소개
서비스 제공업체 또는 둘 이상의 고객 또는 테넌트에게 리소스를 제공하는 조직은 데이터센터 설계 및 운영의 일반적인 관심사를 넘어서는 고유한 요구 사항을 가지고 있습니다. 테넌트의 데이터는 보안 및 우선순위 기준을 충족하기 위해 격리되어 있을까요? 그리고 공유 리소스의 세계에서 “격리”란 어떤 의미일까요? 고객의 다양한 요구 사항을 반영하는 방식으로 리소스를 관리하고 우선순위를 지정할 수 있나요? 이러한 문제는 단순한 예 또는 아니오로 답할 수 있는 문제가 아니라 요구사항에 따라 수용 가능성의 정도가 달라지는 사소한 문제가 아닙니다.
기존 스토리지 어레이를 사용하여 3계층 아키텍처로 구축된 환경과 비교하여 vSAN이 멀티 테넌시를 어떻게 처리하는지 묻는 질문은 드물지 않게 들을 수 있습니다. 두 접근 방식 모두 멀티 테넌트 환경에 적합한 옵션이 될 수 있습니다. 아래 정보는 두 접근 방식 간의 유사점과 차이점을 더 잘 이해하는 데 도움이 됩니다.
리소스 통합의 장단점
리소스 공유는 대부분의 환경에서 효율성을 달성하는 방법으로, 비용 절감 효과를 비즈니스에 전가할 수 있습니다. 서비스 제공업체와 멀티테넌트 환경은 이와 동일한 리소스 통합 방법을 사용하며 규모의 경제를 통해 고객에게 엄청난 가치를 제공할 수 있습니다. 가상화는 데이터센터 전체에서 컴퓨팅 리소스를 공유하는 데 사용되며, 공유 스토리지는 일반적으로 클러스터를 구성하는 호스트를 통해 자체 스토리지 리소스를 제공하는 하이퍼바이저 클러스터 또는 하이퍼컨버지드 클러스터에 연결되는 스토리지 어레이를 통해 스토리지 리소스를 공유하는 데 사용됩니다.
리소스 공유를 통해 얻을 수 있는 가치는 서비스 제공업체와 테넌트에게 중요한 세 가지 주제와 상충될 수 있습니다.
- 리소스 관리. 이는 컴퓨팅, 메모리 또는 이 글의 초점인 각 테넌트에 대한 리소스 및 기능의 할당 또는 파티셔닝과 관련이 있습니다: 스토리지.
- 리소스 보안. 이는 테넌트 및 해당 데이터의 보안 목표를 충족하기 위해 마련된 보호 장치와 관련이 있습니다. 보안 목표와 임계값은 고객에 따라 다를 수 있습니다.
- 리소스 우선순위 지정. 공유 인프라에서는 필연적으로 리소스가 필요하며, 동시에 필요할 수도 있습니다. 경합이 심할 경우 우선순위 지정이 성능에 영향을 미칠 수 있습니다.
일반적으로 테넌트에 대한 보안, 관리 및 우선순위를 보장하려는 시도가 많을수록 리소스 공유가 줄어들 수 있습니다. 예를 들어, 테넌트에 데이터 보안 요구사항이 있는 경우, 해당 데이터를 자체 스토리지 대상에 격리하는 것으로 충분할까요? 그리고 여러 테넌트에게 제공되는 공유 스토리지의 논리적 경계로 충분할까요, 아니면 물리적으로 분리해야 할까요? 이 데이터가 물리적으로 분리된 위치에 있어야 한다고 가정할 때, 호스트 간 데이터 전송은 어떻게 이루어질까요? 공유 네트워크 패브릭을 사용하게 될까요? 그렇다면 테넌트의 보안 및 우선순위 요구 사항을 충족할 수 있을까요?
