콘텐츠로 이동
마지막 업데이트: 2022-09-23

게이트웨이 설정

이제 네트워크의 리소스에 대한 액세스를 제어하는 ZTNA 게이트웨이를 설정합니다.

게이트웨이를 ESXi 서버, Microsoft Hyper-V 또는 Amazon Web Services 중 어디에서 호스팅할지에 따라 단계가 다릅니다.

경고

내부 서비스에 사용되는 서브넷에서 작동하도록 게이트웨이를 구성하지 마십시오. 그렇게 하면 응용 프로그램에 액세스하는 데 문제가 있을 수 있습니다. 이러한 서브넷은 다음과 같습니다. 10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16.

참고

Amazon Web Services에서는 구성에 따라 추가 비용이 있습니다. ZTNA 라이선스에는 이러한 비용이 포함되지 않습니다.

단계별 지침을 보려면 아래에서 호스트에 대한 탭을 클릭하십시오.

ESXi의 게이트웨이는 다음 두 단계로 설정합니다.

  • 게이트웨이 이미지(OVA 파일)를 다운로드하여 ESXi에 배포합니다.

  • Sophos Central에서 게이트웨이 설정을 추가하여 ESXi에서 게이트웨이를 부팅하는 데 사용하는 ISO 파일("시드 이미지")을 생성합니다.

가용성을 보장하기 위해 게이트웨이 클러스터를 설정할 수 있습니다. 이렇게 하려면 여기에 설명된 대로 게이트웨이의 추가 인스턴스를 설정합니다.

참고

ESXi 호스트에 올바른 시간과 날짜가 설정되어 있는지 확인하십시오. 시간대를 UTC로 설정해야 합니다. 시간을 올바르게 설정하지 않으면 ZTNA 게이트웨이에 문제가 발생합니다. 요구 사항을 참조하십시오.

2암 프록시를 사용하는 경우 네트워크 구성을(를) 참조하십시오.

이미지 다운로드 및 배포

  1. Sophos Central에서 장치 보호로 이동합니다.

  2. Zero Trust Network Access를 찾습니다.

    1. 게이트웨이 이미지에 대한 다운로드 링크를 클릭합니다.
    2. 라이선스 계약 및 (메시지가 표시되는 경우) 소프트웨어 내보내기 준수 양식에 동의합니다.
    3. 게이트웨이 이미지가 다운로드됩니다. 이 이미지는 ESXi 서버용 ZTNA 게이트웨이의 일반 OVA 이미지입니다. 이 이미지는 원하는 만큼 재사용할 수 있습니다.

    다운로드 페이지 스크린샷

  3. ESXi 호스트에 OVA 이미지를 배포합니다. VMware vSphere에서 호스트를 마우스 오른쪽 버튼으로 클릭하고 OVA 템플릿 배포를 선택합니다. 그러면 배포를 안내하는 도우미가 실행됩니다.

    경고

    작업을 마친 후 자동 전원 켜기 옵션(ESXi의 기본값)을 끄거나 ZTNA 게이트웨이가 부팅되지 않도록 합니다. 그렇게 하지 않으면 게이트웨이가 ISO 파일 없이 부팅되며 다시 시작해야 합니다.

    VMware vSphere의 배포 페이지 스크린샷

설정 및 부팅 게이트웨이 추가

  1. Sophos Central로 돌아가 ZTNA > 게이트웨이로 이동합니다. 게이트웨이 추가를 클릭합니다.

    게이트웨이 페이지 스크린샷

  2. 게이트웨이 추가에서 다음과 같이 하십시오.

    1. 게이트웨이 이름과 게이트웨이 FQDN을 입력합니다.
    2. 리소스(앱)의 도메인을 입력합니다.
    3. 플랫폼 유형에서 VMware ESXi를 선택합니다.
    4. 배포 모드를 선택합니다.

      • 1암은 들어오고 나가는 트래픽에 외부 인터페이스를 사용합니다.
      • 2암은 외부 및 내부 인터페이스를 모두 사용합니다.
    5. 인터페이스 설정을 입력합니다.

      • DHCP를 선택하는 경우 DHCP 서버에서 예약을 설정합니다.

        경고

        게이트웨이가 IP 주소의 변경을 처리할 수 없습니다. DHCP가 할당한 초기 IP 주소가 항상 유지되도록 하려면 예약을 설정해야 합니다.

      • 정적 IP를 선택하는 경우 IP 주소, 서브넷 및 DNS 서버 설정을 지정합니다.

