VMware Cloud Director 10.2 릴리스에서는 네트워킹 및 보안 분야의 주요 기능을 소개했다. 이 VCD 릴리스의 일부로, 향상된 NSX-T 통합은 VRF Lite 지원, 분산 방화벽, VDC 간 네트워킹, NSX Advanced Load Balancer(Avi) 통합 등과 같은 고급 기능 패리티 및 개선 사항을 가져온다! 이러한 개선사항은 보안, 운영 비용, 규모 및 효율성에 막대한 영향을 미친다. 이들은 파트너들이 VMware Cloud Director 및 VMware NSX-T 데이터 센터를 통해 네트워크 및 보안 서비스를 확장할 수 있도록 지원할 예정이다.
확장성 향상을 위한 VRF Lite 지원
VMware Cloud Director 외부 네트워크는 시스템의 네트워크와 가상 머신을 VPN, 회사 인트라넷 또는 공용 인터넷과 같은 시스템 외부의 네트워크에 연결하는 업링크 인터페이스를 제공한다.
가상 데이터 센터에서 완전히 라우팅된 네트워크 토폴로지를 제공하려면 외부 네트워크를 특정 NSX-T 에지 게이트웨이에 전용으로 지정한다. 이 구성에서는 외부 네트워크와 NSX-T 에지 게이트웨이 사이에 일대일 관계가 있으며, 다른 에지 게이트웨이는 외부 네트워크에 연결할 수 없다. Edge Gateway에 외부 네트워크를 전용으로 지정하면 테넌트에 경로 알림 관리 및 BGP(Border Gateway Protocol) 구성과 같은 추가 Edge Gateway 서비스를 제공한다.
VRF Lite가 없다면 완전한 라우팅된 네트워크 토폴로지를 제공하기 위해 외부 네트워크에 완전한 전용 tier-0를 가져야 한다. NSX-T 에지 노드는 하나의 Tier-0 게이트웨이만 지원할 수 있으므로 이는 많은 에지 노드로 이어진다.
VCD 10.2부터는 NSX-T VRF 게이트웨이가 외부 네트워크 역할을 할 수 있다. 단일 tier-0 게이트웨이는 최대 100개의 VRF를 지원할 수 있어 확장성이 크게 향상된다.
NSX-T는 앞서 2020년 3.0 릴리즈에서 VRF 지원을 도입했다. VRF Lite 지원은 Tier-0 게이트웨이에서 VRF(Virtual Routing Forwarding)를 통해 멀티 테넌트(Multi-tenant) 데이터 평면 격리를 제공한다.
테넌트 관리자의 관점에서 VRF 게이트웨이를 외부 네트워크로 사용하는 것은 Tier-0 게이트웨이와 유사하다. VRF 게이트웨이는 일반 Tier-0 게이트웨이에 비해 다른 구성이 필요하기 때문에 프로바이더 관리자가 수행해야 하는 준비 작업에는 유일한 차이점이 있다.
프로바이더 관리자의 단계는 다음과 같다.
- 상위 Tier-0 게이트웨이를 생성한다.
- 상위 Tier-0 게이트웨이에서 외부 인터페이스를 구성한다. 외부 인터페이스는 트렁크 세그먼트를 필요로 한다.
- NSX-T에 VRF 게이트웨이를 생성한다. VLAN 태깅(802.1q)을 사용하여 VRF 간 트래픽을 구분한다. 이와 같이 액세스 VLAN은 VRF 게이트웨이 인터페이스에서 사용된다.
- 제공자 포털에서 외부 네트워크로 VRF 게이트웨이를 가져온다.
Cloud Director의 VRF Lite 지원에 대한 고려 사항:
- NSX-T는 tier-0 게이트웨이당 최대 100개의 VRF를 지원하여 수천 개의 전용 외부 네트워크로 확장 가능
- Tier-0 게이트웨이에서 VRF 게이트웨이는 페일오버 모드, 에지 클러스터, 내부 트랜짓 서브넷, T0-T1 트랜짓 서브넷 및 BGP 라우팅 구성을 상속한다.
- 제공자는 상위 계층 0 게이트웨이 또는 하위 VRF 중 하나의 외부 네트워크로 VCD에 가져올 수 있지만 동시에 둘 다 가져올 수는 없다.
- 전체 에지 업링크 대역폭은 모든 계층 0 및 VRF 게이트웨이에서 공유된다.
Cloud Director 10.2의 VRF Lite 지원에 대한 추가 리소스:
크로스 VDC 네트워킹 및 분산 방화벽을 위한 데이터 센터 그룹
이제 NSX-T가 주류를 이루면서 Cloud Director 10.2의 큰 초점은 NSX-T와 VMware Cloud Director 간의 더 큰 지원과 통합을 제공하는 것이다.
버전 10.2부터 VMware Cloud Director는 NSX-T가 지원하는 데이터 센터 그룹 네트워킹을 지원한다. 데이터 센터 그룹은 중앙 집중식 네트워킹 관리, 송신 지점 구성 및 그룹 내의 모든 네트워크 사이의 동서 트래픽을 제공하는 교차 VDC 라우터 역할을 한다.
가상 데이터 센터 간 네트워킹 기능을 통해 여러 vCenter Server 인스턴스가 지원하는 가상 데이터 센터를 보유한 조직은 여러 가상 데이터 센터 간에 계층 2 네트워크를 확장할 수 있다.
또한 NSX-T 네트워크 제공자 유형이 있는 데이터 센터 그룹에 분산 방화벽을 사용하도록 설정하여 데이터 센터 그룹에 적용되는 단일 기본 보안 정책을 생성할 수 있다.
기능 면에서 VMware Cloud Director 10.2는 L4-L7 분산 방화벽 규칙(정적 멤버십으로 제한)을 지원한다.
