VMware Cloud on AWS 데이터 센터 관리

2019년 10월 4일VMware Cloud on AWS

다음 VMware 웹 사이트에서 최신 기술 문서를 확인할 수 있습니다.

https://docs.vmware.com/kr/

본 문서에 대한 의견이 있으시면 다음 주소로 피드백을 보내주십시오.

docfeedback@vmware.com

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware 코리아서울시 강남구영동대로 517아셈타워 13층(우) 06164전화:+82 2 3016 6500팩스: +82 2 3016 6501www.vmware.com/kr

Copyright © 2017-2019 VMware, Inc. All rights reserved. 저작권 및 상표 정보

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 2

https://docs.vmware.com/kr/mailto:docfeedback@vmware.comhttp://pubs.vmware.com/copyright-trademark.html

목차

VMware Cloud on AWS 데이터 센터 관리 정보 6

1 VMware Cloud on AWS의 vSphere 8vSphere 구성 요소 및 인터페이스 8

vSphere 관리 인벤토리 개체 10

VMware Cloud on AWS에 대한 정보 찾기 12

2 하이브리드 연결 모드 구성 13하이브리드 연결 모드 사전 요구 사항 14

vCenter Cloud Gateway Appliance를 사용하여 하이브리드 연결 모드 구성 17

그래픽 기반 설치 관리자에서 vCenter Cloud Gateway Appliance 설치 18

vCenter Cloud Gateway Appliance 설치 관리자에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결 21

명령줄 설치 관리자를 사용하여 vCenter Cloud Gateway Appliance 설치 22

게이트웨이 클라이언트 UI에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결23

vSphere 클라우드 게이트웨이 장치에 대한 인증서 교체 24

Cloud Gateway Appliance 백업 25

클라우드 SDDC에서 하이브리드 연결 모드 구성 25

하이브리드 연결 모드에 대한 네트워크 연결 유효성 검사 25

SDDC LDAP 도메인에 ID 소스 추가 31

온-프레미스 데이터 센터에 연결 33

SDDC 클라우드 연결 해제 33

3 VMware Cloud on AWS의 vCenter Server 35로그인된 다른 사용자에게 메시지 보내기 35

vCenter Server 일반 구성 검토 36

이벤트, 경보 및 최근 작업 보기 36

4 vCenter Single Sign-On으로 vSphere 인증 38vCenter Single Sign-On으로 환경을 보호하는 방법 38

vSphere와 함께 vCenter Single Sign-On 사용 40

vCenter Single Sign-On을 사용하는 vCenter Server에 대한 ID 소스 41

SDDC LDAP 도메인에 ID 소스 추가 42

vCenter Single Sign-On 정책 관리 43

vCenter Single Sign-On 암호 정책 편집 43

vCenter Single Sign-On 잠금 정책 편집 44

vCenter Single Sign-On 토큰 정책 편집 45

VMware, Inc. 3

5 vCenter Server 시스템 보안 46보안 모범 사례 및 리소스 46

vSphere 환경의 암호 47

vCenter Server 액세스 제어에 대한 모범 사례 49

vCenter 암호 요구 사항 및 잠금 동작 49

6 vSphere 사용 권한 및 사용자 관리 작업 51vSphere의 권한 부여 이해 52

사용 권한 및 권한 보기 54

vCenter 구성 요소에 대한 사용 권한 관리 55

인벤토리 개체에 사용 권한 추가 55

사용 권한 변경 또는 제거 56

사용자 검증 설정 변경 57

글로벌 사용 권한 57

vCenter Server 시스템 역할 58

역할 및 권한에 대한 모범 사례 59

클라우드 관리자 권한 60

7 클러스터 및 리소스 풀 61미리 정의된 클러스터 및 리소스 풀 62

클러스터의 VM 및 호스트 검토 62

vSphere DRS 검토 및 모니터링 63

vSphere HA 검토 및 모니터링 64

클러스터 구성 검토 65

하위 리소스 풀 생성 및 관리 65

8 VMware Cloud on AWS의 vSAN 스토리지 69스토리지 용량 및 데이터 이중화 70

vSAN 중복 제거 및 압축 70

VMware Cloud on AWS의 vSAN 암호화 71

VMware Cloud on AWS에서 새 암호화 키 생성 72

vSAN 정책 72

vSAN 기본 스토리지 정책 정보 75

vSAN 데이터스토어에 기본 스토리지 정책 할당 77

vSAN에 대한 가상 시스템 스토리지 정책 정의 77

가상 시스템에 스토리지 정책 할당 78

9 VMware Cloud on AWS에서의 워크로드 네트워킹 80계산 네트워크 세그먼트 생성 80

계산 네트워크 세그먼트에 VM 연결 또는 계산 네트워크 세그먼트에서 워크로드 VM 분리 81

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 4

10 vSphere 태그 및 특성 82태그 범주 생성, 편집 또는 삭제 82

태그 생성, 편집 또는 삭제 84

태그 할당 또는 제거 85

태그 개체에 대한 사용 권한 85

사용자 지정 특성 추가 및 편집 86

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 5

VMware Cloud on AWS 데이터 센터 관리 정보

"VMware Cloud on AWS 데이터 센터 관리" 설명서에서는 VMware Cloud on AWS 데이터 센터의

구성 요소를 설정, 검토 및 구성하는 방법에 대해 설명합니다. 이 설명서에는 하이브리드 연결 모드 설

정에 대한 정보가 포함되어 있습니다.

먼저 VMware Cloud on AWS 환경에 대한 네트워킹 설정과 같은 초기 구성을 수행합니다. 그런 다

음 리소스 풀 및 폴더를 생성하고 vCenter Single Sign-On ID 소스를 추가하고 온프레미스 환경에서

이미 익숙한 다른 작업을 수행할 수 있습니다. 또한 하이브리드 연결 모드를 사용하여 온프레미스 및

VMware Cloud on AWS 데이터 센터를 함께 보고 관리할 수 있습니다.

표 1-1. "VMware Cloud on AWS 데이터 센터 관리"

주제 주요 내용

VMware Cloud on AWS의 vSphere 구성 요소와 인터페이스를 소개하고 자세한 정보를 얻을 수 있

는 위치를 제공합니다.

하이브리드 연결 모드 VMware Cloud on AWS 인스턴스를 온프레미스 vCenter

Server 인스턴스와 연결할 수 있는 방법을 설명합니다.

vCenter Single Sign-On으로 vSphere 인증 n vCenter Single Sign-On 작동 방식을 설명합니다.

n 로컬 AD 도메인을 vCenter Server의 ID 소스로 설정하기

위한 지침을 포함합니다.

사용 권한 및 사용자 관리 작업 n vCenter Server 사용 권한 모델 개요

n 사용 권한 관리

n VMware Cloud on AWS에 대한 권한 참조

클러스터 및 리소스 풀 VMware Cloud on AWS 데이터 센터에 표시되는 클러스터

및 리소스 풀과 리소스 풀 사용자 지정에 사용할 수 있는 옵션

에 대해 설명합니다.

VMware Cloud on AWS 스토리지 VMware Cloud on AWS에서 사용할 수 있는 vSAN 스토리

지에 대해 설명하고 해당 스토리지를 관리하는 방법에 대해 설

명합니다.

VMware Cloud on AWS의 논리적 네트워킹 콘솔에서 네트워킹을 설정하기 위한 네트워킹 배경 정보와 단

계별 지침을 제공합니다.

vSphere 태그 및 특성 태그를 사용하여 VMware Cloud on AWS 데이터 센터의 검

색 및 관리 작업을 쉽게 만드는 방법에 대해 설명합니다.

VMware, Inc. 6

대상 사용자

이 정보는 VMware Cloud on AWS를 사용하여 SDDC를 생성, 구성 및 관리하고자 하는 모든 사용

자를 대상으로 합니다. 이 정보는 온프레미스 환경에서 vSphere 구성 및 관리에 대해 기본적으로 이

해하고 있으며 가상화 개념에 익숙한 관리자를 위해 작성되었습니다. Amazon Web Services에 대한

자세한 지식이 필요하지 않습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 7

VMware Cloud on AWS의 vSphere 1VMware vSphere®는 가상화를 활용하여 데이터 센터를 단순화된 클라우드 컴퓨팅 인프라로 전환하

여 IT 조직에서 유연하고 안정적인 IT 서비스를 제공할 수 있도록 합니다.

vSphere의 두 핵심 구성 요소는 VMware ESXi™와 VMware vCenter Server®입니다. ESXi는 하이

퍼바이저입니다. 가상 시스템은 ESXi 호스트의 클러스터에서 실행되며, 이러한 클러스터는 vCenter

Server에서 관리됩니다. VMware Cloud on AWS에서 VMware는 대부분의 관리 ESXi 호스트 및

vCenter Server를 처리합니다.

온프레미스 vSphere 환경에서는 많은 SDDC 인프라 관리 작업이 사용자의 책임이지만, VMware

Cloud on AWS에서는 사용자가 가상 시스템, VM 템플릿 및 OVF 템플릿의 생성, 구성 및 관리에 집

중할 수 있습니다. VMware Cloud on AWS는 리소스 관리자, 인증 및 권한 부여와 기타 기능을 백그

라운드에서 제공합니다.

본 장은 다음 항목을 포함합니다.

n vSphere 구성 요소 및 인터페이스

n vSphere 관리 인벤토리 개체

n VMware Cloud on AWS에 대한 정보 찾기

vSphere 구성 요소 및 인터페이스

VMware vSphere는 가상화를 위한 소프트웨어 구성 요소 모음입니다. 여기에는 ESXi, vCenter

Server 및 vSphere 환경에서 다양한 기능을 수행하는 그 밖의 소프트웨어 구성 요소가 포함됩니다.

VMware가 VMware Cloud on AWS SDDC의 많은 부분을 관리하지만 사용자도 모든 구성 요소를

검사하고 구성의 특정 부분을 변경할 수 있습니다.

vSphere 구성 요소

vSphere에는 다음과 같은 소프트웨어 구성 요소가 포함됩니다.

ESXi 함께 작동하여 물리적 시스템의 모든 기능을 수행하는 구성 및 디스크 파

일의 집합인 가상 시스템을 실행하는 하이퍼바이저

vCenter Server VMware ESXi 호스트의 중앙 관리자 역할을 수행하는 서비스

VMware, Inc. 8

vCenter Server는 백그라운드에서 지속적으로 실행되며, 클라이언트가

연결되지 않은 경우에도 모니터링 및 관리 활동을 수행합니다.

