Azure Stack HCI에 대한 2노드 스토리지 스위치리스, 두 스위치 배포 네트워크 참조 패턴 검토

  • 아티클

적용 대상: Azure Stack HCI, 버전 23H2 및 22H2

이 문서에서는 Azure Stack HCI 솔루션을 배포하는 데 사용할 수 있는 두 개의 TOR L3 스위치 네트워크 참조 패턴이 있는 2노드 스토리지 스위치리스에 대해 알아봅니다. 이 문서의 정보는 이 구성이 배포 계획 요구 사항에 적합한지 확인하는 데도 도움이 됩니다. 이 문서는 데이터 센터에서 Azure Stack HCI를 배포하고 관리하는 IT 관리자를 대상으로 합니다.

다른 네트워크 패턴에 대한 자세한 내용은 Azure Stack HCI 네트워크 배포 패턴을 참조하세요.

시나리오

이 네트워크 패턴에 대한 시나리오에는 실험실, 지점 및 데이터 센터 시설이 포함됩니다.

모든 네트워크 구성 요소에서 내결함성이 있는 비용 효율적인 솔루션을 찾는 경우 이 패턴을 구현하는 것이 좋습니다. 패턴을 스케일 아웃할 수 있지만 스토리지 물리적 연결 및 스토리지 네트워크 재구성을 다시 구성하려면 워크로드 가동 중지 시간이 필요합니다. SDN L3 서비스는 이 패턴에서 완전히 지원됩니다. BGP와 같은 라우팅 서비스는 L3 서비스를 지원하는 경우 TOR 스위치에서 직접 구성할 수 있습니다. 마이크로 세분화 및 QoS와 같은 네트워크 보안 기능은 가상 네트워크 어댑터 계층에서 구현되므로 방화벽 디바이스에 대한 추가 구성이 필요하지 않습니다.

물리적 연결 구성 요소

아래 다이어그램에 설명된 것처럼 이 패턴에는 다음과 같은 물리적 네트워크 구성 요소가 있습니다.

  • 노스바운드/사우스바운드 트래픽의 경우 클러스터에는 MLAG 구성에 두 개의 TOR 스위치가 필요합니다.

  • 관리 및 컴퓨팅 트래픽을 처리하고 TOR 스위치에 연결된 두 개의 팀 네트워크 카드입니다. 각 NIC는 다른 TOR 스위치에 연결됩니다.

  • East-West 스토리지 트래픽에 대한 전체 메시 구성의 두 RDMA NIC입니다. 클러스터의 각 노드에는 클러스터의 다른 노드에 대한 중복 연결이 있습니다.

  • 옵션으로 일부 솔루션은 보안 목적으로 BMC 카드 없는 헤드리스 구성을 사용할 수 있습니다.

네트워크 관리 및 컴퓨팅 스토리지 BMC
연결 속도 1GBps 이상. 10GBps 권장 최소 10GBps 하드웨어 제조업체에 문의
인터페이스 유형 RJ45, SFP+ 또는 SFP28 SFP+ 또는 SFP28 RJ45
포트 및 집계 팀 포트 2개 독립 실행형 포트 2개 하나의 포트

2노드 스위치리스 물리적 연결 레이아웃을 보여 주는 다이어그램

네트워크 ATC 의도

2노드 스토리지 스위치리스 패턴의 경우 두 개의 네트워크 ATC 의도가 만들어집니다. 관리 및 컴퓨팅 네트워크 트래픽에 대한 첫 번째 및 스토리지 트래픽에 대한 두 번째입니다.

2노드 스위치리스 네트워크 ATC 의도를 보여 주는 다이어그램

관리 및 컴퓨팅 의도

  • 의도 유형: 관리 및 컴퓨팅
  • 의도 모드: 클러스터 모드
  • 팀: 예. pNIC01 및 pNIC02 팀
  • 기본 관리 VLAN: 관리 어댑터에 대해 구성된 VLAN이 수정되지 않음
  • PA & 컴퓨팅 VLAN 및 vNIC: 네트워크 ATC는 PA vNIC 및 VLAN에 투명하거나 VM vNIC 및 VLAN을 컴퓨팅합니다.

