Nexus 1000V를 말한다 - 1편

Nexus 1000V 이해

 

Nexus 1000V Overview

 

Nexus 1000V(이하 Nexus1KV)는 현재 VMWaer vSphere 기반의 vSwitch가 가지고 있는 한계를 극복하기위해, vSphere 기반의 Hypervisor에 Plug In 형태로 설치 지원되는 제품입니다.

 

vSwitch 이슈

 

네트워크 정책 적용 이슈

 

일반적으로 L2 Switch들은 대부분 Layer2에 대한 일반적 기능과 보안, 트래픽 모니터링 및 분석에 대한 기능을 제공하고 있습니다. 예를 들면 트래픽을 특정 물리적 포트나 IP로 우회시키는 Redirection 기능이나, 트래픽제어를 위한 ACL(Access Control List) 등을 제공합니다.

 

트래픽을 특정 포트나 IP로 우회시키는 이유는 해당 스위치에 L4 Switch나 보안 장비 및 분석장비들이 구성되어 있을 때 해당 장비와 연동하기 위함입니다.

또한 ACL과 같은 보안 기능을 통해서 트래픽에 대한 제어를 하기도 합니다.이러한 기능은 vSwitch에서는 기본적으로 기존의 L2 Switch에 대한 기능을 모두 제공하지 않게 됨에 따라 이러한 정책기반의 스위칭 방식들을 적용할 수 없습니다.

 

 

[그림1 – 일반적인 가상화 구성]

물리적 서버들이 많지 않을 경우에는 이슈가 되지 않지만, 가상화 규모가 커지고 이에 따라 물리적 서버들이 증가되면 이러한 요구들이 증가하게 됩니다.

 

내부 네트워크 모니터링 이슈

 

[그림1]에서 Red VM이 같은 물리적 서버내에 위치한 VM과의 통신상에 어려움을 겪게 된다면 어떻게 분석하고 , 이슈를 해결할 수 있을까요?

 

[그림2- VMWare ESX 기반의 vSwitch 트래픽 모니터링]

 

만약 물리적 서버간의 통신 문제라고 한다면, 연결된 물리적인 L2 Switch 구간의 포트들에서 포트 미러링을 통해 분석할 수 있습니다. 또한 Netflow와 같은 Flow 분석을 통해서도 문제의 원인을 분석 할 수 있습니다.지만, 기존의 vSwitch에서는 이러한 구성과 분석이 어렵습니다.

 

정책의 이동성 보장 불가능

 

수많은 물리적 서버들을 구성하고, 가상화 서버들을 배치하게 된다면 관리자의 가장 큰 어려움은 관리 및 정책의 가시성 확보가 어렵다는 것입니다.

물리적인 서버와 물리적인 스위치가 구성되는 전통적인 방식의 경우에는, 서버 랙별로 서비스 구분이 명확하기 때문에 사실상 서버랙이나 POD 별로 정책이 적용되고 이동이 매우 제한적입니다.

하지만 가상화 구현이 될 경우에는 물리적인 서버나 스위치 구성, 그리고 서버랙의 위치는 큰 의미가 없습니다. 자원의 사용률에 따라 가상머신들은 자유롭게 이동할 것이고 이에 따라 물리적 서버위치가 변경되고, 서버랙을 이동함에 따라 ToR(Top Of Rack) 스위치도 자주 변경될 것입니다.

 

[그림3-VMWare ESX 기반의 정책기반의 VM 이동성]

 

결국 물리적인 배치의 정책은 큰 의미가 없어질 것입니다.

기존의 서비스 단위 또는 네트워크 단위, 서버 단위의 정책은 이동성을 보장하는 정책이 집행되지 않는 한은 구성이 어렵다는 결론에 도달하게 됩니다.

 

기존 운영 모델의 어려움

 

가장 큰 이슈는 vSwitch에 대한 관리입니다. vSwitch는 기본적으로는 Bridge와 같은 방식의 역할만을 수행하지만, 엄연히 스위치 기능의 일부를 담당하기도 합니다.