      2암 배포에서 여러 내부 네트워크에서 호스팅되는 앱이 있는 경우 정적 경로를 지정해야 합니다.

    6. 이전에 만든 인증서를 업로드합니다.

    7. 저장 및 파일 생성을 클릭합니다.

    참고

    이 릴리스에서는 단일 와일드카드 인증서만 지원됩니다.

    게이트웨이 추가 대화 상자 스크린샷

  3. 게이트웨이 페이지에서 게이트웨이의 상태는 배포 대기 중입니다.

    시드 이미지 ISO를 다운로드할 준비가 되었습니다. 이는 게이트웨이를 부팅하고 등록 프로세스를 완료하는 데 필요합니다. ISO는 각 게이트웨이에 대해 고유합니다. 재사용할 수 없습니다.

    참고

    이미지를 다운로드하기 전에 게이트웨이 클러스터를 만드는 것이 좋습니다. 클러스터를 원하지 않으면 6단계로 건너뛰십시오.

    게이트웨이 상태가 표시된 게이트웨이 페이지 스크린샷.

  4. 새 게이트웨이를 클릭하여 세부 정보 페이지를 엽니다. 인스턴스 추가/편집을 클릭합니다.

    게이트웨이 세부 정보 페이지

  5. 인스턴스 추가/편집에서 다음과 같이 하십시오.

    1. 다른 인스턴스 추가를 클릭합니다. 클러스터링이 자동으로 켜집니다.
    2. 클러스터 가상 IP를 입력합니다. 클러스터 관리 및 부하 분산에 사용됩니다. 게이트웨이 인스턴스와 동일한 IP 범위에 있어야 합니다.

      2암 배포에서 외부 클러스터 VIP는 부하 분산 전용입니다. 외부 부하 분산 장치를 사용하는 경우에는 비워 둡니다.

    3. 새 인스턴스의 VM 이름인터페이스 IP를 입력합니다.

      2암 배포에서 내부 및 외부 인터페이스 IP를 입력합니다.

    4. 다른 인스턴스를 추가하려면 프로세스를 반복하십시오.

    클러스터에는 최소 3개의 인스턴스가 있어야 합니다. 최대 9개의 인스턴스를 가질 수 있지만 항상 홀수여야 합니다.

    인스턴스 추가/편집 대화 상자

  6. 각 ISO 파일을 다운로드하여 호스트에 마운트합니다. 그리고 나서 다음과 같이 게이트웨이에 연결합니다.

    1. VMware vSphere로 이동합니다.
    2. 게이트웨이 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 선택합니다.
    3. 하드웨어 탭의 CD/DVD 드라이브에서 ISO 파일이 표시되는지 확인하고 연결을 선택합니다.
    4. 상태에서 전원을 켤 때 연결을 선택합니다.
    5. 저장을 클릭합니다.

    가상 하드웨어에 직렬 장치가 나열되어 있으면 안전하게 제거할 수 있습니다.

    게이트웨이가 ISO 파일로 부팅되면 등록을 위해 Sophos Central에 연락합니다.

    VMware vSphere의 가상 하드웨어 탭 스크린샷

  7. Sophos Central로 돌아갑니다. 게이트웨이 페이지에서 게이트웨이 상태가 승인 대기 중으로 변경됩니다.

    메시지가 표시되면 게이트웨이 등록을 승인합니다.

    승인이 적용되는 데 최대 10분이 걸릴 수 있습니다. 그러면 게이트웨이 상태가 연결됨으로 변경됩니다. 원하는 경우 암호를 만들 수 있는 옵션이 표시됩니다.

참고

ISO 파일은 게이트웨이에 연결된 상태를 유지해야 합니다. 게이트웨이가 부팅된 후에는 마운트를 해제할 수 없습니다.

게이트웨이 설정을 완료했습니다.

참고

게이트웨이가 Sophos Central에 연결할 수 없는 경우 VMware vSphere로 이동하여 VM에 대한 진단을 실행합니다.

새 가상 머신 버전을 사용할 수 있으면 버전 열에 녹색 확인 표시가 나타납니다. 버전 번호를 클릭하여 업데이트를 시작하거나 예약합니다. 게이트웨이에서 게이트웨이 업데이트를 참조하십시오.

Microsoft Hyper-V에서 게이트웨이를 설정하려면 다음과 같이 하십시오.

  • 게이트웨이 VM 이미지를 다운로드하여 배포합니다.

  • 게이트웨이 설정을 추가하여 ISO 파일("시드 이미지")을 생성합니다.

