이동합니다.
  3. Finish(마침)를 클릭합니다.

 

 

CDE 이외에 대한 보안 정책 생성

 

 

 

보안 정책 생성(계속)

 

클릭하여 새 정책을 생성합니다.

 

 

보안 정책 생성(계속)

 

  1. 보안 정책 이름으로 "Non-CDE Security Policy"를 입력합니다.
  2. Firewall Rules(방화벽 규칙)를 클릭합니다.

 

 

방화벽 규칙 생성

 

 

 

방화벽 규칙 생성(계속)

 

  1. 첫 번째 방화벽 규칙의 이름으로 "Allow from Non-CDE to any"를 입력합니다.
  2. Allow(허용)를 선택합니다.
  3. Log(로그)를 선택합니다.
  4. "Change"(변경)를 클릭하여 Allowed Services(허용된 서비스)를 생성합니다.

 

 

ICMP의 서비스화(ICMP as a Service) 허용

 

  1. "Select services and service groups"(서비스 및 서비스 그룹 선택)를 선택합니다.
  2. 필터 필드에 "ICMP Echo"를 입력하고 Enter 키를 누릅니다.
  3. "ICMP Echo Reply"(ICMP 에코 응답)를 선택합니다.
  4. "ICMP Echo"(ICMP 에코)를 선택합니다.

 

 

SMB의 서비스화(SMB as a Service) 허용

 

  1. 필터 필드에 "SMB"를 입력하고 Enter 키를 누릅니다.
  2. "SMB"를 선택합니다.
  3. "Server Message Block(SMB)"를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

확인을 클릭하여 구성 저장

 

이전 단계에서 4개를 선택한 것을 볼 수 있습니다.

 

 

두 번째 방화벽 규칙 생성

 

 

 

두 번째 방화벽 규칙 생성(계속)

 

  1. 이름으로 "Allow ANY to Non-CDE"를 입력합니다.
  2. Allow(허용)를 선택합니다.
  3. Log(로그)를 선택합니다.
  4. Change(변경)를 클릭합니다.

 

 

소스 선택

 

  1. Any as source(소스로 사용)를 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

서비스 정의

 

 

 

ICMP의 서비스화(ICMP as a Service) 허용

 

  1. "Select services and service groups"(서비스 및 서비스 그룹 선택)를 선택합니다.
  2. 필터 필드에 "ICMP Echo"를 입력하고 Enter 키를 누릅니다.
  3. "ICMP Echo Reply"(ICMP 에코 응답)를 선택합니다.
  4. "ICMP Echo"(ICMP 에코)를 선택합니다.

 

 

SMB의 서비스화(SMB as a Service) 허용

 

  1. 필터 필드에 "SMB"를 입력하고 Enter 키를 누릅니다.
  2. "SMB"를 선택합니다.
  3. "Server Message Block(SMB)"를 선택합니다.
  4. OK(확인)를 클릭합니다.
  5. 다음 화면에서 OK(확인)를 다시 클릭하여 구성을 저장합니다.

 

 

방화벽 규칙 생성 마침

 

 

 

보안 그룹에 정책 적용

 

  1. Actions(작업)를 클릭합니다.
  2. Apply Policy(정책 적용)를 클릭합니다.

 

 

보안 그룹에 정책 적용

 

  1. "Non-CDE"(CDE 이외)를 선택합니다.
  2. OK(확인)를 클릭하여 적용을 완료합니다.

 

 

보안 그룹에 대한 보안 정책의 성공적인 연결 확인

 

 

 

방화벽으로 돌아가기

 

 

 

규칙 생성 확인(계속)

 

 

 

방화벽 규칙 기능 확인

 

 

 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 관련 유틸리티(CMD, Putty, 콘솔 등)에서 복잡한 명령 또는 암호를 쉽게 복사하여 붙여 넣는 방법입니다. 국가에 따라 특정 문자가 키보드에 없는 경우가 종종 있는데,  이처럼 키보드에 일부 문자가 포함되어 있지 않은 경우에도 마찬가지로 이 텍스트 파일이 포함되어 있습니다.

텍스트 파일은 README.txt이며 데스크톱에 있습니다.  

 

 

win8-01a에서 작동하는 ICMP 및 SMB 확인

 

1.    ping win8-01a를 입력합니다.

ping win8-01a

2.    net use x: \\win8-01a\c$를 입력합니다.

net use x: \\win8-01a\c$

3.    dir x:를 입력합니다.

dir x:

win8-01a에 대해 "ping"이 성공적인지와 "net use" 명령이 성공적으로 완료되었는지 확인합니다. 또한 매핑된 디렉토리의 컨텐츠도 볼 수 있습니다.

 

 

PCI 규정 준수를 위반하는 워크로드에 대한 보안 그룹 생성

 

 

 

새로운 보안 그룹 생성 시작

 

  1. Security Groups(보안 그룹)를 클릭합니다.
  2. 녹색 더하기 기호를 클릭하여 새 보안 그룹을 생성합니다.

 

 

민감한 데이터를 전송하는 CDE 이외의 워크로드를 격리하기 위해 새 보안 그룹 생성

 

  1. 이름으로 "PCI-Violation"을 입력합니다.
  2. Next(다음)를 클릭합니다.

 

 

동적 멤버십 정의

 

  1. 드롭다운을 클릭합니다.
  2. Security Tag(보안 태그) 옵션을 선택합니다.

 

 

태그 이름 지정

 

  1. 태그 이름으로 "vmware.datasecurity.violating.PCI"를 입력합니다.
  2. Finish(마침)를 클릭합니다.
vmware.datasecurity.violating.PCI

 

 

PCI를 위반하는 워크로드를 격리하기 위한 보안 정책 생성

 

  1. Security Policies(보안 정책)를 클릭합니다.
  2. "Create Security Policy"(보안 정책 생성) 아이콘을 클릭합니다.

 

 

새 보안 정책 생성

 

  1. 이름으로 "PCI-Violation Security Policy"를 입력합니다.
  2. Firewall Rules(방화벽 규칙)를 클릭합니다.

