VMware NSX-T 디자인
VMware® NSX-T™는 이기종 엔드포인트와 기술 스택이 있는 애플리케이션 프레임워크와 아키텍처를 다루도록 설계되었습니다. VMware vSphere®외에도 이러한 환경에는 다른 하이퍼바이저, KVM, 컨테이너 및 베어메탈 서버가 포함될 수 있습니다. NSX-T는 소프트웨어 정의 네트워크와 보안 인프라를 vSphere 뿐만 아니라 다른 플랫폼에도 적용할 수 있도록 설계되었습니다. vSphere 없이 NSX-T 컴포넌트를 배치할 수 있으나 이 디자인은 vCenter Server vSphere 자동화 배치 내에서 주로 NSX-T 및 해당 통합에 중점을 둡니다.
버전 3부터 NSX-T는 버추얼 분산 스위치( vSphere, VDS) 버전 7.0 에서 실행할 수 있습니다. VMware, NSX, vSphere 의 모든 새로운 배포는 VDS에서 NSX-T를 사용하며, N-VDS는 더 이상 사용되지 않습니다. NSX-T 2.4부터 관리자 VM과 제어기 VM 기능이 결합됩니다. 결과적으로 세 개의 제어기 또는 관리자 VM이 배치됩니다. 동일한 서브넷에 있으면 내부 네트워크 로드 밸런서를 사용합니다. 다른 서브넷에 있는 경우 외부 로드 밸런서가 필요합니다.
NSX-T는 방화벽 정책, 방화벽 정책 내 게스트 인트로스펙션 포함, 고급 넷플로우 추적 등 많은 고급 기능을 제공합니다. 이러한 기능에 대한 설명은 이 문서에서 다루지 않습니다. 이 디자인에서 NSX-T 관리 인프라는 초기 vCenter Server® 클러스터 배치 중에 배치됩니다. NSX-T에 대한 자세한 내용은 VMware NSX 설명서를 참조하십시오.
NSX-T 대 NSX-V
VMware 의 경우 vSphere Network NSX(NSX-V)의 경우, NSX-V와 유사한 기능을 가진 다음 NSX-T 객체를 검토하십시오. vSphere 환경 내의 한계와 차이점에 대해서도 논의합니다.
다음 표는 NSX-T와 NSX-V 사이의 전형적인 대응 기능을 보여줍니다.
| NSX-V 또는 vSphere 원시 | NSX-T |
|---|---|
| NSX Transport Zone | 전송 구역(오버레이 또는 VLAN 지원) |
| **포트 그룹(vDS) ** | 세그먼트 또는 논리 스위치 |
| VXLAN(L2 캡슐화) | GENEVE(L2 캡슐화) |
| Edge Gateway | Tier-0 (T0) 게이트웨이[1] |
| Distributed Logical Router | Tier-1 (T1) 게이트웨이[2] |
| ESXi 서버 | 전송 노드(ESXi, KVM, 베어메탈 T0 게이트웨이) |
NSX-T를 사용하면 티어-0(T0) 게이트웨이와 티어-1(T1) 게이트웨이가 있습니다. 이전 섹션에서는 NSX-V 에지 서비스 게이트웨이(ESG)와 DLR(Distributed Logical Router)에 해당하는 것으로 표시되지만 정확히 그런 것은 아닙니다.
NSX-T의 경우, 두 개의 새로운 개념(분산 라우터(DR)와 서비스 라우터(SR))이 도입되었습니다.
| 라우터 유형 | 기능 |
|---|---|
| 분산 라우터 | 기본 패킷 전달을 제공하고 동적으로 분산된 라우팅 기능을 제공합니다. 모든 전송 노드 확장 ESXi에서는 커널 모듈로 실행됩니다. |
| 서비스 라우터 | 게이트웨이 서비스 제공 -NAT -로드 밸런서 -Gateway 방화벽 -남북 라우팅 -VPN -DNS 전달 -DHCP |
일부 핵심 NSX-T 개념은 NSX-V 기능에 해당하지 않습니다. NSX-T 디자인 구현을 이해할 수 있도록 다음 개념을 검토해야 합니다.
