› content › dam › uwaem › production... · “소프트웨어정의데이터센터”를위한네트워크가상화 VMware NSX단점 장점 Controller Cluster NSX Manager

1© Copyright 2015 EMC Corporation. All rights reserved.

“소프트웨어 정의 데이터센터”를 위한 네트워크 가상화,

VMware NSX임혁용VMware Korea


소프트웨어 정의 데이터 센터?


소프트웨어 정의 데이터 센터?


소프트웨어 정의 데이터 센터의 요소,

모든 애플리케이션으로가상 컴퓨팅 확장

애플리케이션 수요에맞게 조정하여스토리지 전환

속도 및 효율성을위한

네트워크 가상화

단순한 관리툴에서자동화로 전환


속도 및 효율성을 위한네트워크 가상화

소프트웨어 정의 데이터 센터의 핵심, 네트워크 가상화


네트워크 가상화와 서버 가상화의 유사점

Decoupled

Hardware

Software

General Purpose Networking Hardware

Network Hypervisor

Requirement: IP Transport

Virtual Network

Virtual Network

Virtual Network

Workload Workload Workload

L2, L3, L4-7 Network Services

General Purpose Server Hardware

Server Hypervisor

Requirement: x86

Virtual Machine

Virtual Machine

Virtual Machine

Application Application Application

x86 Environment


차세대 네트워킹 모델, NSX

하이퍼바이저를 통한

네트워크 및 보안 서비스

L2 Switching

L3 Routing

Firewalling/ACLs

Load Balancing

Software

Hardware

Applications

Virtual Machines

Virtual Networks

Virtual Storage

Data Center Virtualization

Location Independence

ComputeCapacity

NetworkCapacity

Storage Capacity

Software Defined Data Center


보다 세분화된 관리가 가능

• 하이퍼바이저 단위의 높은 대역폭

• 모든 하이퍼바이저에 추가적으로 east-west firewalling 제공

• VMware NSX platform자체기능


NSX 논리적 스위칭 (Logical Switching)

9

• 애플리케이션 혹은 멀티 테넌트별 세그먼트

• VM이동성 제공을 위해서는 L2 필요

• 대규모 L2 네트워크 구성에서는 STP 이슈발생

• HW Memory (MAC, FIB) 테이블의 한계

• 멀티 테넌트를 데이터센터간 확장 가능

• L3 인프라상에서 L2 확장 구성 가능

• VXLAN, STT, GRE 기반의 Overlay Network

• 실제 호스트 및 네트워크 스위치간 논리적인스위치 구성 가능

문제점 효과

VM

ware

NS

X Logical Switch 1 Logical Switch 2 Logical Switch 3

LOGICAL SWITCHING – 네트워크 확장성 1000X


NSX Layer 3 라우팅:분산 서비스, 다양한 기능

10

VM to VM Routed Traffic Flow

• 물리적 인프라 확장의 이슈사항 –라우팅 확장

• VM 이동성의 문제

• 복잡한 멀티 테넌트 라우팅

• 트래픽의 헤어핀 현상

• 하이퍼버이저 기반 분산 라우팅

• 동적인, API 기반 구성 설정

• 다양한 기능 – OSPF, BGP, IS-IS

• 테넌트별 논리적 라우터 지원

• 물리적 스위치와 routing peering

단점 장점

Controller Cluster

NSX Manager

L2

L2

Tenant A

Tenant B

L2

L2

L2 Tenant C

L2

L2

L2

CMP

확장가능한 라우팅 – 멀티 테넌시 구조에서 네트워크 단순화


VMware NSX 부하분산 서비스

LOAD BALANCER – 테넌트 별 애플리케이션 가용성 모델

• 애플리케이션 이동성• 멀티테넌시• 구성의 복잡성 – 대부분의 구성 및배포작업을 수동으로 작업

단점

• 온디맨드 로드밸런스 (L4) 서비스• 단순해진 애플리케이션 배포 모델• L7, SSL…

장점

L2

Tenant A

VM1

VM2

VM1

VM3

VM2

L2 L2

L3Tenant B


NSX Firewall: 고성능, 확장가능한 보안

• 중앙관리 방화벽 모델• 정적인 구성관리• IP 주소 기반 규칙• 어플라이언스 당 제약• 캡슐화 트래픽에 대한 가시성 부족

• 하이퍼바이저 통합으로 분산 서비스 구조• 동적, API 기반의 설정 구성• VM 이름, ID기반 규칙• 호스트 당 Line Rate• 캡슐화 트래픽에 대한 완전한 가시성