  • ISO 파일을 다운로드하고 게이트웨이를 부팅합니다.

이미지 다운로드 및 배포

  1. Sophos Central에서 장치 보호로 이동합니다.

  2. Zero Trust Network Access에서 Hyper-V용 게이트웨이 VM 이미지 다운로드를 클릭합니다.

    VM 이미지가 포함된 ZIP 파일이 다운로드됩니다.

    장치 보호 페이지

  3. 다운로드한 ZIP 파일에서 Hyper-V 기본 이미지의 압축을 풉니다.

    이렇게 하면 게이트웨이를 설정하는 데 필요한 .vhdx 파일이 제공됩니다. 이 파일을 사용하여 둘 이상의 VM을 배포할 수는 없지만 복사본을 만들어 추가 VM에 사용할 수는 있습니다.

  4. Hyper-V Manager의 가상 컴퓨터 목록에 있는 작업에서 새로 만들기를 클릭합니다.

    Hyper-V Manager

  5. VM의 이름을 입력합니다.

    이름 및 위치 지정 페이지

  6. 세대를 선택합니다. 1세대는 32비트 및 64비트 운영 체제를 모두 지원합니다.

    세대 지정 페이지

  7. 메모리 할당에 최소 4096MB의 시작 메모리를 입력합니다.

    메모리 할당 페이지

  8. 네트워킹 구성에서 네트워크 어댑터를 선택합니다.

    네트워킹 구성 페이지

  9. 가상 하드 디스크 연결에서 기존 가상 하드 디스크 사용을 선택하고 VM 이미지 다운로드에서 추출한 .vhdx 파일을 찾습니다.

    가상 하드 디스크 연결 페이지

  10. 마침을 클릭합니다.

    새 VM 페이지 완료

  11. 새 VM에 대한 설정으로 이동합니다.

    1. 하드웨어 > 프로세서에서 가상 프로세서 수를 "2"로 설정합니다.

    2. 게이트웨이가 2암 배포 상태인 경우 네트워크 어댑터로 이동하여 VM에 다른 어댑터를 추가합니다.

    VM 설정

  12. 적용저장을 클릭합니다.

게이트웨이 설정 추가

  1. Sophos Central로 돌아가 ZTNA > 게이트웨이로 이동합니다. 게이트웨이 추가를 클릭합니다.

    게이트웨이 페이지

  2. 게이트웨이 추가에서 다음과 같이 하십시오.

    1. 게이트웨이 이름과 게이트웨이 FQDN을 입력합니다.
    2. 리소스(앱)의 도메인을 입력합니다.
    3. 플랫폼 유형에서 Hyper-V를 선택합니다.
    4. 배포 모드를 선택합니다.

      • 1암은 들어오고 나가는 트래픽에 외부 인터페이스를 사용합니다.
      • 2암은 외부 및 내부 인터페이스를 모두 사용합니다.
    5. 인터페이스 설정을 입력합니다.

      • DHCP를 선택하는 경우 DHCP 서버에서 예약을 설정합니다.

        경고

        게이트웨이가 IP 주소의 변경을 처리할 수 없습니다. DHCP가 할당한 초기 IP 주소가 항상 유지되도록 하려면 예약을 설정해야 합니다.

      • 정적 IP를 선택하는 경우 IP 주소, 서브넷 및 DNS 서버 설정을 입력합니다.

      2암 배포에서 여러 내부 네트워크에서 호스팅되는 앱이 있는 경우 정적 경로를 지정해야 합니다.

    6. 이전에 만든 인증서를 업로드합니다.

    7. 저장 및 파일 생성을 클릭합니다.

    참고

    이 릴리스에서는 단일 와일드카드 인증서만 지원됩니다.

    게이트웨이 추가 대화 상자

  3. 게이트웨이 페이지에서 새 게이트웨이의 상태는 배포 대기 중입니다. 게이트웨이를 클릭하여 세부 정보를 확인합니다.

  4. 게이트웨이 세부 정보에서 ISO 이미지를 다운로드할 준비가 되었음을 확인할 수 있습니다. 게이트웨이를 부팅하는 데 필요합니다. ISO는 각 게이트웨이에 대해 고유합니다. 재사용할 수 없습니다.

    이미지를 다운로드하기 전에 게이트웨이 클러스터를 만드는 것이 좋습니다. 클러스터를 원하지 않으면 'ISO 파일 다운로드 및 게이트웨이 부팅' 섹션으로 건너뛰십시오.