 

 

방화벽 규칙 생성 시작

 

 

 

방화벽 규칙 생성

 

  1. 이름으로 "Block PCI-Violation to ANY"를 입력합니다.
  2. Block(차단)을 선택합니다.
  3. Log(로그)를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

다른 방화벽 규칙 생성

 

 

 

방화벽 규칙 정의

 

  1. 이름으로 "Block ANY to PCI-Violation"을 입력합니다.
  2. Block(차단)을 클릭합니다.
  3. Log(로그)를 선택합니다.
  4. Change(변경)를 클릭합니다.

 

 

규칙에 대한 소스 선택

 

  1. Any(모두)를 클릭합니다.
  2. OK(확인)를 클릭합니다.

 

 

방화벽 규칙 생성 마무리

 

 

 

보안 정책 생성 마침

 

 

 

보안 정책 생성 확인

 

  1. 보안 정책 "PCI-Violation Security Policy"(PCI 위반 보안 정책) 생성을 확인합니다.
  2. Sync Status Successful(동기화 상태 성공)을 확인합니다.

 

 

보안 그룹에 보안 정책 적용

 

  1. Actions(작업)를 클릭합니다.
  2. Apply Policy(정책 적용)를 선택합니다.

 

 

보안 정책 적용

 

  1. "PCI-Violation"(PCI 위반)을 선택합니다.
  2. OK(확인)를 클릭합니다.

 

 

Global Table(글로벌 표)에서 방화벽 규칙 생성 확인

 

 

 

규칙 생성 확인(계속)

 

이 섹션에서는 PCI 요구 사항을 위반하는 워크로드가 현재 없는 관계로 보안 정책 적용을 확인할 수 없습니다.

다음 섹션에서는 서비스 추가를 활용하여 보안을 강화하고 Data Security를 서비스로 추가하여 PCI 규정을 위반한 워크로드를 식별해 보겠습니다.

 

서비스 추가


NSX 네트워크 가상화 플랫폼은 L2-L4 상태 저장 방화벽 기능을 통해 가상 네트워크 내에서 세분화를 제공합니다. 일부 환경에서는 보다 향상된 네트워크 보안 기능이 필요합니다. 이러한 인스턴스에서 고객은 VMware NSX를 활용하여 고급 네트워크 보안 서비스를 분배, 사용 및 적용할 수 있습니다. 이 섹션에서는 CDE 이외(카드 데이터 환경) 워크로드에서 신용 카드 데이터를 식별하는 데 도움이 되는 기본 Data Security 서비스 도입에 대해 살펴보겠습니다. Data Security를 사용하기 위해서는 가상 워크로드에 저장된 민감한 정보를 식별할 수 있는 Guest Introspection(게스트 내부 관찰) 및 Data Security 서비스 가상 머신의 설치가 필요합니다.

이 섹션에서는 Data Security 서비스 가상 머신을 설치하고 NSX Data Security를 서비스 구축에 추가하여 사용할 수 있도록 해보겠습니다.  다음 섹션에서는 이전 섹션에서 생성한 기존 보안 정책인 "Non-CDE Security Policy"(CDE 이외 보안 정책)를 수정하여 Data Security를 서비스로 추가하는 것에 대해 살펴보겠습니다.


 

Service Deployment(서비스 구축)에 Data Security 추가

 

Installation(설치) 탭으로 이동하여 Data Security를 설치합니다.

  1. Installation(설치)을 클릭합니다.
  2. Service Deployments(서비스 구축)를 클릭합니다.
  3. 녹색 더하기 기호를 클릭합니다.

 

 

VMware Data Security 선택

 

  1. VMware Data Security 확인란을 선택합니다.
  2. Next(다음)를 클릭합니다.

 

 

클러스터 선택

 

  1. Compute Cluster B(컴퓨팅 클러스터 B) 확인란을 클릭합니다.
  2. Next(다음)를 클릭합니다.

 

 

관리 네트워크 설정

 

  1. "vds_site_a_Management Network"를 선택합니다.
  2. Next(다음)를 클릭합니다.
  3. Finish(마침)를 클릭합니다.

 

 

Data Security 구축 성공 확인

 

Data Security를 클러스터에 추가하는 데 몇 분 정도 걸릴 수 있습니다. (약 3분)

 

 

보안 정책을 수정하여 Data Security에 추가

 

  1. "Service Composer"(서비스 컴포저)를 클릭합니다.
  2. "Security Policies"(보안 정책)를 클릭합니다.
  3. 보안 정책으로 "Non-CDE Security Policy"(CDE 이외 보안 정책)를 선택합니다.
  4. 스크린샷에 표시된 아이콘을 클릭하여 보안 정책을 편집합니다.

 

 

보안 정책을 편집하여 Data Security 서비스에 추가

 

 

 

게스트 내부 관찰 서비스 추가

 

 

 

게스트 내부 관찰 서비스 생성

 

  1. 서비스 이름으로 "Data Security"를 입력합니다.
  2. Enforce to Yes(예로 적용)로 설정합니다.
  3. OK(확인)를 클릭합니다.

 

 

Data Security 서비스 생성 확인

 

지금까지 Data Security 서비스를 추가하는 방법에 대해 살펴보았습니다. 다음 섹션에서는 데이터 패턴을 구성하여 워크로드 및 스캔 범위 내에서 검사를 진행해 보겠습니다.

