BLOG

VMware 소프트웨어 기반 데이터 센터의 VMware Cloud on AWS에 대한 연결 옵션
작성일: 2020-03-18

 

VMware Cloud on AWS는 온 프레미스와 AWS (Amazon Web Services) 서비스에 원활하게 연결하면서 VMware 워크로드를 클라우드 상에서 실행함으로써 고객이 하이브리드 클라우드 플랫폼을 보유 있게 합니다.

고객은 기존 AWS Direct Connect  (DX) 또는 VPN (Virtual Private Network) 솔루션을 사용하여 VMware SDDC (Software Defined Data Center) 클러스터에 연결할 수 있습니다.

이 게시물에서는 SDDC 네트워킹과 다른 로컬 및 원격 고객 네트워크에 연결하는 방법에 대해 자세히 설명합니다. 또한 SDDC에서 Amazon Virtual Private Cloud (Amazon VPC), 온 프레미스 네트워크 및 여러 VPC 에 연결하기 위한 옵션을 살펴보도록 하겠습니다.

 

 

SDDC 네트워킹

Amazon Elastic Compute Cloud (Amazon EC2)에서 제공하는 AWS 베어 메탈 하드웨어에 SDDC를 배포한 경우 가장 낮은 네트워크 수준은 Amazon EC2 언더 레이 네트워크 또는 인프라 서브넷입니다. 이 네트워크는 vMotion, vSAN 및 호스트 관리 네트워크와 같은 ESXi 호스트의 vmkernal 어댑터를 호스팅합니다.

VMware는 NSX를 사용하여 SDDC 관리 모델의 일부로 네트워크에 대한 액세스를 제어하고 크로스 클러스터 vMotion과 같은 기능을 지원하는 데 필요한 원격 트래픽에만 액세스를 제한합니다.

 

그림 1 – VMware Cloud on AWS 포털의 네트워킹 및 보안 개요.

 

기본적으로 NSX는 논리적 VMware 연결을 위한 오버레이 네트워크를 구축합니다. 각 SDDC에는 두 가지 유형의 오버레이 네트워크가 있습니다.

 

  • vCenter와 같은 SDDC 관리 구성 요소에 연결하는 데 사용되는 어플라이언스 서브넷. 이 네트워크는 인프라 또는 관리 서브넷에서 새 네트워크 범위로 클러스터 프로비저닝 중에 생성됩니다. 고객은 선택적으로 SDDC에 연결해야 하는 다른 네트워크와의 충돌을 피하기 위해 클러스터를 만드는 동안 관리 서브넷의 네트워크 범위를 지정할 수 있습니다. 이 네트워크에 대한 액세스는 방화벽 규칙 및 IPsec 터널을 통해 MGW (NSX Management Gateway)에 의해 제어됩니다.
  • VM트래픽을 위한 하나 이상의 고객 관리형 논리 네트워크. 클러스터 내에서 로컬로 라우팅 되거나 L3 라우팅을 위한 원격 게이트웨이가 있는 원격 온-프레미스 클러스터에서 확장될 수 있습니다. 이 네트워크에 대한 액세스는 방화벽 규칙 및 IPsec 기능을 통해 NSX Compute Gateway (CGW)에 의해 제어되므로 고객은 원격 워크로드 및 인터넷에 안전하게 연결할 수 있습니다.

 

그림 2 – SDDC 네트워크 토폴로지

 

 

고객 VPC에 연결

VMware Cloud on AWS를 통해 고객은 SDDC 클러스터를 AWS 서비스에 원활하게 통합할 수 있습니다. 이는 SDDC 클러스터를 고객이 선택한 VPC에 연결하여 달성됩니다. 온 보딩 프로세스 동안 고객은 VPC와 SDDC 클러스터에 연결하려는 서브넷을 선택할 수 있습니다.

또한, 고객은 관리형 정책으로 계정 역할 전체에 VMware Cloud Management Services를 부여하는 AWS CloudFormation 템플릿을 실행합니다. 이 관리형 정책을 통해 VMware는 ENI (Elastic Network Interfaces) 및 라우팅 테이블 생성과 같은 작업을 수행할 수 있습니다. 정책이 허용하는 내용에 대한 자세한 설명은 AWS IAM 콘솔의 AWS 관리형 정책에서 확인할 수 있습니다. 정책의 Amazon 리소스 이름 (ARN)은 arn : aws : iam :: aws : policy / AmazonVPCCrossAccountNetworkInterfaceOperations입니다.

