AWS Management Portal for vcenter 사용설명서
AWS Management Portal for vcenter 사용설명서 AWS Management Portal for vcenter: 사용설명서 Copyright 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.
AWS Management Portal for vcenter 사용설명서 Table of Contents AWS Management Portal for vcenter 란?... 1 사용량... 1 제한사항... 1 요구사항... 1 시작하는방법... 2 설정... 3 AWS Management Portal for vcenter 설치및구성... 3 시간동기화구성... 4 ( 선택사항 ) 네트워크설정구성... 4 옵션 1: 연동인증프록시... 5 필요한계정및사용자생성... 5 신뢰관계설정... 7 커넥터가상어플라이언스배포... 8 커넥터구성... 9 옵션 2: SAML 기반인증... 10 필요한계정및사용자생성... 11 신뢰관계설정... 12 커넥터가상어플라이언스배포... 14 커넥터구성... 15 ADFS 설정... 16 반가상화 (PV-SSO) 에대한... 20 AWS 리소스관리... 23 관리자관리... 23 VPC 및서브넷관리... 24 보안그룹관리... 25 환경관리... 26 사용자권한관리... 27 EC2 인스턴스관리... 29 리전보기... 29 환경보기... 30 키페어관리... 30 템플릿관리... 31 EC2 인스턴스배포... 32 EC2 인스턴스보기... 32 EC2 인스턴스에연결... 32 EC2 인스턴스중지및다시시작... 33 EC2 인스턴스재부팅... 33 EC2 인스턴스에서이미지생성... 34 EC2 인스턴스종료... 34 가상머신마이그레이션... 35 사전요구사항... 35 제한... 36 VM 가져오기승인... 36 가상머신마이그레이션... 36 인스턴스백업... 37 마이그레이션한 EC2 인스턴스내보내기... 38 마이그레이션문제해결... 39 커넥터관리... 41 관리콘솔액세스... 41 가상머신콘솔에로그인... 41 커넥터암호재설정... 42 키교체... 42 커넥터모니터링... 43 AWS 에문제보고... 44 iii
AWS Management Portal for vcenter 사용설명서 AWSConnector 정책업데이트... 44 일반문제해결... 45 업그레이드문제해결... 46 신뢰할수있는 SSL 인증서설치... 46 신뢰할수없는 SSL 인증서검사... 47 커넥터제거... 47 문서기록... 49 iv
AWS Management Portal for vcenter 사용설명서사용량 AWS Management Portal for vcenter 란? AWS Management Portal for vcenter 는 VMware vcenter 에서 AWS 리소스를생성및관리하기위한간단하고사용하기쉬운인터페이스를제공합니다. 자세한내용은 AWS Management Portal for vcenter 단원을참조하십시오. Note VM 을 vcenter 환경으로부터 AWS 로마이그레이션하려면 AWS Server Migration Service(SMS) 의사용을권장합니다. SMS 는온프레미스 VM 을증분방식으로복제한다음 Amazon 머신이미지 (AMI) 로변환함으로써마이그레이션프로세스를자동화합니다. 마이그레이션을진행하는동안계속해서온프레미스 VM 을사용하실수있습니다. AWS SMS 에대한자세한내용은 AWS Server Migration Service 를참조하십시오. 사용량 관리자는 AWS 네트워크를관리하고, 환경을사용하여 AWS 리소스를구성하며, 환경레벨에서사용자에게권한을부여합니다. 사용자는읽을수있는권한이있는환경의인스턴스를보고, 수정권한이있는환경의 EC2 인스턴스를생성하고관리할수있습니다. 사용자는 AWS Connector for vcenter 를사용하여가상머신을 AWS 로가져올수있습니다. 제한사항 하나의 AWS 계정과하나의인증공급자를사용하여각 vcenter 를연결할수있습니다. vcenter 에로그인하는데사용할수있는계정이없으면사용자는관리포털에액세스할수없습니다. 사용자가 vcenter 에로그인하여관리포털을열면관리자가해당환경에대한액세스권한을부여한경우에만해당환경에서생성된환경및 AWS 리소스를볼수있습니다. 관리자는도메인및사용자이름이특정요구사항을충족하는경우에만사용자에게권한을부여할수있습니다. 도메인및사용자이름은대소문자를구분합니다. 사용자가도메인사용자일경우 domain\user 가 32 자를초과하지않아야합니다. 사용자가로컬사용자일경우 user 가 32 자를초과하지않아야합니다. domain 및 user 값은문자로시작해야하고 a-z, A-Z, 0-9, 마침표 (.), 밑줄 (_) 및대시 (-) 문자만포함해야합니다. management portal 은기본적으로 Amazon EC2 리소스를지원합니다. 향후릴리스는추가서비스를위한리소스를지원할수있습니다. EC2 인스턴스를 EC2-Classic 으로시작할수없습니다. 인스턴스를 VPC 로실행해야합니다. AWS 리소스를생성하고관리하는포괄적인도구가아닙니다. management portal 을사용하면 vcenter 사용자는 VPC 및서브넷생성및 EC2 인스턴스시작과같은기본작업을신속하게시작할수있습니다. 고급작업을수행하려면 AWS Management 콘솔, AWS CLI 또는 AWS SDK 를사용해야합니다. 자세한정보는 Amazon EC2 사용설명서의 Amazon EC2 액세스를참조하십시오. 요구사항 AWS 계정 1
AWS Management Portal for vcenter 사용설명서시작하는방법 vcenter 버전 5.1, 5.5 또는 6.0. ( 웹클라이언트는 vcenter 5.5 및 6.0 버전에서만지원됩니다 ). Internet Explorer 버전 10 Internet Explorer 가쿠키를허용하도록설정되어있습니다. 네트워크연결 : DHCP: connector 가 DHCP 서버에연결할수있도록허용합니다. DNS: connector 가이름확인을위해포트 53 에연결을시작할수있도록허용합니다. 방화벽이이러한연결에대해상태저장모드인지확인합니다. HTTPS 발신 : connector 가포트 443 에서연결을시작하도록허용합니다. 방화벽이이러한연결에대해상태저장모드인지확인합니다. ICMP 발신 : connector 가 ICMP 를사용하여발신연결하도록허용합니다. NTP: connector 가포트 123 에대한연결을시작하여 NTP 서버와시간을동기화하도록허용합니다. 방화벽이이러한연결에대해상태저장모드인지확인합니다. 시작하는방법 AWS Management Portal for vcenter 설정 (p. 3) AWS Management Portal for vcenter를사용하여 AWS 리소스관리 (p. 23) AWS Management Portal for vcenter를사용하여 EC2 인스턴스관리 (p. 29) AWS Connector for vcenter를사용하여가상머신을 Amazon EC2로마이그레이션 (p. 35) 2
AWS Management Portal for vcenter 사용설명서 AWS Management Portal for vcenter 설치및구성 AWS Management Portal for vcenter 설정 management portal 을설정하면조직의사용자가 AWS 리소스에액세스할수있습니다. 이프로세스에는계정생성, management portal 과인증공급자간의신뢰설정, connector 배포및구성이포함됩니다. management portal 을설정하려면다음작업을완료하십시오. 작업 AWS Management Portal for vcenter 설치및구성 (p. 3) 시간동기화구성 (p. 4) ( 선택사항 ) 네트워크설정구성 (p. 4) Note VM 을 vcenter 환경으로부터 AWS 로마이그레이션하려면 AWS Server Migration Service(SMS) 의사용을권장합니다. SMS 는온프레미스 VM 을증분방식으로복제한다음 Amazon 머신이미지 (AMI) 로변환함으로써마이그레이션프로세스를자동화합니다. 마이그레이션을진행하는동안계속해서온프레미스 VM 을사용하실수있습니다. AWS SMS 에대한자세한내용은 AWS Server Migration Service 를참조하십시오. AWS Management Portal for vcenter 설치및구성 두인증공급자, 즉 AWS Connector for vcenter 또는 SAML 2.0 을지원하는 IdP( 자격증명공급자 ) 중에서하나를선택할수있습니다. management portal 에대한설정프로세스는선택한인증공급자에따라다릅니다. 다음표에옵션이설명되어있습니다. 선택한인증공급자에대한지시사항을따르십시오. 인증공급자 연동인증프록시 (p. 5) 설명 connector 가사용자를인증하도록구성할수있습니다. 이옵션에대한사전요구사항은없습니다. 설정프로세스중에 management portal 과 connector 간의신뢰관계를설정하게됩니다. SAML 2.0 을지원하는 IdP 를사용하지않는조직을위해이옵션이제공됩니다. SAML 기반인증 (p. 10) SAML 2.0 은 SSO(Single Sign-On) 용으로특별히설계된개방형표준을제공합니다. 이렇게하면 IdP 에서인증한사용자가 management portal 에액세스할수있습니다. 이옵션을사용하려면먼저조직에대한 IdP 를설정해야합니다. 설정프로세스중에 SAML 공급자를설정하고 management portal 과 AWS 간에신뢰관계를구성합니다. SAML 의이점에대한자세한내용은 SAML 의장점을참조하십시오. 3
AWS Management Portal for vcenter 사용설명서시간동기화구성 인증공급자를선택한후설정프로세스를완료합니다. 다른인증공급자를선택하려면설정프로그램의첫페이지로돌아가서 [Reset Trust Relationship] 을클릭하거나요약페이지에서 [Reset Trust Relationship] 을확장하고 [I acknowledge that I want to reset my trust relationships configuration] 을클릭한다음 [Reset Trust Relationship] 을클릭합니다. 시간동기화구성 이 connector 가상어플라이언스는해당시간을 ESX/ESXi 서버의시간과동기화합니다. 이 connector 를사용하려면배포된 ESXi 서버에 NTP(Network Time Protocol) 가구성되어있어야합니다. 설치프로그램에서자격증명을등록하지못하면시간동기화문제일수있습니다. 확인하려면 debugfile.log 를열고 ntpdate, -qv, pool.ntp.org 문자열을검색합니다. 오프셋이 15 초이상일경우 ESX/ESXi 서버에 NTP 를구성하고 connector 를다시시작합니다. ( 선택사항 ) 네트워크설정구성 connector 명령줄인터페이스 (CLI) 를사용하여다양한네트워크설정을구성할수있습니다. 커넥터 CLI 를사용하여네트워크설정을업데이트하려면 1. vsphere 클라이언트에서커넥터 VM 을찾아마우스오른쪽버튼으로클릭하고 [Open Console] 을선택합니다. 2. ec2-user 암호를사용하여 ec2pass 로로그인합니다. 3. sudo setup.rb 명령을실행합니다. 이명령은다음메뉴를표시합니다. 다다다다다다다다다다다다다. 1. 다다다다다다다 2. 다다다다다다다다다 3. 다다다다다다 4. 다다다다다다다다다다 5. 다다다다다다다다다다다다다다 6. SSL 다다다다다다다다 / 다다다다 7. 다다다다 SSL 다다다다다 8. 다다다다다다 9. 다다다다다다다다다다다다다. [1-9]: 4. 2 를입력하고 Enter 키를누릅니다. 이명령은다음메뉴를표시합니다. 다다다다다다다 : 1. DHCP 다다다다다다다다 2. 다다 IP 다다 3. AWS 다다다다다다다다다다다다다다다 4. DNS 다다다다다다다다다 5. 다다다다다다다다다다다다다. [1-5]: 이옵션을사용하여다음작업을완료합니다. 1. DHCP 임대를갱신하거나, 고정 IP 주소를설정한후 DHCP 를다시활성화합니다. 2. connector 용고정 IP 주소를설정합니다. 화면이표시되면고정 IP 주소, 넷마스크, 게이트웨이, DNS 서버를입력합니다. 3. connector 가회사웹프록시를사용하도록구성합니다. 화면이나타나면프록시 IP 주소, 포트, 사용자이름 / 암호 ( 선택사항 ) 를입력하여프록시에로그인합니다. 웹프록시에대한인증을사용해야할경우커넥터는암호기반인증만지원한다는것에유의하십시오. Note 이옵션을사용하려면 https://ip_address/ 를사용하여커넥터에로그인하여최초암호를설정했어야합니다. 여기서 ip_address 는커넥터관리콘솔의 IP 주소입니다. 4. connector 가 ESX 호스트에서 VM 을마이그레이션할수있도록 DNS 접미사검색목록을구성합니다. vcenter 에모든 ESX 호스트가정규화된도메인이름또는 IP 주소로표시될경우이작업이필요없습니다. 5. IP 주소가변경되거나프록시설정이변경된경우다음과같이 connector 를다시등록합니다. a. 웹브라우저를사용하여 connector 관리콘솔을엽니다. b. 대시보드에서 Register the Connector( 커넥터등록 ) 를클릭합니다. 4
AWS Management Portal for vcenter 사용설명서옵션 1: 연동인증프록시 c. 지침에따라등록마법사를완료합니다. 옵션 1: 연동인증프록시 AWS Connector for vcenter 를사용하여사용자를인증하도록 management portal 을설정할수있습니다. 사용자가 AWS 리소스에직접액세스할수없습니다. 대신 vsphere 클라이언트는 vcenter 서버에서사용자정보를가져오고 AWS Identity and Access Management (IAM) 역할을사용하여사용자에대한임시 AWS 보안자격증명을가져옵니다. 다음다이어그램에서이프로세스를보여줍니다. 연동인증프록시 1. 사용자가 vcenter 에로그인하여 [Home] 을클릭한다음 [AWS Management Portal] 을클릭합니다. vsphere 클라이언트가 connector 에인증요청을보냅니다. 2. connector 가사용자를인증합니다. 3. connector 가 AWS Security Token Service(AWS STS) 에서임시보안자격증명을요청합니다. 4. AWS STS 가사용자에대한임시보안자격증명을 connector 에전송합니다. 5. 사용자는관리자가 AWS 리소스에할당한권한을기반으로 AWS 리소스에대한액세스권한을부여받습니다. 작업 management portal을설정하려면다음작업을완료하십시오. 1. 필요한계정및사용자생성 (p. 5) 2. 신뢰관계설정 (p. 7) 3. 커넥터가상어플라이언스배포 (p. 8) 4. 커넥터구성 (p. 9) 필요한계정및사용자생성 먼저 management portal에필요한계정과사용자를생성합니다. 필요한계정및사용자를생성하려면 1. 조직에 AWS 계정이아직없는경우다음단계를사용하여 AWS 계정을만드십시오. a. https://portal.aws.amazon.com/billing/signup을엽니다. 5