VMware Cloud on AWS에는 하이브리드 연결 모드를 사용하여 온프레

미스 vCenter Server에 연결할 수 있는 단일 vCenter Server가 포함됩

니다.

vCenter Single

Sign-On

vCenter Server 관리 인프라의 일부인 서비스입니다. vCenter Single

Sign-On 인증 서비스를 사용하면 각 구성 요소에서 Active Directory와

같은 디렉토리 서비스로 사용자를 별도로 인증하는 대신 보안 토큰 교환

메커니즘을 통해 다양한 vSphere 소프트웨어 구성 요소가 서로 통신할

수 있도록 허용함으로써 VMware 클라우드 인프라 플랫폼의 안전성을 높

일 수 있습니다.

vSphere 인터페이스

사용할 vSphere 인터페이스는 수행하려는 작업과 관리하려는 구성 요소에 따라 달라집니다.

vSphere Client vSphere Client는 VMware Cloud on AWS를 관리하기 위한 HTML5

기반 클라이언트입니다. vSphere Client도 온프레미스 vSphere SDDC

에 대한 대부분의 구성 작업을 수행합니다.

vSphere 명령줄 인터

페이스

vSphere는 가상 시스템 및 기타 vSphere 구성 요소를 구성하기 위한 여

러 명령줄 인터페이스를 지원합니다.

vSphere SDK vSphere는 vSphere 환경의 여러 측면을 관리하기 위한 여러 SDK를 지

원합니다.

가상 시스템 콘솔 물리적 시스템과 마찬가지로 각 가상 시스템에는 운영 체제에 따라 특정

관리 작업을 지원하는 콘솔이 있습니다.

vCenter Server 기능

이전 버전의 제품에서 특별한 라이센싱이 필요했던 많은 vCenter Server 기능이 vSphere 6.x에서는

vSphere Standard 라이센스의 일부로 제공되며 또한 VMware Cloud on AWS에서 지원됩니다.

vCenter Server 기능에는 다음이 포함됩니다.

vSphere vMotion 실행 중인 가상 시스템을 서비스 중단 없이 한 ESXi 호스트에서 다른

ESXi 호스트로 이동할 수 있도록 합니다. vSphere HA에서는 호스트를

사용할 수 없게 되는 경우 vSphere vMotion을 사용하여 가상 시스템을

마이그레이션합니다.

Storage vMotion 실행 중인 가상 시스템의 디스크 및 구성 파일을 서비스 중단 없이 한 데

이터스토어에서 다른 데이터스토어로 이동할 수 있도록 합니다.

vSphere High

Availability

vSphere 고가용성을 사용하면 SDDC 클러스터에서 호스트 하나에 장애

가 발생했을 때 해당 호스트의 모든 가상 시스템이 동일한 클러스터 내의

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 9

다른 호스트에서 다시 시작됩니다. vSphere 고가용성 설정은 VMware

Cloud on AWS에 미리 구성되며 고객이 재구성할 수 없습니다.

vSphere DRS 모든 호스트 및 리소스 풀 간에 리소스 할당과 전력 소비를 개선하는 데

도움을 줍니다. vSphere DRS는 클러스터에 포함된 모든 호스트와 가상

시스템의 리소스 사용 정보를 수집하고 다음과 같은 상황에서 가상 시스

템을 마이그레이션합니다.

n 초기 배치 – 클러스터에 있는 가상 시스템의 전원을 처음으로 켜면

DRS가 가상 시스템을 배치하거나 권장 사항을 제시합니다.

n 로드 밸런싱 – DRS는 가상 시스템의 자동 마이그레이션(vMotion)

을 수행하거나 가상 시스템 마이그레이션에 대한 권장 사항을 제공함

으로써 클러스터에서 리소스 사용을 개선하려고 합니다.

SDDC에서 DRS 작업을 제어하는 스토리지 정책에 대한 자세한 내용은

정책 및 프로파일 사용을 참조하십시오.

vSphere 관리 인벤토리 개체

vSphere에서 인벤토리는 권한을 지정하고 작업과 이벤트를 모니터링하며 경보를 설정할 수 있는 가상

개체 및 물리적 개체의 모음을 말합니다. 대부분의 인벤토리 개체는 폴더를 이용하여 그룹으로 묶어 더

쉽게 관리할 수 있습니다.

모든 인벤토리 개체(호스트 예외)는 목적을 나타내기 위해 이름을 바꿀 수 있습니다. 예를 들어 회사

부서나 위치 또는 기능에 따라 이름을 지정할 수 있습니다.

참고 관리 개체 이름은 214바이트를 초과할 수 없습니다(UTF-8로 인코딩됨).

vCenter Server는 다음 인벤토리 개체를 모니터링하고 관리합니다.

데이터 센터 특정 개체 유형을 구성하는 데 사용되는 폴더와 달리 데이터 센터는 가상

인프라 작업에 사용되는 서로 다른 모든 개체 유형의 집합입니다.

각 데이터 센터에는 4개의 개별 계층이 있습니다.

n 가상 시스템(템플릿)

n 호스트(클러스터)

n 네트워크

n 데이터스토어

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 10

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws-operations/GUID-9C4E90A8-5DB9-43BB-8A9A-92D55121C414.html

각 VMware Cloud on AWS SDDC에는 SDDC-Datacenter라는 이름

의 단일 데이터 센터가 있습니다. 데이터 센터는 네트워크와 데이터스토

어의 네임스페이스를 정의합니다. 이들 개체의 이름은 데이터 센터 내에

서는 반드시 고유한 이름이어야 합니다. 단일 데이터 센터 내에서 동일한

이름의 2개 데이터스토어를 포함할 수 없습니다. 가상 시스템, 템플릿과

클러스터가 데이터 센터 내에서 고유한 이름을 가질 필요는 없지만 폴더

내에서는 고유한 이름이어야 합니다.

클러스터 하나의 단위로 작동해야 하는 ESXi 호스트 및 관련 가상 시스템의 모음입

니다. 클러스터에 호스트를 추가하면 호스트의 리소스가 클러스터의 리소

스의 일부가 됩니다. vCenter Server는 클러스터에 있는 모든 호스트의

리소스를 하나의 단위로 관리합니다.

데이터스토어 데이터 센터에 있는 물리적 스토리지 리소스의 가상 표현입니다. 데이터

스토어는 가상 시스템 파일의 스토리지 위치입니다. 온-프레미스 SDDC

에서 물리적 스토리지 리소스는 Fibre Channel SAN 디스크 배열,

iSCSI SAN 디스크 배열 또는 NAS(Network Attached Storage) 배

열, ESXi 호스트의 로컬 SCSI 디스크에서 가져올 수 있습니다. 온-프레

미스 SDDC와 클라우드 SDDC에서 vSAN 데이터스토어는 기본적인 물

리적 스토리지의 특성을 숨기고 가상 시스템에 필요한 동일한 모델의 스

토리지 리소스를 제공합니다.

폴더 관리를 용이하게 하려면 폴더를 사용하여 동일한 유형의 개체를 그룹으로

묶을 수 있습니다. 예를 들면 폴더를 이용하여 개체를 통하여 권한과 경보

를 설정할 수 있고 의미 있는 방법으로 개체를 구성할 수 있습니다.

폴더는 다른 폴더를 포함하거나, 데이터 센터, 클러스터, 데이터스토어,

네트워크, 가상 시스템, 템플릿 또는 호스트와 같은 동일한 유형의 개체

그룹을 포함할 수 있습니다. 예를 들면 하나의 폴더는 호스트를 포함하는

폴더와 호스트를 포함할 수 있지만 가상 시스템을 포함하는 폴더와 호스

트를 포함할 수 없습니다.

호스트 ESXi가 설치된 물리적 컴퓨터입니다. 모든 가상 시스템은 호스트 또는 클

러스터에서 실행됩니다.

네트워크 가상 시스템이 서로 연결되거나 가상 데이터 센터 외부의 물리적 네트워

크로 연결되는 가상 네트워크 인터페이스 카드(가상 NIC), 분산 스위치

또는 vSphere Distributed Switch 및 포트 그룹이나 분산 포트 그룹의

집합입니다. 동일한 포트 그룹으로 연결되는 모든 가상 시스템은 해당 가

상 환경에 있는 동일한 네트워크에 속해 있습니다. 포트 그룹과 분산 포트

그룹에 대한 사용 권한 및 경보를 설정하고 네트워크를 모니터링할 수 있

습니다.

리소스 풀 리소스 풀은 호스트 또는 클러스터의 CPU 및 메모리 리소스를 구획화하

는 데 사용됩니다. 가상 시스템은 리소스 풀에서 실행되고 리소스 풀로부

터 리소스를 얻습니다. 여러 리소스 풀을 독립 실행형 호스트 또는 클러스

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 11

터의 직접적인 하위 항목으로 생성한 후 각 리소스 풀에 대한 제어를 다른

사용자 또는 조직에 위임할 수 있습니다.

vCenter Server DRS에서 다양한 옵션을 사용하여 리소스 상태를 모니

터링하고 리소스를 사용하는 가상 시스템을 조정하거나 조정을 제안할 수

있습니다. 리소스를 모니터링할 수 있고 리소스에 경보를 설정할 수 있습

니다.

템플릿 템플릿은 가상 시스템의 마스터 복사본으로, 새 가상 시스템을 생성하고

프로비저닝할 때 사용할 수 있습니다. 템플릿에는 게스트 운영 체제와 애

플리케이션 소프트웨어를 설치할 수 있고, 새로운 가상 시스템이 고유한

이름과 네트워크 설정을 가지도록 배포 과정에서 사용자 지정할 수 있습

니다.

가상 시스템 게스트 운영 체제 및 결합 애플리케이션 소프트웨어가 실행될 수 있는 가

상화된 컴퓨터 환경입니다. 다중 가상 시스템은 동일하게 관리되는 호스

트 시스템에서 동시에 작동할 수 있습니다.

vApp vSphere vApp은 애플리케이션 관리 및 패키징 포맷입니다. vApp은 다

중 가상 시스템을 포함할 수 있습니다.

VMware Cloud on AWS에 대한 정보 찾기

VMware Cloud on AWS에는 많은 질문에 대한 답을 제공하는 자세한 제품 내부 도움말이 포함되어

있습니다. 또한 VMware Cloud on AWS 설명서나 vSphere 설명서를 검색할 수 있습니다.

참고 vSphere 설명서 세트의 일부 정보는 VMware Cloud on AWS에 적용되지 않습니다. VMware는 DRS 또는 HA 설정과 같은 많은 데이터 센터 관리 작업을 자동으로 처리합니다.

VMware Cloud on AWS와 관련된 자세한 정보는 다음 문서를 참조하십시오.

n "VMware Cloud on AWS 시작" 에서는 VMware Cloud on AWS 작동 방식과 콘솔에서 네트워

킹을 설정하는 방법에 대해 알 수 있으며 다른 온보딩 작업도 다루고 있습니다.

n "VMware Cloud on AWS의 가상 시스템 관리" 에서는 가상 시스템 및 가상 시스템 템플릿을 생

성하고 복제할 수 있는 단계별 지침을 제공합니다. 또한 게스트 운영 체제를 설치하고 사용자 지정

하는 방법과 컨텐츠 라이브러리를 설정하는 방법에 대해서도 설명합니다.

n "VMware Cloud on AWS 데이터 센터 관리" 에서는 VMware Cloud on AWS 데이터 센터의

구성 요소를 설정, 검토 및 구성하는 방법에 대해 설명합니다. 이 설명서에는 하이브리드 연결 모드

설정에 대한 정보가 포함되어 있습니다.