역할이 생성 및 할당되면 VMware Cloud Management Services는 고객 계정의 역할을 맡고 고객이 선택한 서브넷에 ENI를 생성합니다. 이러한 ENI는 VMware SDDC 계정의 ESXi 호스트에 직접 연결됩니다.

첨부된 모든 ENI 중 하나만 사용 중입니다. NSX Edge 라우터 (T0 라우터라고도 함)는 단일 ESXi 호스트에 상주하므로 활성 상태인 ENI를 결정합니다. 이 ENI를 통해 SDDC 클러스터와 고객 VPC 간의 연결이 가능합니다. 호스트 장애가 발생하면 VMware vMotion이 Compute Gateway를 새 호스트로 보내고 고객 라우팅 테이블이 새 활성 ENI를 가리키도록 업데이트됩니다. 고객은 설명이 ‘VMware VMC Interface’로 설정된 계정에서 이러한 ENI를 볼 수 있습니다.

 

또한, VMware는 생성된 논리 네트워크를 기반으로 고객 라우팅 테이블을 쉽게 업데이트할 수 있습니다. 기본 경로 테이블은 모든 고객 논리 네트워크에 대한 경로를 업데이트했으며, 이는 VPC에서 실행중인 서비스가 논리 네트워크와 통신할 수 있는 방법을 제공합니다. 고객에게는 논리 네트워크의 트래픽을 허용할 수 있는 올바른 보안 그룹과 네트워크 액세스 제어 목록 (ACL) 규칙이 있어야 합니다.

 

고객은 VMware Cloud on AWS 콘솔에서 연결된 계정에 대한 세부 정보를 볼 수 있습니다. 이 서비스에 대해 생성된 ENI와 SDDC가 동일한 가용 영역 (AZ)에 있으면 SDDC와 VPC 간의 연결에 데이터 유출 비용이 발생하지 않습니다. 서로 다른 AZ에 있는 경우 표준 데이터 전송 요금이 부과됩니다.

 

그림 3 – SDDC와 고객 VPC 간의 연결 모델

 

 

다른 고객 VPC와의 연결

SDDC와 고객 관리형 VPC (VMware 클라우드 ENI가 프로비저닝 된 연결된 VPC 제외) 간을 연결할 수 있게 하는 세 가지 기본 접근 방식이 있습니다. 올바른 접근 방식 선택은 연결해야 하는 VPC 수와 트래픽 흐름에 대한 추가 네트워킹 서비스 요구 사항에 따라 달라집니다.

이러한 옵션에 들어가기 전에 새로운 NSX-T 지원 SDDC가 BGP 경로 기반 및 정적 정책 기반 VPN을 모두 지원한다는 점을 언급해야 합니다. 연결의 다른 쪽 끝에서 지원되지 않는 한 항상 경로 기반 VPN을 사용하는 것이 좋습니다. 이 블로그에서는 경로 기반 VPN 사례에 중점을 두도록 하겠습니다.

첫 번째 방법은 AWS 관리 VPN 제품 (또는 원하는 경우 Amazon EC2 기반 VPN)을 사용하여 NSX T0 에지 라우터와 다른 VPC간에 1 : 1 VPN 터널을 만드는 것입니다. 연결 복원력을 유지하려면 AWS 관리 VPN에서 제공하는 두 IPSec 터널을 에지 라우터에 구성해야 합니다. AWS는 BGP를 사용하여 필요에 따라 양쪽의 활성 터널 선택 및 장애 조치에 영향을 줍니다.

T0 에지 라우터는 액티브 / 스탠드 구성을 통해 설계상 고가용성을 제공하므로 연결에 대한 단일 장애 지점이 아닙니다. 이 모델은 소수 또는 제한된 수의 VPC에 연결해야 할 때 효과적입니다.

