[VMware] NSX 설치 (5)

이번에는 NSX에서 각종 네트워크 서비스를 제공하는 ESG(Edge Service Gateway)를 도입하는 방법을 소개하겠습니다.

이 ESG를 도입, 설정하므로써 논리 네트워크상의 가상머신이 외부 네트워크와 통신이 가능하게 됩니다.

우선 ESG에 대해서 간단히 설명을 하죠.

ESG는 주로 노스-사우스 트래픽을 컨트롤하는 가상 어플라이언스로 L3 부터 L7에 이르기까지 폭넓은 레이어에 걸쳐 네트워크 서비스를 제공합니다. 제공하는 네트워크 서비스는 다음과 같습니다.

• 방화벽
• NAT
• 라우팅
• 로드 밸런싱
• VPN(L2, SSL, IPSec)
• L2 브릿징
• DHCP, DHCP 릴레이
• DNS 릴레이

각 서비스에 대해서는 시간이 되면 조금씩 설명을 하도록 하겠습니다. :)

5. 엣지 서비스 게이트웨이(Edge Service Gateway)의 구성

① [Home] -> [Networking & Security]를 선택, 왼쪽 메뉴로부터 "NSX Edge"를 선택후, "추가"를 클릭합니다.

② "설치 타입"은 [Edge Services Gateway]를 선택, ESG명과 "Edge 어플라이언스의 전개"를 선택합니다.

③ 논리 라우터의 콘솔접속 관리자명과 패스워드를 설정합니다. 패스워드는 12문자 이상에 대문자/소문자/특수문자를 포함해야됩니다. 또한 관리를 위해 "SSH 접근의 유효화"도 선택을 합니다.

④ ESG의 사이즈와 전개할 클러스터, 데이터스토어 등을 지정합니다. 사이즈에 대해서입니다만, 솔직히 문서를 봐도 명확한 사이즈 결정지침이 없고 이용하는 서비스에 의해 결정하는 것 같습니다. 예를들어 SSL-VPN을 이용할 경우는 Large 사이즈, 로드 밸런싱을 이용할 경우는 Quad Large 사이즈 등입니다. 아울러 사이즈에 따라서 ESG에 할당되는 리소스는 다음과 같습니다.

사이즈	vCPU	메모리
Compact	1	512 MB
Large	2	1 GB
Quad Large	4	1 GB
Extra Large	6	8 GB

⑤ ESG의 인터페이스를 설정합니다. 인터페이스로써는 상위 네트워크에 접속을 하는 'Uplink'와 라우팅(또는 DLR과 접속하는)을 하는 논리 네트워크인 'Internal'의 두 종류가 있습니다. 'Uplink'의 경우는 일반적으로 NSX Manager와 NSX Controller와 통신이 가능한 vDS의 분산 포트 그룹을 지정합니다.

⑥ 'Uplink'로 접속할 네트워크를 선택, 인터페이스의 IP 어드레스를 설정합니다.

⑦ 이번에는 DLR간 통신의 'Internal'으로 접속할 네트워크를 선택, 인터페이스의 IP 어드레스를 설정합니다. 여기서 말하는 인터페이스란 ESG에 생성되는 논리 인터페이스(LIF)를 의미하며 DLR의 Next Hop이 됩니다.

⑧ 최소로 Uplink용 인터페이스, DLR 접속용 Internal 인터페이스를 작성했습니다. 참고로 ESG에서 작성할 수 있는 인터페이스는 최대 10개입니다.(인터페이스이외에 서브인터페이스로 최대 200개까지 작성이 가능합니다)

⑨ 상위 물리 네트워크와 통신을 하기위해 디폴트 게이트웨이를 설정합니다.

⑩ 방화벽 정책을 '유효화'하여 디폴트 트래픽 정책을 "수락"합니다. 방화벽 정책을 '유효화'하지않을 경우 디폴트 트래픽 정책을 "거부"가 되므로 주의하세요.

⑪ 모든 설정이 틀림없는 것을 확인한 뒤에 ESG의 작성을 개시합니다.

⑫ 작성된 ESG를 더블클릭합니다.

⑬ ESG의 구성을 보면, 이용이 가능한 서비스를 확인할 수 있습니다. 아울러 HA의 구성 상태도 확인을 할 수 있습니다.(아직 HA를 구성하지않은 상태죠)

⑭ 인터페이스에서는 작성한 인터페이스의 정보를 확인할 수 있으며 필요에 따라 인터페이스를 추가, 삭제, 수정할 수 있습니다.

⑮ 이번에는 라우팅을 설정하겠습니다. 이 라우팅을 설정하므로써 논리 네트워크의 가상머신으로부터 외부 네트워크와 통신을 가능하게 합니다. ESG의 "Routing" -> "Static Routes"를 선택, "추가"를 클릭합니다.

⑯ 라우팅을 설정합니다. 여기서는 논리 네트워크에 대한 Next Hop을 DLR의 Uplink로 설정을 했습니다.

⑰ 설정내용을 등록(공개)합니다.  이로써 논리 네트워크 10.10.xx.xx로의 incoming 통신이 가능하게 됩니다.

⑱ 이번에는 논리 네트워크 10.10.xx.xx로부터 outgoing 통신을 가능하도록 하겠습니다. 이 설정은 DLR에서 실시합니다. 지난 [4. 분산 논리 라우터(Distributed Logical Router)의 구성]회에서 DLR 작성시, 디폴트 게이트웨이를 설정하지 않았습니다. 때문에 먼저 DLR의 디폴트 게이트웨이를 설정합니다. DLR의 디폴트 게이트웨이로는 ESG의 Internal 인터페이스를 설정합니다.

⑲ 설정내용을 등록(공개)합니다.  이로써 논리 네트워크 10.10.xx.xx 이외의 트래픽은 ESG로 경로가 지정됩니다.

⑳ 지난지난 [4. 분산 논리 라우터(Distributed Logical Router)의 구성]회에서 외부(구글 퍼블릭 DNS)로의 통신이 되지않았던 논리 네트워크상의 가상머신으로부터 외부 네트워크의 서버로부터 ping이 응답되어지는 것을 확인할 수 있습니다.

ESG까지 도입하면 아래와 같은 구성이 되겠네요.

다음에는 가상 데스크톱을 전개할 경우 필요한 DHCP 릴레이에 대해서 소개를 하겠습니다.