결과적으로 멀티 테넌시는 서비스 제공업체가 제공할 수 있는 이점을 활용하기 위해 적절한 수준의 수용 가능성을 결정하는 균형점을 찾아야 하는 경우가 많습니다. 여기에는 다양한 회색 음영이 포함되며, 올바른 방법은 공급자와 테넌트가 수용할 수 있는 수준입니다.
이 주제에 대해 vSAN과 기존 스토리지를 비교하여 유사점과 차이점을 정리해 보겠습니다. 스토리지 어레이는 여러 가지 방식으로 데이터를 제공할 수 있습니다. 이 주제에서는 VMFS를 사용하는 블록 기반 스토리지에 중점을 두겠습니다. 간결성을 위해 NFS 기반 스토리지와 vVols는 여기서 설명하지 않습니다.
스토리지 어레이를 사용한 멀티테넌시
스토리지 어레이를 사용하는 공유 스토리지가 멀티 테넌시를 달성하는 방법을 살펴보겠습니다.
리소스 관리
스토리지 어레이는 일반적으로 특정 테넌트에 대해 특정 데이터스토어를 전용으로 지정하여 어느 정도의 멀티 테넌시를 제공합니다. 데이터스토어는 클러스터된 파일 시스템(VMFS)이 VM을 수용할 수 있는 용량을 제공하는 논리적 엔티티이며, 하나 이상의 클러스터에 있는 모든 호스트에 연결됩니다. 원래 이러한 용도로 의도된 것은 아니지만, 서비스 제공업체는 데이터스토어를 용량 할당 및 관리를 위한 분리 메커니즘으로 사용하는 경향이 있으며, 데이터스토어는 특정 테넌트에서만 사용됩니다. 이는 서비스 제공업체가 매우 편안하게 느끼는 쉽고 관리하기 쉬운 용량 상한선 역할을 합니다. 실제로 어레이에 있는 데이터스토어는 씬 프로비저닝되어 있으므로 공급업체가 리소스를 과도하게 커밋할 수 있는 기회를 제공합니다.
데이터스토어를 사용하여 용량을 할당할 수 있지만, 백엔드 데이터 서비스는 어레이별로 할당됩니다. 예를 들어 스토리지 어레이는 어레이의 일부로 암호화와 같은 데이터 서비스를 제공하기 때문에 여러 어레이 공급업체가 혼합된 환경에서는 다양한 스토리지 대상에 동일한 기능을 제공하지 못할 수 있습니다. 이로 인해 서비스 제공업체에 설계 및 운영상의 문제가 발생할 수 있습니다.
리소스 보안
데이터스토어는 용량에 대한 한계를 제공할 수 있지만, 절대적인 수준의 보안을 제공하지는 않습니다. 오늘날의 어레이는 다른 데이터스토어의 다른 데이터 옆에 있는 인클로저의 다양한 디바이스에 데이터를 흩어놓는 것이 일반적입니다. 경계는 논리적일 뿐입니다. 또한 3계층 아키텍처는 데이터스토어를 클러스터의 독점 리소스로 취급하지 않으므로 클러스터 외부의 다른 호스트에 연결할 수 있습니다. VMFS는 동시 액세스를 방지하는 데 도움이 되지만, 악의적인 액세스로부터 보호하지는 못합니다. 호스트는 마스킹 또는 ACL을 사용하여 액세스를 제한해야 하며, 이는 일반적으로 클러스터 외부의 액세스만 제한합니다. 사용되는 스토리지 패브릭은 많은 스토리지 대상에 서비스를 제공할 가능성이 높으며, 이는 여러 테넌트에 서비스를 제공하는 스토리지 트래픽이 동일한 패브릭을 통과하고 있음을 의미합니다. 일부 스토리지 어레이는 저장 데이터 암호화를 사용할 수 있지만, 스토리지 패브릭을 통과하는 I/O는 암호화되지 않는 경우가 많습니다.