설명서 보기:

n docs.vmware.com으로 이동합니다.

n 검색 및 필터를 사용하여 필요한 정보를 찾습니다.

VMware Cloud on AWS 설명서 센터로 직접 이동할 수도 있습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 12

https://docs.vmware.comhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/index.html

하이브리드 연결 모드 구성 2하이브리드 연결 모드를 사용하면 VMware Cloud on AWS vCenter Server 인스턴스를 온-프레미

스 vCenter Single Sign-On 도메인과 연결할 수 있습니다.

중요 VMware Cloud on AWS에서 하이브리드 연결 모드를 사용할 수 있으려면 우선 Single Sign-On을 사용하도록 온-프레미스 vCenter를 구성해야 합니다. 자세한 내용은 vCenter Single Sign-On

으로 vSphere 인증을 참조하십시오.

클라우드 vCenter Server를 [고급 연결 모드]를 사용하여 연결된 여러 vCenter Server 인스턴스가

포함된 도메인에 연결하는 경우 이 모든 인스턴스가 클라우드 SDDC에 연결됩니다.

하이브리드 연결 모드를 사용하여 다음 작업을 수행할 수 있습니다.

n 온-프레미스 자격 증명을 사용하여 액세스하는 단일 vSphere Client 인터페이스에서 온-프레미스

및 VMware Cloud on AWS 데이터 센터의 인벤토리를 보고 관리합니다.

n 온-프레미스 데이터 센터와 클라우드 SDDC 간의 워크로드를 마이그레이션합니다.

n vCenter Server 인스턴스에서 클라우드 SDDC로 태그 및 태그 범주를 공유합니다.

하이브리드 연결 모드는 내장형 또는 외부 Platform Services Controller(Windows 및 vCenter

Server Appliance 모두)와 함께 6.0 업데이트 3 패치 c 이상을 실행하는 온-프레미스 vCenter

Server 시스템을 지원합니다. 고급 연결 모드에서 연결된 외부 Platform Services Controller 인스턴

스가 있는 vCenter Server 시스템도 지원되며, 확장 한도는 vSphere 6.0 구성 최대값에 설명되어 있

습니다.

하이브리드 연결 모드를 구성하는 옵션은 두 가지입니다. 한 번에 이러한 옵션 중 하나만 사용할 수 있

습니다.

n vCenter Cloud Gateway Appliance를 설치하고 이를 사용하여 온-프레미스 데이터 센터에서

클라우드 SDDC로 연결할 수 있습니다. 이 경우 SSO 사용자 및 그룹은 온-프레미스 환경에서

SDDC로 매핑되므로 ID 소스를 SDDC LDAP 도메인에 추가할 필요가 없습니다.

n VMware Cloud on AWS SDDC를 온-프레미스 vCenter Server에 연결할 수 있습니다. 이 경우

ID 소스를 SDDC LDAP 도메인에 추가해야 합니다.

본 장은 다음 항목을 포함합니다.

n 하이브리드 연결 모드 사전 요구 사항

n vCenter Cloud Gateway Appliance를 사용하여 하이브리드 연결 모드 구성

VMware, Inc. 13

https://docs.vmware.com/kr/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-B98DF9C2-FE7D-483F-9521-C17C138B59D8.htmlhttps://docs.vmware.com/kr/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-B98DF9C2-FE7D-483F-9521-C17C138B59D8.htmlhttps://configmax.vmware.com/guest?vmwareproduct=vSphere&release=vSphere%206.0&categories=1-0

n 클라우드 SDDC에서 하이브리드 연결 모드 구성

n SDDC 클라우드 연결 해제

하이브리드 연결 모드 사전 요구 사항

하이브리드 연결 모드를 구성하기 전에 다음과 같은 사전 요구 사항이 충족되었는지 확인하십시오.

공통 사전 요구 사항

다음과 같은 사전 요구 사항은 vCenter Cloud Gateway Appliance에서 연결하는 경우와 클라우드

SDDC에서 연결하는 경우 모두 공통입니다.

n 온-프레미스 데이터 센터와 SDDC 간에 연결을 구성합니다. Direct Connect, VPN 또는 둘 다

사용할 수 있습니다. "VMware Cloud on AWS 네트워킹 및 보안 " 가이드에서 VMware Cloud

on AWS의 AWS Direct Connect 구성 및 SDDC와 온-프레미스 데이터 센터 간 VPN 연결 구성

을 참조하십시오.

n 온-프레미스 데이터 센터 및 클라우드 SDDC가 NTP 서비스 또는 다른 신뢰할 수 있는 시간 소스

에 동기화되었는지 확인합니다. 하이브리드 연결 모드를 사용하는 경우 VMware Cloud on AWS

는 온-프레미스 데이터 센터와 클라우드 SDDC 간에서 최대 10분의 시간 불일치를 허용할 수 있

습니다.

n 클라우드 SDDC와 온-프레미스 데이터 센터 간의 최대 지연 시간은 왕복 100밀리초를 초과할 수

없습니다.

n 클라우드 관리자 권한을 갖게 될 온-프레미스 사용자를 결정합니다. 이러한 사용자를 ID 소스 내의

그룹에 추가하십시오. 이 그룹이 온-프레미스 환경에 액세스할 수 있는지 확인하십시오.

vCenter Cloud Gateway Appliance와의 연결을 위한 사전 요구 사항

다음 사전 요구 사항은 vCenter Cloud Gateway Appliance와 연결할 때 적용됩니다.

n 온-프레미스 환경에서 vSphere 6.5 패치 d 이상을 실행 중이어야 합니다.

n vCenter Cloud Gateway Appliance와 사용자의 vCenter Server 인스턴스가 네트워크를 통해

서로 연결할 수 있는지 확인합니다. 다음 방화벽 포트가 열려 있는지 확인합니다.

소스 대상 포트 용도

사용자의 웹 브라우저 vCenter Cloud Gateway

Appliance

5480 지원 번들 수집

vCenter Cloud Gateway

Appliance

온-프레미스 vCenter

Server

443 하이브리드 연결 모드

vCenter Cloud Gateway

Appliance

온-프레미스 Platform

Services Controller

443, 389 하이브리드 연결 모드

vCenter Cloud Gateway

Appliance

클라우드 SDDC vCenter

Server

443 하이브리드 연결 모드

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 14

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-417EE2F1-0EA5-4808-BDB3-6FF622EECB95.htmlhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-417EE2F1-0EA5-4808-BDB3-6FF622EECB95.htmlhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-92F6C09E-8E74-430E-8F79-C2E5B2150ADA.html

소스 대상 포트 용도

vCenter Cloud Gateway

Appliance

클라우드 ESXi 호스트 902 가상 시스템 콘솔

vCenter Cloud Gateway

Appliance

온-프레미스 Active

Directory 서버(포트는 사용

용도에 따라 다름)

389, 636, 3268, 3269 ID 소스

vCenter Cloud Gateway

Appliance

https://vcgw-

updates.vmware.com/

443 Cloud Gateway 자동 업데이

트

다음 그림에서는 vCenter Cloud Gateway Appliance와 연결하기 위해 열려 있어야 하는 포트를

보여줍니다.

n vCenter Cloud Gateway Appliance 장치를 설치할 호스트가 다음과 같은 하드웨어 요구 사항을

충족하는지 확인합니다.

하드웨어 최소 요구 사항

CPU 8

메모리 24 GB

스토리지 190 GB

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 15

클라우드 SDDC에서 연결을 위한 사전 요구 사항

다음 사전 요구 사항은 클라우드 SDDC에서 연결할 때 적용됩니다.

n 온-프레미스 vCenter Server 시스템이 다음 중 하나를 실행하고 있습니다.

n vSphere 6.0 업데이트 3 패치 c 이상

n vSphere 6.5 패치 d 이상

n 온-프레미스 vSphere SSO 도메인에 대한 로그인 자격 증명이 있는지 확인하십시오.

n 온-프레미스 환경에서 사용자 및 그룹의 기본 DN에 대해 최소한의 읽기 전용 액세스 권한을 가진

사용자의 로그인 자격 증명이 있는지 확인하십시오. ID 소스를 추가할 때 사용됩니다.

n 관리 게이트웨이에서 ID 소스 및 온-프레미스 VMware Cloud on AWS 시스템의 FQDN을 확인

할 수 있도록 온-프레미스 DNS 서버가 구성되어 있는지 확인하십시오.

n 온-프레미스 게이트웨이 또는 방화벽이 다음과 같은 서비스를 위해 SDDC에서 필요한 포트에 액세

스할 수 있는지 확인하십시오.

소스 대상 포트 용도

클라우드 SDDC 온-프레미스 vCenter

Server

443 하이브리드 연결 모드

클라우드 SDDC 온-프레미스 Platform

Services Controller

389, 443 하이브리드 연결 모드

클라우드 SDDC 온-프레미스 Active

Directory 서버(포트는 사용

용도에 따라 다름)

389, 636, 3268, 3269 ID 소스

클라우드 SDDC 온-프레미스 DNS 53 온 프레미스 vCenter Server

및 Active Directory 서버의

FQDN을 확인

클라우드 SDDC 온-프레미스 ESXi 호스트 902 가상 시스템 콘솔

다음 그림에서는 클라우드SDDC에서 연결하기 위해 열려 있어야 하는 포트를 보여줍니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 16

n Connectivity Validator 테스트를 실행하여 하이브리드 연결 모드의 네트워크 연결이 올바로 설정

되어 있는지 확인하십시오. 하이브리드 연결 모드에 대한 네트워크 연결 유효성 검사의 내용을 참

조하십시오.

vCenter Cloud Gateway Appliance를 사용하여 하이브리드 연결 모드 구성

온-프레미스 환경에서 하이브리드 연결 모드를 사용하도록 설정하려면 vCenter Cloud Gateway

Appliance를 배포 및 구성합니다.

이 경우 온-프레미스 및 클라우드 환경을 함께 보고 관리하려면 vCenter Cloud Gateway

Appliance에 로그인합니다.

n 그래픽 기반 설치 관리자에서 vCenter Cloud Gateway Appliance 설치

온-프레미스 데이터 센터에서 클라우드 SDDC를 연결하고 관리하려는 경우 vCenter Cloud

Gateway Appliance를 다운로드하여 설치합니다.

n vCenter Cloud Gateway Appliance 설치 관리자에서 vCenter Cloud Gateway Appliance

를 클라우드 SDDC에 연결

vCenter Cloud Gateway Appliance를 설치한 후 설치 프로세스의 2단계를 완료하여 장치를

클라우드 SDDC에 연결할 수 있습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 17

n 명령줄 설치 관리자를 사용하여 vCenter Cloud Gateway Appliance 설치

명령줄 설치 관리자를 사용하여 Cloud Gateway Appliance 설치를 자동화하거나 설치 스크립

트를 작성합니다.

n 게이트웨이 클라이언트 UI에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결

설치 프로세스의 일부로 이 단계를 완료하지 않은 경우 이 절차에 따라 vCenter Cloud

Gateway Appliance를 클라우드 SDDC에 연결합니다.

n vSphere 클라우드 게이트웨이 장치에 대한 인증서 교체

인증서가 만료되었거나 다른 인증서 제공자의 인증서를 사용하려는 경우 vCenter Cloud

Gateway Appliance에 대한 인증서를 교체할 수 있습니다.

n Cloud Gateway Appliance 백업

vCenter Cloud Gateway Appliance는 상태 정보를 저장하지 않고 필요한 경우 다시 배포할 수

있기 때문에 백업이 필요하지 않습니다.