스토리지 의도

  • 의도 유형: 스토리지
  • 의도 모드: 클러스터 모드
  • 팀: pNIC03 및 pNIC04는 SMB 다중 채널을 사용하여 복원력 및 대역폭 집계를 제공합니다.
  • 기본 VLAN:
    • 스토리지 네트워크 1의 경우 711
    • 스토리지 네트워크 2의 경우 712
  • 기본 서브넷:
    • 스토리지 네트워크 1의 경우 10.71.1.0/24
    • 스토리지 네트워크 2의 경우 10.71.2.0/24

자세한 내용은 호스트 네트워킹 배포를 참조하세요.

다음 단계에 따라 이 참조 패턴에 대한 네트워크 의도를 만듭니다.

  1. 관리자 권한으로 PowerShell을 실행합니다.

  2. 다음 명령 실행:

    Add-NetIntent -Name <Management_Compute> -Management -Compute -ClusterName <HCI01> -AdapterName <pNIC01, pNIC02>
Add-NetIntent -Name <Storage> -Storage -ClusterName <HCI01> -AdapterName <pNIC03, pNIC04>

논리적 연결 구성 요소

아래 다이어그램에 설명된 것처럼 이 패턴에는 다음과 같은 논리 네트워크 구성 요소가 있습니다.

단일 노드 스위치리스 물리적 연결 레이아웃을 보여 주는 다이어그램

스토리지 네트워크 VLAN

스토리지 의도 기반 트래픽은 RDMA 트래픽을 지원하는 두 개의 개별 네트워크로 구성됩니다. 각 인터페이스는 별도의 스토리지 네트워크 전용이며 둘 다 동일한 VLAN 태그를 공유할 수 있습니다. 이 트래픽은 두 노드 간에만 이동하기 위한 것입니다. 스토리지 트래픽은 다른 리소스에 연결되지 않은 프라이빗 네트워크입니다.

스토리지 어댑터는 다른 IP 서브넷에서 작동합니다. 스위치리스 구성을 사용하도록 설정하기 위해 연결된 각 노드는 인접 노드의 일치하는 서브넷입니다. 각 스토리지 네트워크는 기본적으로 네트워크 ATC 미리 정의된 VLAN을 사용합니다(711 및 712). 필요한 경우 이러한 VLAN을 사용자 지정할 수 있습니다. 또한 ATC에서 정의한 기본 서브넷을 사용할 수 없는 경우 클러스터의 모든 스토리지 IP 주소를 할당해야 합니다.

자세한 내용은 네트워크 ATC 개요를 참조하세요.

OOB 네트워크

OOB(Out of Band) 네트워크는 BMC(베이스보드 관리 컨트롤러)라고도 하는 "광원" 서버 관리 인터페이스를 지원하는 데만 사용됩니다. 각 BMC 인터페이스는 고객이 제공한 스위치에 연결합니다. BMC는 PXE 부팅 시나리오를 자동화하는 데 사용됩니다.

관리 네트워크에서는 IPMI(Intelligent Platform Management Interface) UDP(사용자 데이터그램 프로토콜) 포트 623을 사용하여 BMC 인터페이스에 액세스해야 합니다.

OOB 네트워크는 컴퓨팅 워크로드에서 격리되며 솔루션 기반이 아닌 배포의 경우 선택 사항입니다.

관리 VLAN

모든 물리적 컴퓨팅 호스트는 관리 논리 네트워크에 액세스해야 합니다. IP 주소 계획의 경우 각 물리적 컴퓨팅 호스트에는 관리 논리 네트워크에서 할당된 IP 주소가 하나 이상 있어야 합니다.

