VMware NSX “소프트웨어 정의 데이터센터”를 위한 네트워크 가상화 , 임혁용

by user

on 15 сентября 2016

Category: Documents

>> Downloads: 4

views

Report

Comments

Description

Download VMware NSX “소프트웨어 정의 데이터센터”를 위한 네트워크 가상화 , 임혁용

Transcript

VMware NSX “소프트웨어 정의 데이터센터”를 위한 네트워크 가상화 , 임혁용

“소프트웨어 정의 데이터센터”를 위한 네트워크 가상화,
VMware NSX
임혁용
VMware Korea
© Copyright 2015 EMC Corporation. All rights reserved.
1
소프트웨어 정의 데이터 센터?
© Copyright 2015 EMC Corporation. All rights reserved.
2
소프트웨어 정의 데이터 센터?
© Copyright 2015 EMC Corporation. All rights reserved.
3
소프트웨어 정의 데이터 센터의 요소,
모든 애플리케이션으로
가상 컴퓨팅 확장
속도 및 효율성을
위한
네트워크 가상화
© Copyright 2015 EMC Corporation. All rights reserved.
애플리케이션 수요에
맞게 조정하여
스토리지 전환
단순한 관리툴에서
자동화로 전환
4
소프트웨어 정의 데이터 센터의 핵심, 네트워크 가상화
속도 및 효율성을 위한
네트워크 가상화
© Copyright 2015 EMC Corporation. All rights reserved.
5
네트워크 가상화와 서버 가상화의 유사점
Application
Application
Application
x86 Environment
Virtual
Machine
Virtual
Machine
Workload
Software
Virtual
Machine
Server Hypervisor
Workload
L2, L3, L4-7 Network Services
Virtual
Network
Decoupled
Requirement: x86
Workload
Virtual
Network
Virtual
Network
Network Hypervisor
Requirement: IP Transport
Hardware
General Purpose Server Hardware
© Copyright 2015 EMC Corporation. All rights reserved.
General Purpose Networking Hardware
6
차세대 네트워킹 모델, NSX
하이퍼바이저를 통한
네트워크 및 보안 서비스
Software Defined Data Center
Applications
Virtual
Machines
Virtual
Networks
Virtual
Storage
Load Balancing
Data Center Virtualization
L3 Routing
Software
Compute
Capacity
Network
Capacity
Storage
Capacity
Location Independence
© Copyright 2015 EMC Corporation. All rights reserved.
Hardware
L2 Switching
Firewalling/ACLs
7
보다 세분화된 관리가 가능
• 하이퍼바이저 단위의 높은 대역폭
• 모든 하이퍼바이저에 추가적으로 eastwest firewalling 제공
• VMware NSX platform자체기능
© Copyright 2015 EMC Corporation. All rights reserved.
8
VMware NSX
NSX 논리적 스위칭 (Logical Switching)
문제점
효과
• 애플리케이션 혹은 멀티 테넌트별 세그먼트
•
•
•
•
• VM이동성 제공을 위해서는 L2 필요
• 대규모 L2 네트워크 구성에서는 STP 이슈발생
• HW Memory (MAC, FIB) 테이블의 한계
Logical Switch 1 Logical Switch 2
멀티 테넌트를 데이터센터간 확장 가능
L3 인프라상에서 L2 확장 구성 가능
VXLAN, STT, GRE 기반의 Overlay Network
실제 호스트 및 네트워크 스위치간 논리적인
스위치 구성 가능
LOGICAL SWITCHING – 네트워크 확장성
© Copyright 2015 EMC Corporation. All rights reserved.