VCD의 NSX-T 데이터 센터 그룹에 대한 고려 사항:
- 데이터 센터 그룹에는 활성 송신점을 공유하도록 구성하는 1개에서 16개 사이의 VDC가 포함될 수 있다.
- 시스템 관리자는 vCenter Server 인스턴스에 대한 계산 공급자 범위와 vCenter Server 인스턴스에서 지원되는 제공자 VDC에 대해 선택적으로 계산 공급자 범위를 설정하여 NSX-T와의 그룹 네트워킹을 위한 가용성 영역을 구성해야 한다.
- 데이터 센터 그룹의 송신 지점이 되도록 에지 게이트웨이를 구성하는 경우 해당 범위를 데이터 센터 그룹으로 늘리십시오. 에지 게이트웨이는 그룹에 참여하는 모든 데이터 센터에서 공유된다. 에지 게이트웨이에 연결된 모든 라우팅된 네트워크는 데이터 센터 그룹에 연결되고 이에 범위가 지정된다.
- 분산 방화벽 서비스는 기본적으로 사용하도록 설정되어 있지 않은 경우. 분산 방화벽을 사용하도록 설정한 후 분산 방화벽 규칙 생성을 용이하게 하기 위해 IP 세트와 보안 그룹을 만들 수 있다.
- 생성한 분산 방화벽 규칙은 데이터 센터 그룹 네트워크에 연결된 워크로드에만 적용된다.
- 조직 VDC는 모두 동일한 네트워크 풀(NSX-T 전송 영역)에 의해 지원되어야 한다.
Cloud Director 10.2의 크로스 VDC 네트워킹에 대한 추가 리소스:
NSX Advanced Load Balancer (Avi)
NSX Advanced Load Balancer(Avi)는 사내 데이터 센터와 모든 클라우드에 걸쳐 멀티 클라우드 로드 밸런싱, 웹 애플리케이션 방화벽 및 애플리케이션 분석 기능을 제공한다. 버전 10.2부터 VMware Cloud Director는 테넌트 포털을 통해 VMware NSX Advanced Load Balancer 장치의 기능을 활용하여 로드 밸런싱 서비스를 제공한다.
로드 밸런싱 서비스는 NSX-T가 지원하는 조직 VDC 또는 NSX-T 네트워크 제공자 유형의 데이터 센터 그룹으로 범위가 지정될 수 있는 NSX-T 에지 게이트웨이에 연결된다.
시스템 관리자:
- NSX-T 데이터 센터 배포에 사용할 NSX Advanced Load Balancer을 배포 및 구성하십시오.
- VMware Cloud Director에 컨트롤러를 등록하는 경우: 컨트롤러는 로드 밸런싱 서비스를 위한 중앙 제어부 역할을 한다. 컨트롤러를 등록한 후 VMware Cloud Director에서 직접 관리할 수 있다.
- NSX-T Cloud 인스턴스를 Cloud Director에 등록한다.
- 서비스 엔진 그룹을 Cloud Director로 가져오는 경우 NSX ALB가 제공하는 로드 밸런싱 컴퓨팅 인프라는 서비스 엔진 그룹으로 구성된다. NSX-T Edge Gateway에 둘 이상의 서비스 엔진 그룹을 할당할 수 있다.
시스템 관리자가 에지 게이트웨이에 서비스 엔진 그룹을 할당하면 조직 관리자가 특정 서비스 엔진 그룹에서 실행되는 가상 서비스를 생성하고 구성할 수 있다.
이 주제에 대한 Tomas와 Avnish의 광범위한 기사를 반드시 확인한다.
NSX-T 백업 조직 VDC의 네트워크 로드 밸런싱에 대한 추가 리소스:
- Feature Fridays Episode 19 – NSX-T Advanced Load balancer
- NSX-T에서 NSX Advanced Load Balancer 구성 정보, Avi Integration with NSX-T 참조.
테넌트 포털의 네트워킹 섹션
사용자 인터페이스가 재설계되었으며, 이제 테넌트 포털의 새 네트워킹 탭에서 네트워크, 에지 게이트웨이 또는 데이터 센터 그룹을 찾는 것이 더 쉬워졌다.
요약
VMware Cloud Director 10.2는 많은 업데이트를 도입했으며, 주요 네트워크 및 보안 서비스(즉, 완전히 통합된 주요 VMware NSX-T 기능)를 통해 파트너가 비즈니스를 확장하도록 지원하는 데 초점을 맞췄으며, 이는 네트워크 단순성과 보안 클라우드 요구사항에 대한 고객의 요구를 지원하는 데 매우 중요한 역할을 했다.
테넌트에 대해서는 투명하지만, 외부 네트워크로서 VRF 게이트웨이를 채택하는 것은 제공자의 관점에서 많은 이점을 가지고 있다. 즉, 완전한 Tier-0을 전용하지 않고 가상 데이터 센터에서 완전히 라우팅된 토폴로지를 제공함으로써 규모를 증가시킨다.
NSX-T 데이터 센터가 지원하는 데이터 센터 그룹 네트워크는 계층 2 네트워크 공유, 단일 활성 송신 지점 구성 및 데이터 센터 그룹 전체에 적용되는 분산 방화벽(DFW) 규칙을 제공한다.
VMware Cloud Director 10.2는 테넌트 포털을 통해 VMware NSX 고급 로드 밸런싱 장치의 기능을 활용하여 로드 밸런싱 서비스를 제공한다.
VCD 10.2에서 분산 방화벽 및 NSX ALB 지원을 살펴보는 내 VMworld 2020 #HCPS2625 세션 All Things Networking for VMware Cloud Providers도 확인바란다.