AWS Management Portal for vcenter 사용설명서필요한계정및사용자생성 b. 온라인지시사항을따릅니다. 등록절차중전화를받고전화키패드를사용하여확인코드를입력하는과정이있습니다. AWS 계정이나 IAM 사용자의자격증명을사용하여설정프로세스를완료할수있습니다. AWS Identity and Access Management(IAM) 대한자세한내용은 IAM 사용설명서단원을참조하십시오. IAM 사용자가 management portal& 을설정할수있게허용하려면해당사용자에게다음정책에지정된조치를사용할수있는권한을부여해야합니다. { } "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:createbucket", "s3:putbucketacl", "s3:getbucketlocation", "s3:getbucketacl" ], "Resource": "arn:aws:s3:::export-to-s3-*" }, { "Effect": "Allow", "Action": [ "s3:listallmybuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ] 2. connector 가신뢰역할을맡고사용자를인증하는데사용하는 IAM 사용자인 AWS 인증자제공자계정을생성합니다. a. https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을엽니다. b. 탐색창에서 [Users] 를클릭합니다. c. [Add user] 를클릭합니다. d. [Add user] 페이지에서사용자이름을입력하고 [Programmatic access] 를선택한다음 [Next: Permissions] 를클릭합니다. e. [Attach existing policies directly] 를선택합니다. f. 검색필드에 AWSConnector 를입력합니다. [AWSConnector] 정책의확인란을선택한다음 [Next: Review] 를클릭합니다. g. [Create user] 를클릭합니다. h. 이계정의자격증명을안전한위치에저장한다음 [Close] 를클릭합니다. Important connector 설정프로세스를완료하려면이자격증명이필요합니다. 6
AWS Management Portal for vcenter 사용설명서신뢰관계설정 3. connector 가 vcenter 와통신하기위해사용하는로컬또는도메인사용자인 vcenter 서비스계정을생성합니다. 계정에대한고유한임의암호를지정합니다. 이시점에서 vcenter 권한을이사용자에게수동으로할당하지마십시오. connector 설정프로세스중에이사용자에게 vapp 내보내기권한을할당합니다. connector 설정프로세스를완료한후에이권한을 vcenter 인벤토리의특정부분으로제한할수있습니다. Important 이계정에대한자격증명을안전한위치에저장합니다. connector 설정프로세스를완료하는데필요합니다. IdP, vcenter 또는 Windows 중가장쉬운방법을사용하여이사용자를만들수있습니다. 로컬또는도메인사용자를만드는방법에대한자세한내용은다음설명서를참조하거나 vcenter 또는 IdP 관리자에게문의하십시오. Active Directory: 새사용자계정생성 Windows: 로컬사용자계정생성 vcenter 5.5: vcenter SSO(Single Sign On) 사용자추가 ( 기본도메인은 vsphere.local) vcenter 5.1: vcenter SSO(Single Sign On) 사용자추가 ( 기본도메인은 System-Domain) vcenter 서버어플라이언스 : 로컬사용자계정생성및관리 신뢰관계설정 다음절차를수행하여 management portal 과 connector 간의신뢰관계를설정하십시오. 신뢰관계를설정하려면 1. AWS Management Portal for vcenter 설정콘솔을엽니다. Tip 설정프로세스를이미마쳤는데인증공급자를변경하고싶은경우에는요약페이지로이동하여 [Reset Trust Relationship] 을확장하고, [I acknowledge that I want to reset my trust relationships configuration] 을클릭한다음 [Reset Trust Relationship] 을클릭합니다. 2. [Get started now] 를클릭합니다. 3. [AWS Management Portal for vcenter Configuration] 페이지에서인증공급자로 [AWS Connector] 를선택합니다. 4. [Configure the Trust Relationship] 페이지에서다음작업중하나를수행하십시오. 옵션 1: 신뢰설정 a. AWS 인증자공급자계정으로생성한 IAM 사용자의이름을지정합니다. b. ( 선택사항 ) AMP 신뢰역할, AMP 서비스역할및가져오기서비스역할에대한정책을검토합니다. c. [I agree that AWS Management Portal for vcenter may create the above roles on my behalf] 를선택합니다. d. [Save and Continue] 를클릭합니다. 옵션 2: 인증공급자변경 앞서 [SAML-based authentication provider] 를인증공급자로선택했다면 [Reset Trust Relationship] 을클릭합니다. 재설정후설정프로세스를다시시작하고, [AWS Connector] 를선택한다음신뢰를설정할수있습니다. 5. [Add Administrators] 페이지에서조직의사용자를한명에서다섯명까지 management portal 관리자로추가한다음 [Save and Continue] 를클릭합니다. 로컬및도메인사용자를둘다지정할수있습니다. 7
AWS Management Portal for vcenter 사용설명서커넥터가상어플라이언스배포 Important 도메인및사용자이름은대 / 소문자를구분합니다. domain\user 형식을사용합니다. 여기서 domain\ 은로컬사용자의경우선택사항입니다. 도메인사용자의경우 domain\user 가 32 자를초과하지않아야합니다. 로컬사용자의경우 user 가 32 자를초과하지않아야합니다. domain 및 user 이름은문자로시작해야하고 a-z, A-Z, 0-9, 마침표 (.), 밑줄 (_) 및대시 (-) 문자만포함해야합니다. 지금관리자를한명이상추가해야하지만나중에다른사용자를관리자로추가할수도있습니다. 자세한내용은관리자관리 (p. 23) 단원을참조하십시오. 6. [Create an AMP Connector Key] 페이지에서 AMP 커넥터키의이름을입력하고 [Create] 를클릭합니다. 7. [Review Your Configuration] 페이지에서 [Download Configuration] 을클릭합니다. 그러면신뢰관계구성이들어있는파일이다운로드됩니다. 이파일을안전한위치에저장합니다. 이파일은커넥터배포프로세스를완료하는데필요합니다. 마침을클릭합니다. AMP 신뢰역할또는 AMP 커넥터키가손상되었다고생각되면새로만들수있습니다. 8. [AWS Management Portal Setup] 페이지에서현재의설정구성을검토하고편집할수있습니다. 커넥터가상어플라이언스배포 management portal 에서는관리자와권한을관리하는 connector 을 ( 를 ) 사용자가배포및구성해야합니다. connector 은 ( 는 ) 가상어플라이언스로패키징됩니다. connector 을 ( 를 ) 배포하려면다음절차를완료합니다. 커넥터가상어플라이언스를배포하려면 1. vcenter 에 VMware 관리자로로그인합니다. 2. [File] 메뉴에서 [Deploy OVF Template] 을클릭합니다. [Deploy from a file or URL] 필드에다음 URL 을입력한다음 [Next] 를클릭합니다. https://s3.amazonaws.com/aws-connector/aws-connector.ova ( 선택사항 ) 다운로드를검증하려면다음 MD5 및 SHA256 체크섬을사용합니다. https://s3.amazonaws.com/aws-connector/aws-connector.ova.md5sum https://s3.amazonaws.com/aws-connector/aws-connector.ova.sha256sum 3. 마법사를완료합니다. [Disk Format] 페이지에서씩프로비전디스크유형중하나를선택합니다. 성능과안정성이가장뛰어난 [Thick Provision Eager Zeroed] 를선택하는것이좋지만이경우디스크를제로잉하는데몇시간이필요합니다. [Thin Provision] 은더빠른배포가가능하지만디스크성능이크게저하되므로선택하지않는것이좋습니다. 자세한내용은 VMware 설명서에서지원되는가상디스크의유형을참조하십시오. 4. vsphere 클라이언트인벤토리트리에서새로배포된템플릿을찾은다음마우스오른쪽버튼으로클릭하고 [Power] > [Power On] 을선택합니다. 템플릿을마우스오른쪽버튼으로다시클릭하고 [Open Console] 을선택합니다. 콘솔에 connector 관리콘솔의 IP 주소가표시됩니다. IP 주소를안전한위치에저장합니다. 이주소는 connector 설정프로세스를완료하는데필요합니다. Note DHCP 서버가없는경우정적 IP 주소를구성해야합니다. 자세한내용은 ( 선택사항 ) 네트워크설정구성 (p. 4) 섹션을참조하십시오. 8
AWS Management Portal for vcenter 사용설명서커넥터구성 커넥터구성 설정프로세스를완료하려면웹브라우저를열고다음절차를완료합니다. connector 관리콘솔을사용하여 connector 를구성하려면 1. 웹브라우저에서 https://ip_address 로이동합니다. 여기서 ip_address 는이전에저장한 connector 관리콘솔의 IP 주소입니다. Tip 브라우저에서사이트에대한인증서를확인할수없는경우사이트를신뢰할수없음을알립니다. 인증서를확인하거나 ( 신뢰할수없는 SSL 인증서검사 (p. 47) 참조 ) 이를자신의인증서로대체할수있습니다 ( 신뢰할수있는 SSL 인증서설치 (p. 46) 참조 ). 2. [Log in to Connector] 대화상자에서 vcenter Server 의 IP 주소또는호스트이름과 vcenter 관리자의자격증명을입력한다음 [Log in] 을클릭합니다. 이 vcenter 호스트이름은 32 자를초과할수없습니다. 따라서더짧은호스트이름이나 IP 주소를지정합니다. 메시지가나타나면암호를생성합니다. 이암호는다음에 connector 관리콘솔에로그인할때사용됩니다. Note 잘못된암호를 20 번입력하면사용자가잠기고암호를재설정해야합니다. 자세한내용은커넥터암호재설정 (p. 42) 단원을참조하십시오. 3. connector 에처음로그인한경우등록마법사가자동으로시작됩니다. 그렇지않으면 [Register the Connector] 를클릭합니다. 4. 구성파일을다운로드한경우다음을수행합니다. 1. [Upload the configuration file] 를클릭하고구성파일을선택한뒤 [Next] 를클릭합니다. 2. [vcenter Service Account Credentials] 페이지에서필요한계정및사용자생성 (p. 5) 에서생성한 vcenter 서비스계정의자격증명을입력하고 [Next] 를클릭합니다. 도메인사용자의경우 domain\username 또는 username@domain 형식을사용합니다. 3. [AWS Credentials] 페이지에서신뢰관계설정 (p. 7) 에서선택한 AWS 서비스계정의자격증명을입력합니다. (VM 가져오기에대해동일한 IAM 사용자를사용하거나 AWSConnector 정책이연결된다른 IAM 사용자를사용할수있습니다.) [ 다음 ] 을클릭합니다. Note IAM 사용자의 AWSConnector 정책이오래되었다는오류가발생하면정책을업데이트해야합니다. 자세한내용은 AWSConnector 정책업데이트 (p. 44) 단원을참조하십시오. 4. [Register Plugin] 페이지에서 [I agree to install the vcenter SSL certificates on this connector] 를클릭합니다. 이옵션을선택하지않는한 connector 에대한자동업그레이드가제공됩니다. [Register] 를클릭하여 vcenter Server 인증서를설치합니다. 이인증서가제시된경우에만 connector 의인증공급자가 vcenter Server 에응답합니다. 그렇지않으면다음과같이설치를완료합니다. 1. [Upload the configuration file] 을클릭하고구성파일을선택한뒤 [Next] 를클릭합니다. 2. 이전에저장한 AMP 커넥터키를입력하고 [Next] 를클릭합니다. 3. [vcenter Admin Credentials] 페이지에서 vcenter 서버의 IP 주소또는호스트이름을입력하고 vcenter 관리자의이름과암호를입력합니다. 이 vcenter 호스트이름은 32 자를초과할수없습니다. 따라서더짧은호스트이름이나 IP 주소를지정합니다. [ 다음 ] 을클릭합니다. 이페이지는처음커넥터를구성할때나타나지않습니다. 9
AWS Management Portal for vcenter 사용설명서옵션 2: SAML 기반인증 4. [vcenter Service Account Credentials] 페이지에서필요한계정및사용자생성 (p. 5) 에서생성한 vcenter 서비스계정의자격증명을입력하고 [Next] 를클릭합니다. 도메인사용자의경우 domain\username 또는 username@domain 형식을사용합니다. 5. [AWS Credentials] 페이지에서, 신뢰관계설정 (p. 7) 에서선택한 AWS 서비스계정의자격증명과 AMP 신뢰역할의 ARN 을입력합니다. (VM 가져오기에대해동일한 IAM 사용자를사용하거나 AWSConnector 정책이연결된다른 IAM 사용자를사용할수있습니다.) [ 다음 ] 을클릭합니다. Note IAM 사용자의 AWSConnector 정책이오래되었다는오류가발생하면정책을업데이트해야합니다. 자세한내용은 AWSConnector 정책업데이트 (p. 44) 단원을참조하십시오. 6. [Register Plugin] 페이지에서 [Register] 를클릭하여 vcenter Server 인증서를설치합니다. 이인증서가제시된경우에만 connector 의인증공급자가 vcenter Server 에응답합니다. 5. vsphere 클라이언트를종료했다가다시엽니다. [Home] 과 [AWS Management Portal] 을차례로클릭합니다. 설정프로세스를완료했으므로 management portal 을사용할준비가되었습니다. 그런시작하기전에시간동기화구성 (p. 4) 및네트워크설정구성 (p. 4) 단계를수행하고자할수도있습니다. 옵션 2: SAML 기반인증 ID 공급자 (IdP) 를사용하여사용자를인증하도록 management portal 을설정할수있습니다. 사용자가 AWS 리소스에직접액세스할수없습니다. 대신 vsphere 클라이언트는 ID 저장소에서사용자정보를가져오고 SAML 어설션을사용하여 AWS Management Portal for vcenter 에대한사용자액세스권한을부여합니다. 다음다이어그램에서이프로세스를보여줍니다. SAML 기반인증 1. 사용자가 vcenter 에로그인하여 [Home] 을클릭한다음 [AWS Management Portal] 을클릭합니다. vsphere 클라이언트가 IdP 에인증요청을보냅니다. 2. 그 IdP 가사용자를인증합니다. 3. IdP 는사용자를식별하고사용자에대한정보를제공하는어설션이포함된 SAML 인증응답을생성합니다. 4. vsphere 클라이언트는 AWS SSO(Single Sign-On) 엔드포인트에 SAML 어설션을게시합니다. 엔드포인트는 AWS Security Token Service(AWS STS) 에서임시보안자격증명을요청하고콘솔로그인 URL 을생성합니다. 5. AWS 는리디렉션을통한 vsphere 클라이언트에대한로그인 URL 을콘솔에보냅니다. 6. management portal 은관리자가 AWS 리소스에할당한권한에따라 AWS 리소스에대한액세스권한을사용자에게부여합니다. 10