그래픽 기반 설치 관리자에서 vCenter Cloud Gateway Appliance 설치

온-프레미스 데이터 센터에서 클라우드 SDDC를 연결하고 관리하려는 경우 vCenter Cloud

Gateway Appliance를 다운로드하여 설치합니다.

사전 요구 사항

하이브리드 연결 모드 사전 요구 사항에 요약된 사전 요구 사항을 충족하는지 확인하십시오.

절차

1 https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.

2 도구 탭을 클릭합니다.

3 Gateway Appliance 카드에서 다운로드를 클릭합니다.

My VMware로 이동되어 장치 설치 관리자 ISO 이미지 다운로드를 완료할 수 있습니다.

4 설치 관리자 ISO 이미지에서 ui-installer 폴더를 찾아 장치를 설치할 운영 체제에 대한 폴더를

엽니다.

n Windows OS의 경우 win32 하위 디렉토리로 이동한 후 installer.exe 파일을 실행합니다.

n Linux OS의 경우 lin64 하위 디렉토리로 이동한 후 installer 파일을 실행합니다.

n Mac OS의 경우 mac 하위 디렉토리로 이동한 후 Installer.app 파일을 실행합니다.

5 시작을 클릭합니다.

6 Cloud Gateway 배포에서 시작을 클릭합니다.

7 최종 사용자 라이센스 계약에 동의합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 18

https://vmc.vmware.com

8 게이트웨이 배포 매개 변수를 지정하고 다음을 클릭합니다.

옵션 단계

장치를 배포하려는 ESXi 호

스트에 연결할 수 있습니다.

1 ESXi 호스트의 FQDN 또는 IP 주소를 입력합니다.

2 ESXi 호스트의 HTTPS 포트를 입력합니다.

3 ESXi 호스트에 대한 관리자 권한이 있는 사용자(예: 루트 사용자)의 사용자 이름과 암호

를 입력합니다.

4 다음을 클릭합니다.

5 인증서 주의가 대상 ESXi 호스트에 설치된 SSL 인증서의 SHA1 지문을 표시하는지 확

인한 후 예를 클릭하여 인증서 지문을 수락합니다.

vCenter Server 인스턴스

에 연결하고 인벤토리를 찾

아 장치를 배포할 ESXi 호

스트 또는 DRS 클러스터를

선택할 수 있습니다.

1 vCenter Server 인스턴스의 FQDN 또는 IP 주소를 입력합니다.

2 vCenter Server 인스턴스의 HTTPS 포트를 입력합니다.

3 vCenter Server 인스턴스에 대한 vCenter Single Sign-On 관리자 권한이 있는 사용

자(예: administrator@your_domain_name 사용자)의 사용자 이름과 암호를 입력합니다.

4 다음을 클릭합니다.

5 인증서 주의가 대상 vCenter Server 인스턴스에 설치된 SSL 인증서의 SHA1 지문을

표시하는지 확인한 후 예를 클릭하여 인증서 지문을 수락합니다.

6 장치를 배포할 ESXi 호스트 또는 DRS 클러스터가 포함된 데이터 센터 또는 데이터 센터

폴더를 선택한 후 다음을 클릭합니다.

참고 잠금 모드 또는 유지 보수 모드에 있지 않은 하나 이상의 ESXi 호스트가 포함된 데이터 센터나 데이터 센터 폴더를 선택해야 합니다.

7 장치를 배포할 ESXi 호스트 또는 DRS 클러스터를 선택한 후 다음을 클릭합니다.

9 대상 장치 VM을 설정하고 다음을 클릭합니다.

매개 변수 설명

VM 이름 vCenter Cloud Gateway Appliance VM의 이름을 입력합니다. 장치 이름에는

퍼센트 기호(%), 백슬래시(\) 또는 슬래시(/)를 포함하지 말아야 하며 길이가

80자 이하여야 합니다.

루트 암호 설정 vCenter Cloud Gateway Appliance VM의 루트 암호를 설정합니다.

암호는 최소 8자의 공백 없는 ASCII 소문자로 숫자, 대문자 및 소문자, 특수 문

자(예: 느낌표(!), 해시 키(#), 앳 기호(@) 또는 괄호(()))를 포함해야 합니다.

루트 암호 확인 위에서 설정한 암호를 확인합니다.

10 vCenter Cloud Gateway Appliance의 데이터스토어 위치를 선택하고 다음을 클릭합니다.

a vCenter Cloud Gateway Appliance를 배치할 데이터스토어를 선택합니다.

b 씬 디스크를 사용하는 장치를 배포하여 디스크 공간을 절약하기 위해 씬 디스크 모드 사용을 선

택합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 19

11 장치에 대한 네트워크 설정을 구성하고 다음을 클릭합니다.

매개 변수 설명

네트워크 네트워크 선택

드롭다운 메뉴에 표시되는 네트워크는 대상 서버의 네트워크 설정에 따라 달라집

니다. ESXi 호스트에서 장치를 직접 배포할 경우 사용 후 삭제가 아닌 분산 가상

포트 그룹은 지원되지 않으며 드롭다운 메뉴에 표시되지 않습니다.

IP 버전 장치 IP 주소에 대한 버전을 선택합니다.

IPv4 또는 IPv6을 선택할 수 있습니다.

IP 할당 장치의 IP 주소 할당 방법을 선택합니다.

n 정적

마법사에서 IP 주소 및 네트워크 설정을 입력하라는 메시지가 표시됩니다.

참고 IP 주소를 시스템 이름으로 사용하지 마십시오. IP 주소를 시스템 이름으로 사용하는 경우 배포 후에 IP 주소를 변경하고 DNS 설정을 업데이트할

수 없습니다.

n DHCP

DHCP 서버는 IP 주소를 할당하는 데 사용됩니다. 환경에서 DHCP 서버를

사용할 수 있는 경우에만 이 옵션을 선택합니다.

FQDN 환경에서 DDNS를 사용하도록 설정한 경우 장치의 FQDN(정규화된 도메인 이

름)을 입력하면 됩니다. 이미 존재하는 FQDN을 입력하면, 장치가 있는 네트워

크를 격리하지 않으면 배포 시 오류가 발생한다는 주의가 설치 관리자에 표시됩

니다. 예를 들어 기존 FQDN과 다른 포트 그룹에 장치를 배포할 수 있습니다.

IP 주소 정적 IP 주소를 선택한 경우에는 장치에 대한 IP 주소를 입력합니다. 이미 존재하

는 IP 주소를 입력하면, 설치 관리자에 장치가 있는 네트워크를 격리하지 않는 경

우 배포 시 오류가 발생한다는 주의가 표시됩니다. 예를 들어 기존 IP 주소와 다

른 포트 그룹에 장치를 배포할 수 있습니다.

서브넷 마스크 또는 접두사 길이 IP 주소의 서브넷 마스크 또는 접두사 길이를 입력합니다.

기본 게이트웨이 장치에 사용할 기본 게이트웨이를 입력합니다.

DNS 서버 장치에 사용되는 DNS 서버의 주소를 입력합니다.

12 장치 설정을 구성하고 다음을 클릭합니다.

n 시간 동기화에 NTP 서버를 사용하려면 NTP 서버와 시간 동기화를 선택하고 텍스트 상자에

하나 이상의 NTP 서버의 주소를 입력합니다.

n 배포할 호스트와 시간을 동기화하려면 ESXi 호스트와 시간 동기화를 선택합니다.

13 SSO 설정을 구성합니다.

옵션 설명

Platform Services Controller 온-프레미스 환경에 있는 Platform Services Controller의 IP 주소 또는

FQDN(정규화된 도메인 이름)을 입력합니다.

HTTPS 포트 Platform Services Controller에 사용되는 HTTPS 포트를 입력합니다.

Single Sign-On 도메인 온-프레미스 Platform Services Controller에 사용되는 Single Sign-On 도메

인을 입력합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 20

옵션 설명

Single Sign-On 사용자 이름 user@sso-domain 형식으로 Single Sign-On 관리자 사용자 이름을 입력합니다.

Single Sign-On 암호 Single Sign-On 관리자 암호를 입력합니다.

14 vCenter Cloud Gateway Appliance를 Active Directory 도메인에 가입할지 여부를 선택합니

다.

옵션 설명

건너뛰기 vCenter Cloud Gateway Appliance를 Active Directory 도메인에 가입하는

단계를 건너뛰려면 이 옵션을 선택합니다. 나중에, 장치를 연결하기 전에 장치를

도메인에 가입해야 합니다.

가입 다음 매개 변수를 입력합니다.

a 도메인 텍스트 상자에 Active Directory 도메인 이름을 입력합니다. 예를 들

어 mydomain.com을 입력합니다.

b 필요한 경우 조직 구성 단위 텍스트 상자에 전체 OU LDAP FQDN을 입력합

니다. 예를 들어 OU=Engineering,DC=mydomain,DC=com을 입력합

니다.

c 사용자 이름 텍스트 상자에 UPN(사용자 계정 이름) 형식으로 Active

Directory 관리자에 대한 사용자 이름을 입력합니다. 예를 들어

example@mydomain.com을 입력합니다.

d 암호 필드에 Active Directory 관리자에 대한 암호를 입력합니다.

15 완료를 클릭하여 장치를 배포합니다.

vCenter Cloud Gateway Appliance가 온-프레미스 환경에 배포됩니다. 진행률 표시줄에 배포의 진

행률이 표시됩니다.

다음에 수행할 작업

설치 관리자의 2단계를 계속하여 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결합

니다. vCenter Cloud Gateway Appliance 설치 관리자에서 vCenter Cloud Gateway Appliance

를 클라우드 SDDC에 연결의 내용을 참조하십시오.

참고 장치를 설치한 후 VMware 기술 자료 문서 67158의 지침에 따라 장치 로그 수집을 구성하는 것이 좋습니다. 장치 로그는 지원을 요청할 때 유용합니다.

vCenter Cloud Gateway Appliance 설치 관리자에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결

vCenter Cloud Gateway Appliance를 설치한 후 설치 프로세스의 2단계를 완료하여 장치를 클라우

드 SDDC에 연결할 수 있습니다.

