0. 테넌트 관리자 콘솔 접속

VDC를 신청하시면 VDC 제어를 위한 테넌트 관리자 콘솔이 제공이 됩니다. vmware.ncloud.com/tenant/VDC명 형태의 URL로 접속하실 수 있습니다.

1. 할당된 자원 확인하기

할당된 자원은 접속 화면 메인 페이지에서 확인이 가능합니다. 크게 CPU와 메모리, 스토리지 자원의 현황을 확인하실 수 있습니다. (1 vCPU는 2Ghz의 CPU 자원입니다)

2. 테넌트 관리자 비밀번호 변경

최초 할당한 테넌트 관리자의 비밀번호를 반드시 변경하시기 바랍니다. 관리 – 사용자 - 편집 메뉴에서 설정이 가능합니다.

3. 네트워크 디자인

VMware on Ncloud는 논리적으로 격리된 고객님의 전용 네트워크를 제공합니다. 할당된 네트워크 공간 하에서 업무 요건에 맞게 네트워크를 구성하실 수 있습니다. 사용하실 수 있는 네트워크 구성 시나리오는 크게 3가지입니다.

1. 인터넷과 연결이 되는 Web 서버만 있는 경우

  • 인터넷과 연결되는 External Subnet을 만드시면 됩니다.
  • 이 경우 1:1 NAT를 통해 외부 연결이 가능하므로 반드시 공인IP를 VM의 수량 만큼 신청하시기 바랍니다.

[네트워크 구성도]

[네트워크 구성 요소]

  1. NSX Edge G/W: 기본적으로 제공되는 Gateway입니다.
  2. External Subnet: 인터넷과 연결되는 Subnet
  3. 네트워크 기능(Edge에서 기본 제공)
    • 방화벽: 네트워크 ACL 용도(North – South 트래픽 제어)
    • 분산방화벽(옵션): 같은 네트워크 내 서버 간 접근 제어 및 네트워크 간 접근 제어
    • LB: Web 서버 이중화에 활용
    • NAT: 비공인 IP를 공인 IP로 1:1 변환
  4. 공인 IP: 웹서버 개수만큼 필요

2. 분산방화벽을 이용하여 접근 제어를 강화하는 경우

  • Web 서버: 인터넷과 연결이 가능한 External Subnet을 생성하신 후, 외부 통신을 위해 공인IP를 VM의 수량 만큼 신청하시기 바랍니다.
  • DB 서버: 분산라우터를 이용하여 별도의 Internal Subnet을 생성하시고, 분산방화벽을 통해 접근 제어를 하실 수 있습니다.

[네트워크 구성도]

[네트워크 구성 요소]

  1. NSX Edge G/W: 기본적으로 제공되는 Gateway입니다.
  2. External Subnet: 인터넷과 연결되는 Subnet
  3. Internal Subnet: 외부와 통신이 차단된 Subnet
  4. 네트워크 기능(Edge에서 기본 제공)
    • 방화벽: 네트워크 ACL 용도(North – South 트래픽 제어)
    • 분산방화벽(옵션): 같은 네트워크 내 서버 간 접근 제어 및 네트워크 간 접근 제어
    • LB: Web 서버 이중화에 활용
    • NAT: 비공인 IP를 공인 IP로 1:1 변환
  5. 공인 IP: 웹서버 개수만큼 필요

3. VPN을 이용하여 고객 On-Premise와 연결시킬 경우

  • Web 서버: 인터넷과 연결 가능한 External Subnet을 생성하신 후, 외부 통신을 위해 공인IP를 VM의 수량 만큼 신청하시기 바랍니다.
  • DB 서버: 외부와 폐쇄된 네트워크를 별도로 생성하고, Web에서 DB서버로 통신을 위해 방화벽 설정을 합니다.