AWS Management Portal for vcenter 사용설명서필요한계정및사용자생성 사전요구사항 management portal 설정을시작하기전에 AWS SAML 연동에사용할 IdP 를설정및구성합니다. IdP 에서 SAML 2.0 을지원해야하고 RelayState 파라미터를활성화해야합니다. 디렉터리서비스에 Windows Active Directory(AD) 를사용하는경우 Active Directory Federation Services(ADFS) 를 IdP 로사용할수있습니다. 자세한내용은 AWS Management Portal for vcenter 용 ADFS 설정 (p. 16) 단원을참조하십시오. 다른 ID 공급자에대한자세한내용은 IAM 사용설명서의 SAML 솔루션공급자를 AWS 와통합을참조하십시오. 작업 management portal 을설정하려면다음작업을완료하십시오. 1. 필요한계정및사용자생성 (p. 11) 2. 신뢰관계설정 (p. 12) 3. 커넥터가상어플라이언스배포 (p. 14) 4. 커넥터구성 (p. 15) 필요한계정및사용자생성 먼저 management portal에필요한계정과사용자를생성합니다. 필요한계정및사용자를생성하려면 1. 조직에 AWS 계정이아직없는경우다음단계를사용하여 AWS 계정을만드십시오. a. https://portal.aws.amazon.com/billing/signup을엽니다. b. 온라인지시사항을따릅니다. 등록절차중전화를받고전화키패드를사용하여확인코드를입력하는과정이있습니다. AWS 계정이나 IAM 사용자의자격증명을사용하여설정프로세스를완료할수있습니다. AWS Identity and Access Management(IAM) 대한자세한내용은 IAM 사용설명서단원을참조하십시오. IAM 사용자가 management portal 을설정할수있게허용하려면해당사용자에게다음정책에지정된조치를사용할수있는권한을부여해야합니다. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:createbucket", "s3:putbucketacl", "s3:getbucketlocation", "s3:getbucketacl" ], "Resource": "arn:aws:s3:::export-to-s3-*" }, { 11
AWS Management Portal for vcenter 사용설명서신뢰관계설정 } ] } "Effect": "Allow", "Action": [ "s3:listallmybuckets" ], "Resource": [ "arn:aws:s3:::*" ] 2. AWS 서비스계정을생성합니다. 이계정은 connector 가 vcenter 에서 AWS 로 VM 을마이그레이션하는데사용하는 IAM 사용자입니다. a. https://console.aws.amazon.com/iam/ 에서 IAM 콘솔을엽니다. b. 탐색창에서 [Users] 를클릭합니다. c. [Add user] 를클릭합니다. d. [Add user] 페이지에서사용자이름을입력하고 [Programmatic access] 를선택한다음 [Next: Permissions] 를클릭합니다. e. [Attach existing policies directly] 를선택합니다. f. 검색필드에 AWSConnector 를입력합니다. [AWSConnector] 정책의확인란을선택하고 [Next: Review] 를클릭합니다. g. [Create user] 를클릭합니다. h. 이계정의자격증명을안전한위치에저장한다음 [Close] 를클릭합니다. Important connector 설정프로세스를완료하려면이자격증명이필요합니다. 3. connector 가 vcenter 와통신하기위해사용하는로컬또는도메인사용자인 vcenter 서비스계정을생성합니다. 계정에대한고유한임의암호를지정합니다. 이시점에서 vcenter 권한을이사용자에게수동으로할당하지마십시오. connector 설정프로세스중에이사용자에게 vapp 내보내기권한이할당됩니다. connector 설정프로세스를완료한후에이권한을 vcenter 인벤토리의특정부분으로제한할수있습니다. Important 이계정에대한자격증명을안전한위치에저장합니다. connector 설정프로세스를완료하는데필요합니다. IdP, vcenter 또는 Windows 중가장쉬운방법을사용하여이사용자를만들수있습니다. 로컬또는도메인사용자를만드는방법에대한자세한내용은다음설명서를참조하거나 vcenter 또는 IdP 관리자에게문의하십시오. Active Directory: 새사용자계정생성 Windows: 로컬사용자계정생성 vcenter 5.5: vcenter SSO(Single Sign On) 사용자추가 ( 기본도메인은 vsphere.local) vcenter 5.1: vcenter SSO(Single Sign On) 사용자추가 ( 기본도메인은 System-Domain) vcenter 서버어플라이언스 : 로컬사용자계정생성및관리 신뢰관계설정 다음절차를수행하여 management portal과 IdP 간의신뢰관계를설정하십시오. 신뢰관계를설정하려면 1. AWS Management Portal for vcenter 설정콘솔을엽니다. 12
AWS Management Portal for vcenter 사용설명서신뢰관계설정 Tip 설정프로세스를이미마쳤는데인증공급자를변경하고싶은경우에는요약페이지로이동하여 [Reset Trust Relationship] 을확장하고, [I acknowledge that I want to reset my trust relationships configuration] 을클릭한다음 [Reset Trust Relationship] 을클릭합니다. 2. [Get started now] 를클릭합니다. 3. [AWS Management Portal for vcenter Configuration] 페이지에서 [SAML-based authentication provider] 를선택합니다. 4. [Configure the Trust Relationship] 페이지에서다음작업중하나를수행하십시오. 옵션 1: 신뢰설정 1. [SAML provider] 에서 [CREATE NEW] 를선택하여 SAML 공급자를생성합니다. 공급자이름을입력하고 IdP 에대한 SAML 메타데이터문서를선택한다음 [Save] 를클릭합니다. IdP 가 ADFS 인경우다음 URL 을사용하여 SAML 메타데이터문서를다운로드할수있습니다. 여기서 my-adfs-server 는 ADFS 서버의호스트이름입니다. https://my-adfs-server/federationmetadata/2007-06/federationmetadata.xml 2. [Identity Provider URN] 에해당 IdP 의고유한식별자를입력합니다. 이는 IdP 에대한 SAML 메타데이터문서의 entityid 속성값입니다. 3. [SAML role] 에서 [CREATE NEW] 를선택합니다. 이역할은 AWS 권한이없습니다. management portal 에서는 IdP 의어설션을사용하여이역할을맡을수있는사용자를신뢰합니다. 4. [AMP service role] 에서 [CREATE NEW] 를선택합니다. management portal 은이역할을통해 AWS 리소스를관리합니다. 5. [Import service role] 에서 [CREATE NEW] 를선택합니다. VM 가져오기 / 내보내기서비스는 connector 를사용하여 VM 을마이그레이션할때이역할을사용하여변환작업을관리합니다. 6. [I agree that AWS Management Portal for vcenter may create the above roles on my behalf] 를클릭합니다. 7. [Save and Continue] 를클릭합니다. 옵션 2: 인증공급자변경 앞서 [AWS Connector] 를인증공급자로선택했다면 [Reset Trust Relationship] 을클릭합니다. 재설정후설정프로세스를다시시작하고, [SAML-based authentication provider] 를선택한다음신뢰를설정할수있습니다. 5. [Configure Single Sign-On URL] 페이지에서 SSO(Single Sign-On) URL 을입력하고 [Save and Continue] 를클릭합니다. 이 URL 에서는신뢰당사자식별자 (urn:amazon:webservices) 및 SAML RelayState(https:// amp.aws.amazon.com/auth) 파라미터를사용해야합니다. IdP 가 ADFS 인경우, SSO URL 은 IdP URL 뒤에다음이나옵니다.?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F %252Famp.aws.amazon.com%252Fauth 예를들어, IdP URL 을 https://adfs.mydomain.com/adfs/ls/idpinitiatedsignon.aspx 이라고가정합니다. 해당하는 SSO URL 은다음과같습니다. https://adfs.mydomain.com/adfs/ls/idpinitiatedsignon.aspx?relaystate=rpid%3durn %253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com %252Fauth 13
AWS Management Portal for vcenter 사용설명서커넥터가상어플라이언스배포 SSO URL 을수동으로생성하거나생성기도구를사용할수있습니다. 예를들어, IdP 가 ADFS 인경우 ADFS 2.0 RelayState 생성기를참조하십시오. 6. [Add Administrators] 페이지에서조직의사용자를한명에서다섯명까지 management portal 관리자로추가한다음 [Save and Continue] 를클릭합니다. 로컬및도메인사용자를둘다지정할수있습니다. Important 도메인및사용자이름은대 / 소문자를구분합니다. domain\user 형식을사용합니다. 여기서 domain\ 은로컬사용자의경우선택사항입니다. 도메인사용자의경우 domain\user 가 32 자를초과하지않아야합니다. 로컬사용자의경우 user 가 32 자를초과하지않아야합니다. domain 및 user 이름은문자로시작해야하고 a-z, A-Z, 0-9, 마침표 (.), 밑줄 (_) 및대시 (-) 문자만포함해야합니다. 지금관리자를한명이상추가해야하지만나중에다른사용자를관리자로추가할수도있습니다. 자세한내용은관리자관리 (p. 23) 단원을참조하십시오. 7. [Create an AMP Connector Key] 페이지에서 AMP 커넥터키의이름을입력하고 [Create] 를클릭합니다. 8. [Review Your Configuration] 페이지에서 [Download Configuration] 을클릭합니다. 그러면신뢰관계구성이들어있는파일이다운로드됩니다. 파일을안전한위치에저장합니다. 이파일은커넥터배포프로세스를완료하는데필요합니다. 마침을클릭합니다. AMP 신뢰역할또는 AMP 커넥터키가손상되었다고생각되면새로만들수있습니다. 9. IdP 내에서 AWS 를신뢰할수있는신뢰당사자로구성하십시오. IdP 가 ADFS 인경우자세한내용은 ADFS 및 AWS Management Portal for vcenter 에대한 SSO 구성 (p. 20) 을참조하십시오. 10. 브라우저를사용하여 SSO URL 을테스트합니다. 이시점에서다음과같은페이지가표시됩니다. AWS Management Portal for vcenter Your AWS Management Portal setup is incomplete 대신 AWS Management 콘솔이표시되면 IdP 가 RelayState 파라미터를지원하도록구성되지않았습니다. 자세한정보는 RelayState 활성화 (p. 19) 단원을참조하십시오. 커넥터가상어플라이언스배포 management portal 에서는관리자와권한을관리하는 connector 을 ( 를 ) 사용자가배포및구성해야합니다. connector 은 ( 는 ) 가상어플라이언스로패키징됩니다. connector 을 ( 를 ) 배포하려면다음절차를완료합니다. 커넥터가상어플라이언스를배포하려면 1. vcenter 에 VMware 관리자로로그인합니다. 2. [File] 메뉴에서 [Deploy OVF Template] 을클릭합니다. [Deploy from a file or URL] 필드에다음 URL 을입력한다음 [Next] 를클릭합니다. https://s3.amazonaws.com/aws-connector/aws-connector.ova ( 선택사항 ) 다운로드를검증하려면다음 MD5 및 SHA256 체크섬을사용합니다. https://s3.amazonaws.com/aws-connector/aws-connector.ova.md5sum https://s3.amazonaws.com/aws-connector/aws-connector.ova.sha256sum 3. 마법사를완료합니다. [Disk Format] 페이지에서씩프로비전디스크유형중하나를선택합니다. 성능과안정성이가장뛰어난 [Thick Provision Eager Zeroed] 를선택하는것이좋지만이경우디스크를제로 14