 

그림 4 – 접근법 1 : To VPN에서 고객 VPC 로의 직접 VPN 터널

 

여러 VPC에 연결해야 하는 경우 최근 발표된 AWS Transit Gateway를 사용하는 다른 솔루션을 사용하여 터널 수를 최소화하고 SDDC에서 SDDC, VPC 및 온 프레미스 환경에 대한 단순화된 허브 및 스포크 라우팅 모델을 제공할 수 있습니다.

 

그림 5 – 접근법 2 : AWS Transit Gateway를 사용한 허브 및 스포크 모델

 

TGW (AWS Transit Gateway)는 확장성이 뛰어나고 탄력적입니다. VRF 기능과 유사한 세분된 라우팅 및 네트워크 분리를 위해 여러 라우팅 도메인을 지원합니다. TGW는 리전당 최대 5,000 개의 첨부 파일을 가질 수 있으며 VPC 첨부 파일 당 최대 50Gbps의 트래픽을 버스트할 수 있습니다. 동일한 CIDR 블록을 알릴 때 여러 터널에 동일한 트래픽을 분산시켜 VPN 대역폭을 늘리기 위해 EMCP (Equal-Cost Multi-Path)를 사용하는 경로 기반 VPN을 지원합니다. 기본 Direct Connect 지원은 2019년 초부터 제공됩니다.

 

트래픽 검사 또는 IPS / IDS와 같은 추가 네트워크 서비스가 필요한 경우에도 Transit VPC 접근 방식을 계속 사용할 수 있습니다. 이 모델은 공유 / 전송 VPC 내부의 Amazon EC2에서 타사 소프트웨어 VPN을 사용하도록 제안합니다. Amazon EC2의 소프트웨어 라우터는 다른 환경 또는 스포크에 대한 터널을 종료하는 허브 역할을 합니다. 라우팅 및 추가 네트워킹 기능은 소프트웨어 공급 업체 기능을 기반으로 소프트웨어 라우터에 의해 제공됩니다.

 

그림 6 – 접근법 3 : Transit VPC 모델.

 

 

온-프레미스에 연결

SDDC는 AWS Direct Connect 서비스와의 통합을 지원하여 고객의 온 프레미스 환경에 지속적이고 안정적인 Low-latency 연결을 제공합니다. DX는 가상 인터페이스 (VIF)를 사용하여 AWS 서비스에 액세스할 수 있도록 합니다. 프라이빗 가상 인터페이스는 Amazon VPC 내부의 리소스에 연결하는 데 사용됩니다. 퍼블릭 가상 인터페이스는 Amazon Simple Storage Service (Amazon S3), Amazon Glacier 및 EC2 EIP ( Elastic IP Address ) 와 같은 VPC 경계 외부의 퍼블릭 AWS 서비스에 연결됩니다.

 

AWS Direct Connect는 다중 계정 서비스입니다. 연결 소유자는 호스팅 된 가상 인터페이스 모델에서 다른 AWS 계정으로 가상 인터페이스를 생성하고 공유할 수 있습니다. VMware Cloud on AWS는 호스팅 된 가상 인터페이스 모델을 지원합니다. SDDC 고객은 AWS 파트너 네트워크 (APN) 파트너가 소유하거나 요청한 DX 연결에서 프라이빗 가상 인터페이스를 생성하고 SDDC가 상주하는 VMware 관리 VPC에 연결할 수 있습니다.

 

NSX-T 네트워킹이 지원되는 새로운 VMware Cloud on AWS SDDC는 단일 Virtual Private Interface를 통해 인프라 (언더 레이) 및 오버레이 네트워크에 대한 완벽한 라우팅 지원을 제공합니다. 이 모델은 암호화가 필요하지 않은 경우 VPN 터널 없이 BGP 라우팅을 사용하여 SDDC와 온-프레미스 환경 간의 라우팅 요구 사항을 단순화합니다.

 

그림 7 – AWS Direct Connect와의 SDDC 통합

 

온-프레미스와의 일부 또는 모든 네트워크 통신에 암호화가 필요한 경우 SDDC는 VPN 연결을 만들 때 T0 에지 라우터의 공개 또는 개인 주소를 사용하는 옵션을 지원합니다. 이를 통해 고객은 VPN 트래픽을 Direct Connect를 통해 라우팅하는 방법에 유연성을 얻을 수 있습니다.