 

데이터 보안


VMware NSX Data Security는 가상 머신의 데이터를 스캔하고 분석하여 감지된 위반 횟수 및 어떤 파일이 정책을 위반했는지 보고합니다. 또한 본질적으로 사용 환경에서 민감한 데이터에 대한 가시성을 제공합니다. 사용자는 NSX Data Security에 의해 보고된 위반에 근거하여 민감한 데이터가 적절하게 보호되고 있는지 확인하고 전 세계의 규정 준수를 평가할 수 있습니다. NSX Data Security를 사용하려면, 조직에서 데이터 보안을 적용하고 스캔할 환경 및 파일을 지정하는 규정을 정의하는 정책을 만들어야 합니다. 규정은 민감한 컨텐츠를 감지하여 식별하는 컨텐츠 블레이드로 구성됩니다. NSX는 PCI, PHI 및 PII 관련 규정만을 지원합니다.

Data Security 스캔을 시작하면, NSX는 vSphere 인벤토리에서 가상 머신의 데이터를 분석하여 감지된 위반 횟수 및 정책을 위반한 파일을 보고합니다.이 섹션에서는 Data Security를 구성하고 워크로드에서 식별할 패턴을 선택한 다음, 스캔을 통해 "win8-01a"의 시나리오에서 가상 머신에 상주하는 패턴과 일치하는 민감한 데이터를 확인해 보겠습니다. 이 경우, PCI 예시가 제시되어 있지만 방대한 규정 목록에서 선택할 수도 있고 와일드 카드를 사용하여 맞춤형 패턴을 생성할 수 있습니다.


 

Data Security 구성

 

  1. "Data Security"를 클릭합니다.

 

 

Data Security 관리

 

  1. "Manage"(관리)를 클릭합니다.
  2. "Edit"(편집)을 클릭합니다.

 

 

모든 규정 템플릿 보기

 

미국 및 여러 국가 규정을 다루는 90개 이상의 템플릿이 있습니다.

 

 

필터링 및 PCI-DSS 템플릿 선택

 

  1. 필터 필드에 "PCI"를 입력하고 Enter 키를 누릅니다. (필터 필드는 대소문자를 구분합니다.)
  2. 확인란을 선택합니다.
  3. "Next"(다음)를 클릭합니다.

 

 

규정 및 표준 선택 완료

 

 

 

변경 내용 게시

 

 

 

Data Security 스캔 시작

 

 

 

Data Security 스캔 모니터링

 

Status(상태)가 "In Progress"(진행 중)로 변경된 것을 확인합니다. 또한 "Stop"(중지) 및 "Pause"(일시 중지) 버튼이 표시됩니다.

 

 

보안 스캔 진행 상황 확인

 

Scan Status(스캔 상태)가 "In Progress"(진행 중)로 나타나고 색상이 청록색으로 변경되어 표시됩니다.

일반적으로 스캔은 검사 범위에 따라 3~7분 정도 소요됩니다.

 

 

스캔 완료

 

스캔이 완료되면 색상이 보라색으로 변경됩니다. "View Regulations Violated Report"(규정 위반 보고서 보기)에서는 위반 유형 PCI-DSS가 표시되고, "View VM's Regulations Report"(가상 머신의 규정 보고서 보기)에서는 PCI 규정을 위반한 가상 머신 이름이 나타납니다.

 

 

스캔 보고서 완료

 

"Regulations Violated"(규정 위반) PCI-DSS 아래를 보면 Count(개수)가 1입니다. 규정을 위반한 파일을 보려면 드롭다운 메뉴에서 "View Report"(보고서 보기)를 클릭합니다.

 

 

보고서 보기

 

 

 

상세 보고서

 

"Violating files"(위반한 파일) 옵션을 선택하면 위반한 워크로드, 가상 머신의 이름, 클러스터 정보, 파일 위치 및 파일 수정 시점 등에 대한 상세한 정보를 확인할 수 있습니다.

 

 

캔버스 보기

 

 

 

위반한 가상 머신을 "PCI-Violation"(PCI 위반) 보안 그룹에 표시

 

  1. "Canvas"(캔버스)를 클릭합니다.
  2. "PCI-Violation"(PCI 위반) 아래의 스크린샷에 표시된 아이콘을 클릭합니다.

위반의 결과로, 위반한 가상 머신 "win8-01a"는 "PCI-Violation"(PCI 위반) 보안 그룹에 표시됩니다. 그런 다음 Tag enforcement on VM(가상 머신에 태그 적용)을 확인합니다.

 

 

태그 적용 확인

 

  1. 마우스를 Home(홈) 아이콘위로 가져갑니다.
  2. "VMs and Templates"(가상 머신 및 템플릿)를 클릭합니다.

 

 

워크로드에 태그 적용 확인

 

  1. View(보기)를 확장합니다.
  2. "win8-01a"를 클릭합니다.
  3. "Security Tags"(보안 태"그) 섹션에 태그가 적용되었는지 확인합니다.

 

 

방화벽 규칙 기능 확인

 

 

 

PCI-Violation(PCI 위반) 보안 그룹에 적용된 보안 정책의 기능 확인

 

1.   ping win8-01a를 입력합니다.

ping win8-01a

2.   net use를 입력합니다. 기존 X:에 대한 net use는 그대로 존재합니다.

net use 

3.   dir x:을 입력합니다.  아무것도 반환되지 않는 것을 볼 수 있습니다.

dir x:

이전 섹션에서는 위반 ping을 차단한 후에 win8-01a 가상 머신을 ping할 수 있었습니다. 또한 "net use" 명령 오류가 없어집니다. 이것은 동적 태그 적용 및 워크로드에 대한 액세스를 제한하는 보안 정책을 적용하는 태그를 사용한 결과입니다. 실제 시나리오에서는, 추가 포렌식을 수행하기 위해 워크로드에 대한 관리 액세스를 허용하고자 할 수도 있습니다. 여기서는 간단한 진행을 위해 모든 액세스를 제한하였습니다.