[네트워크 구성도]

[네트워크 구성 요소]

  1. NSX Edge G/W: 기본적으로 제공되는 Gateway입니다.
  2. External Subnet: 인터넷과 연결되는 Subnet
  3. Internal Subnet: 외부와 통신이 차단된 Subnet
  4. 네트워크 기능(Edge에서 기본 제공)
    • 방화벽: 네트워크 ACL 용도(North – South 트래픽 제어)
    • 분산방화벽(옵션): 같은 네트워크 내 서버 간 접근 제어 및 네트워크 간 접근 제어
    • LB: Web 서버 이중화에 활용
    • NAT: 비공인 IP를 공인 IP로 1:1 변환
    • VPN: 고객 On-Premise 환경과 사설 통신으로 연결

4. vApp 템플릿 생성

빠르게 신규 서버를 생성하기 위해서는 VM 템플릿을 미리 준비하시기를 권합니다. 템플릿은 자체 템플릿을 확보하는 방법과 Ncloud에서 제공하는 공용 템플릿을 이용하는 방법이 있습니다.

1. 자체 템플릿 확보 방법

1) 템플릿을 확보하기 위해서 먼저 카탈로그라고 하는 이미지 저장소를 만드셔야 합니다. 카탈로그에는 VM의 템플릿과 OS를 직접 설치하기 위한 미디어(ISO 파일) 등이 저장될 수 있습니다. 카탈로그는 데이터센터 – 라이브러리 – 카탈로그 – 새로 만들기를 이용하여 생성하실 수 있습니다.

2) 템플릿은 OVF 파일을 이용하여 생성이 가능합니다. 데이터센터 – 라이브러리 – vApp 템플릿 – 추가를 이용하여 생성하실 수 있습니다. 미리 준비하신 OVF를 소스로 하여 템플릿을 준비하여, 쉽고 빠르게 VM을 생성해 보시기 바랍니다.

3) vApp을 이미 보유하고 있을 경우 가지고 있는 vApp을 이용하여 템플릿을 생성하실 수도 있습니다.

2. 공용 템플릿을 사용하는 방법

  • vApp 템플릿 메뉴에서 카탈로그명이 NBP-Catalog인 템플릿이 있습니다.
  • 별도의 템플릿이 없는 고객께서는 이를 이용하여 쉽게 VM을 생성하실 수 있으니 참고하시기 바랍니다.
  • 템플릿을 통해 생성한 Guest OS의 비밀 번호는 VMware1!입니다.

5. 네트워크 설정

앞서 제시한 네트워크 시나리오에 따라 세부 네트워크를 구현해야 합니다. 데이터센터 – 네트워킹 – 네트워크 메뉴에서 새로 만들기 기능을 이용하여 신규 네트워크 생성이 가능합니다. 인터넷과 연결이 필요한 경우 External Subnet을 추가하시고, 외부 네트워크와 격리된 네트워크가 필요한 경우 Internal Subnet을 생성하시면 됩니다.

1. External Subnet 추가

유형에서 “기존 Edge 게이트웨이에 연결 중인 라우팅된 네트워크”를 선택하시면, 외부 인터넷과 연결이 가능한 네트워크가 생성이 됩니다. IP 주소 대역은 자유롭게 입력이 가능합니다만, 172.16. /16 주소 대역을 사용하시기를 권고합니다.

입력 시 주의사항은 아래와 같습니다.

  • Edge 게이트웨이: 리스트에 있는 게이트웨이 선택(기본적으로 제공되는 Edge의 이름입니다)
  • 네트워크 게이트웨이 CIDR 입력: 게이트웨이 주소에 /24 등과 같이 사용할 주소 범위를 입력하셔야 합니다.
        예시) 172.16.0.1/24
    
  • 정적 IP 풀 입력 범위: 172.16.0.2 – 172.16.0.254 (게이트웨이와 관리용 범위를 제외하고 입력)

External Subnet 설정의 세부 내용은 아래와 같습니다.