공유 VMFS 볼륨 외에도 스토리지 어레이는 데이터 격리에 있어 또 다른 과제를 안고 있습니다. 스토리지 어레이는 TCO 절감을 위해 데이터 통합에 크게 의존하기 때문에 필연적으로 여러 테넌트의 고객 데이터, 심지어 관리 데이터까지 동일한 어레이 인클로저에 저장되는 경우가 많아집니다. 결과적으로 개별 고객 데이터는 캐시 디바이스, 대상 포트, 네트워크 VLAN을 공유하게 되며, 이는 테넌트의 격리 노력을 충족하지 못할 수 있습니다. 서비스 제공업체의 경우, 스토리지 어레이 관리 플레인이 손상될 경우 취약성 도메인과 마찬가지로 장애 도메인이 증가합니다.
리소스 우선순위 지정
3계층 아키텍처의 경우 하이퍼바이저의 관리 도메인 외부에 있는 요소, 즉 네트워크 패브릭 및 스토리지 어레이가 포함되므로 리소스 우선 순위를 지정하는 것이 어려울 수 있습니다. 하이퍼바이저의 경우, 스토리지 리소스의 상대적 우선 순위를 제공하여 중요도가 높은 VM의 I/O에 덜 중요한 VM의 I/O보다 높은 우선 순위를 부여하는 유용한 방법인 VMware Storage I/O Control (SIOC)를 사용할 수 있습니다. 그러나 스토리지 패브릭 자체는 우선순위와 순서를 거의 이해하지 못합니다. 여러 데이터스토어에 있는 VM을 지원하는 스토리지 어레이는 여러 HBA에서 들어오는 I/O를 여러 가지 방식으로 임의적으로 처리합니다. 어레이는 가능한 한 빨리 I/O를 처리하지만 컨트롤러의 대기열에 있는 I/O 요청의 우선순위나 개별 VM과 관련된 데이터 세트를 이해하지 못합니다.
많은 사람들이 논리적 분리로 충분하다고 생각할 수 있지만, 위에서 언급한 관리, 보안 및 우선순위 지정에는 한계가 있습니다. 위의 몇 가지 문제를 완화하는 한 가지 방법은 전용 컴퓨팅 클러스터와 클러스터 전용 어레이를 사용하는 것입니다. 이는 대규모 테넌트에게는 실행 가능한 솔루션일 수 있지만, 소규모 테넌트에게는 전용 스토리지 어레이와 스위치 패브릭의 비용을 고려해야 하므로 비용이 많이 들 수 있습니다. 1대1 모델은 재정 및 운영 비용 측면에서 공급업체에 적합하지 않습니다.
vSAN을 통한 멀티 테넌시
멀티 테넌시에 사용되는 vSAN은 3계층 아키텍처와 많은 유사점을 공유합니다. 그러나 vSAN은 고유한 방식으로 스토리지 리소스를 제공하므로 몇 가지 주목할 만한 차이점이 있습니다.
리소스 관리
기존 스토리지와 달리 vSAN에서 제공하는 스토리지 리소스는 클러스터당 단일 데이터스토어로 렌더링됩니다. 따라서 데이터스토어를 용량 관리 또는 격리 구성으로 사용하는 것은 vSAN에서 사용할 수 없습니다. vSAN의 고유한 특징은 메모리 및 컴퓨팅 리소스와 유사하게 스토리지를 클러스터의 리소스로 제공하며, 데이터 호스트 2개에서 64개 호스트까지 규모를 조정할 수 있으므로 테넌트는 특정 용량 요구 사항에 맞게 클러스터를 구성할 수 있다는 것입니다. 하나의 클러스터에서 여러 테넌트에 서비스를 제공하는 경우 vCenter Server 또는 해당 API를 사용하여 VM 소비를 모니터링할 수 있습니다.
vSAN은 소프트웨어 스택의 일부로 데이터 서비스를 제공하므로 저장 데이터 암호화, 전송 중인 데이터 암호화, 파일 서비스와 같은 기능은 vSAN을 실행하는 모든 클러스터에서 제공할 수 있습니다. 이는 vSAN 기반 워크로드 전반에 걸쳐 어느 정도의 편재성을 제공하거나 서비스 제공업체와 테넌트의 요구 사항에 맞게 조정할 수 있습니다.