NSX Service Composer의 잠재성은 엄청납니다. 보안 그룹 및 보안 정책 사이에 무한한 수의 연결을 생성하여 소프트웨어 정의 데이터 센터에서 사용되는 보안 서비스 방식을 효율적으로 자동화할 수 있습니다.

 

모듈 6 - 모니터링 및 가시성(45분)

Traceflow


VMware NSX 6.2는 가상 네트워크 모니터링을 지원하고 패킷에 대한 가시성을 높여 문제 해결을 지원하는 새로운 기능을 제공합니다.  Traceflow는 6.2에 새로 추가된 기능으로 이 기능을 통해 소스에서 대상까지의 경로에서 패킷을 추적할 수 있습니다.  플로우 모니터링을 이용하면 소스와 대상 간의 흐름을 모니터링할 수 있으므로 방화벽 규칙과 상호 연결할 수 있습니다.  또한 활동 모니터링을 이용하면 가상 환경에서 어떤 애플리케이션이 사용되는지 모니터링할 수 있습니다.


 

웹 브라우저 시작

 

 

 

vCenter 로그인

 

  1. Use Windows session authentication(Windows 세션 인증 사용) 확인란을 선택합니다.
  2. Login(로그인)을 클릭합니다.

 

 

네트워킹 및 보안 열기

 

 

 

Traceflow 시작

 

Traceflow는 NSX 6.2의 새로운 기능으로, 이 기능을 이용하면 게스트 가상 머신의 운영 체제를 사용하지 않고도 vNIC에 패킷을 추가할 수 있고 대상 운영 체제를 사용하지 않고도 네트워크를 통해 대상 vNIC까지 패킷을 추적할 수 있습니다.  이렇게 하면 가상 네트워크와 물리적 네트워크 간의 문제를 식별하여 운영 기능과 문제 해결 기능이 개선됩니다.  또한 네트워크 엔지니어가 게스트 가상 머신의 운영 체제에 액세스하지 않고도 소스와 대상 간의 패킷을 추적할 수 있으므로 업무 분할이 가능합니다.   L2 traceflow와 L3 traceflow가 모두 지원되므로 연결 문제를 해결할 때 패킷이 손실되는 위치를 파악할 수 있습니다. 따라서 NSX 데이터 경로에서 문제를 신속하게 파악할 수 있습니다.

 

 

Traceflow 프로세스 설정 - 소스 구성

 

  1. Select(선택)를 클릭합니다.
  2. 소스 가상 머신으로 web-01a를 두 번 클릭합니다.

 

 

Traceflow 프로세스 설정 - vNIC 선택

 

  1. web-01a의 네트워크 어댑터를 클릭합니다.
  2. OK(확인)를 클릭합니다.

 

 

Traceflow 프로세스 설정 - 대상 구성

 

  1. Destination(대상) 링크 "Select"(선택)를 클릭합니다.
  2. Select Destination vNIC(대상 vNIC 선택) 옵션 버튼을 클릭합니다.

 

 

대상 가상 머신 선택

 

 

 

대상 구성(계속)

 

  1. web-02와 관련된 vNIC를 강조 표시하여 선택한 다음 OK(확인)를 클릭합니다.
  2. OK(확인)를 다시 클릭하여 이 구성 부분을 완료합니다.

 

 

ICMP를 사용하여 Traceflow 구성 완료 및 추적 시작

 

  1. Advanced Options(고급 옵션) 섹션을 확장합니다.
  2. Protocol(프로토콜) 드롭다운 메뉴에서 ICMP를 선택합니다.
  3. Trace(추적)를 클릭합니다.

 

 

Traceflow 출력 관찰

 

출력은 가상 머신 vNIC에서 분산 방화벽을 거쳐 esx-01a에서 esx-03a에 이르는 전체 물리적 네트워크를 통과해 다시 분산 방화벽에 이르는 패킷 흐름을 대상 가상 머신의 vNIC로 전달되는 패킷과 함께 보여줍니다. 참고: 아직 구성된 방화벽 규칙이 없지만 현재 가상 머신 트래픽은 개방 상태로 방화벽 모듈을 거쳐 흐릅니다.  

control-C를 사용하면 Putty 세션에서 ping 트래픽을 중지할 수 있습니다. 다음 단계에서 사용할 수 있도록 Putty 창을 열린 상태로 두거나 최소화합니다.

 

 

web-01a.corp.local과 web-02a.corp.local 간의 ICMP를 차단하는 방화벽 규칙 생성

 

  1. Web Client의 Networking & Security(네트워킹 및 보안) 섹션에서 Firewall(방화벽) 섹션으로 이동하여 Firewall(방화벽)을 선택합니다.
  2. Default Section Layer 3(기본 섹션 레이어 3) 섹션을 확장합니다.
  3. Default Section Layer 3(기본 섹션 레이어 3)의 회색 영역을 마우스 오른쪽 버튼으로 클릭하고 Add rule(규칙 추가)을 선택합니다.

 

 

방화벽 규칙 - 규칙 이름 지정

 

  1. 마우스로 Name(이름) 필드를 가리키고 연필을 클릭합니다.
  2. 규칙 이름으로 Traceflow Test를 입력합니다.
  3. OK(확인)를 클릭합니다.

 

 

방화벽 규칙 - 소스 선택

 

  1. Source(소스)에서 연필 아이콘을 클릭합니다.
  2. Object Types(객체 유형) 풀다운 메뉴에서 Virtual Machines(가상 머신)를 선택합니다.
  3. web-01a를 선택합니다.
  4. 오른쪽 화살표를 클릭합니다.
  5. OK(확인)를 클릭합니다.