DHCP 서버는 관리 네트워크의 IP 주소를 자동으로 할당하거나 고정 IP 주소를 수동으로 할당할 수 있습니다. DHCP가 기본 IP 할당 방법인 경우 만료 없이 DHCP 예약을 사용하는 것이 좋습니다.

관리 네트워크는 다음 VLAN 구성을 지원합니다.

  • 네이티브 VLAN - VLAN ID를 제공할 필요가 없습니다. 이는 솔루션 기반 설치에 필요합니다.

  • 태그가 지정된 VLAN - 배포 시 VLAN ID를 제공합니다.

관리 네트워크는 원격 데스크톱, Windows Admin Center 및 Active Directory를 포함하여 클러스터 관리에 사용되는 모든 트래픽을 지원합니다.

자세한 내용은 SDN 인프라 계획: 관리 및 HNV 공급자를 참조하세요.

VLAN 컴퓨팅

일부 시나리오에서는 VXLAN(Virtual Extensible LAN) 캡슐화와 함께 SDN Virtual Network를 사용할 필요가 없습니다. 대신 기존 VLAN을 사용하여 테넌트 워크로드를 격리할 수 있습니다. 이러한 VLAN은 TOR 스위치의 포트에서 트렁크 모드로 구성됩니다. 이러한 VLAN에 새 VM을 연결할 때 해당 VLAN 태그는 가상 네트워크 어댑터에 정의됩니다.

HNV PA(공급자 주소) 네트워크

HNV(Hyper-V 네트워크 가상화) PA(공급자 주소) 네트워크는 동/서부(내부 내부) 테넌트 트래픽, 남북(외부 내부) 테넌트 트래픽에 대한 기본 물리적 네트워크 역할을 하며 BGP 피어링 정보를 실제 네트워크와 교환합니다. 이 네트워크는 다른 격리 계층 및 네트워크 다중 테넌시에 VXLAN 캡슐화를 사용하여 가상 네트워크를 배포해야 하는 경우에만 필요합니다.

자세한 내용은 SDN 인프라 계획: 관리 및 HNV 공급자를 참조하세요.

네트워크 격리 옵션

지원되는 네트워크 격리 옵션은 다음과 같습니다.

VLAN(IEEE 802.1Q)

VLAN을 사용하면 물리적 네트워크의 케이블을 공유하지만 서로 직접 상호 작용할 수 없도록 별도로 유지해야 하는 디바이스를 허용합니다. 이 관리되는 공유는 단순성, 보안, 트래픽 관리 및 경제성을 향상합니다. 예를 들어 VLAN을 사용하여 개별 사용자 또는 사용자 그룹 또는 해당 역할에 따라 또는 트래픽 특성에 따라 비즈니스 내에서 트래픽을 구분할 수 있습니다. 많은 인터넷 호스팅 서비스는 VLAN을 사용하여 프라이빗 영역을 서로 분리하므로 각 고객의 서버가 데이터 센터에 있는 위치에 관계없이 단일 네트워크 세그먼트로 그룹화될 수 있습니다. VLAN 호핑이라고 하는 악용인 지정된 VLAN에서 트래픽 "이스케이프"를 방지하기 위해 몇 가지 예방 조치가 필요합니다.

자세한 내용은 가상 네트워크 및 VLAN 사용 이해를 참조하세요.

기본 네트워크 액세스 정책 및 미세 구분

기본 네트워크 액세스 정책은 Azure Stack HCI 클러스터의 모든 VM(가상 머신)이 기본적으로 외부 위협으로부터 보호되도록 합니다. 이러한 정책을 사용하면 기본적으로 VM에 대한 인바운드 액세스를 차단하는 동시에 선택적 인바운드 포트를 사용하도록 설정하고 외부 공격으로부터 VM을 보호하는 옵션을 제공합니다. 이 적용은 Windows Admin Center 같은 관리 도구를 통해 사용할 수 있습니다.