AWS Management Portal for vcenter 사용설명서커넥터구성 잉하는데몇시간이필요합니다. [Thin Provision] 은더빠른배포가가능하지만디스크성능이크게저하되므로선택하지않는것이좋습니다. 자세한내용은 VMware 설명서에서지원되는가상디스크의유형을참조하십시오. 4. vsphere 클라이언트인벤토리트리에서새로배포된템플릿을찾은다음마우스오른쪽버튼으로클릭하고 [Power] > [Power On] 을선택합니다. 템플릿을마우스오른쪽버튼으로다시클릭하고 [Open Console] 을선택합니다. 콘솔에 connector 관리콘솔의 IP 주소가표시됩니다. IP 주소를안전한위치에저장합니다. 이주소는 connector 설정프로세스를완료하는데필요합니다. Note DHCP 서버가없는경우정적 IP 주소를구성해야합니다. 자세한내용은 ( 선택사항 ) 네트워크설정구성 (p. 4) 섹션을참조하십시오. 커넥터구성 설정프로세스를완료하려면웹브라우저를열고다음절차를완료합니다. Important 이절차의지시사항은 connector 버전 2.1.0 이상에대해작성되었습니다. 화면의오른쪽상단에있는버전정보가 Version: 2.0.0 인경우, connector 버전 2.0.0 용으로작성된지침을보려면커넥터구성 PDF 파일을다운로드하십시오. connector 관리콘솔을사용하여 connector 를구성하려면 1. 웹브라우저에서 https://ip_address 로이동합니다. 여기서 ip_address 는이전에저장한 connector 관리콘솔의 IP 주소입니다. Tip 브라우저에서사이트에대한인증서를확인할수없는경우사이트를신뢰할수없음을알립니다. 인증서를확인하거나 ( 신뢰할수없는 SSL 인증서검사 (p. 47) 참조 ) 이를자신의인증서로대체할수있습니다 ( 신뢰할수있는 SSL 인증서설치 (p. 46) 참조 ). 2. [Log in to Connector] 대화상자에서 vcenter Server 의 IP 주소또는호스트이름과 vcenter 관리자의자격증명을입력한다음 [Log in] 을클릭합니다. 이 vcenter 호스트이름은 32 자를초과할수없습니다. 따라서더짧은호스트이름이나 IP 주소를지정합니다. 메시지가나타나면암호를생성합니다. 이암호는다음에 connector 관리콘솔에로그인할때사용됩니다. Note 잘못된암호를 20 번입력하면사용자가잠기고암호를재설정해야합니다. 자세한내용은커넥터암호재설정 (p. 42) 단원을참조하십시오. 3. connector 에처음로그인한경우등록마법사가자동으로시작됩니다. 그렇지않으면 [Register the Connector] 를클릭합니다. 4. [Upload Key Pair] 페이지에서신뢰관계를설정할때만든키를복사한후 [Next] 를클릭합니다. 5. [vcenter Admin Credentials] 페이지에서새 vcenter 확장을등록할권한이있는 vcenter 계정의자격증명을입력한후 [Next] 를클릭합니다. connector 설정프로세스를완료한후에는이자격증명을삭제합니다. 6. [vcenter Service Account Credentials] 페이지에서필요한계정및사용자생성 (p. 11) 에서생성한 vcenter 서비스계정의자격증명을입력하고 [Next] 를클릭합니다. 도메인사용자의경우 domain\username 또는 username@domain 형식을사용합니다. 이러한자격증명은암호화된형식으로저장되므로설정프로세스를완료한후에는자격증명을저장할필요가없습니다. 15
AWS Management Portal for vcenter 사용설명서 ADFS 설정 7. [AWS Credentials] 페이지에서, 필요한계정및사용자생성 (p. 11) 에서만든 AWS 서비스계정의자격증명을입력한후 [Next] 를클릭합니다. 이러한자격증명은암호화된형식으로저장됩니다. Note IAM 사용자의 AWSConnector 정책이오래되었다는오류가발생하면정책을업데이트해야합니다. 자세한내용은 AWSConnector 정책업데이트 (p. 44) 단원을참조하십시오. 8. [Register Plugin] 페이지에서 [Register] 를클릭합니다. 9. vsphere 클라이언트를종료했다가다시엽니다. [Home] 과 [AWS Management Portal] 을차례로클릭합니다. IAM 역할을선택하라는메시지가표시되면이름에 AWS-Management-Portal-for-vCenter 가있는역할을선택합니다. Important management portal 대신 AWS 콘솔이표시되면 RelayState 파라미터가활성화되지않았기때문일수있습니다. 자세한정보는 RelayState 활성화 (p. 19) 단원을참조하십시오. 설정프로세스를완료했으므로 management portal 을사용할준비가되었습니다. 그런시작하기전에시간동기화구성 (p. 4) 및네트워크설정구성 (p. 4) 단계를수행하고자할수도있습니다. AWS Management Portal for vcenter 용 ADFS 설정 Windows Active Directory(AD) 를디렉터리서비스로사용하는경우 ADFS(Active Directory Federation Service) 를 IdP(Identity Provider) 로사용하고 AWS 환경에연동된 SSO(Single Sign-On) 를사용할수있습니다. 조직과 AWS 간의통합을활성화하려면다음작업을완료하십시오. 작업 1. 요구사항준비 (p. 16) 2. ADFS 2.0 설치 (p. 17) 또는 ADFS 3.0 설치 (p. 18) 3. RelayState 활성화 (p. 19) 요구사항 다음과같은요구사항을준비합니다. Active Directory 에도메인계정을만듭니다. 예를들어, 이절차에서 adfssvc 이름을사용합니다. 암호는안전한장소에보관합니다. 이절차의뒷부분에서이계정을 ADFS 서비스계정으로사용합니다. ADFS 를실행할서버가도메인에가입되어있는지확인합니다. 컴퓨터이름을업데이트할수도있습니다. 인증서가없는경우 IIS( 인터넷정보서비스 ) 를사용하여자체서명된인증서를만들수있습니다. 개발환경에서자체서명된인증서를사용하는것이편리합니다. 그러나프로덕션환경에는신뢰할수있는인증기관의인증서가필요합니다. 자체서명된인증서를생성하려면 1. IIS( 인터넷정보서비스 ) 관리자를엽니다. 2. [Connections] 창에서서버노드를선택합니다. 3. 서버노드의 [Home] 페이지에서 [Server Certificates] 를엽니다. 4. [Actions] 창에서 [Create Self-Signed Certificate] 를클릭합니다. 5. [Create Self-Signed Certificate] 대화상자에서인증서이름을지정한다음 [OK] 를클릭합니다. 16
AWS Management Portal for vcenter 사용설명서 ADFS 설정 ADFS 2.0 설치 아직서버에 ADFS 를설치하지않았으면서버에 ADFS 를설치하고연동서버로구성하십시오. Windows Server 2008 R2 에서 ADFS 2.0 을다운로드하여설치하려면 1. Microsoft Download Center 에서 Active Directory Federation Services 2.0 을다운로드하고설치를시작합니다. 2. [Server Role] 페이지에서 [Federation server] 를선택합니다. 3. 안내에따라마법사를완료합니다. ADFS 2.0 을구성하려면 1. [AD FS 2.0 Federation Server Configuration Wizard] 를엽니다. 2. [Welcome] 페이지에서 [Create a new Federation Service] 를선택하고 [Next] 를클릭합니다. 3. [Select Stand-Alone or Farm Deployment] 페이지에서 [New federation server farm] 을클릭하고 [Next] 를클릭합니다. 4. [Specify the Federation Service Name] 페이지의 [SSL certificate] 목록에서인증서를선택하고 [Next] 를클릭합니다. 5. [Specify a Service Account] 페이지에서다음작업을수행합니다. a. [Browse] 를클릭합니다. b. 요구사항섹션에서설명한도메인계정 ( 예 : adfssvc) 을 [Select User] 대화상자에입력하고 [Check Names] 를클릭한다음 [OK] 를클릭합니다. c. 계정의암호를입력하고 [Next] 를클릭합니다. 6. [Ready to Apply Settings] 페이지에서설정을검토하고필요한부분을변경한후 [Next] 를클릭합니다. 7. [Configuration Results] 페이지에서결과를검토합니다. 모든구성단계가성공적으로완료되었으면 [Close] 를클릭합니다. [Configure service settings] 옆에경고아이콘이표시되면 [Configuration finished with warnings] 를클릭합니다. 17
AWS Management Portal for vcenter 사용설명서 ADFS 설정 " 지정한서비스계정에대해 SPN 을설정하는동안오류가발생했습니다 " 라는오류메시지가표시되면명령프롬프트창을관리자로연다음, 다음명령을실행하여문제를해결할수있습니다. setspn -a host/localhost service-account service-account 는요구사항섹션에설명된서비스계정의이름입니다 ( 예 : adfssvc). 성공하면이명령의출력은 " 객체가업데이트됨 " 으로끝납니다. ADFS 3.0 설치 아직서버에 ADFS 를설치하지않았으면서버에 ADFS 를설치하고연동서버로구성하십시오. Windows Server 2012 에 ADFS 3.0 을설치하려면 1. 서버관리자를엽니다. 2. 대시보드에서 [Add roles and features] 를클릭합니다. 3. [Select installation type] 페이지에서 [Role-based or feature-based installation] 을선택하고 [Next] 를클릭합니다. 4. [Select destination server] 페이지에서 [Select a server from the server pool] 을선택하고목록에서서버를선택한후 [Next] 를클릭합니다. 5. [Select server roles] 페이지에서 [Active Directory Federation Services] 를선택하고 [Next] 를클릭합니다. 6. [Confirm installation selections] 페이지에서 [Install] 을클릭합니다. ADFS 3.0 을구성하려면 1. 서버관리자를열고, 경고아이콘을클릭하여배포후구성을완료합니다. 2. [Welcome] 페이지에서 [Create the first federation server in a federation server farm] 을선택하고 [Next] 를클릭합니다. 18
AWS Management Portal for vcenter 사용설명서 ADFS 설정 3. [Connect to Active Directory Domain Services] 페이지에서도메인관리자계정을지정하고 [Next] 를클릭합니다. 4. [Specify Service Properties] 페이지에서요구사항섹션에설명된 SSL 인증서를선택합니다. [Import] 를클릭합니다. 필요한정보를입력한후 [Next] 를클릭합니다. 5. [Specify Service Account] 페이지에서 [Use an existing domain user account or group Managed Service Account] 를클릭합니다. 요구사항섹션에설명되어있는도메인계정을지정합니다 ( 예 : adfssvc). 6. [Specify Configuration Database] 페이지에서 [Create a database on this server using Windows Internal Database] 를클릭하고 [Next] 를클릭합니다. 7. [Review Options] 페이지의정보를검토한후 [Next] 를클릭합니다. 8. [Pre-requisite Checks] 페이지에서검사상태를모니터링합니다. 보고된모든문제를해결합니다. 모든검사를성공적으로통과한경우 [Configure] 를클릭합니다. " 지정한서비스계정에대해 SPN 을설정하는동안오류가발생했습니다 " 라는오류메시지가표시되면명령프롬프트창을관리자로연다음, 다음명령을실행하여문제를해결할수있습니다. setspn -a host/localhost service-account service-account 는요구사항섹션에설명된서비스계정의이름입니다 ( 예 : adfssvc). 성공하면이명령의출력은 " 객체가업데이트됨 " 으로끝납니다. RelayState 활성화 계속하기전에 ADFS 에서 RelayState 파라미터를지원하는지확인한후활성화합니다. 이파라미터는 ADFS 2.0 용업데이트롤업 2 에서도입되었습니다. 이파라미터는 ADFS 3.0 에서지원되지만, 기본적으로활성화되지않은상태입니다. RelayState 를활성화하려면 1. [ADFS 2.0] 제어판에서설치된업데이트로이동하여업데이트 KB2681584( 업데이트롤업 2) 또는 KB2790338( 업데이트롤업 3) 을찾습니다. 필요한경우업데이트롤업 2 또는업데이트롤업 3 을다운로드하여설치합니다. 2. 텍스트편집기 ( 예 : 메모장 ) 에서다음파일을엽니다. [ADFS 2.0] C:\inetpub\adfs\ls\web.config [ADFS 3.0] %systemroot%\adfs\microsoft.identityserver.servicehost.exe.config 3. microsoft.identityserver.web 섹션에서 userelystateforidpinitiatedsignon 를다음과같이추가하고변경사항을저장합니다. <microsoft.identityserver.web>... <userelaystateforidpinitiatedsignon enabled="true" /> </microsoft.identityserver.web> 4. [ADFS 2.0] 다음명령을사용하여 IIS 를다시시작합니다. C:\> IISReset Attempting stop... Internet services successfully stopped Attempting start... Internet services successfully restarted 5. 다음과같이 ADFS 를다시시작합니다. a. [Start] 메뉴에서 [Administrative Tools] 를가리킨다음에 [Services] 를클릭합니다. 19