 

 

방화벽 규칙 - 대상 설정

 

 

 

방화벽 규칙 - ICMP 트래픽 차단

 

  1. 필터 상자에 ICMP를 입력하여 선택 결과를 제한합니다.
  2. IPV6 객체를 제외한 모든 ICMP 객체를 선택합니다.  (첫 번째 객체를 선택한 후 Shift 키를 누른 상태에서 마지막 객체를 선택할 수 있습니다.)
  3. 오른쪽 화살표를 클릭하여 선택한 객체를 오른쪽으로 이동합니다.
  4. OK(확인)를 클릭합니다.

 

 

방화벽 규칙 - 작업 지정

 

참고: Web Client 창을 스크롤하면 모든 열을 볼 수 있습니다.

  1. Action(작업) 열에 있는 연필(편집) 아이콘을 선택합니다.
  2. Action(작업)에서 Block(차단)을 선택합니다. 나머지 설정은 그대로 둡니다.
  3. OK(확인)를 클릭합니다.

 

 

방화벽 규칙 - 변경 사항 게시

 

 

 

위의 Traceflow 구성 단계를 반복하여 새 추적 시작

 

Traceflow를 다시 구성해야 합니다.

  1. Traceflow를 클릭합니다.
  2. 소스를 web-01a로 설정합니다.
  3. 대상을 web-02a로 설정합니다.
  4. 프로토콜로 ICMP를 선택합니다.
  5. Trace(추적)를 클릭하여 시작합니다.

 

 

분산 방화벽 규칙이 적용된 Traceflow 출력

 

 

 

방금 생성한 방화벽 규칙 삭제

 

  1. Firewall(방화벽) 섹션으로 돌아갑니다.
  2. Default Section Layer 3(기본 섹션 레이어 3)을 확장합니다.
  3. "Traceflow Test"(Traceflow 테스트) 규칙에서 2 옆에 있는 연필 아이콘을 선택하거나 해당 영역을 마우스 오른쪽 버튼으로 클릭합니다.
  4. Delete(삭제)를 선택합니다.
  5. OK(확인)를 클릭하여 규칙 번호 2를 삭제합니다.
  6. Publish Changes(변경 사항 게시) 버튼을 클릭하여 규칙이 삭제되었는지 확인합니다.

 

 

Traceflow 요약

Traceflow는 NSX 데이터 경로를 통해 패킷을 추적하여 패킷이 손실된 위치를 파악하고 방화벽 규칙을 신속하게 확인할 수 있는 유용한 툴입니다.  

 

플로우 모니터링


플로우 모니터링은 가상 머신 트래픽 흐름에 대해 vNIC 수준의 가시성을 제공합니다.

플로우 모니터링은 보호되는 가상 머신에서 송수신하는 트래픽에 대한 자세한 정보를 제공하는 트래픽 분석 툴입니다. 플로우 모니터링이 설정되면 어떤 머신이 어떤 애플리케이션을 통해 데이터를 교환하는지 정의할 수 있습니다. 이 데이터에는 세션 수와 세션당 전송되는 패킷 수가 포함됩니다. 세션 세부 정보에는 사용 중인 소스, 대상, 애플리케이션 및 포트가 포함됩니다. 세션 세부 정보를 사용하여 방화벽 허용 또는 차단 규칙을 생성할 수 있습니다.

TCP 및 UDP와 선택된 vNIC와의 연결 상태를 볼 수 있습니다. 또한 필터를 지정하여 흐름을 제외할 수도 있습니다.

따라서 플로우 모니터링은 불량 서비스를 감지하고 아웃바운드 세션을 검사하는 분석 툴로 사용할 수 있습니다.


 

플로우 모니터

 

플로우 모니터링의 목적은 NSX 환경 내에서 몇 가지 흥미로운 데이터 흐름을 파악하고 수집되는 데이터에 대한 조치를 취할 수 있도록 하는 것입니다.

이 경우 HTTP를 웹 서버(web-01a 및 web-02a)와 직접 연결하는 데 관심이 있습니다. 웹 서버와의 트래픽은 대부분 SSL을 사용해야 하고 이전 실습에서 설정한 로드 밸런싱 장치 VIP를 거쳐야 하기 때문입니다.

첫 번째 단계는 플로우 모니터링을 사용하도록 설정하는 것입니다. 그런 다음 HTTP 트래픽을 시뮬레이션합니다.  

web-01a 콘솔에 로그인하고 명령 프롬프트를 열어 Apache Bench와의 수많은 HTTP 연결을 시뮬레이션합니다.

 

 

 

플로우 모니터링을 사용하도록 설정

 

  1. Flow Monitoring(플로우 모니터링)을 선택합니다.
  2. Configuration(구성) 탭을 클릭합니다.
  3. Enable(사용)을 클릭하여 플로우 모니터링을 사용하도록 설정합니다.

 

 

플로우 모니터링

 

이제 흐름 수집이 사용하도록 설정되어 있는 것을 확인할 수 있습니다.

IPFix는 Cisco 소유 Netflow의 IETF 버전입니다. IPFix 영역을 탐색하여 정보를 확인합니다. 이 실습에서는 수집기 구성은 수행하지 않습니다.

  1. IPFix를 클릭합니다.

 

 

IPFix

 

  1. IPFix 영역을 검토한 후 Flow Exclusion(흐름 제외)을 클릭합니다.

 

 

CLI 명령에 대한 특별 지침

 

여러 모듈에서 CLI(Command Line Interface) 명령을 입력하도록 요구합니다.  CLI 명령을 실습 환경에 전송하는 방법에는 두 가지가 있습니다.

첫 번째는 다음과 같이 실습 콘솔에 CLI 명령을 전송하는 방법입니다.

  1. 설명서에서 CLI 명령을 선택하고 Control+c를 사용하여 클립보드에 복사합니다.
  2. 콘솔 메뉴 항목에서 SEND TEXT(텍스트 보내기)를 클릭합니다.
  3. Control+v를 눌러 클립보드에서 창에 붙여넣습니다.
  4. SEND(보내기) 버튼을 클릭합니다.