마이크로 세분화에는 애플리케이션과 서비스 간에 세분화된 네트워크 정책을 만드는 작업이 포함됩니다. 이렇게 하면 기본적으로 보안 경계가 각 애플리케이션 또는 VM 주변의 펜스로 줄어듭니다. 이 펜스는 애플리케이션 계층 또는 기타 논리적 경계 간에 필요한 통신만 허용하므로 사이버 위협을 한 시스템에서 다른 시스템으로 횡적으로 확산하기가 매우 어렵습니다. 마이크로 세분화는 네트워크를 서로 안전하게 격리하고 네트워크 보안 인시던트 전체 공격 표면을 줄입니다.

기본 네트워크 액세스 정책 및 마이크로 세분화는 Azure Stack HCI 클러스터의 5개 튜플 상태 저장(원본 주소 접두사, 원본 포트, 대상 주소 접두사, 대상 포트 및 프로토콜) 방화벽 규칙으로 실현됩니다. 방화벽 규칙을 NSG(네트워크 보안 그룹)라고도 합니다. 이러한 정책은 각 VM의 vSwitch 포트에서 적용됩니다. 정책은 관리 계층을 통해 푸시되고 SDN 네트워크 컨트롤러는 해당되는 모든 호스트에 배포합니다. 이러한 정책은 기존 VLAN 네트워크 및 SDN 오버레이 네트워크의 VM에 사용할 수 있습니다.

자세한 내용은 Datacenter Firewall이란?을 참조하세요.  

VM 네트워크 어댑터용 QoS

트래픽이 많은 VM이 다른 VM 네트워크 트래픽과 경합하지 않도록 가상 인터페이스의 대역폭을 제한하도록 VM 네트워크 어댑터에 대한 QoS(서비스 품질)를 구성할 수 있습니다. 또한 VM의 특정 대역폭을 예약하도록 QoS를 구성하여 VM이 네트워크의 다른 트래픽에 관계없이 트래픽을 보낼 수 있도록 할 수 있습니다. 기존 VLAN 네트워크에 연결된 VM과 SDN 오버레이 네트워크에 연결된 VM에 적용할 수 있습니다.

자세한 내용은 VM 네트워크 어댑터에 대한 QoS 구성을 참조하세요.

가상 네트워크

네트워크 가상화는 서버 가상화(하이퍼바이저)가 운영 체제에 VM을 제공하는 방법과 유사한 VM에 가상 네트워크를 제공합니다. 네트워크 가상화는 물리적 네트워크 인프라에서 가상 네트워크를 분리하고 VM 프로비저닝에서 VLAN 및 계층적 IP 주소 할당의 제약 조건을 제거합니다. 이러한 유연성을 통해 (서비스로서의 인프라) IaaS 클라우드로 쉽게 이동할 수 있으며, 호스트 및 데이터 센터 관리자가 인프라를 관리하고 필요한 다중 테넌트 격리, 보안 요구 사항 및 겹치는 VM IP 주소를 유지하는 것이 효율적입니다.

자세한 내용은 Hyper-V 네트워크 가상화를 참조하세요.

L3 네트워킹 서비스 옵션

다음 L3 네트워킹 서비스 옵션을 사용할 수 있습니다.

가상 네트워크 피어링

가상 네트워크 피어링을 사용하면 두 가상 네트워크를 원활하게 연결할 수 있습니다. 피어링되면 연결을 위해 가상 네트워크가 하나로 표시됩니다. 가상 네트워크 피어링을 사용하는 이점은 다음과 같습니다.

  • 피어링된 가상 네트워크의 VM 간 트래픽은 개인 IP 주소를 통해서만 백본 인프라를 통해 라우팅됩니다. 가상 네트워크 간의 통신에는 공용 인터넷 또는 게이트웨이가 필요하지 않습니다.
  • 다른 가상 네트워크에 있는 리소스 간에 짧은 대기 시간, 높은 대역폭 연결
  • 한 가상 네트워크의 리소스가 다른 가상 네트워크의 리소스와 통신할 수 있는 기능입니다.
  • 피어링을 만들 때 두 가상 네트워크의 리소스에 대한 가동 중지 시간이 없습니다.