AWS Management Portal for vcenter 사용설명서반가상화 (PV-SSO) 에대한 b. ADFS 서비스를마우스오른쪽버튼으로클릭하고 [Restart] 를클릭합니다. ADFS 및 AWS Management Portal for vcenter 에대한 SSO 구성 ADFS 와 management portal 간에 SSO(Single Sign-On) 을구성할수있습니다. 사용자가 management portal 을통해 AWS 에대한액세스를요청하면 ADFS 에서사용자를인증합니다. Note 이미 AWS 와신뢰관계를설정한경우, 11 단계의구성과일치하도록 NameId 클레임을편집합니다. 수신클레임유형은 Windows account name, 발신클레임유형은 Name Id, Persistent Identifier 는발신이름 ID 형식입니다. 그런다음 15 단계로진행합니다. AWS 및 ADFS 간에신뢰를구성하려면 1. [ADFS 2.0] [Start] 메뉴에서 [AD FS 2.0 Management] 를엽니다. [ADFS 3.0] 서버관리자에서 [Tools] 를클릭하고 [AD FS Management] 를선택합니다. 2. [ADFS 2.0] [Actions] 창에서 [Add Relying Party Trust] 를클릭합니다. [ADFS 3.0] [AD FS\Trust Relationships] 아래에서 [Relying Party Trusts] 를마우스오른쪽버튼으로클릭하고 [Add Relying Party Trust] 를클릭합니다. 3. [Welcome] 페이지에서 [Start] 를클릭합니다. 4. [Select Data Source] 페이지에서 [Import data about the relying party published online or on a local network] 를선택합니다. "https://signin.aws.amazon.com/static/saml-metadata.xml" 을연동메타데이터주소로입력한후 [Next] 를클릭합니다. 5. [Specify Display Name] 페이지에서 "AWS Management Portal for vcenter" 를표시이름으로입력한후 [Next] 를클릭합니다. 20
AWS Management Portal for vcenter 사용설명서반가상화 (PV-SSO) 에대한 6. [Choose Issuance Authorization Rules] 페이지에서 [Permit all users to access this relying party] 를선택하고 [Next] 를클릭합니다. 7. [Ready to Add Trust] 페이지에서설정을검토하고 [Next] 를클릭합니다. 8. [Finish] 페이지에서 [Open the Edit Claim Rules dialog for this relying party trust when the wizard closes] 를선택하고 [Close] 를클릭합니다. 9. [Edit Claim Rules for AWS Management Portal for vcenter] 대화상자의 [Issuance Transform Rules] 탭에서 [Add Rule] 을클릭합니다. 10. [Select Rule Template] 페이지에서 [Send Claims Using a Custom Role] 을선택하고목록에서규칙템플릿을지정한후 [Next] 를클릭합니다. 11. 클레임규칙을구성하려면 [Claim rule name] 에 NameId 를입력하고 [Custom claim rule] 에다음규칙을입력한후 [Finish] 를클릭합니다. c:[type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/ windowsaccountname"] => issue(type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.issuer, OriginalIssuer = c.originalissuer, Value = c.value, ValueType = c.valuetype, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:saml:2.0:nameid-format:persistent"); Windows 사용자이름 (domain\user) 을 NameId 클레임으로사용합니다. 이이름은 32 자미만으로영구식별자여야합니다. 21
AWS Management Portal for vcenter 사용설명서반가상화 (PV-SSO) 에대한 12. Add Rule 을클릭합니다. 13. [Send Claims Using a Custom Role] 을선택하고 [Next] 를클릭합니다. 14. 클레임규칙을구성하려면 [Claim rule name] 에 RoleSessionName 를입력하고 [Custom claim rule] 에다음규칙을입력한후 [Finish] 를클릭합니다. c:[type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/ windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://aws.amazon.com/saml/attributes/ RoleSessionName"), query = ";mail;{0}", param = c.value); SAML 어설션을사용하는사용자의표시이름을사용합니다. 이이름은 32 자미만이어야하고다음문자만포함해야합니다. [a-za-z_0-9+=,.@-]. 사용자는 Active Directory 에이메일주소가설정되어있어야합니다. 15. Add Rule 을클릭합니다. 16. [Send Claims Using a Custom Role] 을선택하고 [Next] 를클릭합니다. 17. 클레임규칙을구성하려면 [Claim rule name] 에 AmpRole 를입력하고 [Custom claim rule] 에다음규칙을입력한후 [Finish] 를클릭합니다. => issue(type="https://aws.amazon.com/saml/attributes/role", Value = "arn:aws:iam::account_id:samlprovider/provider_name,arn:aws:iam::account_id:role/saml_role"); 이규칙에는 SAML 공급자의 ARN(arn:aws:iam::account_id:saml-provider/provider_name) 및 SAML 역할 (arn:aws:iam::account_id:role/saml_role) 이필요합니다. AWS Management Portal for vcenter 설정콘솔을사용하여이 ARN 을찾을수있습니다. 18. ADFS 서비스를시작및중지하고이구성을테스트합니다. AWS 는 IdP 가승인한사용자가 SAML 역할을맡도록신뢰합니다. 따라서 IdP 가어설션을부여하기전에네트워크의사용자를인증하고권한을부여하는지확인하십시오. 22
AWS Management Portal for vcenter 사용설명서관리자관리 AWS Management Portal for vcenter 를사용하여 AWS 리소스관리 AWS Management Portal for vcenter 관리자는 VPC(Virtual Private Cloud) 라고하는 AWS 네트워크를관리하고, 환경을만들고, 사용자에게액세스환경에대한권한을부여합니다. 목차 관리자관리 (p. 23) VPC 및서브넷관리 (p. 24) 보안그룹관리 (p. 25) 환경관리 (p. 26) 사용자권한관리 (p. 27) 관리자관리 management portal 을관리할사용자를여러명선택하는것이좋습니다. management portal 에대한관리자를추가하려면 vcenter 및 management portal 모두의관리자여야합니다. 관리자를추가하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 상단창에서 Admin Users( 관리사용자 ) 를클릭합니다. 3. [Add] 를클릭합니다. Tip 커넥터를사용하여사용자를인증하고커넥터가유지관리모드에있는경우 " 사용자공급자에게연락할수없습니다. 관리자에게문의하십시오." 라는오류메시지가나타납니다. 잠시후다시시도하는것이좋습니다. 4. Select Users( 사용자선택 ) 대화상자에서도메인및하나이상의사용자를선택한후확인을클릭합니다. 해당이름이특정요구사항을충족시키지못하면도메인과사용자를사용할수없습니다. 사용자가도메인사용자일경우 domain\user 가 32 자를초과하지않아야합니다. 사용자가로컬사용자일경우 23
AWS Management Portal for vcenter 사용설명서 VPC 및서브넷관리 user 가 32 자를초과하지않아야합니다. domain 및 user 값은문자로시작해야하고 a-z, A-Z, 0-9, 마침표 (.), 밑줄 (_) 및대시 (-) 문자만포함해야합니다. 5. 관리자추가가끝나면저장을클릭합니다. management portal 의관리자를제거하려면 management portal 관리자여야합니다. 관리자를제거하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. Admin Users( 관리사용자 ) 를클릭합니다. 3. 목록에서사용자를선택합니다. 4. 제거를클릭하고저장을클릭합니다. VPC 및서브넷관리 기본적으로리전당최대 5 개의 VPC 를만들수있습니다. VPC 별로하나이상의서브넷과 VPC 별로하나이상의보안그룹을만들수있습니다. 라우팅테이블, 네트워크 ACL 및기타고급 VPC 기능을구성하려면 AWS Management 콘솔또는 AWS CLI 를사용해야합니다. VPC 에대한자세한내용은 Amazon VPC 사용설명서단원을참조하십시오. AWS 계정을만든시점에따라각리전에기본 VPC 가있을수도있습니다. VPC 및서브넷을생성하는방법 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 상단창에서 VPC 를클릭합니다. 3. VPC 에해당하는리전을선택합니다. 시작하기탭에서 Create a virtual private cloud(virtual Private Cloud(VPC) 만들기 ) 를클릭합니다. 4. VPC 이름에 VPC 의이름을입력합니다. 5. 필요한구성을선택하고단일퍼블릭서브넷이있는 VPC 또는퍼블릭및프라이빗서브넷이있는 VPC 를선택한후다음을클릭합니다. VPC 를만든후에는서브넷을추가할수있습니다. 또한 Amazon VPC 콘솔은 VPC 에대한추가구성을지원합니다. 6. VPC 의 IP 주소범위를 CIDR 표기법으로입력하십시오 ( 예 : 10.0.0.0/16). 7. 각서브넷에대해 CIDR 표기법으로 IP 주소범위 ( 예 : 10.0.0.0/24) 를입력하고가용영역을선택합니다. VPC 에여러서브넷을만드는경우서브넷의 IP 주소범위가겹치지않아야합니다. 작업을마쳤으면다음을클릭합니다. 8. ( 선택사항 ) VPC 에대해하나이상의태그를지정합니다. 태그마다추가를클릭하고태그키를입력한후태그값을입력합니다. 9. 태그추가가끝나면 Finish 를클릭합니다. 10. ( 선택사항 ) VPC 에다른서브넷을추가하려면 VPC 를선택한후시작하기탭에서서브넷생성을클릭합니다. 이름을입력하고가용영역을선택한후서브넷의 IP 주소범위를 CIDR 표기법으로입력하십시오. 기본적으로서브넷은퍼블릭서브넷입니다. 프라이빗서브넷을만들려면 [Make this a private subnet] 을클릭합니다. 서브넷에대해하나이상의태그를지정할수도있습니다. 작업을마친뒤 Finish 를클릭합니다. 서브넷에실행중인인스턴스가없는경우에만기본이아닌 VPC 를삭제할수있습니다. management portal 을사용하여기본 VPC 를삭제할수없습니다. 24
AWS Management Portal for vcenter 사용설명서보안그룹관리 VPC 를삭제하는방법 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. VPC 를클릭합니다. 3. VPC 리전을확장한후 VPC 를선택합니다. 4. 시작하기탭에서 Delete the virtual private cloud( 가상프라이빗클라우드삭제 ) 를클릭합니다. 5. VPC 삭제대화상자에서예를클릭합니다. 보안그룹관리 보안그룹은하나이상의 EC2 인스턴스에대한트래픽을제어하는가상방화벽기능을수행합니다. 보안그룹을만들고사용자가보안그룹과연결된 VPC 의 EC2 인스턴스에연결할수있는규칙을추가합니다. 사용자가템플릿을만들때하나이상의보안그룹을선택합니다. 보안그룹을생성하는방법 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 상단창에서 VPC 를클릭합니다. 3. VPC 리전을확장한후 VPC 를선택합니다. 4. 시작하기탭에서 Create a security group( 보안그룹생성 ) 을클릭합니다. 5. 보안그룹의이름과설명을입력하고다음을클릭합니다. 6. EC2 Linux 인스턴스에연결하려면 SSH 를사용하여인바운드트래픽을허용하는규칙을추가해야합니다. ( 이단계를건너뛰고, 나중에보안그룹을선택하고시작하기탭에서 Add a rule( 규칙추가 ) 을클릭하여규칙을추가할수있습니다.) a. [Add] 를클릭합니다. b. 유형목록에서 SSH 를선택합니다. c. 소스목록에서사용자지정 IP 를선택합니다. d. IP 에 IP 주소범위를 CIDR 표기법으로입력하십시오. 예를들어 IP 주소 203.0.113.25 하나를 CIDR 표기법으로나열하려면 203.0.113.25/32 를입력합니다. 회사에서주소를범위로할당하는경우전체범위 ( 예 : 203.0.113.0/24) 를지정합니다. e. 인바운드가선택되어있는지확인합니다. f. [Add] 를클릭합니다. 7. EC2 Windows 인스턴스에연결하려면 SSH 를사용하여인바운드트래픽을허용하는규칙을추가해야합니다. ( 이단계를건너뛰고, 나중에보안그룹을선택하고시작하기탭에서 Add a rule( 규칙추가 ) 을클릭하여규칙을추가할수있습니다.) a. [Add] 를클릭합니다. b. 유형목록에서 RDP 를선택합니다. c. 소스목록에서사용자지정 IP 를선택합니다. d. IP 에 IP 주소범위를 CIDR 표기법으로입력하십시오. 예를들어 IP 주소 203.0.113.25 하나를 CIDR 표기법으로나열하려면 203.0.113.25/32 를입력합니다. 회사에서주소를범위로할당하는경우전체범위 ( 예 : 203.0.113.0/24) 를지정합니다. e. 인바운드가선택되어있는지확인합니다. f. [Add] 를클릭합니다. 8. 규칙추가가끝나면다음을클릭합니다. 9. ( 선택사항 ) 보안그룹에대한하나이상의태그를지정합니다. 태그마다추가를클릭하고태그키를입력한후태그값을입력합니다. 태그입력이끝나면다음을클릭합니다. 25
