Comments
Transcript
VMware NSX “소프트웨어 정의 데이터센터”를 위한 네트워크 가상화 , 임혁용
“소프트웨어 정의 데이터센터”를 위한 네트워크 가상화, VMware NSX 임혁용 VMware Korea © Copyright 2015 EMC Corporation. All rights reserved. 1 소프트웨어 정의 데이터 센터? © Copyright 2015 EMC Corporation. All rights reserved. 2 소프트웨어 정의 데이터 센터? © Copyright 2015 EMC Corporation. All rights reserved. 3 소프트웨어 정의 데이터 센터의 요소, 모든 애플리케이션으로 가상 컴퓨팅 확장 속도 및 효율성을 위한 네트워크 가상화 © Copyright 2015 EMC Corporation. All rights reserved. 애플리케이션 수요에 맞게 조정하여 스토리지 전환 단순한 관리툴에서 자동화로 전환 4 소프트웨어 정의 데이터 센터의 핵심, 네트워크 가상화 속도 및 효율성을 위한 네트워크 가상화 © Copyright 2015 EMC Corporation. All rights reserved. 5 네트워크 가상화와 서버 가상화의 유사점 Application Application Application x86 Environment Virtual Machine Virtual Machine Workload Software Virtual Machine Server Hypervisor Workload L2, L3, L4-7 Network Services Virtual Network Decoupled Requirement: x86 Workload Virtual Network Virtual Network Network Hypervisor Requirement: IP Transport Hardware General Purpose Server Hardware © Copyright 2015 EMC Corporation. All rights reserved. General Purpose Networking Hardware 6 차세대 네트워킹 모델, NSX 하이퍼바이저를 통한 네트워크 및 보안 서비스 Software Defined Data Center Applications Virtual Machines Virtual Networks Virtual Storage Load Balancing Data Center Virtualization L3 Routing Software Compute Capacity Network Capacity Storage Capacity Location Independence © Copyright 2015 EMC Corporation. All rights reserved. Hardware L2 Switching Firewalling/ACLs 7 보다 세분화된 관리가 가능 • 하이퍼바이저 단위의 높은 대역폭 • 모든 하이퍼바이저에 추가적으로 eastwest firewalling 제공 • VMware NSX platform자체기능 © Copyright 2015 EMC Corporation. All rights reserved. 8 VMware NSX NSX 논리적 스위칭 (Logical Switching) 문제점 효과 • 애플리케이션 혹은 멀티 테넌트별 세그먼트 • • • • • VM이동성 제공을 위해서는 L2 필요 • 대규모 L2 네트워크 구성에서는 STP 이슈발생 • HW Memory (MAC, FIB) 테이블의 한계 Logical Switch 1 Logical Switch 2 멀티 테넌트를 데이터센터간 확장 가능 L3 인프라상에서 L2 확장 구성 가능 VXLAN, STT, GRE 기반의 Overlay Network 실제 호스트 및 네트워크 스위치간 논리적인 스위치 구성 가능 LOGICAL SWITCHING – 네트워크 확장성 © Copyright 2015 EMC Corporation. All rights reserved. Logical Switch 3 1000X 99 NSX Layer 3 라우팅:분산 서비스, 다양한 기능 NSX Manager Tenant A CMP Tenant B L2 L2 L2 Controller Cluster Tenant C L2 L2 L2 L2 L2 VM to VM Routed Traffic Flow 단점 장점 • 물리적 인프라 확장의 이슈사항 – 라우팅 확장 • VM 이동성의 문제 • 복잡한 멀티 테넌트 라우팅 • 트래픽의 헤어핀 현상 • • • • • 하이퍼버이저 기반 분산 라우팅 동적인, API 기반 구성 설정 다양한 기능 – OSPF, BGP, IS-IS 테넌트별 논리적 라우터 지원 물리적 스위치와 routing peering 확장가능한 라우팅 – 멀티 테넌시 구조에서 네트워크 단순화 © Copyright 2015 EMC Corporation. All rights reserved. 110 VMware NSX 부하분산 서비스 Tenant A VM 1 Tenant B VM 1 VM 2 VM 2 L2 L2 L3 VM 3 L2 단점 장점 • 애플리케이션 이동성 • 멀티테넌시 • 구성의 복잡성 – 대부분의 구성 및 배포작업을 수동으로 작업 • 온디맨드 로드밸런스 (L4) 서비스 • 단순해진 애플리케이션 배포 모델 • L7, SSL… LOAD BALANCER – 테넌트 별 애플리케이션 가용성 모델 © Copyright 2015 EMC Corporation. All rights reserved. 11 NSX Firewall: 고성능, 확장가능한 보안 SDDC를 위한 NSX 방화벽 물리적 보안 모델 방화벽 관리 CMP API VMware NSX 단점 • • • • • 장점 중앙관리 방화벽 모델 정적인 구성관리 IP 주소 기반 규칙 어플라이언스 당 제약 캡슐화 트래픽에 대한 가시성 부족 성능 및 확장성 – © Copyright 2015 EMC Corporation. All rights reserved. 1,000+ • • • • • 하이퍼바이저 통합으로 분산 서비스 구조 동적, API 기반의 설정 구성 VM 이름, ID기반 규칙 호스트 당 Line Rate 캡슐화 트래픽에 대한 완전한 가시성 호스트 및 30 Tbps 방화벽 성능 12 보안이 강화되었음에도… 강력한 경계방화벽으로 보호되는 오늘날의 데이터센터… 그러나 위협과 공격은 여전히 서버를 감염. 