    새 게이트웨이 세부 정보

  5. 게이트웨이 세부 정보에서 인스턴스 추가/편집을 클릭합니다.

    게이트웨이 세부 정보 페이지

  6. 인스턴스 추가/편집에서 다른 인스턴스 추가를 클릭합니다. 클러스터링이 자동으로 켜집니다.

    인스턴스 추가/편집 대화 상자

  7. 다음과 같이 새 인스턴스의 세부 정보를 입력합니다.

    1. 클러스터 가상 IP를 입력합니다. 클러스터 관리 및 부하 분산에 사용됩니다. 게이트웨이 인스턴스와 동일한 IP 범위에 있어야 합니다.

      2암 배포에서 외부 클러스터 VIP는 부하 분산 전용입니다. 외부 부하 분산 장치를 사용하는 경우에는 비워 둡니다.

    2. 새 인스턴스의 VM 이름인터페이스 IP를 입력합니다.

      2암 배포에서 내부 및 외부 인터페이스 IP를 입력합니다.

    3. 다른 인스턴스를 추가하려면 프로세스를 반복하십시오.

      참고

      클러스터에는 최소 3개의 인스턴스가 있어야 합니다. 최대 9개의 인스턴스를 가질 수 있지만 항상 홀수여야 합니다.

    인스턴스 세부 정보

다음으로 ISO 파일을 다운로드하고 게이트웨이를 부팅합니다.

ISO 파일 다운로드 및 게이트웨이 부팅

다음과 같이 각 인스턴스에 대한 ISO 파일을 다운로드하여 게이트웨이 VM에 연결하고 게이트웨이를 부팅합니다.

  1. 게이트웨이 세부 정보에서 각 인스턴스로 이동하여 이미지 다운로드를 클릭합니다.

    다운로드가 있는 게이트웨이 인스턴스

  2. Hyper-V Manager에서 VM에 대한 설정으로 이동합니다. DVD 드라이브에서 다음과 같이 하십시오.

    1. 컨트롤러에서 IDE 컨트롤러 1을 선택합니다.
    2. 미디어에서 이미지 파일을 선택하고 시드 ISO의 경로를 입력합니다.
    3. 적용저장을 클릭합니다.

    참고

    ISO 파일은 게이트웨이에 연결된 상태를 유지해야 합니다. 게이트웨이가 부팅된 후에는 마운트를 해제할 수 없습니다.

    VM DVD 드라이브

  3. 게이트웨이 인스턴스의 전원을 켭니다. 몇 분 정도 기다립니다.

  4. Sophos Central에서 ZTNA > 게이트웨이로 이동하고 새 게이트웨이를 클릭하여 세부 정보 페이지를 엽니다.

    게이트웨이 상태가 게이트웨이 승인 대기 중으로 변경됩니다. 승인을 클릭합니다.

    승인 버튼이 있는 게이트웨이 상태

  5. 게이트웨이 상태가 활성으로 변경됩니다.

게이트웨이 설정을 완료했습니다.

참고

게이트웨이가 Sophos Central에 연결할 수 없는 경우 Hyper-V Manager로 이동하여 VM에 대한 진단을 실행합니다.

새 가상 머신 버전을 사용할 수 있으면 버전 열에 녹색 확인 표시가 나타납니다. 버전 번호를 클릭하여 업데이트를 시작하거나 예약합니다. 게이트웨이에서 게이트웨이 업데이트를 참조하십시오.

Amazon Web Services(AWS)에서 ZTNA 게이트웨이를 설정하려면 다음과 같이 하십시오.

  1. Sophos Central에서 ZTNA > 게이트웨이로 이동합니다.

    ZTNA 메뉴

  2. 게이트웨이 페이지에서 게이트웨이 추가를 클릭합니다.

    게이트웨이 페이지

  3. 게이트웨이 추가 대화 상자에서 다음과 같이 세부 정보를 추가합니다.

    1. 게이트웨이 이름과 FQDN을 입력합니다.
    2. 리소스(응용 프로그램)의 도메인을 입력합니다.
    3. 플랫폼 유형에서 Amazon Web Services를 선택합니다.
    4. ID 공급자에서 이전에 설정한 ID 공급자를 선택합니다.
    5. 이전에 만든 인증서를 업로드합니다.
    6. 저장을 클릭합니다.

    게이트웨이 추가

  4. 게이트웨이 페이지에 이제 새 게이트웨이가 표시됩니다. 옆에 있는 스택 시작 링크를 클릭합니다.