Logical Switch 3
1000X
99
NSX Layer 3 라우팅:분산 서비스, 다양한 기능
NSX Manager
Tenant A
CMP
Tenant B
L2
L2
L2
Controller Cluster
Tenant C
L2
L2
L2
L2
L2
VM to VM Routed Traffic Flow
단점
장점
• 물리적 인프라 확장의 이슈사항 –
라우팅 확장
• VM 이동성의 문제
• 복잡한 멀티 테넌트 라우팅
• 트래픽의 헤어핀 현상
•
•
•
•
•
하이퍼버이저 기반 분산 라우팅
동적인, API 기반 구성 설정
다양한 기능 – OSPF, BGP, IS-IS
테넌트별 논리적 라우터 지원
물리적 스위치와 routing peering
확장가능한 라우팅 – 멀티 테넌시 구조에서 네트워크 단순화
© Copyright 2015 EMC Corporation. All rights reserved.
110
VMware NSX 부하분산 서비스
Tenant A
VM
1
Tenant
B
VM
1
VM
2
VM
2
L2
L2
L3
VM
3
L2
단점
장점
• 애플리케이션 이동성
• 멀티테넌시
• 구성의 복잡성 – 대부분의 구성 및
배포작업을 수동으로 작업
• 온디맨드 로드밸런스 (L4) 서비스
• 단순해진 애플리케이션 배포 모델
• L7, SSL…
LOAD BALANCER – 테넌트 별 애플리케이션 가용성 모델
© Copyright 2015 EMC Corporation. All rights reserved.
11
NSX Firewall: 고성능, 확장가능한 보안
SDDC를 위한 NSX 방화벽
물리적 보안 모델
방화벽 관리
CMP
API
VMware NSX
단점
•
•
•
•
•
장점
중앙관리 방화벽 모델
정적인 구성관리
IP 주소 기반 규칙
어플라이언스 당 제약
캡슐화 트래픽에 대한 가시성 부족
성능 및 확장성 –
© Copyright 2015 EMC Corporation. All rights reserved.
1,000+
•
•
•
•
•
하이퍼바이저 통합으로 분산 서비스 구조
동적, API 기반의 설정 구성
VM 이름, ID기반 규칙
호스트 당 Line Rate
캡슐화 트래픽에 대한 완전한 가시성
호스트 및
30 Tbps 방화벽 성능
12
보안이 강화되었음에도…
강력한 경계방화벽으로 보호되는 오늘날의
데이터센터…
그러나 위협과 공격은 여전히 서버를 감염.
낮은 우선 순위 시스템이 종종 대상이 되기도
휴면상태로 공격시점을 기다리고 있을 수도…
10110100110
101001010000010
1001110010100
내부보안이 약한 경우 데이터센터 전체에
순식간에 퍼져나감. 주요시스템이
공격대상
© Copyright 2015 EMC Corporation. All rights reserved.
서버간 트래픽은 서버-클라이언트 트래픽 추월.
공격은 아무도 모르게 확산될 수 있음
떄로는 몇 달의 정찰 후에, 중요데이터가
빠져나가는 경우
13
솔루션:분산된 방화벽으로 마이크로-세그멘테이션을
• 하이퍼바이져기반, 커널 내장된 분산방화벽
Security Policy
• 플랫폼기반으로 제공되는 자동화 기능
Cloud
Management
Platform
Internet
Perimeter
Firewalls
© Copyright 2015 EMC Corporation. All rights reserved.
14
더욱 강화되는 데이터센터 보안
경계방화벽 중심의 보안
 NSX Micro Segmentation을 추가하여 보다 강력하게
Internet
Internet
Little or no
lateral controls
inside perimeter
Insufficient
© Copyright 2015 EMC Corporation. All rights reserved.
Operationally Infeasible
15
큰 차이가 있습니다.
© Copyright 2015 EMC Corporation. All rights reserved.
16
기업 애플리케이션에 대한 접근제어
NSX이전
Mr. John
Smith
• 동일VLAN상의 모든 VM, 자유롭게
통신가능
PCoIP
RDP
• 단 한 대라도 손상  주변VM들 영향
• 손상/문제있는 VM을 통해 내부 중요
애플리케이션에도 영향
Front Desk
Pool
R&D Desktops
내부 애플리케이션
Scheduling
App
Web
NSX
IT Admin
Desktops
• 공유VLAN상에서 VM들에 대한 세분화된
제어
Complance
