OpenStack의 클라우드 환경에서 어려운 부분이 네트웍 가상화에 대한 것일 것이다. 이와 관련된 좋은 자료가 있어서 번역하였다.
원문 : http://opencontrail.org/comparing-network-virtualization-techniques-available-in-the-cloud/
개요
클라우드 네트워크를 가상화하는 기술은이 빠르게 진화하고 있습니다. 많은 시간을 들여서 서로 다른 기술을 정리하여 구체적인 접근 방법의 장점과 단점을 이해하는 것은 자명하다.
여기서는
- 기존 가상화 환경에서 사용되는 네트워크 가상화 기술을 설명,
- 기존 및 클라우드 데이터 센터의 차이점에 대해 설명.
- 클라우드 데이터 센터 에서 사용되는 가상화 기술 비교.
본문
그림 1 : 레거시 데이터 센터 네트워크
그림 1은 서버 가상화를 수행하는 기존 데이터 센터를 보여줍니다. 일반적으로 네트워크는 여러 L2 도메인으로 분할된다. 각 L2 도메인은 ToR(Top of Rack)에 연결된 한 쌍의 Aggregation 스위치의 세트로 구성됩니다. 가상화 서버는 ToR 스위치에 연결합니다. 여기서 "End of Row"를 변형한 설정도 있습니다만, 기본적으로 L2 도메인을 잘 정의한 범위로 나누어 연결합니다. 이러한 설계는 각 노드를 기본적으로 중첩하는 것으로 심각한 부과 나무 구조(Tree Topology)를 만듭니다. 네트워크 성능은 "용량 관리" 과정을 거쳐 각 집합 스위치에 추가 링크/포트 등을 추가하여 관리합니다.대부분의 경우, 네트워크, 그들은 동일한 아키텍처 기반하고 있음에도 불구하고, 데이터 센터의 다른 부분에서 다르게 보입니다.
그림 2 : 기존의 데이터 센터 네트워크 가상화
그림 2의 네트워크 가상화는 이러한 기존 네트워크를 구현한 방법을 보여줍니다. 일반적으로 (전체 또는 선택한 VLAN을 전송) 이더넷 트렁크의 ToR 에서 연장된 각 가상화 서버로 전환됩니다. 서버에서 인스턴스화된 가상 머신은, 1 이상의 VLAN에 연결합니다. 그림과 같이 VLAN을 확장하며, 이것은 L2 도메인의 크기에 의해 제한됩니다.
대부분의 경우 단일 라우팅 공간은 L2/L3 스위치에서 지원됩니다. 모든 VLAN의 트래픽은 집계 스위치로 라우팅됩니다. 패킷 필터 ACL (액세스 제어 목록)도 일반적으로 각 VLAN 인터페이스의 포트 집합 스위치에 적용됩니다.
그림 3 : 레거시 데이터 센터 의 멀티 테넌트
중복된 주소 공간의 여러 테넌트를 지원하는 시나리오를 고려하면 VRF-Lite(Virtual Routing Forwading without MPLS) 나 MPLS같은 VRF를 사용해서 aggetation 계층에 각 테넌트를 위한 독립된 라우팅 공간을 설정합니다.
대부분의 경우, 이 방법은 각 테넌트에 전용 물리적 방화벽과 로드 밸런서 장비를 별도의 쌍이 필요합니다. 그림 3 에서와 같이 핵심 계층은 여러 L2 도메인에 걸쳐 확장하여 연결되기 위하여 MPLS ( LDP 등과 같은 제어 플레인 프로토콜과 함께)으로 활성화 할 필요가 있습니다.
그림 4 : 클라우드 데이터 센터에서 기본적인 네트워크 가상화
클라우드 데이터 센터의 많은 ToR 스위치에 L3( 라우팅 )을 사용하여 구축합니다. OSPF 또는 BGP와 같은 L3 라우팅 프로토콜을 쉽게 고밀도 맞물려 토폴로지 (CLOS)를 지원하고 여러 비용이 드는 흐름을 분산하여 대칭 IP 패브릭을 이용할 수 있기 때문에 이것은 주로 사용합니다. 여러 데이터 센터 사이에 걸쳐있을 수 있도록 IP 네트워크나 보편성을 설정합니다.