자세한 내용은 가상 네트워크 피어링을 참조하세요.

SDN 소프트웨어 부하 분산 장치

CSP(클라우드 서비스 공급자) 및 SDN(소프트웨어 정의 네트워킹)을 배포하는 기업은 SLB(소프트웨어 Load Balancer)를 사용하여 가상 네트워크 리소스 간에 고객 네트워크 트래픽을 균등하게 분산할 수 있습니다. SLB는 여러 서버에서 동일한 워크로드를 호스팅할 수 있도록 하여 높은 가용성과 확장성을 제공합니다. 또한 VM에 대한 인바운드 액세스를 위한 인바운드 NAT(네트워크 주소 변환) 서비스 및 아웃바운드 연결을 위한 아웃바운드 NAT 서비스를 제공하는 데도 사용됩니다.

SLB를 사용하면 다른 VM 워크로드에 사용하는 동일한 Hyper-V 컴퓨팅 서버에서 SLB VM을 사용하여 부하 분산 기능을 스케일 아웃할 수 있습니다. SLB는 CSP 작업에 필요한 대로 부하 분산 엔드포인트의 신속한 생성 및 삭제를 지원합니다. 또한 SLB는 클러스터당 수십 기가바이트를 지원하고, 간단한 프로비저닝 모델을 제공하며, 스케일 아웃 및 스케일 인이 용이합니다. SLB는 Border Gateway Protocol 을 사용하여 가상 IP 주소를 실제 네트워크에 보급합니다.

자세한 내용은 SDN용 SLB란?을 참조하세요.

SDN VPN 게이트웨이

SDN Gateway는 Hyper-V HNV(네트워크 가상화)를 사용하여 다중 테넌트 가상 네트워크를 호스트하는 CSP 및 기업을 위해 설계된 소프트웨어 기반 BGP(Border Gateway Protocol) 지원 라우터입니다. RAS 게이트웨이를 사용하여 가상 네트워크와 다른 네트워크(로컬 또는 원격) 간에 네트워크 트래픽을 라우팅할 수 있습니다.

SDN Gateway를 사용하여 다음을 수행할 수 있습니다.

  • 인터넷을 통해 SDN 가상 네트워크와 외부 고객 네트워크 간에 안전한 사이트 간 IPsec 연결을 만듭니다.

  • SDN 가상 네트워크와 외부 네트워크 간에 GRE(일반 라우팅 캡슐화) 연결을 만듭니다. 사이트 간 연결과 GRE 연결의 차이점은 후자가 암호화된 연결이 아니라는 점입니다.

    GRE 연결 시나리오에 대한 자세한 내용은 Windows Server의 GRE 터널링을 참조하세요.

  • SDN 가상 네트워크와 외부 네트워크 간에 계층 3(L3) 연결을 만듭니다. 이 경우 SDN 게이트웨이는 단순히 가상 네트워크와 외부 네트워크 간의 라우터 역할을 합니다.

SDN Gateway에는 SDN 네트워크 컨트롤러가 필요합니다. 네트워크 컨트롤러는 게이트웨이 풀 배포를 수행하고, 각 게이트웨이에서 테넌트 연결을 구성하며, 게이트웨이가 실패할 경우 네트워크 트래픽 흐름을 대기 게이트웨이로 전환합니다.

게이트웨이는 Border Gateway 프로토콜 을 사용하여 GRE 엔드포인트를 보급하고 지점 간 연결을 설정합니다. SDN 배포는 모든 연결 유형을 지원하는 기본 게이트웨이 풀을 만듭니다. 이 풀 내에서 활성 게이트웨이가 실패할 경우 대기 상태로 예약된 게이트웨이 수를 지정할 수 있습니다.

자세한 내용은 SDN용 RAS 게이트웨이란?을 참조하세요.

다음 단계

2노드 스토리지 스위치리스, 하나의 스위치 네트워크 패턴에 대해 알아봅니다.