• 사용자 단위의 접근권한
• 손상/문제된 VM 즉시 격리
Critical Data
IT App
• 3rd Party솔루션과 연계
App
Web
© Copyright 2015 EMC Corporation. All rights reserved.
App
Web
App
17
손쉬운 정책생성과 적용이 가능합니다.
1
애플리케이션에 따른 동적/정적
개체선택
2
“attributes”를 통한
보안그룹생성
3
보안그룹에 정책적용
Policy 1
“IPS for Desktops”
“FW for Desktops”
ABC
DEF
Group
XYZ
Element type
Static
Data center
Virtual net
Virtual machine
vNIC
Dynamic
VM name
OS type
User ID
Security tag
App 1
OS: Windows 8
TAG: “Production”
Group
XYZ
Policy 2
“AV for Production”
“FW for Production”
“보안그룹”설정을 통해 애플리케이션에 부합하는 정책적용가능
• 논리적구조에 대해서도 정책적용
• IP단위가 아닌 VM기준
• 설정상의 오류방지
• 복잡성제거
© Copyright 2015 EMC Corporation. All rights reserved.
18
NSX로 분산된 보안환경을,
Traditional Data Center
NSX Data Center
Perimeter
firewall
Perimeter
firewall
DMZ/Web VLAN
HR Group
Finance
Inside firewall
App VLAN
HR
Services/Management
VLAN
Finance Group
DMZ/Web
DMZ/Web
App
App
DB
DB
HR
Services
Mgmt
DB VLAN
Services/Management
Group
Finance
Finance
HR
Services
Mgmt
NSX segmentation simplifies network security
 Each VM can now be its own perimeter  Control communication within a single
VLAN
 Policies align with logical groups
CONFIDENTIAL
© Copyright 2015 EMC Corporation. All rights reserved.
19
향상된 네트워크 자동화 제공
플랫폼 기반의 자동화
• 자동화된 프로비져닝
• 이동/변경시에도 관련 정책
동시적용
• 논리적이고 분산된
Firewall단일관리
© Copyright 2015 EMC Corporation. All rights reserved.
20
예 : 소프트웨어로 정의된 신규서비스구축
All Software Construct
Web Tier
L3 Subnet
Internet
App Tier
NAT
L3 Subnet
DB Tier
L3 Subnet
Physical Network
© Copyright 2015 EMC Corporation. All rights reserved.
21
애플리케이션 및 인프라 제공 자동화
정책 기반 인프라 자동화를 통한 신속한 애플리케이션 제공
요청
승인
프로비저닝
관리
서비스
Blueprint
전체 비용 추적가능
© Copyright 2015 EMC Corporation. All rights reserved.
22
+ NSX, 손쉬운 자동화
© Copyright 2015 EMC Corporation. All rights reserved.
23
네트워크를 위한 가상머신의 새로운 운영모델
Internet
© Copyright 2015 EMC Corporation. All rights reserved.
24
VMware는 소프트웨어 정의 엔터프라이즈의 기반을 제공
가상 업무 공간
최종 사용자
컴퓨팅
데스크톱
애플리케이션
기존 방식
모바일
SaaS
현대식
소프트웨어 정의 데이터 센터
정책 기반 관리 및
자동화
클라우드 운영
클라우드 자동화
클라우드 비즈니스
가상화된 인프라
추상화 및 풀링
하이브리드
클라우드
물리적
하드웨어
컴퓨팅 추상화 =
서버 가상화
네트워크 추상화
= 가상 네트워킹
컴퓨팅
네트워크
© Copyright 2015 EMC Corporation. All rights reserved.
스토리지 추상화
= 소프트웨어
정의 스토리지
스토리지
VMware 및
vCloud 데이터 센터 파트너사
프라이빗
클라우드
퍼블릭
클라우드
25
25