사전 요구 사항

그래픽 기반 설치 관리자에서 vCenter Cloud Gateway Appliance 설치에 설명된 대로 설치 프로세

스의 1단계를 완료합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 21

https://kb.vmware.com/s/article/67158

절차

1 설치 관리자의 [배포 단계] 페이지에서 [2단계: 하이브리드 연결 모드 구성] 아래의 시작을 클릭합

니다.

2 클라우드 vCenter Server에 연결합니다.

옵션 설명

vCenter Server 클라우드 SDDC에 vCenter Server 인스턴스의 IP 주소 또는 FQDN을 입력합

니다.

사용자 이름 클라우드 관리자의 사용자 이름을 입력합니다.

암호 클라우드 관리자의 암호를 입력합니다.

3 온 프레미스 환경에서 정의한 그룹을 추가하여 클라우드 관리자 그룹 역할을 수행하도록 합니다.

a 온-프레미스 ID 소스를 선택합니다.

b 검색 상자에 관리자 그룹의 이름을 입력하고 그룹을 선택합니다.

4 마침을 클릭합니다.

진행률 표시줄에 연결 작업 진행률이 표시됩니다.

다음에 수행할 작업

연결 프로세스가 완료되면 vCenter Cloud Gateway Appliance를 사용하여 온-프레미스 및 클라우

드 SDDC의 인벤토리를 보고 관리할 수 있습니다. http://cga-address/ui에서 이 인터페이스에 액세스할 수 있습니다. 여기서 cga-address는 vCenter Cloud Gateway Appliance의 IP 주소 또는 FQDN입니다.

명령줄 설치 관리자를 사용하여 vCenter Cloud Gateway Appliance 설치

명령줄 설치 관리자를 사용하여 Cloud Gateway Appliance 설치를 자동화하거나 설치 스크립트를

작성합니다.

명령줄에서 vcgw-deploy 명령을 사용하여 vCenter Cloud Gateway Appliance를 설치합니다. vcgw-

deploy 명령을 사용하면 장치를 설치하는 것은 물론 설치 템플릿을 검증하고 설치에 대해 사전 검사를

수행할 수도 있습니다. vcgw-deploy 옵션의 전체 목록을 보려면 vcgw-deploy install --help를 실행하

십시오.

사전 요구 사항

하이브리드 연결 모드 사전 요구 사항에 나와 있는 사전 요구 사항을 충족하는지 확인하십시오.

절차

1 https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.

2 도구 탭을 클릭합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 22

https://vmc.vmware.com

3 Gateway Appliance 카드에서 다운로드를 클릭합니다.

My VMware로 이동되어 장치 설치 관리자 ISO 이미지 다운로드를 완료할 수 있습니다.

4 설치에 사용할 JSON 템플릿을 준비합니다.

a 설치 관리자 ISO 이미지에서 cli-installer/templates 폴더를 찾습니다.

이 폴더에는 vCenter Cloud Gateway Appliance를 ESXi 호스트에 직접 설치하거나

vCenter Server 시스템을 통해 설치하기 위한 샘플 JSON 템플릿이 있습니다.

b 템플릿을 작업 디렉토리에 복사하고 필수 매개 변수를 포함하도록 편집합니다.

사용할 수 있는 템플릿 매개 변수에 대한 자세한 내용을 보려면 --template-help 옵션을 사용

하여 설치 관리자를 호출하십시오. 예를 들어 Windows를 사용하는 경우,

vcgw-deploy.exe install --template-help를 입력합니다.

5 명령줄에서 cli-installer 폴더로 변경하고 설치 사전 검사를 실행합니다.

n Windows OS의 경우 vcgw-deploy.exe install path-to-template --precheck-only를 입력합

니다.

n Linux OS의 경우 vcgw-deploy install path-to-template --precheck-only를 입력합니다.

n Mac OS의 경우 vcgw-deploy install path-to-template --precheck-only를 입력합니다.

사전 검사는 설치를 시작하기 전에 오류를 해결할 수 있도록 템플릿 및 매개 변수 문제를 식별합니

다.

6 설치 관리자를 시작합니다.

n Windows OS의 경우 vcgw-deploy.exe install path-to-template --accept-eula를 입력합니

다.

n Linux OS의 경우 vcgw-deploy install path-to-template --accept-eula를 입력합니다.

n Mac OS의 경우 vcgw-deploy install path-to-template --accept-eula를 입력합니다.

다음에 수행할 작업

게이트웨이 클라이언트 UI에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결에 설

명된 대로 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결합니다.

참고 장치를 설치한 후 VMware 기술 자료 문서 67158의 지침에 따라 장치 로그 수집을 구성하는 것이 좋습니다. 장치 로그는 지원을 요청할 때 유용합니다.

게이트웨이 클라이언트 UI에서 vCenter Cloud Gateway Appliance를 클라우드 SDDC에 연결

설치 프로세스의 일부로 이 단계를 완료하지 않은 경우 이 절차에 따라 vCenter Cloud Gateway

Appliance를 클라우드 SDDC에 연결합니다.

사전 요구 사항

n 이 작업을 수행하려면 온-프레미스 환경에서 관리자 권한이 있어야 합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 23

https://kb.vmware.com/s/article/67158

절차

1 웹 브라우저에서 http://cga-address/ui로 이동합니다. 여기서 cga-address는 vCenter Cloud Gateway Appliance의 IP 주소 또는 FQDN입니다.

2 온-프레미스 자격 증명을 사용하여 로그인합니다.

3 하이브리드 클라우드에서 연결된 도메인을 선택합니다.

4 클라우드 vCenter Server에 연결합니다.

옵션 설명

vCenter Server 클라우드 SDDC에 vCenter Server 인스턴스의 IP 주소 또는 FQDN을 입력합

니다.

사용자 이름 클라우드 관리자의 사용자 이름을 입력합니다.

암호 클라우드 관리자의 암호를 입력합니다.

5 온 프레미스 환경에서 정의한 그룹을 추가하여 클라우드 관리자 그룹 역할을 수행하도록 합니다.

a 온-프레미스 ID 소스를 선택합니다.

b 검색 상자에 관리자 그룹의 이름을 입력하고 그룹을 선택합니다.

6 마침을 클릭합니다.

다음에 수행할 작업

연결 프로세스가 완료되면 vCenter Cloud Gateway Appliance를 사용하여 온-프레미스 및 클라우

드 SDDC의 인벤토리를 보고 관리할 수 있습니다. http://cga-address/ui에서 이 인터페이스에 액세스할 수 있습니다. 여기서 cga-address는 vCenter Cloud Gateway Appliance의 IP 주소 또는 FQDN입니다.

vSphere 클라우드 게이트웨이 장치에 대한 인증서 교체

인증서가 만료되었거나 다른 인증서 제공자의 인증서를 사용하려는 경우 vCenter Cloud Gateway

Appliance에 대한 인증서를 교체할 수 있습니다.

사전 요구 사항

교체할 각 인증서에 대해 CSR(인증서 서명 요청)을 생성합니다. 인증 기관에 CSR을 제공합니다. 인

증 기관에서 인증서를 반환하면 vCenter Cloud Gateway Appliance에서 액세스할 수 있는 위치에

인증서를 배치합니다.

절차

1 웹 브라우저에서 http://cga-address/ui로 이동합니다. 여기서 cga-address는 vCenter Cloud Gateway Appliance의 IP 주소 또는 FQDN입니다.

2 온-프레미스 자격 증명을 사용하여 로그인합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 24

3 인증서 관리 UI로 이동합니다.

a 홈 메뉴에서 관리를 선택합니다.

b 인증서에서 인증서 관리를 클릭합니다.

4 자격 증명을 입력하고 로그인 및 인증서 관리를 클릭합니다.

5 [시스템 SSL 인증서]에서 작업 > 교체를 선택합니다.

6 [인증서 체인]에서 찾아보기 버튼을 클릭하고 인증서 체인 파일의 경로를 제공합니다.

이 파일에는 시스템 SSL 인증서, 루트 CA 인증서 및 전체 신뢰 체인이 포함되어 있어야 합니다.

7 개인 키에서 찾아보기 버튼을 클릭하고 인증서에 대한 개인 키를 제공합니다.

8 바꾸기를 클릭합니다.

다음에 수행할 작업

인증서가 성공적으로 교체되면 vCenter Cloud Gateway Appliance에서 모든 서비스를 다시 시작합

니다. https://kb.vmware.com/s/article/2109887의 내용을 참조하십시오.

Cloud Gateway Appliance 백업

vCenter Cloud Gateway Appliance는 상태 정보를 저장하지 않고 필요한 경우 다시 배포할 수 있기

때문에 백업이 필요하지 않습니다.

vCenter Cloud Gateway Appliance에 대해서는 파일 기반 백업 및 복원 솔루션이 지원되지 않습니

다.

클라우드 SDDC에서 하이브리드 연결 모드 구성

vCenter Cloud Gateway Appliance를 사용하는 대신 클라우드 SDDC에서 하이브리드 연결 모드를

구성할 수 있습니다.

이 경우 전체 인벤토리를 보고 관리하려면 클라우드 SDDC의 vSphere Client를 사용합니다. 클라우

드 SDDC에서 연결하는 경우, 온-프레미스 도메인을 하나만 연결할 수 있습니다.

하이브리드 연결 모드에 대한 네트워크 연결 유효성 검사

VMC 콘솔 Connectivity Validator를 사용하여 하이브리드 연결 모드에 필요한 모든 네트워크 연결이

준비되었는지 확인합니다.

Connectivity Validator에 필요한 입력을 제공하면 하이브리드 연결 모드에 필요한 네트워크 연결을

확인할 수 있습니다.

절차

1 https://vmc.vmware.com에서 VMC 콘솔에 로그인합니다.

2 SDDC에 대한 세부 정보 보기를 클릭합니다.

3 문제 해결 탭을 클릭합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 25

https://kb.vmware.com/s/article/2109887https://vmc.vmware.com

4 사용 사례 드롭다운 메뉴에서 하이브리드 연결 모드를 선택합니다.

하이브리드 연결 모드 연결 테스트가 표시됩니다. 테스트는 각 그룹에 필요한 입력에 따라 그룹으

로 구성됩니다.

5 입력 열에 실행할 각 테스트에 필요한 입력을 입력합니다.

6 하나 이상의 테스트를 실행합니다.

n 모든 테스트를 실행하려면 모두 실행을 클릭합니다.

n 특정 테스트 그룹을 실행하려면 그룹 목록 오른쪽에 있는 그룹 실행을 클릭합니다.

n 개별 테스트를 실행하려면 테스트 그룹을 확장하고 개별 테스트 옆에 있는 실행을 클릭합니다.

실행되는 각 테스트의 상태가 표시됩니다. 테스트가 끝나면 테스트를 확장하여 테스트 결과의 세부 정

보를 볼 수 있습니다.

다음에 수행할 작업

모든 테스트를 통과하면 하이브리드 연결 모드를 계속 설정합니다. SDDC LDAP 도메인에 ID 소스 추

가의 내용을 참조하십시오.