2. Internal Subnet 추가

유형에서 External Subnet과 같이 “기존 Edge 게이트웨이에 연결 중인 라우팅된 네트워크”를 선택하시고 인터페이스를 ‘분산’을 선택하시면 Edge와 연결된 분산 라우터가 생성이 되며 새로운 주소 대역이 만들어 집니다. 분산 라우터는 후단 방화벽과 같은 역할을 수행할 수 있습니다.

3. 네트워크 현황 확인

데이터센터 – 네트워킹 – 네트워크 메뉴에서 현황 확인이 가능합니다. 외부 네트워크와 연결이 가능한 Subnet은 NCLOUD-EDGE로 라우팅 됨 설정이 되어 있고, 내부용 네트워크는 격리됨으로 설정되어 있습니다.

6. VM 생성

생성한 네트워크에 VM을 생성하여 할당하는 단계입니다. 데이터센터 – 계산(Computing) – 가상 시스템 – 새 VM을 눌러 VM을 생성하실 수 있습니다. VM을 생성하는 방법은 크게 ‘새로 만들기’와 ‘템플릿에서’ 두 가지(유형에서 선택 가능)입니다.

1. 새로 만들기

ISO 이미지를 이용하여 직접 서버를 생성하는 기능입니다. 컴퓨터의 이름과 OS 제품군/운영체제/부팅 이미지를 차례로 입력 후, 자원의 크기와 사용할 네트워크(external/internal)를 입력하시면 됩니다. OS를 설치이므로 시간이 다소 소요됩니다만, 맞춤형 설정이 가능하다는 것이 장점입니다.

새 VM을 신청하면 아래와 같이 가상 시스템에 생성한 VM이 나타납니다.

Action을 눌러 웹 콘솔을 시작하시면, OS의 부팅 과정을 거쳐 아래와 같이 설치를 위한 준비 화면이 나타납니다.

2. 템플릿에서

카탈로그 내 vApp 템플릿 내에 목록을 이용하여 생성하는 방법으로서 즉각적으로 VM이 생성된다는 장점이 있습니다만, 템플릿은 사전 정의된 고정값을 가지고 VM이 생성되므로 생성 후 서비스 용도 및 네트워크 환경에 맞춰 추가 설정이 필요합니다.

템플릿으로 생성한 OS의 비밀번호는 VMware1!입니다.

VM을 생성하신 후 [계산] – [가상 시스템] – [세부 정보] 메뉴에서 세부 설정을 하실 수 있습니다.

[하드웨어] 메뉴에서 CPU/Memory, 할당된 디스크, NIC에 대한 설정이 가능합니다.

7. 네트워크 구성요소 설정: Edge 세부 기능 설정

Edge를 활용하여 생성한 네트워크에 세밀한 설정을 가하도록 하겠습니다. Edge는 NFV(Network Function Virtualization)을 지원하는 VM으로서, 게이트웨이 외에도 다양한 네트워크 기능을 제공합니다.

제공 가능한 기능으로는 방화벽(Firewall), 로드밸런서(Load balancer), VPN, NAT, DHCP 등이 있습니다. VMware on Ncloud는 기본적으로 고객 전용 가상 데이터센터를 생성 시 하나의 소형 Edge를 기본으로 제공합니다(유상). 데이터센터 – 네트워킹 – Edge 메뉴를 통해 현재 가지고 계신 Edge의 현황을 확인할 수 있습니다.

목록에 있는 Edge를 클릭하시면 세부 사항을 확인하실 수 있으며, 서비스 구성을 통해 각종 네트워크 기능을 활용하실 수 있습니다.

기본 게이트웨이 정보와 Edge의 게이트 웨이 주소를 차례로 확인 가능하며, HA 여부도 확인하실 수 있습니다. 하위 할당된 IP 주소에는 사용 가능한 공인 IP 범위도 기재되어 있습니다

1. 방화벽

1. 방화벽 설정

가장 먼저 살펴볼 네트워크 기능은 방화벽입니다. 최초 설정 시, default rule for ingress traffic에 의해 모든 네트워크가 차단되어 있습니다. 허용이 필요한 룰을 추가하여 통신이 가능하도록 설정해야 합니다. 앞서 구성한 네트워크 설계에 따라 External Subnet은 외부 접근을 자유롭게 허용하고, Internal Subnet은 외부 접근을 차단하는 룰을 넣으시면 됩니다. 이외에도 서비스 구성에 따라 다양한 방화벽 정책을 적용하실 수 있습니다.