리소스 보안
대부분의 스토리지 어레이가 인클로저 내에 있는 것과 마찬가지로 vSAN은 vSAN 데이터스토어를 구성하는 스토리지 디바이스 모음 주위에 데이터를 분산시킵니다. 그러나 VMFS와 달리 vSAN은 이 데이터에 대한 액세스의 중재자로 남아 있습니다. VM은 오브젝트로 구성되며, 해당 오브젝트의 vSAN DOM(분산 오브젝트 관리자) 소유자는 특정 시점에 어떤 호스트가 해당 데이터에 액세스할 수 있는 권한을 가지고 있는지 알 수 있습니다. 데이터 액세스의 경계가 데이터스토어가 아니라 액세스 경계가 VM 오브젝트이며, 이는 vVols의 구성과 유사합니다. 자세한 내용은 vSAN 오브젝트 및 구성 요소 재검토 게시물을 참조하십시오.
vSAN은 스토리지를 클러스터 리소스로 제공하므로 서비스 제공업체는 테넌트의 요구 사항에 맞게 리소스 격리를 쉽게 “축소”할 수 있습니다. vSAN을 사용하면 테넌트의 보안 요구 사항을 충족하기 위해 소규모의 격리된 클러스터를 구축할 수 있으므로 기존 어레이의 문제를 피할 수 있습니다.
리소스 우선 순위 지정
vSAN의 아키텍처는 물리적 분리 또는 우선 순위 지정에 대한 요구 사항이 더욱 엄격해짐에 따라 더욱 빛을 발합니다. 스토리지 어레이는 잠재적으로 많은 클러스터에 스토리지를 제공하는 분할할 수 없는 모놀리스인 반면, 표준 vSAN 클러스터는 클러스터를 구성하는 호스트에만 스토리지를 제공합니다. 예를 들어 두 개의 테넌트에 리소스를 제공하는 기존 8호스트 vSphere 클러스터는 기존 스토리지 어레이를 사용합니다. 그러나 백업 스토리지 어레이는 더 많은 클러스터에 서비스를 제공할 수 있으며 트래픽을 구분하거나 우선 순위를 지정할 수 없습니다. vSAN을 사용하면 이러한 두 개의 서로 다른 테넌트에 대해 4개의 호스트 클러스터를 사용할 수 있으며, 모든 스토리지 리소스 수요는 해당 클러스터에만 집중됩니다. 두 클러스터는 동일한 ToR(Top-of-Rack) 스위치를 공유할 수도 있고 공유하지 않을 수도 있지만, 트래픽을 논리적으로 분리하기 위해 VLAN을 사용할 수도 있습니다. vSAN의 클러스터 설계에 대한 자세한 내용은 vSAN 클러스터 설계 – 대규모 클러스터와 소규모 클러스터를 참조하십시오.
vSAN은 높은 수준의 성능으로 요청을 처리하기 위해 노력하기 때문에 클러스터 내에서 사용자가 사용자 지정할 수 있는 I/O 우선 순위 지정은 다소 제한적입니다. 그러나 vSAN에는 성능 SLA를 충족하는 데 도움이 되는 툴이 있습니다.
- IOPS 제한: vSAN은 스토리지 정책을 사용하여 지정된 VM에 초당 I/O 명령 제한을 설정할 수 있으므로 노이즈 이웃 효과를 방지하는 데 도움이 됩니다. 자세한 내용은 vSAN 기반 워크로드에서 워크로드 제한 정책(IOPS 제한) 사용을 참조하십시오.