단점 장점

물리적 보안 모델 SDDC를 위한 NSX 방화벽

방화벽 관리

VMware NSX

API

CMP

성능 및 확장성 – 1,000+ 호스트 및 30 Tbps 방화벽 성능


보안이 강화되었음에도…

강력한 경계방화벽으로 보호되는 오늘날의데이터센터…

그러나 위협과 공격은 여전히 서버를 감염. 낮은 우선 순위 시스템이 종종 대상이 되기도

휴면상태로 공격시점을 기다리고 있을 수도…

서버간 트래픽은 서버-클라이언트 트래픽 추월.공격은 아무도 모르게 확산될 수 있음

떄로는 몇 달의 정찰 후에, 중요데이터가빠져나가는 경우

내부보안이 약한 경우 데이터센터 전체에순식간에 퍼져나감. 주요시스템이공격대상

101101001101010010100000101001110010100


솔루션:분산된 방화벽으로 마이크로-세그멘테이션을

• 하이퍼바이져기반, 커널 내장된 분산방화벽

• 플랫폼기반으로 제공되는 자동화 기능

Internet

Security Policy

Perimeter Firewalls

CloudManagementPlatform


더욱 강화되는 데이터센터 보안경계방화벽 중심의 보안

NSX Micro Segmentation을 추가하여 보다 강력하게

Little or nolateral controls

inside perimeter

Internet Internet

Insufficient Operationally Infeasible


큰 차이가 있습니다.


기업 애플리케이션에 대한 접근제어

Front Desk Pool

R&D Desktops IT Admin Desktops

Mr. John Smith

PCoIPRDP

NSX이전

•동일VLAN상의 모든 VM, 자유롭게

통신가능

•단 한 대라도 손상 주변VM들 영향

•손상/문제있는 VM을 통해 내부 중요

애플리케이션에도 영향

NSX

•공유VLAN상에서 VM들에 대한 세분화된

제어

•사용자 단위의 접근권한

•손상/문제된 VM 즉시 격리

• 3rd Party솔루션과 연계

SchedulingApp

Web App

Critical Data

Web App

IT App

Web App

내부 애플리케이션 Complance


손쉬운 정책생성과 적용이 가능합니다.

애플리케이션에 따른 동적/정적개체선택

“attributes”를 통한보안그룹생성

보안그룹에 정책적용1 2 3

ABC

DEF

GroupXYZ

App 1

OS: Windows 8

TAG: “Production”

• 논리적구조에 대해서도 정책적용

• 설정상의 오류방지

• IP단위가 아닌 VM기준

• 복잡성제거

“보안그룹”설정을 통해 애플리케이션에 부합하는 정책적용가능

GroupXYZ

Policy 1“IPS for Desktops”“FW for Desktops”

Policy 2“AV for Production”“FW for Production”

Element type

Static Dynamic

Data centerVirtual net

Virtual machinevNIC

VM nameOS typeUser ID

Security tag


NSX로 분산된 보안환경을,

CONFIDENTIAL

DMZ/Web VLAN

App VLAN

HR

Finance

Services/Management VLAN

DB VLAN

HR Finance

Services Mgmt

Finance HR

Perimeterfirewall

Inside firewall

Perimeterfirewall

DMZ/Web

App

DB

HR Group

App

DMZ/Web

DB

Finance Group

Services Mgmt

Services/Management Group

Traditional Data Center NSX Data Center

Each VM can now be its own perimeter

Policies align with logical groups

Control communication within a single VLAN

NSX segmentation simplifies network security


향상된 네트워크 자동화 제공

플랫폼 기반의 자동화

• 자동화된 프로비져닝

• 이동/변경시에도 관련 정책동시적용

• 논리적이고 분산된Firewall단일관리


예 : 소프트웨어로 정의된 신규서비스구축

Web Tier

App Tier

DB Tier

L3 Subnet

L3 Subnet

L3 Subnet

All S

oft

ware

Constr

uct

Physical Network

NAT

Internet


애플리케이션 및 인프라 제공 자동화정책 기반 인프라 자동화를 통한 신속한 애플리케이션 제공

요청 승인 프로비저닝 관리

서비스Blueprint

전체 비용 추적가능


+ NSX, 손쉬운 자동화


Internet

네트워크를 위한 가상머신의 새로운 운영모델


VMware는 소프트웨어 정의 엔터프라이즈의 기반을 제공

최종 사용자컴퓨팅 데스크톱 모바일

가상 업무 공간

애플리케이션 현대식 SaaS기존 방식

25컴퓨팅

물리적하드웨어

정책 기반 관리 및자동화

클라우드 자동화 클라우드 운영

가상화된 인프라추상화 및 풀링

컴퓨팅 추상화 = 서버 가상화

네트워크

네트워크 추상화= 가상 네트워킹

스토리지

스토리지 추상화= 소프트웨어정의 스토리지

클라우드 비즈니스

퍼블릭클라우드

프라이빗클라우드

하이브리드클라우드

VMware 및vCloud 데이터 센터 파트너사

소프트웨어 정의 데이터 센터

Documents

› content › dam › uwaem › production... · “소프트웨어정의데이터센터”를위한네트워크가상화 VMware NSX단점 장점 Controller Cluster NSX Manager