두 번째는 실습 환경의 바탕화면에 있는 텍스트 파일(README.txt)을 사용하여 관련 유틸리티(CMD, Putty, 콘솔 등)에서 복잡한 명령 또는 암호를 쉽게 복사하여 붙여 넣는 방법입니다. 국가에 따라 특정 문자가 키보드에 없는 경우가 종종 있는데,  이처럼 키보드에 일부 문자가 포함되어 있지 않은 경우에도 마찬가지로 이 텍스트 파일이 포함되어 있습니다.

텍스트 파일은 README.txt이며 데스크톱에 있습니다.  

 

 

트래픽 생성

 

Control Center에서 웹 서버 중 하나로 Apache Bench 툴을 실행하여 수많은 HTTP 연결을 시뮬레이션합니다.

주로 로드 밸런싱 장치 VIP에서 트래픽을 수신하므로 HTTP를 웹 서버와 직접 연결하는 데 관심이 있습니다.

아래 도구 모음(왼쪽 하단)에서 명령 프롬프트 아이콘을 선택하여 Control Center에서 명령 프롬프트를 열고 다음 명령을 입력합니다.

 ab -n 12345 -c 10 -w http://172.16.10.11/

ab -n 12345 -c 10 -w http://172.16.10.11/ 

이렇게 하면 web-01a 가상 머신에 대한 트래픽이 생성됩니다.

**후속 단계에서 동일한 명령이 실행되므로 이 창을 최소화한 상태로 열어 둡니다.

 

 

트래픽 흐름 관찰

 

vSphere Web Client의 Networking & Security(네트워킹 및 보안) 섹션에서 다음을 수행합니다.

  1. Flow Monitoring(플로우 모니터링)을 선택합니다.
  2. Dashboard(대시보드) 탭을 선택합니다.
  3. Top Flows(상위 흐름) 탭을 선택하여 상위 트래픽 흐름을 확인합니다.

**참고: 이 중첩된 실습 환경에서 흐름이 대시보드에 표시되려면 몇 분이 소요될 수 있습니다. 대시보드 또는 Details By Service(서비스별 세부 정보) 탭에 새로운 흐름이 표시되지 않을 경우 몇 분 후에 vSphere Web Client를 실행하는 브라우저 새로 고침을 수행합니다. 또는 화면 상단에서 새로 고침 화살표를 클릭하여 vSphere Web Client 새로 고침을 수행해야 할 수도 있습니다**.

 

 

HTTP 흐름

 

 

 

서비스별 세부 정보

 

  1. 특정 프로토콜(HTTP)의 트래픽 급증에 대한 자세한 정보를 확인하려면 Details By Service(서비스별 세부 정보) 탭을 열고 Allowed Flows(허용된 흐름)를 선택합니다.1. FYI: 세부 정보는 서비스의 Bytes(바이트)를 기준으로 내림차순으로 정렬되지만 열 제목을 클릭하면 해당 열을 기준으로 다시 정렬되거나 반대로 정렬됩니다.
  2. 참고: HTTP 트래픽이 표시되지 않을 경우 Web Client에서 Refresh(새로 고침)를 클릭합니다. 브라우저도 새로 고침을 수행해야 할 수 있습니다.
  3. TCP - HTTP 트래픽 선을 강조 표시하여 보다 자세한 정보를 확인합니다.

web-01a(172.16.10.11)에 대한 트래픽은 대부분 Control Center 가상 머신(192.168.110.10)에서 생성되는 것을 확인할 수 있습니다.

Control Center 시스템은 HTTP 트래픽을 "운영" 웹 서버로 보내지 않아야 합니다.  

현재 상황을 파악하고 잠재적인 위협을 최소화할 수 있도록 원하지 않는 흐름을 차단하는 방화벽 규칙을 추가합니다.

**참고: 이 중첩된 실습 환경에서 흐름이 대시보드에 표시되려면 몇 분이 소요될 수 있습니다. 대시보드 또는 Details By Service(서비스별 세부 정보) 탭에 새로운 흐름이 표시되지 않을 경우 몇 분 후에 vSphere Web Client 새로 고침을 수행합니다.**

 

 

원하지 않는 트래픽을 차단할 방화벽 규칙 추가

 

 

 

트래픽 거부

 

192.168.110.10에서 web-sv-01a에 대한 HTTP 트래픽을 거부하는 방화벽 규칙을 추가합니다.  Source(소스): 192.168.110.10, Destination(대상): 172.16.10.11, Service(서비스): HTTP가 미리 채워집니다.

  1. 이름으로 "Reject HTTP to web-01a"를 입력합니다.
  2. 트래픽에 대한 Reject(거부) 옵션 버튼을 선택합니다.
  3. OK(확인)를 클릭합니다.

참고로 이 규칙은 방화벽 관리 창에서 보고 수정할 수 있습니다.  

 

 

테스트 규칙 명령 프롬프트 출력

 

이제 방금 추가한 규칙이 웹 서버에 대한 HTTP 트래픽을 성공적으로 거부했는지 확인합니다.

위의 단계에서 최소화한 명령 프롬프트 창을 다시 열거나 새 창을 열어서 Apache Bench 명령을 다시 실행합니다.  

(위쪽 화살표 키를 사용할 수 있습니다.)

ab -n 12345 -c 10 -w  http://172.16.10.11/

(SEND TEXT(텍스트 보내기) 옵션을 사용해야 합니다.)

이제 장애가 발생합니다.

Reject(거부)는 트래픽이 차단되었음을 보여주는 오류 메시지로 대응하므로 이 실습에서는 Reject(거부) 또는 Block(차단)을 사용합니다. Block(차단) 옵션을 사용하면 요청이 중단됩니다.

