VMware Cloud on AWS에서 사용하는 두가지 AWS 계정

VMware Cloud on AWS는 AWS 데이터센터 안에 구축되는 VMware 기반 SDDC입니다.

실제 SDDC를 배포해보면, 지정한 IP 대역대로 네트워크까지 자동으로 생성이 되고 인터넷 연결까지 완료됩니다.

추가적인 Gateway에 대한 별도의 네트워크 구성 없이, VM 생성만으로 인터넷까지 즉시 연결되어 있습니다.

 

AWS에서는 VPC를 기반으로 subnet으로 구분되는 네트워크를 반드시 구성해야 그 안에 EC2를 구동할 수 있고,

외부 연결에 대해서도 Internet Gateway와 보안 관련 구성을 해야 통신할 수 있습니다.

이와 반대로, VMware Cloud on AWS에서는 SDDC 배포만으로 네트워크 구성이 완료되고,

그 안에 내가 원하는 네트워크를 자유롭게 만들 수 있으며, VM만 만들면 바로 인터넷을 접근이 가능합니다.

 

그럼 VMware Cloud on AWS는 AWS로부터 특별한 예외를 받아 원하는 네트워크를 마음대로 구성할 수 있는 걸까요?

 

아닙니다.

VMware Cloud on AWS도 AWS의 네트워크 정책을 따르고 있습니다.

우리가 SDDC를 배포하면, 우리 눈에는 보이지 않지만, VMware가 직접 관리하는 VPC가 생성되고,

그 안에 베어메탈 기반의 EC2 서버들이 구성되게 됩니다.

VMware는 배포된 베어메탈 기반의 EC2 서버에 정해진 OS 대신 SDDC를 설치할 수 있는 권한을 가지고 있으며,

배포된 SDDC들을 서비스로 사용자에게 제공하는 것입니다.

 

이 상황에서, VMware는 VPC를 만드는 계정을 고객에게 공개하지 않고, 직접 관리하며,

이에 대한 사용 비용은,  VMware가 직접 AWS에 비용을 지불합니다.

즉, SDDC가 배포될 때마다 VMware에서는 새로운 VPC가 하나씩 늘어나고 있습니다.

 

이러한 눈에 보이지 않는 VPC를 공식 용어는 아니지만 'shadow VPC'라고 부르고 있습니다.

이 VPC들은 VMware의 Master AWS 계정아래, 개별의 하위 사용자 계정으로 생성되며,

Account 간에는 어떠한 자원도 절대 공유되지 않습니다.

 

 

이와 함께, SDDC 배포시 'Connected VPC'라 불리는 VPC를 소유한 계정도 필요합니다.

'Shadow VPC'와 다르게 'Conencted VPC'는 정식 명칭인데요, 바로 어떤 AZ에 배포할지를 결정하는 VPC입니다.

 

이 VPC는 SDDC 배포 전에 사용자 계정으로 미리 만들어 두어야 하며,

SDDC 배포시 사용자의 AWS 계정과 연결을 위해 계정 정보와 함께 선택되어야 하는 정보입니다.

최초 SDDC 배포시 특정 VPC에 할당된 Subnet을 선택하면, 해당 Subnet이 위치한 AZ에 SDDC가 배포되게 됩니다.

즉 선택된 'Connected VPC'가 위치한 AZ에 'Shadow VPC'가 구성된다고 할 수 있습니다.

 

물론 'Connected VPC'도 VPC임으로, 서로 다른 AZ에 위치한 다수의 Subnet이 존재할 수 있으며,

SDDC가 여러개 라면, 동일한 VPC에 존재하는 다수의 Subnet에 각각 연결되어 구성될 수 있습니다

이와 같이 VMware Cloud on AWS를 사용하는데 있어서 2가지 형태의 AWS 계정이 필요합니다.

즉, VMware가 관리하는 'Shadow VPC'용 AWS 계정과 사용자가 구성하는 'Connected VPC'용 AWS 계정이 필요합니다.

이 두 계정은 각자의 역할에 따라 관리 주체 및 접근 권한이 다르지만, 반드시 SDDC 배포를 위해 필요한 계정들입니다.

 

그럼 각 계정별로 특징을 비교해 보겠습니다.

 

VMware의 AWS 계정 (VMware Cloud SDDC Account)	사용자의 AWS 계정 (AWS Customer Account)
1. SDDC 리소스 실행을 위한 전용의 새로운 계정입니다. 2. 소유권은 VMware에 있습니다. 3. VMware가 직접 관리합니다. 4. 사용량에 대해 VMware가 AWS에 지불합니다. 5. Shadow VPC를 생성/관리합니다. 6. Connected VPC와 연결됩니다. 7. 고객별로 별도의 Account를 생성합니다. 8. 개별 Account 간에 자원은 절대 공유하지 않습니다. 9. 사용자는 직접 해당 VPC를 제어할 수 없습니다. 10. 해당 계정의 베어메탈 EC2에 SDDC가 배포됩니다.	1. SDDC에 대한 Private Connectivity에 사용되는 기존 계정입니다. 2. 소유권은 사용자에 있습니다. 3. 사용자가 직접 관리합니다. 4. 사용량에 대해 고객이 AWS에 직접 지불합니다. 5. Connected VPC를 생성/관리합니다. 6. Shadow VPC와 연결됩니다. 7. 필요에 따라 별도의 Account를 생성합니다. 8. 권한 및 정책에 따라 Account간에 자원을 공유합니다. 9. 사용자는 원한는 VPC를 마음대로 제어할 수 있습니다. 10. 해당 계정의 Connected VPC가 위치한 AZ에 SDDC가 배포됩니다.

 

두 개의 AWS 계정은 서로 다른 역할을 하지만, VMware Cloud on AWS 구축에 꼭 필요한 계정들입니다.

물론 사용자는 VMware의 계정의 역할은 몰라도 아무런 상관없으며, 계정의 정보에 대해 알수도 없습니다.

사용자는 사용자의 AWS 계정만 알고 있으면, VMware Cloud on AWS의 모든 서비스를 이용할 수 있습니다.

 

다만, VMware Cloud on AWS는 AWS 데이터센터 안에 새로운 클라우드가 구축되는 것으로,

AWS 클라우드와의 연결 및 관계를 이해를 위해 계정간의 차이점에 대해 참고사항으로 기억해 둔다면,

운영상에 문제 발생시 빠른 문제 해결에 분명 많은 도움이 될 것입니다.