가상 환경과 관련하여 VMware vSphere 네트워킹은 아마도 가장 중요한 구성 요소 중 하나일 것입니다.
ESXi 호스트와 가상 시스템은 어떻게 통신합니까?
가상 네트워킹은 다른 모든 것이 작동하는 방식의 핵심이므로 ESXi 네트워킹이 작동하는 방식을 잘 이해해야 합니다.
1. ESXi 네트워크 분석
ESXi 호스트 및 해당 네트워크 통신과 관련하여 가장 먼저 이해해야 할 사항은 다음과 같은 몇 가지 통신 방법입니다.
- 상호 커뮤니케이션(vMotion 생각)
- vCenter와 통신(HA 생각)
- 스토리지 어레이 또는 Active Directory와 같이 의존하는 외부 리소스와 통신
- 상주 VM이 의존할 수 있는 다른 VM 및 외부 리소스와 통신하도록 허용
따라서 VMware vSphere의 여러 가지 ESXi 네트워킹 구성 요소를 우리 환경에서 구성해야 했습니다.
- ESXi 호스트의 가상 스위치
- 가상 스위치의 포트 그룹
이러한 각 범주에는 고려해야 할 사항이 많이 있습니다.
2. ESXi 호스트의 가상 스위치
ESXi 호스트의 가상 스위치는 이전에 보았던 다른 스위치와 마찬가지로 네트워크 계층과 관련하여 ESXi의 가상 스위치는 ESXi 호스트에 대한 연결, 이중화 및 로드 밸런싱을 제공하는 방법입니다.
스위치에는 두 가지 유형이 있지만 여러 다른 이름으로 들을 수 있습니다.
- vSphere 표준 스위치
- vSphere Distributed Switch(vSphere Enterprise Plus 라이센스 필요)
각 가상 스위치와 해당 특성을 살펴보겠습니다.
3. vSphere 표준 스위치/표준 vSwitch/vSwitch
vSwitch라고도 하는 기본 가상 스위치입니다. VMware vSphere에서 사용할 수 있는 첫 번째 유형의 스위치였으며 vSphere Distributed Switch보다 관리하기가 더 어렵지만 표준 vSwitch를 사용하는 데 아무런 문제가 없습니다.
표준 vSwitch는 ESXi 호스트에 상주하며 각 호스트에서 개별적으로 구성해야 합니다. PowerCLI 또는 호스트 프로파일 사용과 같이 이 프로세스를 단순화하는 여러 가지 방법이 있습니다.
네트워크 스위치는 ESXi 호스트의 NIC에 연결되고 ESXi 호스트의 NIC는 ESXi의 가상 스위치에 연결됩니다. 그게 다야!
ESXi 호스트의 NIC에 대해 이야기할 때 ESXi에서 vmnics라고 부르기 때문에 이를 vmnics라고 합니다. vmincs는 항상 0에서 시작하므로 첫 번째 물리적 NIC 포트는 vmnic0에 해당합니다.
가상 네트워크를 설계한 방법에 따라 ESXi 호스트에 여러 vSwitch가 있을 수 있습니다.
4. vSphere 분산 스위치/분산 가상 스위치/dvSwitch
물리적 측면에서는 표준 vSwitch와 분산 vSwitch 사이에 큰 차이가 없습니다. 우리는 여전히 ESXi 호스트의 NIC를 네트워크 스위치에 중복 연결하며, 변경 사항은 가상화 계층과 VMware vSphere 자체 내의 스위치입니다.
다음은 분산 가상 스위치의 그림입니다.
보시다시피 스위치 구성 자체는 ESXi 호스트가 아닌 vCenter 서버에 있습니다. 물론 vCenter에 문제가 발생하면 문제가 될 수 있습니다.
각 호스트의 밝은 파란색 스위치에서 볼 수 있듯이 각 ESXi 호스트에는 분산 가상 스위치 구성의 복사본이 있으므로 vCenter에 문제가 발생해도 가상 머신은 영향을 받지 않습니다.
Distributed Virtual Switch가 vSphere 4에서 처음 나왔을 때 우리가 작업을 수행하는 방식에 급격한 변화가 있었기 때문에 모두를 놀라게 했던 것을 기억합니다. 이제 vSphere Distributed Switch를 다시 분석해 보겠습니다.
각 vmnic는 Distributed Virtual Switch의 해당 dvUplink 포트에 연결됩니다. 그런 다음 분산 가상 스위치는 vCenter 서버를 통해 관리됩니다. 여기서 중요한 부분은 Distributed Virtual Switch 구성이 모든 ESXi 호스트에서 동일하도록 설계되었다는 것입니다.
표준 vSwitch와 마찬가지로 분산 vSwitch는 vSphere Client, PowerCLI 또는 호스트 프로파일을 사용하여 관리할 수 있습니다. 여기서 차이점은 ESXi 호스트의 단일 가상 스위치 대신 vCenter 서버에 단일 분산 가상 스위치를 구성한다는 것입니다.