 

 

차단된 트래픽을 보여주는 플로우 모니터

 

**참고: 이 중첩된 실습 환경에서 흐름이 대시보드에 표시되려면 몇 분이 소요될 수 있습니다. 대시보드 또는 Details By Service(서비스별 세부 정보) 탭에 새로운 흐름이 표시되지 않을 경우 몇 분 후에 vSphere Web Client 새로 고침을 수행합니다.**

Web Client의 Networking & Security(네트워킹 및 보안) 아래 Flow Monitoring(플로우 모니터링) 섹션에서 다음을 수행합니다.

  1. Details By Service(서비스별 세부 정보)로 이동하고 Blocked Flows(차단된 흐름)를 선택합니다.
  2. TCP/HTTP 서비스를 강조 표시하여 화면 하단 섹션의 출력을 확인합니다. 

이제 방화벽 규칙이 원하지 않는 트래픽을 성공적으로 거부(차단)했는지 확인할 수 있습니다.

플로우 모니터는 NSX의 분산 방화벽 기능을 활용하여 사용자 환경에서 트래픽 이상 현상을 감지하고 문제를 신속하게 완화시키는 우수한 방법입니다.

 

 

라이브 플로우

 

Live Flow(라이브 플로우)를 사용하면 특정 머신과 vNIC 간의 트래픽을 볼 수 있습니다.  

  1. Flow Monitoring(플로우 모니터링) 섹션에서 Live Flow(라이브 플로우) 탭을 선택합니다.
  2. Browse(찾아보기) 링크를 클릭합니다.
  3. web-01a와 해당 네트워크 어댑터를 선택합니다.
  4. OK(확인)를 클릭합니다.

 

 

라이브 플로우 시작

 

 

 

트래픽 생성기 시작

 

 

 

라이브 플로우 출력

 

몇 초마다 차단된 HTTP 트래픽 흐름이 표시됩니다.  다양한 플로우 모니터링 옵션을 자유롭게 둘러볼 수 있습니다. 또한 위의 명령 창에 나와 있듯이 방화벽 규칙이 연결 시도를 차단합니다.  

**참고: 이 중첩된 실습 환경에서 흐름이 대시보드에 표시되려면 몇 분이 소요될 수 있습니다. 대시보드 또는 Details By Service(서비스별 세부 정보) 탭에 새로운 흐름이 표시되지 않을 경우 몇 분 후에 vSphere Web Client 새로 고침을 수행합니다.**

 

 

방화벽 규칙 삭제

 

  1. vSphere Web Client의 Networking and Security(네트워킹 및 보안) 메뉴에서 Firewall(방화벽)을 선택합니다.
  2. Default Section Layer 3(기본 섹션 레이어 3)을 확장합니다.
  3. 규칙 2에 대한 연필을 클릭합니다.
  4. Delete(삭제)를 선택합니다.

 

 

방화벽 규칙 삭제 확인

 

 

 

변경 사항 게시

 

 

 

플로우 모니터링 요약

플로우 모니터링은 가상 머신 트래픽 흐름에 대해 vNIC 수준의 가시성을 제공합니다.

플로우 모니터링 트래픽 분석 툴을 사용하여 운영 웹 가상 머신 web-01a에서 송수신하는 트래픽에 대한 자세한 정보를 제공합니다. Control Center 가상 머신에서 이 가상 머신에 대한 HTTP 트래픽을 생성합니다. 플로우 모니터링을 사용하여 비정상적인 트래픽을 손쉽게 감지하고 원하지 않는 트래픽을 신속하게 차단하며 분산 방화벽 규칙을 생성해 가상 머신을 보호합니다.

 

활동 모니터링


활동 모니터링은 조직 내 보안 정책이 제대로 적용되는지 확인하기 위해 가상 네트워크에 대한 가시성을 제공합니다.

보안 정책은 누가 어떤 애플리케이션에 액세스할 수 있는지를 규정할 수 있습니다. 클라우드 관리자는 활동 모니터링 보고서를 생성하여 설정한 IP 기반 방화벽 규칙이 계획에 따라 시행되고 있는지 확인할 수 있습니다. 활동 모니터링은 사용자 및 애플리케이션 수준의 세부 정보를 제공하여 상위 수준 보안 정책을 IP 주소 및 네트워크 기반 구현으로 변환합니다.

가치: 게스트 내부 관찰 서비스를 통해 모니터링되는 가상 머신에서의 애플리케이션 및 활동을 자세히 파악할 수 있습니다.

활동 모니터링을 활용하려면 다음을 수행해야 합니다.

참고: 위의 단계는 이미 실습 환경에서 완료되었습니다.

다음을 구성합니다.


 

게스트 내부 관찰 구축 - 데모

 

게스트 내부 관찰 서비스는 이 실습에서 이미 컴퓨팅 클러스터 B에 대해 수행되었습니다.

-----참고: 여기서는 시연해 볼 수 있는 구축 단계를 보여드립니다.--------

  1. Networking & Security(네트워킹 및 보안) 메뉴에서 Installation(설치)을 선택합니다.
  2. Service Deployments(서비스 구축) 탭으로 이동합니다.
  3. 게스트 내부 관찰 서비스가 이미 컴퓨팅 클러스터 B에 구축되었습니다.
  4. 게스트 내부 관찰 서비스가 어떻게 구축되는지 확인하려면 녹색 더하기 기호를 클릭합니다.
  5. Guest Introspection(게스트 내부 관찰) 확인란을 선택합니다.
  6. Next(다음)를 클릭합니다.

 

 

게스트 내부 관찰 구축 - 클러스터 선택

 

  1. Select Clusters(클러스터 선택) 단계에서 Compute Cluster B(컴퓨팅 클러스터 B) 옆에 있는 확인란을 선택합니다.
  2. Next(다음)를 클릭합니다.

 

 

게스트 내부 관찰 구축 - 스토리지 및 관리 네트워크 선택

 

게스트 내부 관찰 가상 머신에 대한 데이터스토어 및 네트워크를 선택하는 단계입니다.