이러한 데이터 센터는 L2 도메인이 부족할수 있기 때문에 VLAN구조물는 적합하지 않습니다. 따라서 IP 네트워크에서 그것을 전달하는 IP 패킷으로 각 이더넷 프레임을 캡슐화 한 VXLAN ( 또는 NVGRE ) 등 의 캡슐화 메커니즘을 일부 사용합니다. 그림 4에서 각 색 점선은 비슷한 L2 네트워크를 나타냅니다. 각 가상 서버에서 실행된 소프트 스위치 ( 가상 스위치 )만 일반 L2입니다. L2 LAN을 제외하고 모든 트래픽은 가상 머신 (VM ) 으로 실행되는 소프트웨어 라우터로 전송됩니다. 경우 따라서 가상 스위치는 LAN간의 트래픽을 전환 능력을 부여하고 있지만, 게이트웨이는 일반적으로 가상 머신으로 실행되는 소프트웨어 라우터입니다.
이러한 설정에서 각 테넌트는 잠재적으로 게이트웨이 역할을 하는 소프트웨어 라우터 쌍을 가져옵니다. 그들은 용량과 필요에 따라 추가 라우터를 입수하거나, 패킷 필터링, NAT ( 네트워크 주소 변환 ) 등과 같은 정책 구현하여 라우팅합니다.
그림 5 : 고급 서버 기반 기능을 갖춘 멀티 테넌트 클라우드 데이터 센터
그러나 동작하는 복수의 소프트웨어 라우터의 복잡성을 해결 하는 데 도움이 되는 기술이 있습니다. 그림 5는 가상화 된 서버의 각 소프트웨어 스위치가 (비) 캡슐 스위칭 , 라우팅, 인라인 패킷을 실행 시킬 수 있는 방법을 보여줍니다. 따라서 각 가상 서버에 있는 커널 모듈을 직접 NAT를 실행하고 다중 VRF 라우터, 패킷 필터링 및 외부 액세스 합니다. 이러한 전개는 소프트웨어 라우터의 여러 인스턴스를 자연스럽게 사용하는 것이며, 운영 대상은 아닙니다.
그림 6 : 멀티 테넌트 클라우드 데이터 센터의 가상 서비스
그림 5에 설명된 기술을 활용한 deployment는 클라우드 데이터센터 안의 가상머신을 멀티 테넌트로 쉽게 추상화 할 수 있다. 각각의 테넌트는 네트워크간에 보안정책 안에서 여러 개의 가상 네트워크를 가질 수 있다. 이 테넌트는 또한 각 인스턴스 기반의 security group을 가지거나 가상 네트워크간에 필요하면 가상화된 서비스 인스턴스 (예, virtual firewall, virtual DDos 방어기 등등)를 추가할 수 있다.
일반적으로 이러한 데이터센터는 외부 퍼블릭 네트워크에 게이트웨이로 동작할 IP en(de)capsulation 및 MBGP(multi-protocol BGP)를 지원하는 표준 라우터가 필요하다. 따라서 이 접근법에서는 라우터 안의 ASIC의 극한의 전송 능력이 활용된다.
이 접근법의 또 다른 장점은 게이트웨이 라우터의 동일한 세트를 통해 서비스 제공자 L3VPN 인프라와 쉽게 통합된다는 것이다.
그림 7 : 멀티 테넌트 다중 데이터 센터 의 클라우드 네트워크
그림 7은 네트워크 가상화 기술이 어떻게 여러 데이터센터 너머로 쉽게 멀티 테넌트 클라우드 인프라를 구성하는지 보여준다. 일반적으로 다른 데이터센터를 서로 연결하는 하부의 구성요소(underlying fabric)은 IP다. IP encapsulation을 사용하는 클라우드 가상화 기술은 쉽게 여러 데이터센터간에 확장할 수 있다.
모든 데이터 센터는 외부 네트워크 또는 서비스 공급자 L3VPN 인프라에 액세스하기 위해 일반적인 라우터 게이트웨이를 사용할 수 있습니다.
결론
중요한 클라우드 서비스 제공 업체와 대형 엔터프라이즈 네트워크는 구식의 L2-L3 분리에 기반에서 네트워크 scaling에 인위적인 제약조건을 두지 않는 클라우드 네트워크 가상화 기술에 관심을 기울이고 있다. 그들은 멀티 데이터센터, scale-out 방식으로 대용량으로 운영되는 멀티 테넌트 L2-L3 지원하는 기술과 솔류션을 찾고있다. 그래서 이 기술은, 오픈소스화 된것뿐만 아니라 프로토콜 통신(interaction)에서도 공개 표준에 기반을 두어 명확하게 설명할 필요가 있습니다.
흥미롭게도, OpenContrail처럼 이기술들(그림 5,6, 7)은 이런 요구사항 중에서 많은 부분을 만족합니다. 벤더 / 공급자 / 기업은 그들의 세계적인 성공으로 이어질 전략적인 기술을 채용하고 있습니다.
댓글 없음:
댓글 쓰기