    스택 시작 링크가 있는 게이트웨이

AWS에서 스택 만들기

AWS의 CloudFormation에서 스택 빨리 만들기 템플릿을 볼 수 있습니다. Sophos에서 이미 부분적으로 구성해 두었습니다. 아래 단계에 따라 완료하십시오.

  1. 스택 빨리 만들기 페이지에서 다음과 같이 하십시오.

    1. AWS 리전을 선택합니다(화면 오른쪽 상단).
    2. 스택 이름에 사용자 지정 이름을 입력합니다.

    스택 템플릿

  2. 기본 구성에서 게이트웨이의 가용성을 보장하기 위해 2개 또는 3개의 가용 영역을 선택합니다.

    스택 기본 구성

  3. VPC 네트워크 구성에서 다음과 같이 하십시오.

    1. 가용 영역 수를 설정합니다. 이전 단계에서 선택한 영역 수와 일치해야 합니다.
    2. 서브넷이 기존 리소스와 충돌하지 않는지 확인합니다.
    3. MaxNumberOfNodes에서 최대 노드 수를 설정합니다. 기본적으로 3개입니다.
    4. NodeInstanceType에서, 사용할 EC2 인스턴스 유형을 선택합니다.
    5. NumberOfNodes에서 원하는 노드 수를 설정합니다. 기본값은 각 가용 영역에 대해 하나씩입니다.

    자동 크기 조정은 현재 ZTNA에서 사용할 수 없습니다.

    VPC 네트워크 구성

  4. 스택 만들기를 클릭하고 프로세스가 완료될 때까지 기다립니다. 이 작업은 최대 1시간이 소요될 수 있습니다. 완료되면 새 스택이 AWS 스택 목록에 있고 세부 정보는 다음과 같습니다.

    새 ZTNA 스택

  5. Sophos Central에서 새 게이트웨이로 이동합니다. 승인을 클릭합니다.

    승인이 적용되는 데 최대 10분이 걸릴 수 있습니다. 그러면 게이트웨이 상태가 연결됨으로 변경됩니다.

    게이트웨이 세부 정보 페이지

새 VPC 구성

다음과 같이 VPC를 구성합니다.

  1. AWS에서 Virtual Private Cloud > VPC로 이동합니다.

    AWS VPC 메뉴

  2. 새 VPC로 이동하여 VPC ID를 찾습니다. 이 ID를 사용하여 귀하가 만든 다른 구성 요소를 검색할 수 있습니다.

    새 VPC 세부 정보

  3. EC2 인스턴스로 이동하여 새 VPC ID로 인스턴스를 검색합니다. 이렇게 하면 ZTNA 게이트웨이 클러스터를 구성하는 인스턴스를 찾습니다. 이름을 바꿉니다.

    EC2 인스턴스

  4. 부하 분산에서 VPC ID를 사용하여 ZTNA용 부하 분산 장치를 찾습니다. 세부 정보를 열고 DNS 이름을 복사합니다. 부하 분산 장치를 가리키는 게이트웨이에 대한 퍼블릭 DNS 레코드(CNAME)를 만들려면 이 정보가 필요합니다.

    AWS 부하 분산 장치

피어링 연결 만들기

ZTNA EAP2 릴리스에서 게이트웨이는 항상 새 VPC에 있습니다. 따라서 피어링을 사용하여 응용 프로그램이 있는 VPC와 연결해야 합니다.

  1. VPC > 피어링 연결로 이동합니다. 피어링 연결 만들기를 클릭하고 다음과 같이 하십시오.

    1. VPC ID(요청자)에서 ZTNA 게이트웨이의 ID를 선택합니다.
    2. VPC ID(수락자)에서 리소스가 있는 VPC를 선택합니다.
    3. 피어링 연결 만들기를 클릭합니다.

    VPC 피어링 연결

  2. 서브넷으로 이동하여 리소스 서브넷과 게이트웨이의 프라이빗 서브넷을 라우팅 테이블에 추가합니다. 이렇게 하면 ZTNA가 피어링 연결을 사용하여 리소스에 연결할 수 있습니다.

    서브넷 페이지

게이트웨이 설정을 완료했습니다.

새 가상 머신 버전을 사용할 수 있으면 버전 열에 녹색 확인 표시가 나타납니다. 버전 번호를 클릭하여 업데이트를 시작하거나 예약합니다. 게이트웨이에서 게이트웨이 업데이트를 참조하십시오.

다음으로, 정책을 추가합니다.