OCVS 기술세션 #2 VMware 제품 개요 3) Introduction to NSX-T

2021년 5월 12일 OCVS 기술세션이 진행되어 내용을 기록해 봅니다.

 

OCVS(Oracle Cloud VMware Solution)은 OCI(Oracle Cloud Infrastructure)의 VMware Cloud 솔루션입니다.

VMware Cloud on AWS와는 다르게, Oracle이 주도적으로 리딩하며, VMware에서 함께 지원하는 솔루션으로,

Oracle과 VMware의 Joint Engineered Solution Program에 의해 완성되었습니다.

 

It's Just VMware

 

#1 OVCS 간략 소개 및 업데이트 사항

#2 VMware 제품 개요

        1) Introduction to Virtualization

        2) Introduction to vSAN

        3) Introduction to NSX-T(현재글)

#3 OCVS 프로비저닝 및 아키텍처

#4 OCVS 외부 연결

#5 OCVS로 VM 이관

#6 OCVS를 이용한 DR 구축

#7 OCVS에서 VDI 솔루션 구동

 

-------------

 

네트워크 가상화를 통해 물리적인 스위칭, 라우팅 그리고 보안 장비, 침입탐지 장비의 역할을 제공합니다.

기본적인 L2 스위칭, L3 라우팅뿐만 아니라, 로드밸런서나 방화벽, NAT, VPN 같은 기능도 NSX를 통해 제공합니다.

모든 서비스는 가상화 기반으로, 호스트간 가상네트워크는 오버레이 네트워크를 기반으로 동작하며,

OCVS에 제공되는 NSX-T에서는 Geneve 프로토콜을 통해서 오버레이 네트워크를 구성합니다.

 

On-premise에서 NSX-T를 구성하는 경우 물리적인 네트워크와 연결되게 되는데,

OCVS에서는 외부로 연결되는 네트워크가 VCN이기 때문에, VCN을 통해 외부와 연결되게 됩니다.

이 VCN을 통해 엔터프라이즈 네트워크와 전용선이나 인터넷 VPN등이 연결되게 됩니다.

 

기본적으로 내부 통신인 EAST-WEST 트래픽은

NSX-T 구성되어지는 Logical Segment와 Logical Router를 통해 자유롭게 통신이 가능하며,

설정에 따라, 외부/native OCI/엔터프라이즈/인터넷 등의 연결에 대해 구성할 수 있습니다.

 

On-premise에서는 베어메탈에 대해서도 NSX가 통합되는 부분이 있습니다.

기본적으로 네트워크 가상화뿐만 아니라, 보안관련된 기능까지 통합되어 제공하며,

OCVS에서는 ESXi 호스트만을 대상으로 네트워크 가상화 및 보안 서비스를 제공합니다.

 

과거에는 NSX 버전이 2가지가 있었습니다.

NSX-V는 구버전으로 2022년에 모두 EOGS 예정이며, 최근 구성은 NSX-T로 진행되고 있습니다.

OCVS에서는 당연히 최신 버전인 NSX-T를 통해 네트워크 가상화를 제공합니다.

 

NSX-V는 vSphere 환경만을 지원하며, vCenter와 1:1로 매핑이 필요하는 관리적 구조를 가져갑니다

NSX-T는 멀티클라우드를 위해 KVM이나 일반 베어메탈도 지원할 수 있으며,

컨테이너 기반의 K8s 워크로드도 지원합니다.

OCVS에서도 별도의 Tanzu 라이센스를 구입하신다면 NSX-T를 통해 K8s 워크로드를 서비스할 수 있습니다.

 

NSX-T는 다양한 hypervisor를 지원하며, On-premise나 퍼블릭클라우드 모두에서 서비스 가능합니다.

또한, 다양한 네트워크 및 보안 서비스를 기반으로 K8s 기반의 클라우드네이티브 워크로드도 지원합니다.

 

NSX-T가 설치된다면, 기본적으로 3대의 NSX manager라는 가상머신이 구성됩니다.

NSX Manager는 가상네트워크 전체에 대한 관리를 담당하는 Control Plane 역할이며,

실제 데이터는 ESXi 호스트의 커널레벨에서 통합되어 서비스되며 ESXi 호스트가 Data Plane 역할을 담당합니다.

 

모든 ESXi 호스트가 바로 NSX-T 사용이 가능한 것은 아니며,

NSX-T 관련 모듈의 설치를 통해 ESXi 노드가 Transport 노드로 구성이 되고 나면,

NSX를 위한 오버레이 네트워크 구성이 준비가 완료됩니다.

그 이후 Logical Segment나 Logical Router를 생성하여 개별 가상머신에 연결해 주면

별도의 물리적인 네트워크 구성없이 즉시 가상 네트워크를 이용할 수 있습니다.

 

기본적으로 NSX-T는 L3 라우터 기능을 제공합니다.

다만, 전체 ESXi 호스트에 걸쳐 구성되기 때문에, 별도의 물리 네트워크 장비에 설정 없이 바로 사용 가능합니다.

 

North-South 트래픽은 별도의 Edge 가상머신을 통해 통신하며, East-West 트래픽은 분산라우터를 통해 서비스합니다.

Edge 가상머신의 경우 외부와의 통신을 위해 Static 라우팅이나 BGP 구성을 통해 OCI의 VCN과 라우팅을 교환합니다.