Connectivity Validator: DNS 서버에 연결할 수 없음

온프레미스 기본 DNS 서버 또는 온프레미스 보조 DNS 서버가 Connectivity Validator에서 실패합니

다.

문제

Connectivity Validator에서 포트 53의 온프레미스 기본 DNS 서버에 대한 연결 및/또는 포트 53의

온프레미스 보조 DNS 서버에 대한 연결 테스트가 실패하고 포트 53 연결 시간이 초과되었습니다. 메

시지가 표시됩니다.

그림 2-1. 실패한 DNS 서버 연결 테스트의 이미지

원인

이러한 실패의 잠재적 원인은 다음과 같습니다.

n 클라우드 SDDC에서 온프레미스 데이터 센터로의 IPsec VPN 연결이 끊어졌을 수 있습니다.

n DNS 서버 포트 53이 클라우드 SDDC 또는 온프레미스 데이터 센터의 방화벽 규칙에 의해 차단되

었습니다.

n DNS 서버의 IP 주소를 잘못 입력했습니다.

n DNS 서버의 작동이 중지되었습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 26

해결책

1 클라우드 SDDC에서 온프레미스로의 VPN 터널이 작동하는지 확인합니다. VPN 터널 상태 및 통

계 보기를 참조하십시오.

2 VMC 콘솔에서 방화벽 규칙을 검사하여 온프레미스 DNS 서버의 포트 53에 대한 액세스가 차단되

어 있지 않은지 확인합니다.

3 온프레미스 환경에서 방화벽 규칙을 검사하여 온프레미스 DNS 서버의 포트 53에 대한 액세스가

차단되어 있지 않은지 확인합니다.

4 온프레미스 DNS 서버의 IP 주소를 올바르게 입력했는지 확인합니다. 관리 게이트웨이 DNS 서버

지정을 참조하십시오.

5 DNS 서버가 실행 중인지 확인하고, 작동이 중지된 경우 다시 실행합니다.

Connectivity Validator: 지정된 FQDN에 대한 DNS 조회 실패

온프레미스 vCenter Server, Platform Services Controller, Active Directory 또는 ESXi에 대한

DNS 조회 테스트가 실패합니다.

문제

하나 이상의 DNS 조회 테스트가 실패합니다. 테스트 결과의 확인된 주소 필드에 결과가 표시되지 않

습니다.

그림 2-2. DNS 조회 테스트 실패의 예

원인

DNS 서버 연결 테스트가 성공했지만 지정된 FQDN에 대한 DNS 조회가 실패한 경우 다음 중 하나가

원인일 수 있습니다.

n 지정된 FQDN에 대한 항목이 온프레미스 DNS 서버에 없습니다.

n 테스트에 잘못된 FQDN을 입력했습니다.

해결책

1 올바른 FQDN을 입력했는지 확인합니다.

2 온프레미스 DNS 서버에 FQDN에 대한 항목이 있는지 확인합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 27

https://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-64A70777-4120-476E-B908-F1C9AF1EFAE7.htmlhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-64A70777-4120-476E-B908-F1C9AF1EFAE7.htmlhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-D0DF5C40-428E-4957-A33D-75B59DAFE2D0.htmlhttps://docs.vmware.com/kr/VMware-Cloud-on-AWS/services/com.vmware.vmc-aws.networking-security/GUID-D0DF5C40-428E-4957-A33D-75B59DAFE2D0.html

Connectivity Validator: 지정된 FQDN에 대한 ping 실패

온프레미스 vCenter Server, Platform Services Controller, Active Directory 또는 ESXi에 대한

ping 테스트가 실패합니다.

문제

지정된 FQDN에 대한 ping 테스트가 실패합니다. 테스트 세부 정보에 ICMP 패킷에 대한 응답이 수신

되지 않은 것으로 표시됩니다.

그림 2-3. ping 테스트 실패의 예

원인

이러한 실패의 잠재적 원인은 다음과 같습니다.

n 클라우드 SDDC 또는 온프레미스 데이터 센터의 방화벽 규칙이 ICMP 트래픽을 차단할 수 있습니

다.

n 지정된 FQDN을 사용하는 원격 시스템의 전원이 꺼져 있습니다.

해결책

1 VMC 콘솔에 설정된 방화벽 규칙을 확인하여 지정된 FQDN에 대한 ICMP 트래픽을 차단하지 않도

록 합니다.

2 온프레미스 방화벽 규칙을 확인하여 지정된 FQDN에 대한 ICMP 트래픽을 차단하지 않도록 합니

다.

3 ping을 수행한 원격 시스템이 전원이 켜진 상태이며 작동 중인지 확인하고 필요한 경우 전원을 켜

거나 다시 시작합니다.

Connectivity Validator: 지정된 FQDN에 대한 포트 연결 실패

특정 포트에 도달하기 위한 테스트

문제

지정된 FQDN에서 특정 포트에 대한 연결 테스트가 실패하고 포트 port-number 연결 시간이 초과되었

습니다. 메시지가 표시됩니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 28

그림 2-4. 포트 연결 테스트 실패의 예

원인

이러한 실패의 잠재적 원인은 다음과 같습니다.

n 클라우드 SDDC 또는 온프레미스 데이터 센터의 방화벽 규칙이 포트에 대한 액세스를 차단할 수

있습니다.

n 지정된 FQDN을 사용하는 원격 시스템의 전원이 꺼져 있습니다.

해결책

1 VMC 콘솔에 설정된 방화벽 규칙을 확인하여 지정된 포트에 대한 액세스를 차단하지 않도록 합니

다.

2 온프레미스 방화벽 규칙을 확인하여 지정된 포트에 대한 액세스를 차단하지 않도록 합니다.

3 ping을 수행한 원격 시스템이 전원이 켜진 상태이며 작동 중인지 확인하고 필요한 경우 전원을 켜

거나 다시 시작합니다.

Connectivity Validator: 주어진 FQDN에 대한 Traceroute 실패

지정된 FQDN에 대한 traceroute 테스트가 실패합니다.

문제

FQDN에 대한 traceroute 테스트가 실패합니다. 테스트 결과에는 대상에 대한 홉이 IP 주소 없이 나열

됩니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 29

그림 2-5. traceroute 테스트 실패의 예

원인

이러한 실패의 잠재적 원인은 다음과 같습니다.

n FQDN 자체에 대한 ping 테스트가 성공하면 클라우드 SDDC 또는 온프레미스 데이터 센터의 방

화벽 규칙이 트래픽 경로의 홉 중 하나에 대한 ICMP 트래픽을 차단할 수 있습니다.

n 지정된 FQDN을 사용하는 원격 시스템의 전원이 꺼져 있습니다.

해결책

1 VMC 콘솔에 설정된 방화벽 규칙을 확인하여 트래픽 경로의 홉 중 하나에 대한 ICMP 트래픽을 차

단하지 않도록 합니다.

2 온프레미스 방화벽 규칙을 확인하여 트래픽 경로의 홉 중 하나에 대한 ICMP 트래픽을 차단하지 않

도록 합니다.

3 원격 시스템이 전원이 켜진 상태이며 작동 중인지 확인하고 필요한 경우 전원을 켜거나 다시 시작

합니다.

Connectivity Validator: 내부 오류로 인한 테스트 실패

테스트가 내부 오류로 인해 실패합니다.

문제

내부 오류:로 시작하는 오류 메시지가 표시되면서 Connectivity Validator 테스트 중 하나가 실패할

수 있습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 30

그림 2-6. 내부 오류에 따른 테스트 실패의 예

원인

이 오류는 Connectivity Validator에 내부 연결 문제가 있을 때 가장 일반적으로 발생합니다.

해결책

이러한 오류 대부분은 간헐적으로 발생하며 아무 작업을 수행하지 않아도 해결됩니다. 하지만 오류가

지속되면 VMware 고객 지원에 문의하십시오.

SDDC LDAP 도메인에 ID 소스 추가

SDDC에서 하이브리드 연결 모드를 구성하기 위한 첫 번째 단계는 온-프레미스 LDAP 도메인을

SDDC vCenter Server에 대한 ID 소스로 추가하는 것입니다.

네이티브 Active Directory(통합 Windows 인증) 도메인 또는 OpenLDAP 디렉토리 서비스에서 온-

프레미스 LDAP 서비스를 제공하는 경우 SDDC에서 하이브리드 연결 모드를 구성할 수 있습니다.

중요 OpenLDAP를 ID 소스로 사용하는 경우 추가 요구 사항을 보려면 VMware 기술 자료 문서(http://kb.vmware.com/kb/2064977)를 참조하십시오.

사전 요구 사항

하이브리드 연결 모드 사전 요구 사항에 나와 있는 공통 사전 요구 사항을 충족하는지 확인하십시오.

절차

1 SDDC에 대한 vSphere Client에 로그인합니다.

ID 소스를 추가하려면 cloudadmin@vmc.local 또는 클라우드 관리자 그룹의 다른 멤버로 로그인

해야 합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 31

http://kb.vmware.com/kb/2064977

2 ID 소스 추가 대화 상자가 표시됩니다.

사용 사례 설명

하이브리드 연결 모드 a 메뉴 > 관리를 선택합니다.

b 하이브리드 클라우드에서 연결된 도메인을 선택합니다.

c 클라우드 관리자 추가 아래의 ID 소스 드롭다운 메뉴에서 ID 소스 추가를 선

택합니다.

다른 모든 사용 사례 a 메뉴 > 관리를 선택합니다.

b Single Sign-On에서 구성을 클릭합니다.

c ID 소스를 클릭하고 추가를 클릭합니다.

3 ID 소스 설정을 구성합니다.

옵션 설명

ID 소스 유형 Windows Active Directory 서버에 대해 Active Directory를 LDAP 서버로

를 선택하거나 Open LDAP 서버에 대해 Open LDAP를 선택합니다.

이름 ID 소스의 이름을 입력합니다.

사용자의 기본 DN 사용자의 기본 고유 이름을 입력합니다.

그룹의 기본 DN 그룹의 기본 고유 이름을 입력합니다.

도메인 이름 도메인의 FQDN입니다. 여기에 IP 주소를 입력하지 마십시오.

도메인 별칭 도메인의 별칭을 입력합니다.

Active Directory ID 소스의 경우 도메인의 NetBIOS 이름입니다. SSPI 인증을

사용하는 경우 Active Directory 도메인의 NetBIOS 이름을 ID 소스의 별칭으로

추가합니다.

사용자 이름 도메인에서 사용자 및 그룹의 기본 DN에 대해 최소한 읽기 전용 액세스 권한이

있는 사용자의 ID를 입력합니다. DN 형식 대신 UPN 형식(예:

user@example.com)을 사용합니다.

암호 사용자 이름에서 지정된 사용자의 암호를 입력합니다.

연결 대상 연결할 도메인 컨트롤러를 선택합니다.

n 임의의 도메인 컨트롤러에 연결하려면 도메인에 있는 임의의 도메인 컨트롤

러를 선택합니다.

n 도메인 컨트롤러를 지정하려면 특정 도메인 컨트롤러를 선택합니다.