‘+’를 클릭하면 방화벽 정책을 입력할 수 있는 행이 추가됩니다. 서버의 외부 인터넷 통신을 위해 아래와 같이 outbound 통신에 대해 모두 허용하는 정책을 설정하겠습니다.

먼저 방화벽 정책명을 outbound로 입력하고, 소스에는 External Subnet/Internal Subnet을 선택, 대상은 해당 VDC의 Gatway인 NBP-EXT-Net를 선택합니다.

서비스는 허용할 Port를 입력하는 항목입니다. 서버에서 외부로 나가는 패킷을 허용할 예정이므로, 서비스는 임의로 합니다.

관리 목적의 접속을 위해, 소스는 임의, 대상은 서버의 IP를 입력 후 서비스는 ssh(22)나 mstsc(3389)를 추가로 허용하시기를 권하며, 웹 통신도 이와 유사하게 진행을 합니다. 포트 정보는 HTTP - TCP 80와 HTTPS - TCP 443입니다. 서버에는 기본적으로 네트워크는 비공인 IP가 할당됩니다. NAT를 통해 공인 IP를 할당해야 외부 통신이 가능합니다.

앞서 설정한 방화벽 룰을 모두 입력하면 아래와 같습니다.

이제 NAT 설정을 해 보겠습니다.

2. NAT

NAT는 내부의 비공인 IP를 공인 IP로 전환하여 외부와 통신함으로써 보안을 강화시키고, 다양한 네트워크 구성을 가능하게 합니다. 특히 외부 Repository에서 다양한 패키지를 다운로드해야 하는 일이 있는데, 이를 위해서라도 반드시 외부 연결이 가능하도록 NAT를 설정하실 필요가 있습니다. External Subnet에 있는 VM들은 1:1 NAT (Source NAT)를 통해 외부와 연결하는 것을 권하며, 반면 Internal Subnet의 VM들은 1:N NAT (Destination NAT)를 사용하여 외부와 연결하시면 됩니다.

1. Source NAT (1:1 NAT)

VDC에 할당된 Edge를 클릭하시면, 아래와 같이 [하위 할당된 IP 주소] 항목이 있으며, 할당된 공인 IP 목록을 확인하실 수 있습니다.

이를 이용하여 NAT 설정을 하시면 됩니다. [+ SNAT] 메뉴를 통해 Source 기반 NAT 규칙을 입력해 보세요. 원래 소스 IP(Original Source IP)는 변환이 필요한 비공인 IP를 입력하고, 변환된 소스 IP에는 앞서 할당된 IP 풀의 공인 IP를 입력하시기 바랍니다.

아래와 같이 SNAT 룰이 생성이 되었습니다.

방화벽 룰에 SNAT를 통해 변환된 IP를 입력하시면 외부 접속 준비가 완료됩니다.

이제 서버에 접속해서 외부로 접속이 되는 지 테스트를 해 보시기 바랍니다.(예: Ping 외부 주소) ※ 경우에 따라 nameserver 설정이 필요할 수 있습니다.

2. Destination NAT

외부에서 직접적인 접속이 필요 없는 서버(예: DB서버)의 경우, 공인 IP를 절약하기 위해 1:1 NAT보다 1:N(1개의 공인 IP를 다수의 비공인 IP로 변환)시키는 룰을 이용하시면 됩니다. 만약 다수의 DB 서버가 있을 때, 단 하나의 공인 IP만 이용하여 외부 통신을 허용할 수 있습니다. 방법은 아래와 같습니다. 원래 IP/범위에 공인 IP를, 변환된 IP/범위에는 사용할 비공인 네트워크 주소 범위를 입력하시면 됩니다.