- vSAN 트래픽에 대한 공정성 스케줄러. vSAN은 경합이 발생하는 상황에서 리소스 사용의 적절한 균형을 보장하도록 설계되었습니다. vSAN은 자체 I/O 스케줄러를 사용하여 다양한 유형의 vSAN 트래픽을 식별하고 제어합니다. vSAN OSA(Original Storage Architecture)는 “Adaptive Resync”라는 기술을 사용하여 vSAN VM 트래픽이 호스트의 80% 이상을 차지하도록 보장합니다. vSAN 8 ESA(Express Storage Architecture)는 경합이 발생하는 상황에서 네트워크 리소스 사용의 적절한 균형을 보장하기 위해 vSAN 네트워크 트래픽을 적응형으로 형성하여 이 기능을 추가합니다.
- 용량 우선 순위 지정. 용량 우선 순위 지정은 Object Space Reservations (OSR) 스토리지 정책 규칙을 통해 수행할 수 있습니다. 특정 VM은 우선 순위가 지정되지 않은 다른 VM보다 우선적으로 용량 리소스를 보장받습니다.
vSAN의 유연성을 통해 아키텍처는 다른 클러스터에도 서비스를 제공할 수 있습니다. HCI Mesh는 스토리지 리소스와 해당 리소스가 제공하는 각 데이터 서비스를 한 vSAN 클러스터에서 다른 클러스터로 빌려올 수 있는 기능을 제공합니다. 또한 기존 vSphere 클러스터에 스토리지 리소스를 제공하는 데에도 사용할 수 있습니다. 두 경우 모두 HCI Mesh는 기존 클러스터 리소스를 사용하여 매우 까다로운 티어 1 애플리케이션을 실행하는 유연한 방법이 될 수 있습니다.
권장 사항: 서비스 공급업체는 고객에게 리소스 사용량을 정확하게 청구하기 위한 방법으로 보고 기능에 관심이 많습니다. 개별 가상 머신의 vSAN 용량 보고는 vCenter Server에서 수행하거나 API를 통해 수행할 수 있습니다. vSAN은 스토리지 어레이와 용량 사용량을 보고하는 방식이 약간 다르므로 이러한 차이점을 더 잘 이해하는 데 도움이 되는 다음 블로그 게시물을 참조하시기 바랍니다: vSAN의 용량 보고 이해하기 및 vSAN의 데이터 사용량 보고를 위한 공간 재확보의 중요성
멀티 테넌시 환경에서 vSAN을 사용할 때의 추가 기회
서비스 공급업체는 vSAN의 일부 기술을 사용하여 공급업체, 테넌트 또는 둘 다에 재정적으로 이득이 될 수 있는 리소스 관리를 지원할 수 있습니다. 예를 들면 다음과 같습니다.
- ‘프리미엄 성능’ 오퍼링 제공. vSAN 8의 ESA(Express Storage Architecture)는 새로운 수준의 성능과 효율성을 제공하여 지연 시간이 짧고 성능 일관성이 개선된 까다로운 워크로드를 실행할 수 있는 동시에 기존 스토리지 아키텍처(OSA)를 사용하는 vSAN 클러스터보다 TCO를 낮출 수 있습니다. 자세한 내용은 게시물을 참조하십시오: vSAN Express 스토리지 아키텍처 소개 게시물을 참조하십시오.
- 결정론적 공간 효율성으로 서비스 비용 절감. 서비스 공급업체는 vSAN 8의 vSAN ESA를 통해 성능 저하 없이 RAID-5 또는 RAID-6 삭제 코딩을 사용할 수 있습니다. 이를 통해 서비스 공급업체는 테넌트 데이터를 탄력적으로 저장하면서도 보다 공간 효율적인 방식으로 저장할 수 있습니다. 이러한 비용 절감은 서비스 제공업체와 고객에게 도움이 될 수 있는 비용 절감으로 이어질 수 있습니다. 자세한 내용은 게시물을 참조하세요: 게시물에 설명된 대로 이제 호스트 3개 정도의 소규모 vSAN 클러스터에서도 공간 효율적인 삭제 코딩을 활용할 수 있습니다: vSAN 8의 Express 스토리지 아키텍처를 사용한 적응형 RAID-5 삭제 코딩.
