Azure Stack HCI 기반 SDN 설명
Azure Stack HCI SDN의 기능 평가를 시작하기 전에 핵심 SDN 개념을 검토하려고 합니다. 이런 개념은 네트워크 가상화 및 가상화 기반 서비스의 보다 복잡한 측면을 이해하는 데 도움이 되는 기본 지식을 형성합니다. 특히 소프트웨어 부하 분산 장치, 분산 방화벽, 원격 액세스 게이트웨이가 여기에 해당합니다.
네트워크 가상화란?
네트워크 가상화의 용도를 이해하려면 하나의 물리적 호스트에서 여러 운영 체제 인스턴스(가상 머신)가 서로 독립적으로 작동하도록 하는 서버 가상화와 비교하는 것이 도움이 될 것입니다. 네트워크 가상화는 VLAN 또는 전용 IP 주소 관리 솔루션을 사용하지 않고 동일한 물리적 네트워크 인프라 내에서 격리를 용이하게 하여 가상 네트워크와 유사한 기능을 제공합니다. 이러한 유연성을 통해 고객은 워크로드를 프라이빗 및 퍼블릭 클라우드로 쉽게 전환할 수 있습니다. 호스팅 공급자 및 데이터 센터 관리자가 네트워크 인프라를 관리하는 데에도 도움이 됩니다. 또한 이러한 혜택은 데이터 센터 통합 프로젝트에서 중요한 역할을 합니다. Azure Stack HCI를 통해 고객은 격리된 자체 환경 내에서 작동하는 물리적 리소스를 공유할 수 있습니다. DevOps 팀은 IP 주소 할당을 변경하여 발생하는 서비스 중단 없이 애플리케이션을 배포할 수 있습니다. 인프라 소유자의 경우 컴퓨팅, 스토리지 및 네트워크 간의 상관 관계를 추상화하여 동적 리소스 할당을 단순화합니다.
SDN(소프트웨어 정의 네트워킹)이란?
SDN은 데이터 센터에서 네트워크 및 네트워크 서비스(예: 스위칭, 라우팅, 부하 분산)를 중앙에서 구성하고 관리하는 방법을 제공합니다. SDN은 네트워크 기능 가상화를 사용하여 가상화된 소프트웨어 함수를 구현합니다. 이런 함수는 기존에 하드웨어 기반 네트워크 디바이스에 위임된 기능을 대체합니다.
네트워크 기능 가상화란?
소프트웨어 정의 데이터 센터에서 가상 어플라이언스는 기존에 하드웨어 디바이스에 의해 구현되던 네트워크 기능을 대신 제공합니다. 이러한 가상화된 기능은 보안 및 에지 서비스와 같은 여러 범주로 그룹화할 수 있습니다. 보안 어플라이언스에는 게이트웨이, 라우터, 스위치 및 부하 분산 장치가 포함되고, 에지 어플라이언스에는 방화벽이 포함됩니다.
가상 어플라이언스는 물리적 어플라이언스와 비교할 때 몇 가지 이점을 제공하는데, 가장 두드러지는 이점은 다음과 같습니다.
- 원활한 용량 확장 및 워크로드 이동성
- 최소화된 운영 복잡성
- 단순화된 프로비전 및 관리
- 향상된 이동성
- 수직 및 수평 크기 조정 지원
Azure Stack HCI 기반 SDN
Azure Stack HCI 솔루션은 컴퓨팅 및 스토리지 리소스의 가상화를 기본 제공합니다. 또한 Azure Stack HCI는 SDN을 구현하여 네트워크 리소스 가상화를 지원합니다. 이 기능을 사용하면 기존 VLAN 기반 인프라와의 통합에서 Azure Stack HCI 워크로드의 전체 격리에 이르는 다양한 네트워킹 시나리오를 구현할 수 있습니다.
Azure Stack HCI의 SDN은 민첩성을 제고하고 보안을 개선하고 효율성을 최적화하여 기존 네트워크 인프라와 관련된 문제를 해결하는 데 도움이 됩니다. 다음과 같은 기능을 제공합니다.
- 네트워크 서비스를 추상화합니다. 기본 물리적 네트워크에서 추상화된 소프트웨어 정의 네트워크 서비스를 배포하고 관리할 수 있습니다.
- 네트워크 정책을 중앙 집중화합니다. 네트워크 정책을 사용하여 가상 네트워크 및 물리적 네트워크 내부와 두 네트워크 간에 트래픽 흐름을 제어하는 규칙을 중앙에서 구성하고 제어할 수 있습니다. 네트워크 정책을 구현하면 네트워크 서비스의 양이 늘어남에 따라 일관성과 확장성이 향상됩니다.
- 네트워크 관리를 중앙 집중화합니다. PowerShell, Windows Admin Center 및 Microsoft System Center VMM(Virtual Machine Manager)을 사용하여 가상화된 네트워크 인프라를 관리할 수 있습니다.