AWS Management Portal for vcenter 사용설명서환경관리 10. 보안그룹에대한속성을검토합니다. 변경하려면뒤로를클릭합니다. 보안그룹을생성할준비가되면 Finish 를클릭합니다. 보안그룹이현재인스턴스와연관되어있지않은경우에만보안그룹을삭제할수있습니다. 보안그룹을삭제하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. VPC 를클릭합니다. 3. 리전및보안그룹의 VPC 를확장한후보안그룹을선택합니다. 4. 시작하기탭에서 Delete the security group( 보안그룹삭제 ) 를클릭합니다. 5. Delete Security Group( 보안그룹삭제 ) 대화상자에서예를클릭합니다. 실행중인인스턴스의보안그룹을변경하려면 Amazon EC2 콘솔또는 AWS CLI 를사용해야합니다. 자세한정보는 Amazon VPC 사용설명서의 VPC 의보안그룹단원을참조하십시오. 환경관리 관리자는환경을사용하여 AWS 리소스를구성및관리합니다. 관리자는환경수준에서사용자에게사용권한을부여합니다. 관리자는환경을만들수있으며기본환경에액세스할수있습니다. 리전의기본환경을사용하면 management portal 을사용하는대신 AWS Management 콘솔, AWS CLI 또는 AWS SDK 와같은도구를사용하여해당리전에서 AWS 계정용으로작성된 EC2 인스턴스를관리할수있습니다. 환경을생성하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 상단창에서 [Dashboard] 를클릭합니다. 3. 환경에해당하는리전을선택합니다. 시작하기페이지에서 Create an environment( 환경생성 ) 를클릭합니다. 4. 이름에환경의이름을입력합니다. 5. VPC 에서 VPC 를선택합니다. 이목록에는 Amazon VPC 콘솔을사용하여생성한 VPC 와기본 VPC( 있는경우 ) 를비롯하여리전에대한모든 VPC 가포함되어있습니다. 이목록이비어있는경우이리전에서 VPC 를생성해야합니다. 6. 서브넷에서하나이상의서브넷을선택합니다. 이목록에는기본서브넷을비롯하여선택된 VPC 에대한모든서브넷이포함되어있습니다. 이목록이비어있는경우 VPC 에서브넷을추가하거나다른 VPC 를선택해야합니다. 7. Finish 를클릭합니다. 환경을생성한후에는하나이상의템플릿을작성하고이템플릿을사용하여사용자환경에 EC2 인스턴스를실행하십시오. 자세한내용은 AWS Management Portal for vcenter 를사용하여 EC2 인스턴스관리 (p. 29) 단원을참조하십시오. 인스턴스를시작하면 aws-management-portal/environment-id 이름및환경의 ID 로설정된값을가진태그가추가됩니다. 이태그를사용하면세부결제보고서또는 EC2 사용보고서를사용하여리소스를추적할수있습니다. 사용자는 management portal 을사용하여이태그를수정할수없습니다. 그러나사용자는 Amazon EC2 콘솔, CLI 또는 API 를사용하여이태그를수정하거나삭제할수있습니다. 다른사용자가이태그를수정하거나삭제하면사용자가인스턴스에액세스할수있는권한에영향을미칠수있습니다. 따라서태그를만들거나수정하거나삭제할수있는사용자를제한하는것이좋습니다. 26
AWS Management Portal for vcenter 사용설명서사용자권한관리 템플릿을삭제한후에만환경을삭제할수있습니다. 환경을삭제하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 대시보드를클릭합니다. 3. 환경에대한리전을확장한후환경을선택합니다. 4. 환경을마우스오른쪽버튼으로클릭하고삭제를선택합니다. 5. 환경삭제대화상자에서예를클릭합니다. 관리자는 management portal 을사용하여리전의기본환경에서 EC2 인스턴스를설명, 시작, 중지, 재부팅및종료할수있습니다. 기본환경에서인스턴스를관리하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 대시보드를클릭하고리전을확장합니다. 3. 인스턴스를나열하려면다음중하나를수행합니다. Default Environment( 기본환경 ) 를확장합니다. Default Environment( 기본환경 ) 를클릭한다음, 인스턴스탭을클릭합니다. 4. 인스턴스를시작, 중지, 재부팅또는종료하려면 Default Environment( 기본환경 ) 를확장한후인스턴스를선택합니다. 시작하기탭의 Basic Tasks( 기본작업 ) 에서원하는작업을선택합니다. 사용자권한관리 관리자는환경에액세스할수있는사용자의권한을관리할수있습니다. 권한을부여하려면 vcenter 및 management portal 모두의관리자여야합니다. 권한을편집하거나삭제하려면 management portal 의관리자여야합니다. 사용자에게부여된특정사용권한은사용자에게할당된역할에따라다릅니다. management portal 에서다음역할을정의합니다. No-Access 권한없음. Read-Only 해당템플릿및인스턴스를포함한환경을볼수있는권한. General Owner Read-Only 의권한외에템플릿을실행, 이름변경, 재부팅, 중지, 시작, 종료하고인스턴스를가져올수있는권한을포함합니다. General 의권한외에템플릿을생성, 삭제및이름변경하고, 키페어를가져오고삭제하며, 이미지를생성할수있는권한을포함합니다. 사용자에게권한을부여하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 27
AWS Management Portal for vcenter 사용설명서사용자권한관리 2. 상단창에서 [Dashboard] 를클릭합니다. 3. 해당환경의리전을확장하고, 환경을마우스오른쪽버튼으로클릭한후 [Add Permission] 을클릭합니다. 4. [Add] 를클릭합니다. Select Users( 사용자선택 ) 대화상자에서도메인및하나이상의사용자를선택한후확인을클릭합니다. 해당이름이특정요구사항을충족시키지못하면도메인과사용자를사용할수없습니다. 사용자가도메인사용자일경우 domain\user 가 32 자를초과하지않아야합니다. 사용자가로컬사용자일경우 user 가 32 자를초과하지않아야합니다. domain 및 user 값은문자로시작해야하고 a-z, A-Z, 0-9, 마침표 (.), 밑줄 (_) 및대시 (-) 문자만포함해야합니다. 도메인및사용자의대소문자는 vcenter 사용자의대소문자와일치해야합니다. 5. 사용자에서하나이상의사용자를선택한후 Assigned Role( 할당역할 ) 에서역할을선택합니다. 6. Save 를클릭합니다. 변경사항이권한탭에표시됩니다. 사용자에게부여된권한을변경하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 대시보드를클릭합니다. 3. 환경에대한리전을확장한후환경을선택합니다. 4. 권한탭에서사용자를마우스오른쪽버튼으로클릭하고속성을선택합니다. 5. 다른역할을선택하고저장을클릭합니다. 업데이트사항이권한탭에표시됩니다. 사용자에게부여된권한을취소하려면 1. vcenter 에관리자로로그인하고홈을클릭한후 AWS Management Portal(AWS 관리포털 ) 을클릭합니다. 2. 대시보드를클릭합니다. 3. 환경에대한리전을확장한후환경을선택합니다. 4. 권한탭에서사용자를마우스오른쪽버튼으로클릭하고삭제를선택합니다. 5. 확인메시지가표시되면확인을클릭합니다. 업데이트사항이권한탭에표시됩니다. 28
AWS Management Portal for vcenter 사용설명서리전보기 AWS Management Portal for vcenter 를사용하여 EC2 인스턴스관리 management portal 을사용하여 EC2 인스턴스를시작할수있습니다. 먼저관리자가설정한환경에서템플릿을만든다음템플릿에서인스턴스를배포합니다. 인스턴스를보고, 중지하고, 시작하고, 종료할수있습니다. 이작업을수행하는능력은관리자가부여한권한에따라다릅니다. 목차 Note VM 을 vcenter 환경으로부터 AWS 로마이그레이션하려면 AWS Server Migration Service(SMS) 의사용을권장합니다. SMS 는온프레미스 VM 을증분방식으로복제한다음 Amazon 머신이미지 (AMI) 로변환함으로써마이그레이션프로세스를자동화합니다. 마이그레이션을진행하는동안계속해서온프레미스 VM 을사용하실수있습니다. AWS SMS 에대한자세한내용은 AWS Server Migration Service 를참조하십시오. 리전보기 (p. 29) 환경보기 (p. 30) 키페어관리 (p. 30) 템플릿관리 (p. 31) EC2 인스턴스배포 (p. 32) EC2 인스턴스보기 (p. 32) EC2 인스턴스에연결 (p. 32) EC2 인스턴스중지및다시시작 (p. 33) EC2 인스턴스재부팅 (p. 33) EC2 인스턴스에서이미지생성 (p. 34) EC2 인스턴스종료 (p. 34) 리전보기 management portal 에처음로그인하면대시보드에표시할영역을선택하라는메시지가나타납니다. 언제든지대시보드에표시된리전을업데이트할수있습니다. 예를들어, 일부리전에 AWS 리소스가없는경우대시보드에서 AWS 리소스를제외할수있습니다. 나중에표시되지않은리전에서리소스를작성해야하는경우대시보드에리소스를포함할수있습니다. 29
AWS Management Portal for vcenter 사용설명서환경보기 표시할리전을선택하려면 1. 우측상단모서리에있는메뉴에서 Region Preferences( 리전기본설정 ) 를선택합니다. 2. 표시할리전을선택합니다. 3. Save를클릭합니다. 환경보기 AWS 리소스는환경을사용하여구성및관리됩니다. 관리자가부여한권한에따라템플릿및인스턴스와함께환경을볼수있는지여부가결정됩니다. 환경을보려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당환경의리전을확장한후환경을선택합니다. 3. 환경에대한정보를표시하려면요약탭을클릭합니다. 4. 이환경의템플릿을사용하여배포된인스턴스를나열하려면인스턴스탭을클릭합니다. 키페어관리 Amazon EC2 에서는퍼블릭키암호화를사용하여인스턴스에대한로그인정보를암호화및해독합니다. 퍼블릭키암호화기법은퍼블릭키를사용하여암호등의데이터를암호화하고, 수신자가프라이빗키를사용하여해당데이터를해독하는방식입니다. 퍼블릭키와프라이빗키를키페어라고합니다. 인스턴스에연결하려면키페어를작성하고퍼블릭키를인스턴스의환경으로가져와야하며, 인스턴스를전개할템플릿을작성할때이를선택해야합니다. 이템플릿을사용하여실행하는인스턴스에연결할때프라이빗키를사용합니다. 관리자가부여한권한에따라키페어를가져올수있는지여부가결정됩니다. 키페어를가져오려면 1. ssh-keygen 같은도구를사용하여 RSA 키페어를만듭니다. 퍼블릭키를로컬파일에저장하고, 프라이빗키를.pem 확장자를가진다른로컬파일에저장합니다. 자세한내용은 Amazon EC2 사용설명서의 Amazon EC2 키페어를참조하십시오. 2. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 3. 대시보드에서해당환경의리전을확장한후환경을선택합니다. 4. 키쌍탭을클릭합니다. 5. 탭의사용되지않은공간을마우스오른쪽버튼으로클릭하고키페어가져오기를선택합니다. 6. 키페어가져오기대화상자에서찾아보기를클릭합니다. 1 단계에서생성한퍼블릭키파일을선택하고가져오기를클릭합니다. 더이상키페어를사용하여인스턴스를배포할필요가없거나프라이빗키를잃어버린경우가져온퍼블릭키를삭제할수있습니다. 관리자가부여한권한에따라키페어를삭제할수있는지여부가결정됩니다. 키페어를삭제하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당환경의리전을확장한후환경을선택합니다. 3. 키쌍탭을클릭합니다. 30
AWS Management Portal for vcenter 사용설명서템플릿관리 4. 키페어를마우스오른쪽버튼으로클릭하고키페어삭제를선택합니다. 5. 확인하라는메시지가나타나면예를클릭합니다. 템플릿관리 템플릿은인스턴스를구성할때 Amazon EC2 에필요한정보를지정합니다. 관리자가부여한권한에따라템플릿을생성할수있는지여부가결정됩니다. 템플릿을생성하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서템플릿의리전을확장하고템플릿의환경을선택합니다. 3. 시작하기탭에서 Create a template( 탬플릿생성 ) 을클릭합니다. 이작업이나열되지않으면관리자가이환경에서템플릿을생성할수있는권한을부여하지않은것입니다. 4. 이름에템플릿의이름을입력합니다. 5. 기본적으로널리사용되는 AMI 의선택항목인 Quick Start AMI 가표시됩니다. 플랫폼을기준으로필터링하려면 Windows 또는 Linux 를클릭합니다. 특정 AMI 를사용하려면 AMIs from(ami 에서 ) 에서 Search by AMI ID(AMI ID 로검색 ) 를선택하고 AMI 의 ID 를입력한다음로드를클릭합니다. Linux AMI 의루트디바이스는 Amazon EBS 볼륨또는인스턴스스토어볼륨중하나입니다. 루트디바이스유형이인스턴스에영향을미치는방식에대한자세한내용은 Amazon EC2 사용설명서의루트디바이스의스토리지를참조하십시오. 6. AMI 를선택하고다음을클릭합니다. 7. 인스턴스유형에서인스턴스유형을선택합니다. 선택한리전에서지원하는인스턴스유형만목록에포함됩니다. 8. ( 선택사항 ) 인스턴스에연결하려면퍼블릭 IP 주소연결을선택합니다. 9. 서브넷을선택한후다음을클릭합니다. 10. ( 선택사항 ) AMI 에서지정한스토리지디바이스를검토합니다. 새스토리지디바이스를목록에추가하려면추가를클릭합니다. Add Volume] 대화상자에서볼륨유형, 디바이스이름, 그리고볼륨크기또는스냅샷을선택한다음 [Add] 를클릭합니다. 11. 볼륨추가가끝나면 [Next] 를클릭합니다. 12. 하나이상의보안그룹을선택한후 [Next] 를클릭합니다. 13. [Select one of your existing key pairs] 를클릭하고목록에서키페어를선택한다음 [Finish] 를클릭합니다. 목록이비어있는경우이환경에대해가져온키페어가없습니다. 자세한내용은키페어관리 (p. 30) 단원을참조하십시오. 기존템플릿으로시작하여새로운템플릿을생성할수있습니다. 템플릿을복사및업데이트하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당템플릿의리전및환경을확장한후템플릿을선택합니다. 3. [Getting Started] 탭에서 [Copy to a new template] 을클릭합니다. 이작업이나열되지않으면관리자가이환경에서템플릿을생성할수있는권한을부여하지않은것입니다. 4. [Next] 를클릭하여각페이지를검토합니다. 새템플릿에대한변경을마친후 [Finish] 를클릭합니다. 템플릿을사용하여시작된모든인스턴스를종료한후에만템플릿을삭제할수있습니다. 자세한내용은 EC2 인스턴스종료 (p. 34) 단원을참조하십시오. 관리자가부여한권한에따라템플릿을삭제할수있는지여부가결정됩니다. 31
AWS Management Portal for vcenter 사용설명서 EC2 인스턴스배포 템플릿을삭제하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당템플릿의리전및환경을확장한후템플릿을선택합니다. 3. [Getting Started] 탭에서 [Delete the template] 을클릭합니다. 이작업이나열되지않으면관리자가이환경에서템플릿을삭제할수있는권한을부여하지않은것입니다. 4. [Delete Template] 대화상자에서 [Yes] 를클릭합니다. EC2 인스턴스배포 템플릿을사용하여 EC2 인스턴스를서브넷에배포합니다. 관리자가부여한권한에따라 EC2 인스턴스를배포할수있는지여부가결정됩니다. EC2 인스턴스를배포하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당인스턴스의리전및환경을확장한후템플릿을선택합니다. 3. [Getting Started] 탭에서 [Deploy an instance] 를클릭합니다. 이작업이나열되지않으면관리자가이환경에서인스턴스를배포할수있는권한을부여하지않은것입니다. 4. [Name] 에인스턴스의이름을입력합니다. 5. ( 선택사항 ) 인스턴스에대해하나이상의태그를지정합니다. 태그마다 [Add] 를클릭하고태그키를입력한후태그값을입력합니다. 6. 태그추가가끝나면 [Next] 를클릭합니다. 7. 인스턴스를실행할서브넷을선택한후 [Next] 를클릭합니다. 서브넷목록에는선택한템플릿의서브넷만포함됩니다. 8. 인스턴스에대한구성을검토합니다. 변경하려면뒤로를클릭합니다. 인스턴스를배포할준비가되면 [Finish] 를클릭합니다. EC2 인스턴스보기 하나이상의 EC2 인스턴스를설명할수있습니다. 관리자가부여한권한에따라 EC2 인스턴스를설명할수있는지여부가결정됩니다. EC2 인스턴스를보려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서해당인스턴스에대한리전을확장한후환경을선택합니다. 3. 이환경의템플릿을사용하여배포한인스턴스에대한정보를보려면 [Instances] 탭을클릭합니다. 또한이탭에는 VM 에서마이그레이션한인스턴스도포함됩니다. 4. 템플릿선택이템플릿을사용하여배포한인스턴스에대한정보를보려면 [Instances] 탭을클릭합니다. 5. 인스턴스를배포할때사용한템플릿을확장한후인스턴스를선택합니다. 6. 인스턴스에대한정보를표시하려면 [Summary] 탭을클릭합니다. 인스턴스에대한성능데이터를표시하려면 [Performance] 탭을클릭합니다. EC2 인스턴스에연결 인스턴스를시작하는데사용한템플릿과연관된키페어의프라이빗키 (.pem 파일 ) 를가지고있는경우 EC2 인스턴스에로그인할수있습니다. 인스턴스에연결해야하지만템플릿과연관된키페어가없는경우 32