- 기회주의적 공간 효율성으로 서비스 비용을 절감합니다. 서비스 공급업체는 vSAN 8의 vSAN ESA를 사용하여 VM 단위로 데이터 압축을 사용할 수 있습니다. 이 기회 공간 효율성 기능이 보장되는 것은 아니지만 가격 책정 모델에 이를 반영하거나 서비스 제공업체가 비용을 회수하는 데 사용할 수 있습니다. 자세한 내용은 vSAN 8 압축 – 익스프레스 스토리지 아키텍처 게시물을 참조하십시오.
- 스토리지 리커버리를 통해 서비스 비용 절감. 대부분의 스토리지 시스템(vSAN 포함)은 씬 프로비저닝을 사용하여 필요할 때까지 불필요하게 용량을 하드 할당하는 것을 최소화합니다. vSAN(ESA 또는 OSA)에서 TRIM/UNMAP을 사용하여 테넌트 VM이 더 이상 사용하지 않는 용량을 능동적으로 회수할 수 있습니다. 또한 고객 쇼백/충전백을 위해 용량 사용량을 보다 정확하게 보고할 수 있는 이점을 제공할 수 있습니다. 자세한 내용은 게시물을 참조하세요: vSAN에서 데이터 사용량 보고를 위한 공간 재생의 중요성 게시물을 참조하십시오.
- 예약을 통해 보장된 용량 제공. vSAN(ESA 및 OSA)에서 스토리지 정책을 사용하여 오브젝트 공간 예약을 적용할 수 있으며, 이는 OSR을 사용하는 VM에 용량을 보장하는 용량 관리 기법입니다. 오브젝트 공간 예약에 대한 자세한 내용은 게시물을 참조하십시오: vSAN의 용량 보고 이해하기 게시물을 참조하십시오.
- 저장 데이터 및 전송 중인 데이터 암호화를 제공합니다. 이는 데이터 보안 요구 사항을 해결하는 데 도움이 될 수 있는 vSAN의 클러스터 수준 서비스(ESA 및 OSA)입니다. 서비스 제공업체가 모든 클러스터에서 vSAN 암호화 서비스를 실행하지 않으려는 경우, 하나의 클러스터에서 저장 데이터 암호화를 쉽게 활성화하고 테넌트의 VM이 HCI 메시를 통해 이 암호화된 원격 vSAN 데이터스토어를 사용하도록 할 수 있습니다. ESA를 사용하여 vSAN 8에서 vSAN 암호화에 도입된 새로운 효율성에 대한 자세한 내용은 게시물을 참조하십시오: vSAN Express 스토리지 아키텍처를 사용한 클러스터 수준 암호화를 참조하십시오.
또한 vSAN 8의 vSAN Express Storage Architecture는 유명 공급업체의 어레이 기반 스냅샷에서 제공하는 것과 매우 유사한 스냅샷 기능을 제공하는 확장 가능한 고성능 기본 스냅샷 엔진이 새롭게 도입되었습니다. 자세한 내용은 게시물을 참조하세요: vSAN Express 스토리지 아키텍처의 확장 가능한 고성능 네이티브 스냅샷 게시물을 참조하십시오.
요약
스토리지 어레이가 포함된 기존 3 계층 아키텍처를 사용하는 VMware vSAN과 vSphere는 모두 멀티 테넌시를 위한 훌륭한 솔루션이 될 수 있습니다. 서비스 공급업체의 경우 아키텍처가 유연하기 때문에 테넌트 요구 사항을 보다 쉽게 충족할 수 있으며, vSAN의 유연한 아키텍처는 3 계층 아키텍처에서는 비용이 많이 드는 기능을 제공할 수도 있습니다.
출처 : https://core.vmware.com/resource/multitenancy-vsan