Azure Stack HCI SDN의 이러한 기능은 네트워크 컨트롤러를 사용하여 구현됩니다. 네트워크 컨트롤러는 REST(Representational State Transfer) API(애플리케이션 프로그래밍 인터페이스)를 통해 엑세스할 수 있는 관리 인터페이스를 제공하는 서버 역할입니다. 인터페이스는 SDN 인프라 및 네트워크 기능 가상화 기반 서비스의 배포, 관리, 구성, 모니터링, 문제 해결에 사용됩니다.
네트워크 기능 가상화 기반 서비스에는 다음이 포함됩니다.
SLB(소프트웨어 부하 분산 장치) - 가상 네트워크 리소스 간에 네트워크 트래픽을 분산하여 고가용성이고 확장성 있는 솔루션을 쉽게 빌드할 수 있습니다. 또한 SLB는 NAT(Network Address Translation)를 통해 가상화된 워크로드에 대한 인바운드 및 아웃바운드 인터넷 액세스를 제공합니다. SLB 정책은 가상화된 오버레이 네트워크 및 기존 VLAN 네트워크에 적용할 수 있습니다.
SDN에 대한 RAS(원격 액세스 서비스) 게이트웨이 - S2S(사이트 간) IPsec(IP 보안) VPN(가상 사설망), S2S GRE(Generic Routing Encapsulation) 터널 및 레이어 3 전달을 통해 네트워크 연결을 외부 네트워크로 확장하는 데 도움이 됩니다.
데이터 센터 방화벽 - 인터넷 및 인트라넷 네트워크에서 시작한 권한 없는 트래픽으로부터 가상 네트워크 및 해당 워크로드를 보호하는 데 도움이 됩니다. 최대 5개의 네트워크 패킷 매개변수 조합을 기반으로 상태 저장 필터링을 제공합니다. 패킷의 프로토콜, 원본 및 대상 포트 번호, 원본, 대상 IP 주소를 포함합니다. 이런 정책은 가상화된 오버레이 네트워크와 기존 VLAN 네트워크에 적용할 수 있습니다.
참고
데이터 센터 방화벽은 기존의 물리적 어플라이언스를 보완하기 위한 것입니다.
QoS(서비스 품질) 정책 - 한 애플리케이션 또는 워크로드 VM이 HCI 클러스터 노드의 전체 대역폭을 사용하는 것을 방지하는 데 사용할 수 있습니다. 이런 정책은 가상화된 네트워크는 물론 기존 VLAN 네트워크에도 적용할 수 있습니다.
타사 어플라이언스 - 고객이 방화벽, 침입 탐지 디바이스, 부하 분산 장치 등의 타사 가상 어플라이언스를 고급 서비스를 위해 SDN 가상 네트워크에 연결할 수 있습니다.
가상 네트워크 및 서브넷
가상화된 워크로드의 격리를 구현하기 위해 SDN은 HNV(Hyper-V 네트워크 가상화) 기반 가상 네트워크를 사용합니다. 이런 네트워크는 하나 이상의 가상 서브넷으로 구성되며 기본 실제 네트워크 위에 오버레이로 독립적으로 정의됩니다. 가상 서브넷은 연결된 VM(가상 머신)에 대해 레이어 3 IP 서브넷 기능을 에뮬레이트합니다. 각 가상 네트워크는 그 안의 VM만 서로 통신할 수 있는 격리 경계를 형성합니다. 가상 네트워크 간 통신을 허용하려면 가상 네트워크 피어링을 구현할 수 있습니다.
가상 네트워크 서브넷에 연결된 VM의 각 네트워크 인터페이스는 다음 두 개의 IP 주소와 연결됩니다.
- 고객 주소 고객이 선호하는 IP 주소 지정 체계에 따라 각 VM에 할당한 IP 주소입니다. 이 주소를 통해 고객은 워크로드를 SDN 환경으로 전환할 때 기존 네트워크 구성을 유지할 수 있습니다. 고객 주소는 해당 VM 내의 운영 체제에서 액세스할 수 있습니다.
- 공급자 주소 Azure Stack HCI 관리자가 물리적 네트워크 인프라를 기반으로 Hyper-V 호스트에 할당한 IP 주소입니다. 공급자 주소는 물리적 네트워크에서 인식되지만 고객 VM에는 인식되지 않습니다.
논리 네트워크 및 서브넷
네트워크 기능 가상화를 구현하고 VLAN 기반 조각화를 허용하기 위해 SDN은 논리 네트워크의 개념에 의존합니다. 각 논리 네트워크는 물리적 네트워크의 논리 파티션을 나타냅니다. 논리 네트워크는 고객 VLAN에 매핑되는 논리 서브넷의 모음으로 구성됩니다. 이러한 VLAN은 고객 워크로드를 호스트할 수 있지만 중요한 SDN 인프라 구성 요소를 호스트하는 여러 논리 네트워크도 있습니다. 예를 들어 Azure Stack HCI SDN 구현에는 관리 및 HNV 공급자 논리 네트워크가 포함되며, 후자는 모든 가상 네트워크에 대한 공급자 주소 네트워크 역할을 합니다. 해당 구현에 포함된 모든 Hyper-V 호스트는 관리 논리 네트워크 및 HNV 공급자 논리 네트워크에 연결되어야 합니다.