- 게이트웨이 클러스터는 NSX-T 가상 패브릭에 참여하는 하나 이상의 VM 또는 물리적 기계입니다. 이는 오버레이 네트워크 전송 구역 및 VLAN 지원 전송 구역에 대한 엔드포인트입니다. 게이트웨이 클러스터는 단일 T0 게이트웨이 인스턴스를 지원할 수 있습니다.
- T0 게이트웨이는 VM이 아닌 가상 라우터 인스턴스입니다. T0 의 여러 게이트웨이 인스턴스는 게이트웨이 클러스터 내에서 각각 고유한 라우팅 테이블과 기능을 가지고 실행될 수 있습니다. T0 라우터 인스턴스를 생성하기 전에 게이트웨이 클러스터가 존재해야 합니다.
- 전송 구역은 여러 플랫폼 및 다중 vSphere vCenter 인스턴스에서 엔드포인트를 확장할 수 있습니다. 교차 vCenter 연결 NSX가 필요하지 않습니다. 전송 구역은 특정 엔드포인트에서 제외될 수 있습니다.
- 업링크 장애 복구 순서는 "업링크 프로파일"로서 프로파일에 작성되고 VLAN 기반의 특정 논리 스위치에 적용됨에 따라 특정 논리 스위치와는 관계 없이 작성됩니다. 동일한 VLAN에 대해 서로 다른 장애 복구 순서 또는 실제 업링크의 로드 밸런싱이 필요할 수 있습니다. 따라서 특정 VLAN의 업링크 프로필에는 다른 페일오버 순서와 로드 밸런싱을 가진 "팀 구성"에 대한 여러 항목이 포함될 수 있습니다. 업링크 프로파일을 논리 스위치에 지정하는 경우 특정 팀 구성 프로파일이 선택됩니다.
- 관리자 VM과 제어기 VM 기능이 결합되어, 세 개의 NSX-T 관리자 VM이 배치됩니다. 동일한 서브넷에 있으면 내부 네트워크 로드 밸런서를 사용합니다. 다른 서브넷에 있는 경우 외부 로드 밸런서가 필요합니다.
리소스 요구사항
이 디자인에서는 NSX-T 제어기 Manager VM이 관리 클러스터에 배치됩니다. 또한 각 제어기 관리자에게 사설 포터블 주소 블록의 VLAN 지원 IP 주소가 지정됩니다. 어드레스 블록은 관리 컴포넌트들을 위해 지정되고, 섹션 0에서 논의되는 DNS 및 NTP 서버들로 구성됩니다. NSX Manager 설치에 대한 요약은 다음 표에 나와 있습니다.
| 속성 | 스펙 |
|---|---|
| NSX Manager 또는 Controller | 3개의 가상 어플라이언스 |
| vCPU 수 | 6 |
| 메모리 | 24GB |
| 디스크 | 300GB |
| 디스크 유형 | 씬 프로비저닝됨 |
| 네트워크 사설 A | 사설 A |
다음 그림에서는 이 아키텍처의 기타 컴포넌트와 연관된 NSX Manager의 배치를 보여줍니다.
배치 고려사항
NSX-T v3.x 를 vSphere VDS 스위치 버전 7.0 로 변경하면 ESXi 호스트에서 N-VDS가 더 이상 필요하지 않습니다. 전송 노드로 구성된 경우 통합 클러스터를 더 최적의 디자인으로 만들 수 있는 v7 VDS를 사용할 수 있습니다.
초기 배치 이후 IBM Cloud® 자동화는 관리 클러스터 내에 3개의 NSX-T Manager 가상 어플라이언스를 배치합니다. 제어기에는 관리 컴포넌트용으로 지정된 사설 A 포터블 서브넷의 VLAN 지원 IP 주소가 지정됩니다. 또한 VM–VM 반유사성(anti–affinity) 규칙은 제어기가 클러스터의 호스트 간에 분리되는 방식으로 작성됩니다.