5. 내 환경에 적합한 VMware 가상 스위치는 무엇입니까?
이것은 좋은 질문입니다. 불행히도 단일 답변은 없습니다. 표준 가상 스위치 또는 분산 가상 스위치 사용에 대한 선택은 환경의 고유한 요구 사항에 따라 달라집니다.
선택할 때 요구 사항을 충족할 항목을 결정할 때 인프라 설계 품질을 염두에 두는 것이 중요합니다. 그들은:
- 유효성
- 관리 용이성
- 성능
- 복구 가능성
- 안전
프로젝트에 대한 중요도에 따라 이러한 자질의 순위를 매기는 것도 도움이 될 수 있습니다.
프로덕션 준비가 된 VMware vSphere 환경을 선언하기 전에 VMware vSphere 네트워크 구성을 광범위하게 테스트해야 합니다.
vSphere Distributed Switch에는 VMware Enterprise Plus 라이센스가 필요합니다.
6. VMware의 NIC 팀 구성 정책
VMware 네트워킹의 또 다른 중요한 구성 요소는 NIC 팀 구성입니다. NIC 팀 구성은 로드 밸런싱을 용이하게 하고 구성 요소 장애로부터 보호하는 방식으로 가상 스위치를 설정하고 있습니다.
예를 들어 스위치에 두 개의 물리적 NIC가 연결되어 있는 경우 이상적으로는 두 물리적 NIC를 통해 트래픽이 흐르고 NIC 중 하나 또는 업스트림 스위치에 장애가 발생해도 스위치가 계속 작동하도록 하고 싶습니다.
VMware vSphere 네트워킹에서 이를 달성하는 방법에는 여러 가지가 있습니다.
이제 스위치를 구성했다고 가정하고 다음 단계로 이동합니다.
7. 가상 스위치에서 포트 그룹 구성
가상 스위치에 연결할 때 포트 그룹이라는 항목에 연결합니다. 이름에서 알 수 있듯이 포트 그룹은 가상 스위치의 가상 포트 그룹입니다.
여러 유형의 포트 그룹이 있습니다.
- 가상 머신 포트 그룹
- VMkernel 포트 그룹
가상 머신 포트 그룹은 가상 머신을 연결하는 방법입니다. 예를 들어 단일 VLAN, 다중 VLAN(VLAN 트렁킹) 또는 분산 가상 스위치의 경우 사설 VLAN이 있는 포트 그룹이 있을 수 있습니다.
VMkernel 포트 그룹의 경우 다음과 같이 질문할 수 있습니다.
8. VMkernel 포트란 무엇입니까?
좋은 질문! VMkernel 포트는 VMware vSphere에서 비가상 머신 트래픽에 사용되며 네트워킹을 구성하는 동안 찍은 스크린샷에서 볼 수 있듯이 다양한 유형의 VMkernel 포트가 있습니다.
최소한 각 ESXi 호스트에는 호스트 관리를 위한 하나의 VMkernel 포트가 있습니다. vSphere 클러스터의 구성원인 경우 vMotion용 VMkernel 포트도 있습니다. 클러스터가 vSAN 클러스터인 경우 vSAN용 VMkernel 포트가 있습니다.
해당 기능을 활용하는 경우 iSCSI, NFS 또는 FCoE와 같은 IP 기반 스토리지용 VMkernel 포트와 내결함성을 위한 VMkernel 포트도 있습니다.
가상 머신 포트 그룹과 VMkernel 포트 그룹의 가장 큰 차이점은 전달하는 트래픽 유형입니다. VMkernel 포트는 VMware vSphere 특정 트래픽을 전달하고 가상 머신 포트 그룹은 다양한 가상 머신 트래픽을 전달합니다.
공식 vSphere 네트워킹 설명서에서 VMkernel 시스템 트래픽 유형에 대한 자세한 내용을 읽을 수 있습니다.
각 VMkernel 포트에는 고유한 IP 주소가 있으며 VMkernel 포트에서 기본 MTU인 1500을 변경할 수도 있습니다.
9. VMware vSwitch 보안 설정
이제 vSphere 네트워킹의 기본 사항을 대부분 다루었으므로 VMware 스위치 구성과 관련된 몇 가지 영역에 대해 좀 더 자세히 살펴보겠습니다. VMware vSwitch 보안 설정은 종종 잘못 이해됩니다.
이러한 각 보안 설정에는 거부 또는 수락의 두 가지 옵션이 있습니다.
기본적으로 이러한 보안 설정은 방금 생성한 이 분산 가상 스위치 포트 그룹에서 거부하도록 설정되어 있으므로 각 설정이 실제로 무엇을 의미하는지 살펴보겠습니다.
9.1, 무차별 모드 VMware 보안 정책
그것은 그것이 의미하는 바를 거의 정확하게 들립니다. 무차별 모드가 수락으로 설정된 경우 가상 머신의 NIC는 해당 포트 그룹의 활성 VLAN으로 전송된 모든 프레임을 수락합니다.