AWS Management Portal for vcenter 사용설명서 EC2 인스턴스중지및다시시작 인스턴스를종료하고 ( 프로세스에서키페어를선택하여 ) 새인스턴스를생성하거나관리자에게생성을요청하고, 새템플릿에서새인스턴스를시작해야합니다. 인스턴스에연결하는데사용할도구는 Windows 인스턴스인지 Linux 인스턴스인지에따라다릅니다. EC2 Windows 인스턴스에연결하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Summary] 탭에서퍼블릭 DNS 이름을찾습니다. 인스턴스에연결하려면이정보가필요합니다. 5. [Summary] 탭에서 [Get Windows Password] 를클릭합니다. 인스턴스를시작하는데사용한템플릿에대한키페어의프라이빗키를사용하여지침에따라인스턴스의관리자계정에대한암호를가져옵니다. 인스턴스에연결하는데이암호가필요합니다. 6. RDP 클라이언트를사용하여인스턴스에연결합니다. 인스턴스의퍼블릭 DNS 이름을컴퓨터이름으로지정하고, Administrator 를사용자이름으로지정합니다. 자격증명을입력하라는메시지가나타나면이전단계에서얻은암호를사용합니다. 인스턴스에연결할수없는경우 Windows 인스턴스용 Amazon EC2 사용설명서의 Windows 인스턴스문제해결을참조하십시오. EC2 Linux 인스턴스에연결하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Summary] 탭에서퍼블릭 DNS 이름을찾습니다. 인스턴스에연결하려면이정보가필요합니다. 5. PuTTY 를사용하여인스턴스에연결합니다. 자세한내용은 Linux 인스턴스용 Amazon EC2 사용설명서의 PuTTY 를사용하여 Linux 인스턴스에연결을참조하십시오. EC2 인스턴스중지및다시시작 인스턴스에서 Amazon EBS 볼륨을루트디바이스로사용하는경우에만해당인스턴스를중지및다시시작할수있습니다. 인스턴스를중지하고다시시작한경우인스턴스의인스턴스스토어볼륨에있는데이터가모두손실됩니다. 관리자가부여한권한에따라 EC2 인스턴스를중지및다시시작할수있는지여부가결정됩니다. EC2 인스턴스를중지하고다시시작하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Getting Started] 탭에서 [Stop the instance] 를클릭합니다. 이작업이나열되지않으면관리자가이환경에서인스턴스를중지할수있는권한을부여하지않은것입니다. 5. 인스턴스를다시실행할준비가되면인스턴스를선택하고 [Start the instance] 를클릭합니다. EC2 인스턴스재부팅 인스턴스재부팅은운영체제재부팅과같습니다. 대부분의경우인스턴스를재부팅하는데는몇분밖에걸리지않습니다. 33
AWS Management Portal for vcenter 사용설명서 EC2 인스턴스에서이미지생성 관리자가부여한권한에따라 EC2 인스턴스를재부팅할수있는지여부가결정됩니다. EC2 인스턴스를재부팅하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Getting Started] 탭에서 [Reboot the instance] 를클릭합니다. 이작업이나열되지않으면관리자가이환경에서인스턴스를재부팅할수있는권한을부여하지않은것입니다. EC2 인스턴스에서이미지생성 Amazon EBS 지원인스턴스에서 Amazon 머신이미지 (AMI) 를다음과같이생성할수있습니다. Amazon EBS 지원이미지를생성하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Getting Started] 탭에서 [Create image] 를클릭합니다. 이작업이나열되지않으면관리자가이환경에서이미지를생성할수있는권한을부여하지않은것입니다. 5. [Create image] 대화상자에서다음작업을수행하십시오. a. 이미지에대한이름및설명을지정합니다. b. ( 선택사항 ) 추가볼륨을포함하려면 [Add New Volume] 을클릭하고볼륨유형및디바이스이름을선택합니다. EBS 볼륨의경우볼륨크기또는스냅샷도지정해야합니다. c. [Create] 를클릭합니다. EC2 인스턴스종료 더이상인스턴스가필요하지않다고판단되면인스턴스를종료할수있습니다. 인스턴스를종료한후에는인스턴스에연결하거나인스턴스를복구할수없습니다. 인스턴스중지및종료간의차이점에대한자세한내용은 Amazon EC2 사용설명서의인스턴스수명주기를참조하십시오. 관리자가부여한권한에따라 EC2 인스턴스를종료할수있는지여부가결정됩니다. EC2 인스턴스를종료하려면 1. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Getting Started] 탭에서 [Terminate the instance] 를클릭합니다. 이작업이나열되지않으면관리자가이환경에서인스턴스를종료할수있는권한을부여하지않은것입니다. 34
AWS Management Portal for vcenter 사용설명서사전요구사항 AWS Connector for vcenter 를사용하여가상머신을 Amazon EC2 로마이그레이션 VMware vcenter 에서 Amazon EC2 로마이그레이션한가상머신에서 EC2 인스턴스를시작할수있습니다. 가상머신을 Amazon EC2 로마이그레이션하려면 AWS Connector for vcenter 를사용합니다. 다음그림은마이그레이션프로세스를보여줍니다. 마이그레이션을요청하면변환작업이생성됩니다. 변환작업이성공적으로완료되면가져온인스턴스를사용할수있습니다. vcenter 6.5 에서마이그레이션하거나, 마이그레이션중 BYOL 라이선스를지정하거나, 증분식마이그레이션을사용하려면 AWS Server Migration Service 를대신사용합니다. 자세한정보는 AWS SMS 사용설명서단원을참조하십시오. 목차 Note VM 을 vcenter 환경으로부터 AWS 로마이그레이션하려면 AWS Server Migration Service(SMS) 의사용을권장합니다. SMS 는온프레미스 VM 을증분방식으로복제한다음 Amazon 머신이미지 (AMI) 로변환함으로써마이그레이션프로세스를자동화합니다. 마이그레이션을진행하는동안계속해서온프레미스 VM 을사용하실수있습니다. AWS SMS 에대한자세한내용은 AWS Server Migration Service 를참조하십시오. 사전요구사항 (p. 35) 제한 (p. 36) VM 가져오기승인 (p. 36) 가상머신마이그레이션 (p. 36) 인스턴스백업 (p. 37) 마이그레이션한 EC2 인스턴스내보내기 (p. 38) 마이그레이션문제해결 (p. 39) 사전요구사항 관리자가 connector 를설치하고구성해야합니다. connector 가 AWS Management Portal for vcenter 에포함되어있습니다. 자세한정보는 AWS Management Portal for vcenter 설정 (p. 3) 단원을참조하십시오. 35
AWS Management Portal for vcenter 사용설명서제한 관리자가환경을하나이상생성하여이러한환경으로가상머신을마이그레이션할수있는권한을사용자에게부여해야합니다. 기본환경외에도이환경을명시적으로생성해야합니다. 자세한내용은환경관리 (p. 26) 단원을참조하십시오. VM 이지원되는운영체제중하나를사용해야하고, 지원되는인스턴스유형중하나를선택해야합니다. 자세한내용은 Amazon EC2 사용설명서의 VM 가져오기 / 내보내기사전조건을참조하십시오. Amazon EC2 사용설명서의 VM 가져오기서비스역할에따라생성한 vmimport 역할에 VMImportExportRoleForAWSConnector 정책을연결합니다. VM 에압축크기가 215GB 보다큰디스크가없는지확인합니다. 제한 Amazon EC2 사용설명서의 VM 가져오기 / 내보내기요구사항및제한사항을참조하십시오. Amazon EC2 는리전당활성마이그레이션수를 5 개로제한합니다. connector 에서이미가상머신 4 개의마이그레이션이진행중일경우, 추가로마이그레이션을실행하면활성마이그레이션작업중하나가성공적으로완료되거나취소될때까지대기열에추가됩니다. VM 가져오기승인 사용자는 AWS 에직접액세스할수없습니다. 다음그림은사용자가 VM 을 Amazon EC2 로마이그레이션할수있는프로세스를보여줍니다. 1. vsphere 클라이언트는환경으로의가져오기를승인합니다. 2. management portal 은사용자에게 VM 을환경으로마이그레이션할수있는권한이있는지확인한후토큰을반환합니다. 3. vsphere 클라이언트는가져오기요청을토큰과함께 connector 로전송합니다. 4. connector 가토큰을확인합니다. 5. connector 가사용자에게 VM 을내보낼수있는권한이있는지확인합니다. 6. connector 가마이그레이션을시작합니다. 7. connector 가가져오기작업 ID 와함께응답을 vsphere 클라이언트로전송합니다. 가상머신마이그레이션 VM 을 Amazon EC2 로마이그레이션하려면 vcenter 와 connector 를사용합니다. connector 는동시에최대 4 개의 VM 을마이그레이션할수있습니다. 36
AWS Management Portal for vcenter 사용설명서인스턴스백업 Warning connector 를업데이트하는동안에는마이그레이션작업을생성할수없습니다. 가상머신을 Amazon EC2 로마이그레이션하려면 1. vcenter 에서 [Home] 과 [VMs and Templates] 를차례로클릭합니다. 2. VM 을선택합니다. 3. VM 을마우스오른쪽버튼으로클릭한후 [Migrate VM to EC2] 를클릭합니다. 관리자로부터 VM 을마이그레이션할수있는권한을받지못한경우관리자에게권한을요청하라는메시지가표시됩니다. 4. 다음과같이양식을작성합니다. a. VM 에서실행되는운영체제를선택합니다. b. 해당 EC2 인스턴스의리전과환경을선택합니다. 환경목록에는관리자가권한을부여한환경만표시됩니다. c. 인스턴스의서브넷, 인스턴스유형및보안그룹을선택합니다. d. ( 선택사항 ) 프라이빗 IP 주소를입력합니다. 프라이빗 IP 주소를지정하지않으면자동으로선택됩니다. e. 보안그룹을선택합니다. 보안그룹목록에는선택한환경과관련된보안그룹만포함됩니다. f. [Begin migration to Amazon EC2] 를클릭합니다. g. [2.4.0 버전이전의커넥터 ] connector 에서이미 4 개의마이그레이션작업이진행중이라서새로작업을실행할경우기존작업의속도에영향을줄것이라는경고가표시될경우마이그레이션작업을계속하거나취소할수있습니다. 5. 마이그레이션이시작되면, 마이그레이션작업이즉시시작될경우해당가져오기작업 ID 가표시되거나, 즉시시작되지않을경우대기된작업 ID 가표시됩니다. 마이그레이션작업을모니터링하려면해당 ID 를기록해둡니다. 모니터링하지않으려면 connector 에서가져오기작업이생성되거나대기되었다는메시지가표시된후가져오기창과 vsphere 클라이언트를닫아도됩니다. 그러면마이그레이션이계속됩니다. 6. ( 선택사항 ) 마이그레이션상태를모니터링하려면다음과같이합니다. a. vcenter 에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. b. 인스턴스의리전을확장하고환경을선택한후 [VM-to-EC2 Migrations] 탭을클릭합니다. c. 위에서기록해둔가져오기작업 ID 나대기된작업 ID 를가진항목을찾습니다. 이인스턴스 ID 가 [Instance ID] 필드에표시됩니다. 7. 마이그레이션이완료된후 EC2 인스턴스를시작하려면환경을확장하고 [Imported Instances] 를확장한다음 [Summary] 탭을클릭합니다. 이인스턴스 ID 는 [VM-to-EC2 Migrations] 탭에서기록해둔인스턴스 ID 여야합니다. [Getting Started] 탭에서 [Start instance] 를클릭합니다. 인스턴스백업 인스턴스를시작하면종료될때까지실행됩니다. 인스턴스가종료된이후에는인스턴스에연결하거나인스턴스를복구할수없습니다. 필요할경우동일한소프트웨어를사용하여새인스턴스를마이그레이션된인스턴스로시작하려면, 인스턴스에서 Amazon 머신이미지 (AMI) 를생성한후이 AMI 를지정하는템플릿을생성합니다. AMI 를생성하려면 Amazon EC2 콘솔또는명령줄도구를사용해야합니다. Amazon EC2 를사용하여 AMI 를생성하는방법은 Amazon EC2 사용설명서에서해당단원을참조하십시오. 플랫폼 Root Volume( 루트볼륨 ) 주제 Linux EBS Amazon EBS 지원 Linux AMI 생성 37
AWS Management Portal for vcenter 사용설명서마이그레이션한 EC2 인스턴스내보내기 플랫폼 Root Volume( 루트볼륨 ) 주제 리눅스 인스턴스스토어 인스턴스스토어지원 Linux AMI 생성 Windows가설치된 EBS Amazon EBS 기반 Windows AMI 생성 Windows가설치된 인스턴스스토어 인스턴스스토어지원 Windows AMI 생성 마이그레이션한인스턴스에서생성한 AMI 에서인스턴스를시작할수있도록템플릿을생성하는방법은템플릿관리 (p. 31) 를참조하십시오. 마이그레이션한 EC2 인스턴스내보내기 이전에 VM 에서마이그레이션한 EC2 인스턴스를내보내려면 vcenter 에서 management portal 을사용합니다. 인스턴스내보내기를실행하면 OVA 파일이생성되어해당 AWS 계정의 Amazon S3 버킷에저장됩니다. 이전에 vcenter 를사용하여 EC2 인스턴스를내보내기않은경우인스턴스내보내기를위해생성된 S3 버킷에사용할이름을처음에지정해야합니다. AWS 는이를위해각리전에 S3 버킷을하나씩생성하고 export-to-s3-name-region 형식으로이름을지정합니다. 요구사항 EC2 인스턴스를내보내려면 management portal 의관리자여야합니다. 관리자나 IAM 사용자의 AWS 자격증명을사용하여인스턴스내보내기를구성할수있습니다. IAM 사용자가이절차를수행할수있도록하려면사용자에게필요한계정및사용자생성 (p. 5) 에서설명한권한이있는지확인합니다. 제한 리전당동시에실행할수있는내보내기작업은최대 5 개입니다. 현재내보내기가진행중인인스턴스는내보낼수없습니다. 인스턴스내보내기를준비하려면 1. AWS Management Portal for vcenter 설정콘솔을엽니다. 2. [AWS Management Portal for vcenter] 페이지에서 [Configure Instance Export] 를클릭하고 [Create New] 를클릭합니다. 3. [Configure Instance Export] 페이지에서다음을수행합니다. a. 메시지가표시되면 [S3 bucket names] 에버킷이름을입력합니다. b. [I agree that AWS Management Portal for vcenter may do the following on my behalf] 를클릭합니다. c. [Create] 를클릭합니다. 마이그레이션된인스턴스를내보내려면 1. vcenter에서홈과 AWS Management Portal(AWS 관리포털 ) 을차례로클릭합니다. 2. 대시보드에서인스턴스의리전, 환경, 템플릿을차례로확장합니다. 3. 인스턴스를선택합니다. 4. [Getting Started] 탭에서 [Export instance to S3] 를클릭합니다. 38