기존의 데이터센터에서의 관리자들의 역할은 장비에 따라 구분지어 졌습니다.

그런데 네트워크 장비가 소프트웨어 기반으로 서버에 탑재 됨에 따라, 서버의 규모가 늘어날수록 심각한 관리역할에 대한 문제가 불거지는 것이 일반적입니다.

따라서 서버스위치의 관리 역할을 서버팀에서 계속 담당할 것인지, 아니면 과거처럼 네트워크팀에 역할을 넘겨 줄 것인지를 결정해야 합니다.

 

 

[그림4-가상화 환경에서의 관리 이슈]

 

        Nexus 1000V의 역할

 

        Nexus 1000V는 위에서 지적된 문제들을 해결하기 위해, Cisco에서 소프트웨어 기반 스위치를 제공하는 것입니다.

         기본적으로 이미 데이터센터 스위치로 전세계적으로 많이 사용하고 있는 Nexus 스위치의 NXOS를 기반으로 사용되기 때문에 OS 자체가 2008년 이후부터 검증되어 사용되던 제품입니다.

 

         Nexus 1000V NXOS를 VSM(Virtual Supervisor Module)을 소프트웨어 기반으로 가상화 서버 또는 Appliance에 탑재하고, DataPath는 VEM(Virtula Ethernet Module)은 vSphere 5.x 의 Host에 설치합니다. 

        실제 연동은 VSM과 VEM 그리고 VMWare의 vDS와 vCenter간의 연동을 통해 네트워킹의 모든 Feature와 흐름을 Nexus1KV를 통해 구현할 수 있습니다.

 

 

 

[그림5 – Nexus 1000V 의 일반 구조]

 

 실제 Nexus1KV는 아래와 같은 역할을 수행하게 됩니다.

 

일반적인 네트워킹 기능 적용

 

보안

 

ACL (Access-Control List)와 같은 트래픽 접근제어에 대한 기술

DAI (Dynamic ARP Inspection)과 같은 APR Spoofing 제어 기능

Port Security와 같은 MAC Spoofing 방지 기능

DHCP 환경에서의 IP 변조 방지 등과 같은 다양한 보안 기술 적용이 가능해 집니다.

 

트래픽 우회

 

MAC Rewrite 기능을 제공함으로써, 트래픽 우회기술을 제공합니다.

이렇게 되면 가상화 스위치 내부에서 복잡하게 Bridging 하는 방식 따위의 위험한 구성을 하지 않더라도 손쉽게 가상방화벽, 가상 SLB 스위치와 같은 VM으로 트래픽을 우회할 수 있습니다.

 

네트워크 분석 기능

 

Port Mirroring 이나 Netflow와 같은 트래픽 Low Data 분석과 흐름 분석이 가능합니다.

가상화 네트워크 내부에서의 트래픽 분석과 트러블슈팅

앞서 설명된 Port Mirroring과 Netflow를 사용할 수 있게 됨에 따라 가상화 내부의 트래픽에 대한 가시성을 크게 확보할 수 있습니다.

이렇게 되면 가상화 환경에서도 빠른 장애 처리와 트래픽 흐름의 추이를 분석 할 수 있습니다.

 

정책기반의 이동성 보장

 

VM이 다른 Host로 이동하더라도, 사전에 해당 Port-Group에 정의된 보안정책이나 트래픽 분석등에 대한 정책이 동일하게 이동하게 됩니다.

이러한 방식을 사용하게 되면 최초에 Port-Group에 선언된 정책들이 일관성 있게 유지할 수 있습니다.

 

잡음 없는 데이터센터 내부의 역할론 정립

 

vCenter에서 Network에 대한 기능을 따로 외부로 분리하여 적용함에 따라, 서버 관리자와 네트워크 관리자의 역할을 기존 방식대로 유지 할 수 있습니다.

필요에 따라서는 서버담당자가 가상 스위치의 구성 및 적용을 간편하게 할 수 있게 됨에 따라 새로운 역할을 수행할 수도 있습니다.