안전하지는 않지만 사용 사례가 있습니다. 침입 탐지 시스템과 같이 모든 패킷을 검사해야 하는 가상 머신을 실행 중인 경우 이 옵션을 수락으로 설정할 수 있습니다.
기본적으로 거부로 설정되어 있으며 그 상태를 유지해야 합니다.
9.2 MAC 주소 변경 VMware 보안 정책
MAC 주소 변경은 가상 머신에 대한 인바운드 트래픽을 확인합니다.
가상 머신의 네트워크 인터페이스에는 여러 가지 MAC 주소가 있습니다.
먼저 가상 머신의 VMX 파일에 지정된 MAC 주소가 있습니다. 가상 머신에 물리적 NIC 카드가 있는 것처럼 생각하면 됩니다. 이는 제조업체에서 지정한 NIC 카드의 MAC 주소입니다.
어떤 이유로 변경해야 하는 경우가 아니면 VMX 파일의 MAC 주소와 동일한 가상 머신에 지정된 MAC 주소도 있습니다.
가상 머신의 속성에서 MAC 주소를 변경할 수 있습니다. 과거에는 소프트웨어 라이센스가 MAC 주소에 연결되어 있기 때문에 가상 머신의 MAC 주소가 P2V 이후 물리적 머신의 MAC 주소와 동일하도록 변경했습니다.
일부 유효한 사용 사례에서는 이러한 MAC 주소가 다를 수 있으며 허용하도록 MAC 주소 변경을 설정해야 합니다.
그렇지 않으면 악의적인 행위자가 스푸핑된 MAC 주소를 사용하여 환경을 혼란에 빠뜨릴 수 있으므로 거부로 설정해야 합니다.
9.3 위조 전송 VMware 보안 정책
위조 전송은 또한 가상 머신의 MAC 주소를 살펴보지만 나가는 트래픽을 처리합니다.
두 MAC 주소가 일치하지 않으면 MAC 주소 변경과 유사하게 프레임이 삭제됩니다.
다시 말하지만, 중첩된 ESXi와 같이 가짜 전송을 허용하도록 설정하는 유효한 사용 사례가 있습니다. 이 경우 모든 종류의 미친 패킷을 보낼 것입니다!
위조 전송과 MAC 주소 변경은 밀접한 관련이 있습니다.
10. VMware의 사설 VLAN
포트 그룹에 대해 이야기할 때 사설 VLAN에 대해서도 이야기합니다.
사설 VLAN은 VLAN 수준에서 트래픽을 격리하는 것보다 더 세분화된 접근 방식이므로 보안 논의를 시작한 후 언급했습니다.
사설 VLAN은 분산 가상 스위치 전용 이며 ESXi 호스트가 연결된 물리적 스위치도 사설 VLAN을 지원해야 합니다.
PVLAN을 사용할 때 사용하는 VLAN은 여러 가지 방식으로 분류됩니다.
- 무차별적인 기본 PVLAN.
- 보조 PVLAN에는 커뮤니티와 격리의 두 가지 유형이 있습니다.
아래 그림을 보면 기본 PVLAN은 녹색이고 보조 PVLAN은 파란색입니다.
격리된 PVLAN의 가상 머신 포트는 기본 PVLAN의 무차별 포트와만 통신할 수 있으며 가상 머신 포트는 격리된 PVLAN의 다른 포트와 통신할 수 없습니다.
커뮤니티 PVLAN의 가상 머신 포트와 기본 PVLAN의 무차별 포트는 서로 통신할 수 있습니다.
11. VMware vSwitch 보안 요약
가상 스위치에 대한 보안 정책 설정에 관해서는 특정 사용 사례가 없는 한 거부로 설정 하는 것이 가장 좋으며 무차별 모드를 설정하거나 MAC 주소를 변경하거나 전송을 위조하여 허용해야 하는 경우, 그에 따라 보안 설정을 수정하십시오.
사설 VLAN은 가상 네트워크 환경에서 트래픽 분할을 제공하는 또 다른 방법입니다. 예상대로 작동하도록 보조 PVLAN 유형에 특별한 주의를 기울이는 것이 중요합니다.
좋은 소식은 VMware vSphere 네트워킹 설명서에 자세히 설명된 대로 문제 해결을 위해 PVLAN 설정을 쉽게 변경할 수 있다는 것입니다.
12. VMware vSphere 네트워크에 대한 기본 지식
VMware 관리자, 네트워크 관리자, IT 보안 분석가 및 VMware vSphere 환경에 대한 노출이 필요한 거의 모든 사람에게 VMware vSphere 네트워킹 기본 사항을 이해하는 것이 중요하며 많은 기존 네트워킹 개념이 VMware vSphere에 적용되지만 가상화에 대한 친숙도는 변형이 매우 중요합니다.