AWS Management Portal for vcenter 사용설명서마이그레이션문제해결 5. [Export instance to S3] 대화상자의 [S3 object file prefix] 에 OVA 파일의이름을입력하고 [Export] 를클릭합니다. 내보내기가시작되면내보내기작업 ID 가표시됩니다. 내보내기작업의상태를모니터링하려면이 ID 를기록해둡니다. 6. ( 선택사항 ) 내보내기프로세스의상태를모니터링하려면인스턴스의환경을선택하고 [EC2-to-S3 Migrations] 탭을클릭합니다. 이탭에는지난 7 일동안의인스턴스내보내기작업이모두표시됩니다. 앞에서기록해준작업 ID 로해당작업을찾습니다. 진행중인내보내기작업을취소해야할경우, 해당행을마우스오른쪽버튼으로클릭하고 [Cancel Export Task] 를클릭한후확인메시지가나타나면 [Continue] 를클릭합니다. 7. 내보내기프로세스가완료된후 OVA 파일에액세스하려면다음과같이합니다. a. https://console.aws.amazon.com/s3/ 에서 Amazon S3 콘솔을엽니다. b. 탐색모음에서, 내보낸 EC2 인스턴스를포함하는리전을선택합니다. OVA 파일은 EC2 인스턴스와동일한리전의 S3 버킷에저장됩니다. c. [Buckets] 창에서내보낸인스턴스의버킷 (export-to-s3-name-region) 을선택한후 OVA 파일을선택합니다. d. [Actions] 를클릭한다음, [Download] 를클릭합니다. 지침에따라다운로드를완료합니다. 또는 connector 대신 Amazon EC2 CLI 를사용하여 EC2 인스턴스를내보낼수있습니다. 자세한내용은 Amazon EC2 사용설명서의 Amazon EC2 인스턴스내보내기를참조하십시오. 마이그레이션문제해결 오류 : 멀티디스크가상머신을마이그레이션하려면추가권한이필요함 가상머신을마이그레이션할때 " 디스크가두개이상인가상머신을마이그레이션하려면 management portal 설정페이지에로그인한후 VM 가져오기 / 내보내기서비스에필요한권한을추가로부여해야한다 " 는메시지가나타납니다. 다음절차를사용하여필요한권한을부여합니다. 1. AWS Management Portal for vcenter 설정콘솔을엽니다. 2. 가져오기서비스역할이없다는오류메시지가나타나면 [Fix Error] 를클릭합니다. 3. ( 선택사항 ) 가져오기서비스역할의정책을검토하려면 [View Policy] 를클릭합니다. 4. [I agree that AWS Management Portal for vcenter may create the above roles on my behalf] 를클릭합니다. 5. Save 를클릭합니다. 오류 : 커넥터가 ESX 호스트에연결할수없음 가상머신을마이그레이션할때 "[name] 가상머신을마이그레이션하기위해커넥터가 ESX 호스트 [hostname] 에액세스할수없다 " 는메시지가나타납니다. 오류메시지에명시된호스트이름이 ESX 호스트의전체도메인이름이아닌경우, 다음절차에따라 connector 가 ESX 호스트이름에접미사를추가하고이름을해석할수있도록 DNS 접미사검색목록을구성합니다. 1. vsphere 클라이언트에서 connector VM 을찾아서마우스오른쪽버튼으로클릭하고 Open Console( 콘솔열기 ) 을선택합니다. 2. ec2-user 로로그인합니다. 자세한내용은가상머신콘솔에로그인 (p. 41) 단원을참조하십시오. 3. sudo setup.rb 명령을실행합니다. 이명령은다음메뉴를표시합니다. 39
AWS Management Portal for vcenter 사용설명서마이그레이션문제해결 다다다다다다다다다다다다다. 1. 다다다다다다다 2. 다다다다다다다다다 3. 다다다다다다 4. 다다다다다다다다다다 5. 다다다다다다다다다다다다다다 6. SSL 다다다다다다다다 / 다다다다 7. 다다다다 SSL 다다다다다 8. 다다다다다다 9. 다다다다다다다다다다다다다. [1-9]: 4. 2 를입력하고 Enter 키를누릅니다. 이명령은다음메뉴를표시합니다. 다다다다다다다 : 1. DHCP 다다다다다다다다 2. 다다 IP 다다 3. AWS 다다다다다다다다다다다다다다다 4. DNS 다다다다다다다다다 5. 다다다다다다다다다다다다다. [1-5]: 5. 4 를입력하고 Enter 키를누릅니다. 이명령은현재 DNS 접미사검색목록을표시합니다. 지침에따라오류메시지에명시된 ESC 호스트의도메인이름을포함하도록검색목록을업데이트합니다. 커넥터에서호스트의인증서를확인할수없음 기본적으로 connector 는 HTTPS 를통해통신하는모든엔터티 (vcenter 및 ESXi 서버포함 ) 의인증서를검사합니다. 이는중간자 (man-in-the-middle) 공격을방지하기위해필요합니다. 하지만 ESX 버전 4.1 또는그이전버전에서 Amazon EC2 로가상머신을마이그레이션하는경우에는 connector 가호스트의인증서를검사할수없으며따라서마이그레이션이실패합니다. 이문제를해결하려면다음중한가지방법을사용합니다. 옵션 1: ESX 5.0 또는그이상버전으로업데이트합니다. 옵션 2: 다음과같이 Disable ESX 인증서검사를비활성화하고가상머신을마이그레이션한후 ESX 인증서검사를다시활성화합니다. 1. 웹브라우저에서 connector 관리콘솔 (https://ip_address/) 을열고해당암호를사용하여로그인합니다. ip_address 는관리콘솔의 IP 주소입니다. 2. [Register the Connector] 를클릭합니다. 3. [Register Plugin] 페이지의 [ESX SSL certificate options] 에서 [Ignore any ESX certificate errors] 를클릭하고 [Register] 를클릭합니다. Important ESX 4.1 또는그이전버전에서가상머신을마이그레이션하는경우가아니라면 ESX 인증서검사를활성상태로유지하는것이좋습니다. 4. 가상머신의마이그레션이완료되면 connector 관리콘솔의 Register Plugin( 플러그인등록 ) 페이지로돌아가서 Trust vcenter to validate ESX certificates(esx 인증서검증을위해 vcenter 신뢰 ) 를클릭한후등록을클릭합니다. 40
AWS Management Portal for vcenter 사용설명서관리콘솔액세스 AWS Connector for vcenter 관리 connector 관리콘솔과 connector CLI 를사용하여 connector 를관리할수있습니다. connector 버전 2.4.0 부터 AWS 는안정성과보안을개선할수있도록 connector 의성능, 사용량및사용자지정에대한측정치를수집합니다. 목차 Note VM 을 vcenter 환경으로부터 AWS 로마이그레이션하려면 AWS Server Migration Service(SMS) 의사용을권장합니다. SMS 는온프레미스 VM 을증분방식으로복제한다음 Amazon 머신이미지 (AMI) 로변환함으로써마이그레이션프로세스를자동화합니다. 마이그레이션을진행하는동안계속해서온프레미스 VM 을사용하실수있습니다. AWS SMS 에대한자세한내용은 AWS Server Migration Service 를참조하십시오. 관리콘솔액세스 (p. 41) 가상머신콘솔에로그인 (p. 41) 커넥터암호재설정 (p. 42) 키교체 (p. 42) 커넥터모니터링 (p. 43) AWS 에문제보고 (p. 44) AWSConnector 정책업데이트 (p. 44) 일반문제해결 (p. 45) 업그레이드문제해결 (p. 46) 신뢰할수있는 SSL 인증서설치 (p. 46) 신뢰할수없는 SSL 인증서검사 (p. 47) 커넥터제거 (p. 47) 이페이지의절차는 connector 버전 2.1.0 이상을기준으로작성되었습니다. connector 관리콘솔오른쪽위모서리부분의버전정보가 Version: 2.0.0 인경우, connector 버전 2.0.0 용으로작성된지침을담은커넥터관리 PDF 파일을다운로드하십시오. 관리콘솔액세스 관리콘솔을액세스하려면 https://ip_address/ 로이동합니다. ip_address 는 connector 가상어플라이언스를배포할때저장한 connector 관리콘솔의 IP 주소입니다. 가상머신콘솔에로그인 connector 가상머신콘솔에서 connector CLI 를사용할수있습니다. 가상머신콘솔에액세스하려면 vsphere 클라이언트에서 connector VM 을찾아서마우스오른쪽버튼으로클릭하고 Open Console( 콘솔열기 ) 을선택합니다. 기본사용자는 ec2-user 이고기본암호는 ec2pass 입니다. 41
AWS Management Portal for vcenter 사용설명서커넥터암호재설정 로그인한후암호를변경하는것이좋습니다. 암호를변경하려면다음명령을사용하십시오. passwd new_password Important sudo passwd 명령을사용하면 root 의암호가아닌 ec2-user 의암호가수정됩니다. 커넥터암호재설정 connector 설정콘솔에로그인하는데사용하는암호를잊어버린경우, connector CLI 를사용하여암호를재설정할수있습니다. connector CLI 를사용하여암호를재설정하려면 1. vsphere 클라이언트에서 connector VM 을찾아서마우스오른쪽버튼으로클릭하고 Open Console( 콘솔열기 ) 을선택합니다. 2. ec2-user 로로그인합니다. 자세한내용은가상머신콘솔에로그인 (p. 41) 단원을참조하십시오. 3. sudo setup.rb 명령을실행합니다. 이명령은다음메뉴를표시합니다. 다다다다다다다다다다다다다. 1. 다다다다다다다 2. 다다다다다다다다다 3. 다다다다다다 4. 다다다다다다다다다다 5. 다다다다다다다다다다다다다다 6. SSL 다다다다다다다다 / 다다다다 7. 다다다다 SSL 다다다다다 8. 다다다다다다 9. 다다다다다다다다다다다다다. [1-9]: 4. 1 를입력하고 Enter 키를누릅니다. 화면에나타나는지침을따릅니다. 일반적으로 vcenter IP/ 호스트이름은변경할수없으며, 동일한 vcenter 를사용하여인증받아야합니다. 키교체 키를정기적으로교체하는것이좋습니다. AMP-connector 키는관리콘솔과온프레미스 connector 간에공유되며, 이러한개체간에신뢰관계를구축하는데사용됩니다. AMP-connector 키를교체하려면 1. AWS Management Portal for vcenter 설정콘솔을엽니다. 2. AWS Management Portal Setup(AWS 관리포털설정 ) 페이지에서 AMP-Connector Key(AMP- Connector 키 ) 창을확장하고편집을클릭합니다. 3. Create an AMP-Connector Key(AMP-Connector 키생성 ) 페이지에서 Create a new AMP-Connector key( 새로운 AMP-Connector 키생성 ) 를선택합니다. 4. 키이름을입력하고생성을클릭합니다. 5. Review Your Configuration( 구성검토 ) 페이지에서구성다운로드를클릭합니다. 파일을안전한위치에저장합니다. 이파일은커넥터배포프로세스를완료하는데필요합니다. 6. Finish 를클릭합니다. connector 암호화키는 connector 로컬의기밀정보 ( 계정자격증명등 ) 를암호화하는데사용됩니다. connector 암호화키를교체하려면 1. 웹브라우저를사용하여 connector 관리콘솔을엽니다. 42
AWS Management Portal for vcenter 사용설명서커넥터모니터링 2. connector 관리콘솔에서 Rotate encryption key( 암호화키교체 ) 를클릭합니다. 3. Rotate encryption key( 암호화키교체 ) 대화상자에서커넥터의암호를입력하고교체를클릭합니다. 커넥터모니터링 connector는관리콘솔을사용하여상태를모니터링할수있습니다. 관리콘솔을사용하여 connector를모니터링하려면 1. 웹브라우저를사용하여 connector 관리콘솔을엽니다. 2. 상태창을찾습니다. 3. 오류가있는지확인합니다. 오류가있는경우오류로그보기를클릭하여자세한내용을봅니다. Connector Up-to-Date 현재사용하고있는 connector 버전이최신버전인지를나타냅니다. 경고아이콘이나타나면업그레이드가있는것입니다. 자세히알아보려면 What's new?( 새로운소식 ) 를클릭하십시오. 오류아이콘이나타나면 connector 가리콜되었으며다운그레이드가있는것입니다. 자세히알아보려면 What will be fixed?( 수정될내용 ) 을클릭하십시오. AWS Connectivity connector 를구성할때지정한자격증명을사용하여 connector 가 AWS 에액세스할수있는지확인합니다. 오류가있으면오류로그보기를클릭합니다. vcenter Connectivity connector 를구성할때지정한자격증명을사용하여 connector 가 vcenter 에액세스할수있는지확인합니다. 오류가있으면오류로그보기를클릭합니다. Connector Registered IP Is Current 커넥터를등록하는데사용한 IP 주소가유효한지를나타냅니다. System Time Synchronization 현재시스템시간과호스트시간이동기화되는지확인합니다. 오류가있으면 [View Error Log] 를클릭합니다. 자세한내용은시간동기화구성 (p. 4) 을참조하십시오. UserProvider Service vcenter 사용자를열거합니다. 오류가있으면 [View Error Log] 를클릭합니다. Poller Service Amazon EC2 로마이그레이션하는 VM 의상태를모니터링합니다. 오류가있으면 [View Error Log] 를클릭합니다. 서비스를새로고치지않았다는오류가발생할경우업그레이드문제해결 (p. 46) 에설명된대로서비스를다시시작해보십시오. 43