  • 프라이빗 VIF의 경우, T0 에지 라우터는 프라이빗 VIF를 통해 고객 사이트에 알려진 어플라이언스 서브넷 공간의 프라이빗 IP를 사용합니다. 프라이빗 IP로 생성된 VPN 터널은 추가 구성없이 기본적으로 프라이빗 VIF를 통해 라우팅 됩니다.
    .
  • 퍼블릭 VIF의 경우 T0 에지 라우터는 퍼블릭 VIF를 통해 고객 사이트에 알려진 AWS 퍼블릭 스페이스의 퍼블릭 IP를 사용합니다. 이 퍼블릭 IP에 생성된 VPN 터널은 온 프레미스 에지 라우터의 퍼블릭 주소가 고객에 의해 AWS에 알려진 경우, DX 퍼블릭 VIF를 통해 라우팅 됩니다. 이는 VPN 트래픽과 인터넷을 통한 라우팅을 위해 AWS 백본을 통한 향상된 연결성을 제공합니다.

 

 

데이터 센터 확장을 위한 네트워크 요구 사항

데이터 센터 확장을 하나의 일반적인 사용 사례로 활용하고 오늘 AWS Direct Connect를 통해 vMotion에 대한 네트워킹 요구 사항을 충족하는 방법을 살펴보겠습니다.

VMware vSphere의 가장 인기 있는 핵심 기능 중 하나는 vMotion입니다. 즉, 다운 타임 없이 실제 호스트 간에 워크로드를 실시간 마이그레이션 할 수 있는 기능입니다. vMotion 기능은 나중에 클러스터 간, vCenter 간 및 장거리 실시간 마이그레이션을 지원하도록 확장되었습니다. 이러한 기능 덕분에 안정적인 마이그레이션 작업을 지원하고 유지하기 위해 인프라 기능이 한계에 도달했습니다.

VMware는 온-프레미스와 SDDC간에 안정적인 가상 머신 마이그레이션을 위한 세 가지 네트워크 요구 사항을 정의했습니다.

  • 소스 및 대상 vMotion과 호스트 관리 네트워크 간의 L3 연결이 라우팅 흐름은 온 프레미스와 SDDC 사이의 프라이빗 VIF에 의해 활성화될 수 있습니다. Private VIF는 SDDC 언더 레이 (vMotion 및 호스트 관리)와 관련 온-프레미스 네트워크 간의 L3 연결을 가능하게 합니다.
    .
  • 원본 및 대상 vCenter Server 간의 L3 연결. 상기와 같음. Private VIF는 SDDC Appliance 네트워크와 관련 온-프레미스 관리 네트워크 간의 L3 연결을 가능하게 합니다.
  • VM 마이그레이션 동안 주소 지정을 유지하기 위한 L2 확장. 이 확장은 동일한 프라이빗 VIF를 통해 라우팅 될 수도 있습니다. T0 에지와 온 프레미스 NSX 에지 VPN 클라이언트 간에 L2 VPN이 필요하며 VMC 고객은 무료 다운로드 가능합니다.

 

그림 8 – 온-프레미스와 SDDC 간 vMotion의 네트워크 요구 사항

 

 

결론

VMware Cloud on AWS에는 원격 네트워크에서 사용할 수 있는 다양한 연결 옵션이 있습니다. 연결된 고객 VPC의 VMware 엔드 포인트는 Low-latency, 높은 처리량 및 VPC 워크로드 및 기타 AWS 서비스에 대한 원활한 연결을 제공합니다. AWS Direct Connect와의 SDDC 통합은 VMware SDDC와 온 프레미스 VMware 환경 간에 안정적, 전문적이며 Low-latency 연결을 제공합니다. 이 최적화 된 데이터 전송 속도는 안정적인 vMotion 작업에 필요합니다.

여러 VPC에 연결해야 하는 SDDC 고객은 SDDC 논리 네트워크 및 연결 요구 사항에 기반한 여러 옵션이 있는 AWS 관리 VPN을 사용하여 AWS 백본을 통해 터널을 생성할 수 있습니다.

 

 

추가 자료

 


원문 URL: https://aws.amazon.com/ko/blogs/apn/connectivity-options-for-vmware-cloud-on-aws-software-defined-data-centers/

 

** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 개제하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달드리도록 하겠습니다.