아래와 같이 DNAT이 생성됨을 확인하실 수 있습니다.

SNAT으로 1:1 NAT를 적용한 경우 반드시 역방향으로 DNAT을 추가로 신청하셔야 통신이 가능합니다.

이제 서버에 접속해서 외부로 접속이 되는 지 테스트를 해 보시기 바랍니다.(예: Ping 외부 주소) ※ 경우에 따라 nameserver 설정이 필요할 수 있습니다.

3. LB

LB 구성 순서는 다음과 같습니다.

  1. 글로벌 구성에서 LB 사용을 enable 시킵니다. 만약 L4 레벨의 부하 분산을 하신다면, 가속화를 사용하셔도 됩니다.

  1. 애플리케이션 프로파일을 생성합니다. 애플리케이션 프로파일이란, 어떤 유형의 프로토콜을 대상으로 분기를 시킬 것인지, 세션 지속성 특성을 제공할 것인지 등의 분기 시 주요 특성을 정의하는 것입니다. 기본적으로 HTTP와 HTTPS에 대해 프로파일을 만들어 놓으시기를 권합니다.

  1. 풀(Pool)을 추가합니다. 풀은 실제 워크로드를 처리할 서버의 집합이라고 보시면 됩니다. 아래와 같이 풀의 이름을 입력하고, 알고리즘을 정의합니다. 구성원에 워크로드를 처리할 서버를 개별 입력합니다. 서버의 이름과 분기할 주소를 입력하시면 됩니다. 만약 이후 생성할 가상 서버(LB 인스턴스)에 공인 IP를 VIP(Virtual IP)로 설정 시, 구성원 서버에 비공인 IP를 입력하셔도 통신이 가능합니다.

  1. 끝으로 가상 서버를 추가합니다. 가상 서버는 LB의 인스턴스로서 리스너 역할을 수행합니다. 가상 서버 사용은 enable을 시키고, 애플리케이션 프로파일에는 앞서 생성한 것을 입력합니다. 가상 서버의 이름을 입력하시고, IP 주소는 DNS와 binding될 IP를 입력합니다. 프로토콜과 포트는 사용 목적에 맞게 입력을 합니다.

여기까지 설정을 하시면 NAT 룰이 자동으로 설정됩니다.

  1. 방화벽 정책 수정 아래와 같이 외부에서 접속할 수 있는 VIP를 추가하시면 됩니다.

8. 분산 방화벽 설정

분산 방화벽은 VDC 내 모든 개체의 접근 제어를 하기 위한 방화벽입니다. Edge에서 제공하는 방화벽이 VDC 외부와 내부를 차단하는 역할을 한다면, 분산 방화벽은 VDC 내 네트워크와 네트워크, 혹은 네트워크와 호스트, 호스트와 호스트 간의 연결을 제어하는 역할을 합니다.

DB와 같은 중요 데이터를 안전하게 보관하기 위해서 외부의 연결을 제어하는 방화벽 외에 분산 방화벽을 사용하여 접근을 제어하시기를 권합니다.

분산 방화벽의 영향 범위를 아래와 같이 그림으로 표현하였습니다.

※ 분산방화벽은 유료 서비스입니다. VM별로 과금이 되므로 이용 시 참고하시기 바라며, 일부만 분산방화벽을 적용할 수는 없습니다. 즉, 분산방화벽 신청 시 모든 VM과 내부 네트워크에 즉각적인 영향을 미치며, 적용 후 취소가 되지 않으므로 신중하게 사용하셔야 합니다.

분산 방화벽의 설정은 [네트워킹] - [보안] – [서비스 구성] 메뉴를 통해 설정이 가능합니다.

만약 외부에서 lnternal Subnet에 대한 접근을 차단하고 오직 External Subnet에서 연결만 허용한다고 한다면 아래 ‘4‘번 룰과 같이 입력하시면 됩니다

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...