 

NSX-T에서 제공하는 로드밸런서나 NAT, VPN같은 steteful 네트워킹 서비스와

VCN 상단으로 통하는 North-South 트래픽의 경우 Edge 가상머신을 통해 처리됩니다.

 

가상의 논리라우터는 2-tier로 구성이 됩니다.

기본적으로 최초에 OCVS를 배포하면, Tier-0 라우터가 자동으로 구성되며,

상단 OCI의 VCN과 North-South 네트워크 통신을 담당합니다

 

Tier-1 라우터는 고객의 테넌트별 또는 업무별 네트워크를 구성할때마다 생성됩니다.

생성시 Tier-0와 Tier-1 라우터는 100.64.0.0/31의 예약된 네트워크 주소를 이용하여 자동으로 연결됩니다.

따라서, SDDC 배포시 해당 대역의 IP와 중복되지 않도록 주의가 필요합니다

 

Tier-0/Tier-1 라우터가 별도의 가상머신으로 배포되는 것은 아니며,

Edge 가상머신 내에 인스턴스 형태로 존재하며 동작합니다.

 

NSX-T의 라우터 기능의 경우 목적에 따라 분산라우터 또는 서비스라우터 형태로 구성되며,

구성에 따라 위치가 달라지게 됩니다.

 

NSX-T가 구성되면, 외부통신과 네트워크 서비스를 위한 Edge 라우터는 Edge 가상머신에 위치하게 되며,

내부 통신을 위한 분산라우터는 각 ESXi hypervisor위에 위치하고 있다고 볼 수 있습니다.

 

OCVS에서 특정 호스트에 존재한 가상머신의 다른 호스트에 위치한 가상머신과 통신하고자 한다면,

트래픽이 외부 네트워크를 거치지 않고, 하이퍼바이저 레벨에서 통신을 합니다.

즉, 라우팅을 위해 외부로 나갔다가 돌아오지 않고 내부에서 모두 처리하기 때문에,

네트워크 홉이 감소하며, 네트워크 성능도 향상되는 최적화된 네트워크 경로를 제공합니다.

 

NSX에서는 단순 연결 기능 뿐만 아니라 다양한 기능을 제공하며,

기존 On-premise에서 다양한 제품을 통해 제공되는 서비스를 통합으로 제공하고 있습니다.

 

Edge 서비스는 기본적으로 North-South 트래픽제어를 위한 경계 방화벽 설정도 가능하며,

로드밸런서, VPN, NAT, DHCP, DNS 관련 기능들도 모두 Edge 가상머신을 통해서 지원합니다.

OCVS에서는 가상머신 형태로 제공되며, SDDC 배포시 기본 2개의 Edge 가상머신이 배포됩니다.

 

NSX-T는 방화벽 기능도 함께 제공합니다.

전통적인 형태의 경계 방화벽을 제공할 뿐만 아니라, 가상머신 레벨의 분산방화벽도 제공합니다.

분산방화벽은 OCI에서 제공되는 Security List와 같은 기능으로 볼 수 있습니다

또한, NSX-T에서 분산침입탐지시스템도 구현되어, 보안적인 측면에서 강력한 기능을 제공하고 있습니다.

 

NSX-T에서는 외부와의 경계는 NSX Edge를 통해 내부간의 보안은 분산방화벽 기능을 통해 보안을 제공합니다.

 

다양한 서비스태그 지정을 통해 MicroSegmentation을 구현할 수 있습니다.

특정 서브넷 레벨의 통신 제어가 아니라, 가상머신별 태깅을 통해 방화벽을 구성할 수 있습니다.

예를 틀어, 어떤 특정 웹서버 간에만 통신을 하게한다던지 또는 특정 시스템, 태그가 붙은 애들만 통신이 가능하다던지

세부적인 정책 설정이 가능하기 때문에, 동일 서브넷 안에서도 보안 정책을 적용할 수 있으며,

여러 서브넷에 걸쳐서도 마이크로세그멘테이션을 구현하실 수 있습니다.

 

NSX-T v3.0부터 분산 침입탐지시스템(IDS) 기능이 추가되었습니다.

 

HXC는 하이브리드 클라우드 구축을 위한 핵심 제품입니다.

On-premise가 VMware 기반의 가상화환경이면 HCX를 통해 OCVS로 Lift & Shift를 구현할 수 있습니다.

대량의 가상머신을 하이퍼바이저 레벨에서 복제해와 그대로 사용할 수 있으며,

L2 네트워크 확장을 통해서 데이터센터 확장으로 활용할 수도 있습니다.

 

또한, On-premise의 가상머신들을 HCX를 통해서 vMotion 시킬수도 있습니다.

기본적으로 vMotion은 버전별로 호환성에 대한 제약사항들이 있는데,

HCX를 이용할 경우 다른 버전에 대해서도 vMotion이 가능합니다.

 

또한, HCX는 단방향 이동이 아니라, 양방향 이동이 가능하기 때문에,

언제든지 On-premise to OCVS 아니면 OCVS to On-premise, OCVS to OCVS로 이동을 아주 쉽게 할 수 있습니다.

이를 통해 매우 빠른 시간안에 대량의 가상머신을 클라우드 환경으로 이전할 수 있습니다.

 

OCVS에서는 NSX 역시 최고 버전의 라이센스를 제공하며, NSX-T의 모든 기능을 사용할 수 있습니다.

다만, HCX는 Advanced 라이센스를 지원하며, Enterprise 라이센스가 필요시 VMware에서 별도 구매가 필요합니다.