특정 도메인 컨트롤러를 선택하는 경우 페일오버에 사용된 기본 서버 및 보조 서

버에 대한 URL을 지정합니다. ldap://hostname:port 또는 ldaps://

hostname:port 형식을 사용합니다. 일반적으로 포트는 ldap: 연결의 경우

389이고 ldaps: 연결의 경우 636입니다. Active Directory 다중 도메인 컨트

롤러 배포의 경우 일반적으로 포트는 ldap: 연결의 경우 3268이고 ldaps: 연결

의 경우 3269입니다.

SSL 인증서 ldaps:를 사용하는 경우 찾아보기를 선택하고 업로드할 인증서 파일을 선택하여

ldaps: 연결에 대한 보안을 제공합니다.

ID 소스가 추가되면 온프레미스 사용자는 SDDC에 인증할 수 있지만 액세스 권한 없음 역할이 있습니

다. 사용자 그룹에 대한 사용 권한을 추가하여 클라우드 관리자 역할을 부여합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 32

온-프레미스 데이터 센터에 연결

클라우드 SDDC에서 하이브리드 연결 모드의 구성을 완료하려면 클라우드 vCenter Server에서 온-

프레미스 데이터 센터에 연결합니다.

절차

1 아직 이 작업을 수행하지 않은 경우 SDDC에 대한 vSphere Client에 로그인하고 [연결된 도메

인] 페이지로 이동합니다.

a 메뉴 > 관리를 선택하여 [관리] 페이지를 표시합니다.

b 하이브리드 클라우드에서 연결된 도메인을 선택합니다.

2 온-프레미스 vCenter Server에 연결합니다.

옵션 설명

Platform Services Controller 온-프레미스 데이터 센터에 있는 Platform Services Controller 인스턴스의 IP

주소 또는FQDN을 입력합니다.

HTTPS 포트 Platform Services Controller에 사용되는 HTTPS 포트를 입력합니다.

사용자 이름 온-프레미스 SSO 관리자의 사용자 이름을 입력합니다.

암호 온-프레미스 SSO 관리자의 암호를 입력합니다.

3 온 프레미스 환경에서 정의한 그룹을 추가하여 클라우드 관리자 그룹 역할을 수행하도록 합니다.

a 온-프레미스 ID 소스를 선택합니다.

온-프레미스 ID 소스를 아직 추가하지 않은 경우 SDDC LDAP 도메인에 ID 소스 추가의 설명

에 따라 추가합니다.

b 검색 상자에 관리자 그룹의 이름을 입력하고 그룹을 선택합니다.

4 연결을 클릭합니다.

SDDC 클라우드 연결 해제

클라우드 SDDC와 특정한 온-프레미스 데이터 센터를 더 이상 연결하지 않으려면 하이브리드 연결 모

드에서 클라우드 SDDC 연결을 해제하면 됩니다.

예를 들어 온프레미스 데이터 센터를 SDDC에 연결하여 가상 시스템을 SDDC로 마이그레이션한 후

온프레미스 데이터 센터를 연결 해제하려고 할 수 있습니다. 연결된 온프레미스 데이터 센터를 서비스

해제할 계획이라면 먼저 SSO 도메인 연결을 해제합니다.

참고 클라우드 SDDC에서 온-프레미스 데이터 센터 연결을 해제해도 도메인을 연결하기 전에 추가하면서 연결된 ID 소스나 사용 권한은 제거되지 않습니다. 사용자는 계속 해당 온프레미스 자격 증명을

사용하여 SDDC에 인증하고 부여된 사용 권한을 유지할 수 있습니다. 그러나 도메인 연결 해제 후에는

온프레미스 인벤토리를 볼 수 없습니다. vCenter Cloud Gateway Appliance에서 클라우드 SDDC

의 연결을 해제하면 사용자의 온-프레미스 자격 증명을 사용하여 클라우드 SDDC에 더 이상 로그인할

수 없습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 33

연결 해제 시 클라우드 SDDC의 VM에서 태그가 계속 사용될 수 있으므로 태그와 범주는 그대로 유지

됩니다.

사전 요구 사항

SDDC 관리 게이트웨이와 SSO 도메인 간 네트워크 연결이 있는지 확인합니다.

절차

1 적절한 시스템에 로그인합니다.

n vCenter Cloud Gateway Appliance에서 클라우드 SDDC와 온-프레미스 데이터 센터를 연

결한 경우에는 vCenter Cloud Gateway Appliance UI에 로그인합니다.

n 클라우드 vCenter Server에서 클라우드 SDDC와 온-프레미스 데이터 센터를 연결한 경우에

는 SDDC에 대한 vSphere Client에 로그인합니다.

2 [연결된 도메인] 페이지로 이동합니다.

a 메뉴 > 관리를 선택하여 [관리] 페이지를 표시합니다.

b 하이브리드 클라우드에서 연결된 도메인을 선택합니다.

3 연결된 도메인의 이름 아래에서 연결 해제를 클릭합니다.

연결 해제를 확인할지 묻는 대화 상자가 나타납니다. 도메인을 연결 해제하면 현재 활성 세션이 모

두 로그아웃됩니다.

4 확인을 클릭합니다.

연결 해제가 완료되면 로그아웃하라는 메시지가 표시됩니다.

5 확인을 클릭하여 로그아웃합니다.

SSO 도메인이 연결 해제됩니다. 하이브리드 연결 모드를 계속 사용하려는 경우 다른 SSO 도메인에

연결하거나 같은 도메인에 다시 연결할 수 있습니다.

참고 클라우드 SDDC에서 연결을 해제한 후에는 클라우드 SDDC vSphere Client에 대한 새 연결을 통해 이전에 연결된 온-프레미스 리소스를 보거나 해당 리소스와 상호 작용할 수 없습니다. 클라우드

SDDC vSphere Client의 현재 활성 세션에서는 이전 세션의 사용자가 클라우드 SDDC vSphere

Client에서 로그아웃하거나 세션이 만료될 때까지 해당 세션에 연결된 온프레미스 vCenter Server 인

스턴스의 리소스를 계속 보고 해당 리소스와 상호 작용할 수 있습니다. 필요한 경우 이전에 연결된 각

온프레미스 vCenter Server 인스턴스에 로그인하여 해당 세션을 강제로 종료하십시오.

vCenter Cloud Gateway Appliance에서 연결을 해제한 후에는 vCenter Cloud Gateway

Appliance에 대한 새 연결을 통해 이전에 연결된 클라우드 리소스를 보거나 이 리소스와 상호 작용할

수 없습니다. vCenter Cloud Gateway Appliance에 현재 활성인 세션은 해당 세션의 사용자가 로그

아웃하거나 세션이 만료될 때까지 클라우드 SDDC의 리소스를 계속 볼 수 있고 상호 작용할 수 있습니

다. 필요한 경우 vCenter Cloud Gateway Appliance에 로그인하여 해당 세션을 강제로 종료합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 34

VMware Cloud on AWS의 vCenter Server 3vCenter Server는 온프레미스 및 클라우드의 가상 시스템에 대한 관리 플랫폼입니다. VMware는 스

토리지, HA, DRS 등을 설정하여 vCenter Server 설치를 자동으로 수행합니다. 온프레미스 환경에서

하는 것처럼 vCenter Server를 검토할 수 있습니다.

온프레미스 vSphere 환경에서 라이센싱, 통계 수집, 로깅 등을 비롯한 많은 vCenter Server 설정을

변경할 수 있습니다.

VMware Cloud on AWS 환경에서 다음 작업을 수행할 수 있습니다.

표 3-1. VMware Cloud on AWS의 vCenter Server 작업

작업 설명

오늘의 메시지 설정 메시지를 설정하여 VMware Cloud on AWS SDDC의 다른

사용자에게 전송합니다.

vCenter Server 개체 계층 검토 온프레미스 환경에서 클라우드로 마이그레이션하는 경우 계층

검토가 특히 유용합니다.

이벤트, 경보 및 최근 작업 검토 vCenter Server는 이벤트 및 경보에 대한 포괄적인 로그를 유

지합니다. 경보는 적용되는 화면에 직접 표시되기도 합니다.

본 장은 다음 항목을 포함합니다.

n 로그인된 다른 사용자에게 메시지 보내기

n vCenter Server 일반 구성 검토

n 이벤트, 경보 및 최근 작업 보기

로그인된 다른 사용자에게 메시지 보내기

관리자는 vCenter Server 시스템에 현재 로그인되어 있는 사용자에게 메시지를 보낼 수 있습니다. 메

시지를 사용하여 유지 보수를 알리거나 사용자에게 임시 로그아웃을 요청할 수 있습니다.

절차

1 vSphere Client에서 vCenter Server 인스턴스로 이동합니다.

2 구성을 클릭합니다.

3 설정 > 오늘의 메시지를 선택하고 편집을 클릭합니다.

VMware, Inc. 35

4 메시지를 입력하고 확인을 클릭합니다.

각 활성 사용자 세션에서 vSphere Client의 맨 위에 메시지가 표시됩니다.

vCenter Server 일반 구성 검토

VMware Cloud on AWS SDDC를 프로비저닝하면 VMware가 vCenter Server를 자동으로 생성합

니다. 이렇게 생성된 서버의 현재 설정을 검토할 수 있습니다.

온프레미스 환경에서 vCenter Server 구성을 미세 조정해야 할 수 있습니다. VMware가 VMware

Cloud on AWS에서 vCenter Server 인스턴스를 관리하므로 사용자가 구성을 수정할 필요가 없습니

다. 대신 구성을 보고 리소스 할당, 네트워킹 및 기타 특성을 검토할 수 있습니다.

절차

1 vSphere Client에서 홈을 클릭하고 vCenter Server 개요를 검토합니다.

2 드릴다운하려면 메뉴 > 호스트 및 클러스터를 선택하고 vCenter Server를 선택한 다음 다양한 탭

에서 정보를 검토합니다.

이벤트, 경보 및 최근 작업 보기

vCenter Server는 이벤트, 경보 및 최근 작업을 기록합니다. 이러한 VMware Cloud on AWS 이벤

트, 경보 및 작업을 vSphere Client에서 볼 수 있습니다.

n 이벤트는 vCenter Server 또는 호스트의 개체에 대해 발생하는 사용자 작업이나 시스템 작업을

기록한 것입니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 36

n 경보는 이벤트, 일련의 조건 또는 인벤토리 개체의 상태에 대한 응답으로 활성화되는 알림입니다.

자세한 내용은 "vSphere 모니터링 및 성능" 설명서를 참조하십시오.

절차

1 이벤트 콘솔을 보려면 메뉴 > 이벤트를 선택합니다.

이벤트를 선택하고 세부 정보를 보고, 콘솔 디스플레이를 정렬하고, 다음을 클릭하여 이전 이벤트

를 표시할 수 있습니다.

2 작업 콘솔을 보려면 메뉴 > 작업을 선택합니다.