 

 

게스트 내부 관찰 구축 - 설정 검토

 

설정을 검토하는 단계입니다.

 

 

대상 가상 머신에 VMtools 설치

 

활동 모니터링을 사용하려면 대상 가상 머신에 업데이트된 VMware Tools가 VMCI Guest Introspection(VMCI 게스트 내부 관찰) 드라이버와 함께 설치되어 있어야 합니다.

참고: 컴퓨팅 클러스터 B의 Windows 8 가상 머신에 업데이트된 VMware Tools가 이미 설치되어 있으므로 이 작업은 이 실습 환경에서 이미 완료되었습니다.

 

 

win8-01a 검색

 

  1. 오른쪽 상단의 vCenter 검색 상자에 win8를 입력합니다.
  2. win8-01a를 클릭합니다.

 

 

Win-08a 가상 머신에서 데이터 수집을 사용하도록 설정

 

  1. Summary(요약) 탭을 클릭합니다.
  2. NSX Activity Monitoring(NSX 활동 모니터링) 창에서 Edit(편집)을 클릭합니다.
  3. Yes(예)를 클릭하여 활동 모니터링을 사용하도록 설정합니다.

 

 

네트워킹 및 보안으로 이동

 

  1. Home(홈) 아이콘을 클릭합니다.
  2. Networking & Security(네트워킹 및 보안)를 클릭합니다.

 

 

클러스터에 활동 모니터링 구성 예제

 

참고: 이 실습에서 활동 모니터링을 구성하지 않은 경우, Service Composer(서비스 컴포저)에서 "Activity Monitoring Data Collection"(활동 모니터링 데이터 수집) 보안 그룹에 포함시킬 객체를 선택하여 클러스터 및 기타 그룹에 대한 활동 모니터링 데이터 수집을 구성할 수도 있습니다.

  1. Networking & Security(네트워킹 및 보안) 메뉴 아래 Service Composer(서비스 컴포저) 메뉴로 이동합니다.
  2. Security Groups(보안 그룹) 탭을 선택합니다.
  3. Activity Monitoring Security Group(활동 모니터링 보안 그룹)을 마우스 오른쪽 버튼으로 클릭합니다.
  4. Edit Security Group(보안 그룹 편집)을 선택합니다.

 

 

선택한 객체에 컴퓨팅 클러스터 A 및 B 추가 예제

 

  1. Select objects to include(포함할 객체 선택)를 클릭합니다.
  2. 해당 가상 머신에서 활동 모니터링을 사용하도록 설정했기 때문에 win8-01a 가상 머신이 포함되어 있는 것을 확인할 수 있습니다.
  3. Object Type(객체 유형) 드롭다운 메뉴를 클릭합니다. Activity Monitoring Security Group(활동 모니터링 보안 그룹)에 포함할 수 있는 다양한 객체 유형을 확인할 수 있습니다. 예를 들어, 전체 클러스터를 선택할 수 있습니다. 이 섹션에서 추가 정보를 확인할 수 있습니다.
  4. ** 이는 참고용 예제이므로 완료되면 Cancel(취소)을 클릭합니다. 이는 설명 목적으로만 사용됩니다. **

객체 구성원에 대해 활동 모니터링 데이터 수집을 설하는 보안 정책이 이 보안 그룹에 이미 적용되어 있습니다.

 

 

win8-01a 가상 머신 내에서 활동 생성

 

  1. Start(시작) 버튼을 클릭합니다.
  2. RDP 또는 콘솔 세션을 엽니다.

 

 

win8-01a에 연결

 

  1. win8-01a.corp.local을 입력합니다.
  2. Connect(연결)를 클릭합니다.
win8-01a.corp.local

 

 

로그인

 

CORP\Administrator 계정을 사용합니다.

 

 

Internet Explorer 실행

 

 

 

리스크 허용 경고

 

  1. Continue to this website (not recommended)(이 웹 사이트를 계속 탐색합니다(권장하지 않음).)을 클릭합니다.
  2. Yes(예)를 클릭합니다.

 

 

멀티 Tier 애플리케이션 페이지 열기

 

3-Tier App(3 Tier 애플리케이션)의 출력이 표시됩니다.

데모 목적으로 Win8-01a 가상 머신에서 이 애플리케이션을 시작하여 활동 모니터로 모니터링할 수 있는 나가는 트래픽을 생성합니다. 활동 모니터를 사용하면 해당 가상 머신에서 들어오고 나가는 모든 활동을 볼 수 있고 누가 트래픽을 생성하는지도 볼 수 있습니다.  따라서 원하지 않는 트래픽이 발생하는지 파악할 수 있습니다.

  1. Reduce(축소) 버튼을 클릭하여 데스크톱으로 돌아갑니다.

 

 

활동 모니터 시작

 

  1. Web Client의 Networking & Security(네트워킹 및 보안) 섹션에서 Activity Monitoring(활동 모니터링)을 선택합니다.
  2. VM Activity(가상 머신 활동) 탭을 선택합니다.
  3. Search(검색) 버튼을 클릭합니다.
  4. 출력을 검토합니다. win8-01a에 로그인한 사용자가 corp.local 도메인의 관리자임을 알 수 있으며 활동을 볼 수 있습니다.

 

 

 

활동 모니터링 요약

실습의 이 섹션에서는 NSX에서 활동 모니터링 기능을 사용해 특정 가상 머신 트래픽을 모니터링하여 원하지 않는 트래픽 유형이 발생했는지 확인하는 방법에 대해 살펴봤습니다.  보안 요구 사항을 충족하지 않는 트래픽이 발생한 경우, 분산 방화벽 및 서비스 컴포저를 활용하여 사용자의 안전하지 않은 활동으로부터 가상 머신을 보호할 수 있습니다.

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-SDC-1603

Version: 20150930-145039