낮은 우선 순위 시스템이 종종 대상이 되기도 휴면상태로 공격시점을 기다리고 있을 수도… 10110100110 101001010000010 1001110010100 내부보안이 약한 경우 데이터센터 전체에 순식간에 퍼져나감. 주요시스템이 공격대상 © Copyright 2015 EMC Corporation. All rights reserved. 서버간 트래픽은 서버-클라이언트 트래픽 추월. 공격은 아무도 모르게 확산될 수 있음 떄로는 몇 달의 정찰 후에, 중요데이터가 빠져나가는 경우 13 솔루션:분산된 방화벽으로 마이크로-세그멘테이션을 • 하이퍼바이져기반, 커널 내장된 분산방화벽 Security Policy • 플랫폼기반으로 제공되는 자동화 기능 Cloud Management Platform Internet Perimeter Firewalls © Copyright 2015 EMC Corporation. All rights reserved. 14 더욱 강화되는 데이터센터 보안 경계방화벽 중심의 보안 NSX Micro Segmentation을 추가하여 보다 강력하게 Internet Internet Little or no lateral controls inside perimeter Insufficient © Copyright 2015 EMC Corporation. All rights reserved. Operationally Infeasible 15 큰 차이가 있습니다. © Copyright 2015 EMC Corporation. All rights reserved. 16 기업 애플리케이션에 대한 접근제어 NSX이전 Mr. John Smith • 동일VLAN상의 모든 VM, 자유롭게 통신가능 PCoIP RDP • 단 한 대라도 손상 주변VM들 영향 • 손상/문제있는 VM을 통해 내부 중요 애플리케이션에도 영향 Front Desk Pool R&D Desktops 내부 애플리케이션 Scheduling App Web NSX IT Admin Desktops • 공유VLAN상에서 VM들에 대한 세분화된 제어 Complance • 사용자 단위의 접근권한 • 손상/문제된 VM 즉시 격리 Critical Data IT App • 3rd Party솔루션과 연계 App Web © Copyright 2015 EMC Corporation. All rights reserved. App Web App 17 손쉬운 정책생성과 적용이 가능합니다. 1 애플리케이션에 따른 동적/정적 개체선택 2 “attributes”를 통한 보안그룹생성 3 보안그룹에 정책적용 Policy 1 “IPS for Desktops” “FW for Desktops” ABC DEF Group XYZ Element type Static Data center Virtual net Virtual machine vNIC Dynamic VM name OS type User ID Security tag App 1 OS: Windows 8 TAG: “Production” Group XYZ Policy 2 “AV for Production” “FW for Production” “보안그룹”설정을 통해 애플리케이션에 부합하는 정책적용가능 • 논리적구조에 대해서도 정책적용 • IP단위가 아닌 VM기준 • 설정상의 오류방지 • 복잡성제거 © Copyright 2015 EMC Corporation. All rights reserved. 18 NSX로 분산된 보안환경을, Traditional Data Center NSX Data Center Perimeter firewall Perimeter firewall DMZ/Web VLAN HR Group Finance Inside firewall App VLAN HR Services/Management VLAN Finance Group DMZ/Web DMZ/Web App App DB DB HR Services Mgmt DB VLAN Services/Management Group Finance Finance HR Services Mgmt NSX segmentation simplifies network security Each VM can now be its own perimeter Control communication within a single VLAN Policies align with logical groups CONFIDENTIAL © Copyright 2015 EMC Corporation. All rights reserved. 19 향상된 네트워크 자동화 제공 플랫폼 기반의 자동화 • 자동화된 프로비져닝 • 이동/변경시에도 관련 정책 동시적용 • 논리적이고 분산된 Firewall단일관리 © Copyright 2015 EMC Corporation. All rights reserved. 20 예 : 소프트웨어로 정의된 신규서비스구축 All Software Construct Web Tier L3 Subnet Internet App Tier NAT L3 Subnet DB Tier L3 Subnet Physical Network © Copyright 2015 EMC Corporation. All rights reserved. 21 애플리케이션 및 인프라 제공 자동화 정책 기반 인프라 자동화를 통한 신속한 애플리케이션 제공 요청 승인 프로비저닝 관리 서비스 Blueprint 전체 비용 추적가능 © Copyright 2015 EMC Corporation. All rights reserved. 22 + NSX, 손쉬운 자동화 © Copyright 2015 EMC Corporation. All rights reserved. 23 네트워크를 위한 가상머신의 새로운 운영모델 Internet © Copyright 2015 EMC Corporation. All rights reserved. 24 VMware는 소프트웨어 정의 엔터프라이즈의 기반을 제공 가상 업무 공간 최종 사용자 컴퓨팅 데스크톱 애플리케이션 기존 방식 모바일 SaaS 현대식 소프트웨어 정의 데이터 센터 정책 기반 관리 및 자동화 클라우드 운영 클라우드 자동화 클라우드 비즈니스 가상화된 인프라 추상화 및 풀링 하이브리드 클라우드 물리적 하드웨어 컴퓨팅 추상화 = 서버 가상화 네트워크 추상화 = 가상 네트워킹 컴퓨팅 네트워크 © Copyright 2015 EMC Corporation. All rights reserved. 스토리지 추상화 = 소프트웨어 정의 스토리지 스토리지 VMware 및 vCloud 데이터 센터 파트너사 프라이빗 클라우드 퍼블릭 클라우드 25 25