작업을 선택하고 세부 정보 및 관련 이벤트를 보고, 콘솔 디스플레이를 정렬하고, 다음을 클릭하여

이전 작업을 표시할 수 있습니다.

3 경보는 여러 방법으로 표시됩니다.

n 연결된 경보가 있는 모든 개체는 개체 계층 구조에 경보 아이콘을 표시합니다. 자세한 내용을

보려면 개체의 [요약] 탭을 선택하십시오.

n vSphere Client의 하단에서 경보를 선택하면 최근 경보 및 최근 작업을 표시할 수 있습니다.

관련 개체를 클릭하여 검토합니다.

참고 경보가 있는 개체가 연결된 vCenter Server 시스템인 경우 문제가 심각하면 해당 개체를 검사하지 못할 수도 있습니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 37

vCenter Single Sign-On으로 vSphere 인증 4vCenter Single Sign-On은 인증 브로커이자 보안 토큰 교환 인프라입니다. 사용자가 vCenter

Single Sign-On에 인증할 수 있는 경우 해당 사용자는 SAML 토큰을 받습니다. 앞으로 해당 사용자

는 SAML 토큰을 사용하여 vCenter 서비스에 인증할 수 있습니다. 그런 다음 사용자는 사용자가 권한

을 가진 작업을 수행할 수 있습니다.

트래픽이 모든 통신에 대해 암호화되고 인증된 사용자만 권한을 가진 작업을 수행할 수 있기 때문에 환

경이 보호됩니다.

vSphere 6.0부터 vCenter Single Sign-On은 Platform Services Controller의 일부입니다.

Platform Services Controller에는 vCenter Server 및 vCenter Server 구성 요소를 지원하는 공유

서비스가 포함되어 있습니다. 이러한 서비스에는 vCenter Single Sign-On, VMware Certificate

Authority 및 License Service가 포함됩니다. Platform Services Controller에 대한 자세한 내용은

"vCenter Server 설치 및 설정" 항목을 참조하십시오.

처음 핸드셰이크의 경우 사용자는 사용자 이름 및 암호로 인증하고 솔루션 사용자는 인증서로 인증합니

다. 솔루션 사용자 인증서 바꾸기에 대한 자세한 내용은 vSphere 보안 인증서를 참조하십시오.

다음 단계에서는 특정 작업을 수행하도록 인증할 수 있는 사용자에게 권한을 부여합니다. 대부분의 경

우 일반적으로 역할을 가진 그룹에 사용자를 할당하는 방법으로 vCenter Server 권한을 할당합니다.

vSphere에는 글로벌 사용 권한 같은 다른 사용 권한 모델이 포함되어 있습니다. "vSphere 보안" 설

명서를 참조하십시오.

본 장은 다음 항목을 포함합니다.

n vCenter Single Sign-On으로 환경을 보호하는 방법

n vSphere와 함께 vCenter Single Sign-On 사용

n vCenter Single Sign-On을 사용하는 vCenter Server에 대한 ID 소스

n SDDC LDAP 도메인에 ID 소스 추가

n vCenter Single Sign-On 정책 관리

vCenter Single Sign-On으로 환경을 보호하는 방법

vCenter Single Sign-On을 사용하면 안전한 토큰 메커니즘을 통해 vSphere 구성 요소가 서로 통신

할 수 있습니다.

VMware, Inc. 38

https://docs.vmware.com/kr/VMware-vSphere/6.7/com.vmware.psc.doc/GUID-779A011D-B2DD-49BE-B0B9-6D73ECF99864.html

vCenter Single Sign-On는 다음과 같은 서비스를 사용합니다.

n STS(Security Token Service)

n 보안 트래픽용 SSL입니다.

n Active Directory 또는 OpenLDAP를 통해 사용자를 인증합니다.

인간 사용자를 위한 vCenter Single Sign-On 핸드셰이크

다음 그림에서는 인간 사용자를 위한 핸드셰이크를 보여 줍니다.

그림 4-1. 인간 사용자를 위한 vCenter Single Sign-On 핸드셰이크

Kerberos

vSphere Web Client

12

3 4

5

6

VMware디렉토리서비스

CA

vCenter SingleSign-On

vCenterServer

1 사용자가 vCenter Server 시스템이나 다른 vCenter 서비스에 액세스하기 위해 사용자 이름과 암

호로 vSphere Client에 로그인합니다.

또한 사용자는 Windows 세션 인증 사용 확인란을 선택하여 암호 없이 로그인할 수도 있습니다.

2 vSphere Client는 로그인 정보를 vCenter Single Sign-On 서비스로 전달하고, 이 서비스는

vSphere Client의 SAML 토큰을 확인합니다. vSphere Client의 토큰이 유효한 경우 vCenter

Single Sign-On은 사용자가 구성된 ID 소스(예: Active Directory)에 속해 있는지 확인합니다.

n 사용자 이름만 사용하는 경우 vCenter Single Sign-On은 기본 도메인에서 확인합니다.

n 도메인 이름이 사용자 이름과 함께 포함되어 있는 경우(DOMAIN\user1 또는 user1@DOMAIN), vCenter Single Sign-On은 해당 도메인을 확인합니다.

3 사용자가 ID 소스에 인증할 수 있는 경우 vCenter Single Sign-On은 사용자를 나타내는 토큰을

vSphere Client에 반환합니다.

4 vSphere Client는 토큰을 vCenter Server 시스템으로 전달합니다.

5 vCenter Server는 vCenter Single Sign-On Server에 토큰이 유효하며 만료되지 않았는지 확인

합니다.

6 vCenter Single Sign-On 서버는 사용자 액세스를 허용하기 위한 vCenter Server 인증 프레임

워크를 사용하여 토큰을 vCenter Server 시스템에 반환합니다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 39

사용자는 이제 인증할 수 있으며 해당 사용자 역할에 권한이 있는 모든 개체를 보고 수정할 수 있습니

다.

지원되는 암호화

최고 수준의 암호화인 AES 암호화가 지원됩니다. 지원되는 암호화는 vCenter Single Sign-On이

Active Directory를 ID 소스로 사용하는 경우 보안에 영향을 줍니다.

vSphere와 함께 vCenter Single Sign-On 사용

사용자가 vSphere 구성 요소에 로그인하거나 vCenter Server 솔루션 사용자가 다른 vCenter

Server 서비스에 액세스하면 vCenter Single Sign-On이 인증을 수행합니다. 사용자는 vCenter

Single Sign-On에 인증되어야 하며 vSphere 개체와 상호 작용하는 데 필요한 권한을 갖고 있어야

합니다.

vCenter Single Sign-On은 솔루션 사용자와 기타 사용자를 모두 인증합니다.

n 솔루션 사용자는 vSphere 환경에서 서비스 집합을 나타냅니다. 설치할 때 VMCA는 기본적으로

각 솔루션 사용자에게 인증서를 할당합니다. 솔루션 사용자는 이 인증서를 사용하여 vCenter

Single Sign-On에 인증합니다. vCenter Single Sign-On은 솔루션 사용자에게 SAML 토큰을

제공하며, 그러면 솔루션 사용자는 환경의 다른 서비스와 상호 작용할 수 있습니다.

n 다른 사용자가 환경에 로그인하면(예를 들어 vSphere Client에서), vCenter Single Sign-On에

서 사용자 이름과 암호를 묻습니다. vCenter Single Sign-On이 해당 ID 소스에서 해당 자격 증

명을 가진 사용자를 찾으면 사용자에게 SAML 토큰을 할당합니다. 이제 사용자는 다시 인증 과정

을 거치지 않은 채 환경의 다른 서비스에 액세스할 수 있습니다.

사용자가 어떤 개체를 볼 수 있고 어떤 작업을 수행할 수 있는지는 일반적으로 vCenter Server 사

용 권한 설정에 따라 결정됩니다. vCenter Server 관리자는 vCenter Single Sign-On을 통해서

가 아니라 vSphere Web Client 또는 vSphere Client의 사용 권한 인터페이스에서 이러한 사용

권한을 할당합니다. "vSphere 보안" 설명서를 참조하십시오.

vCenter Single Sign-On 및 vCenter Server 사용자

사용자는 로그인 페이지에 자격 증명을 입력하여 vCenter Single Sign-On에 대한 인증을 받습니다.

vCenter Server에 연결한 후, 인증된 사용자는 역할에 따라 권한이 부여된 모든 vCenter Server 인

스턴스 또는 vSphere 개체를 볼 수 있습니다. 추가 인증이 필요하지 않습니다.

설치가 완료되면 cloudadmin@vmc.local 사용자 vCenter Server는 vCenter Single Sign-On과

vCenter Server 모두에 관리자 권한으로 액세스할 수 있습니다. 또한 해당 사용자가 ID 소스를 추가

하고 기본 ID 소스를 설정하고 vmc.local 도메인에서 정책을 설정할 수 있습니다. vmc.local 도메인

의 특정 관리 작업은 VMware Cloud on AWS 운영 직원으로 제한됩니다.

참고 vSphere Client에서 SDDC의 암호를 변경하면 기본 vCenter 자격 증명 페이지에 표시된 암호와 새 암호가 동기화되지 않습니다. 해당 페이지에는 기본 자격 증명만 표시됩니다. 자격 증명을 변경

할 경우 새 암호를 추적하는 것은 사용자의 책임입니다. 기술 지원에 연락하여 암호 변경을 요청합니

다.

VMware Cloud on AWS 데이터 센터 관리

VMware, Inc. 40

vCenter Single Sign-On 관리자

vCenter Single Sign-On 관리 인터페이스는 vSphere Client 또는 vSphere Web Client에서 액세

스할 수 있습니다.

vCenter Single Sign-On을 구성하고 vCenter Single Sign-On 사용자 및 그룹을 관리하려면

administrator@vsphere.local 사용자나 vCenter Single Sign-On 관리자 그룹의 사용자가

vSphere Client에 로그인해야 합니다. 이러한 사용자는 인증 후 vSphere Client에서 vCenter

Single Sign-On 관리 인터페이스에 액세스하여 ID 소스 및 기본 도메인을 관리하고, 암호 정책을 지

정하고, 그 밖의 관리 작업을 수행할 수 있습니다.

vCenter Single Sign-On을 사용하는 vCenter Server에 대한 ID 소스

ID 소스를 사용하여 하나 이상의 도메인을 vCenter Single Sign-On에 연결할 수 있습니다. 도메인은

vCenter Single Sign-On 서버가 사용자 인증에 사용할 수 있는 사용자 및 그룹의 저장소입니다.

VMware Cloud on AWS에서 cloudadmin@vmc.local 사용자나 클라우드 관리자 그룹의 다른 사

용자가 ID 소스를 추가할 수 있습니다. 공유 ID 소스는 하이브리드 연결 모드를 설정하기 위한 사전 요

구 사항입니다.

사용자 및 그룹 데이터는 Active Directory 또는 OpenLDAP에 저장됩니다. 처음에는 VMware

Cloud on AWS SDDC에 vmc.local ID 소스가