Manager 또는 Controller에 대한 고가용성을 보장할 수 있도록 최소한 3개의 노드로 관리 클러스터를 배치해야 합니다. Manager 외에 IBM Cloud 자동화는 NSX-T 전송 노드로서 배치된 워크로드 클러스터를 준비합니다. 제어기에는 VLAN 및 서브넷 요약으로부터 파생되는 NSX IP 풀 범위로 지정된 사설 A 포터블 IP 주소 범위에서 VLAN 지원 IP 주소가 지정됩니다. 트래픽 노드는 태그가 없는 VLAN에 상주하며, 전용 NSX-T VDS에 할당됩니다.
선택하는 NSX-T 토폴로지에 따라, NSX-T 게이트웨이 클러스터를 한 쌍의 VM으로 배포하거나 베어 메탈 클러스터 노드에 소프트웨어로 배포할 수 있습니다. 베어메탈 에지는 IBM Cloud 자동화에서 지원되지 않으며 수동으로 배치하고 구성해야 합니다. 클러스터 쌍이 가상인지 아니면 실제인지에 따라 업링크는 IBM Cloud 사설 및 (있는 경우) 공용 네트워크를 위해 VDS 스위치로 구성됩니다.
다음 표에서는 프로덕션 워크로드의 권장 시작 크기인 중형 환경에 대한 요구사항을 요약합니다.
| 자원 | 관리자 x3 | 에지 서비스 클러스터 x4 |
|---|---|---|
| 중형 | 가상 어플라이언스 | 가상 어플라이언스 |
| vCPU 수 | 6 | 4 |
| 메모리 | 24GB | 8GB |
| 디스크 | 300GB vSAN 또는 관리 NFS | 200GB vSAN 또는 관리 NFS |
| 디스크 유형 | 씬 프로비저닝됨 | 씬 프로비저닝됨 |
| 네트워크 | 사설 A | 사설 A |
분배 스위치 디자인
디자인에서는 최소한의 vDS 스위치를 사용합니다. 관리 클러스터의 호스트는 사설 네트워크 및 공용 네트워크(선택사항)에 연결됩니다. 호스트는 2개의 분배 가상 스위치로 구성되어 있습니다. 2개 스위치의 사용은 공용 및 사설 네트워크를 분리하는 IBM Cloud 네트워크의 사례를 따릅니다. NSX 및 vSphere의 모든 새 배치에서는 통합된 NSX-T 아키텍처를 허용하는 vSphere VDS 스위치 버전 7.0 실행을 활용합니다.
이전 다이어그램에 표시된 대로 공용 vDS *instancename*-*clustername*-public은 공용 네트워크 연결용으로 구성되고 공용 vDS *instancename*-*clustername*-private는 사설 네트워크 연결용으로 구성됩니다. 경합과 대기 시간을 줄이고 보안을 강화하기 위해 서로 다른 유형의 트래픽을 분리해야 합니다.
VLAN은 실제 네트워크 기능을 세그먼트화하는 데 사용됩니다. 이 디자인에서는 3개의 VLAN(사설 네트워크 트래픽용으로 2개와 공용 네트워크 트래픽용으로 1개)을 사용합니다. 다음 표에서는 트래픽 분리를 보여줍니다.
| VLAN | 대상 | 트래픽 유형 |
|---|---|---|
| VLAN 1 | 사설 A | ESXi 관리, 관리, Geneve(TEP), 에지 업링크 |
| VLAN 2 | 사설 B | vSAN, NFS 및 vMotion |
| VLAN 3 | 공용 | 인터넷 액세스를 위해 사용 가능 |
선택적 두 호스트 게이트웨이 클러스터의 경우 이 디자인에서는 2개의 VLAN(사설 네트워크 트래픽용으로 1개와 공용 네트워크 트래픽용으로 1개)을 사용합니다. 이 클러스터 유형은 로컬 디스크를 데이터 저장소로 사용합니다. 따라서 별도의 스토리지 트래픽이 필요하지 않습니다. 또한 설계에 따라 NSX-T Geneve(TEP) 트래픽은 제외될 수 있습니다. 다음 표에서는 이 클러스터 유형의 VLAN 간 트래픽 분리를 보여줍니다.
| VLAN | 대상 | 트래픽 유형 |
|---|---|---|
| VLAN 1 | 프라이빗 전송 | 사설 전송 VLAN, ESXi 관리 및 vMotion |
| VLAN 2 | 퍼블릭 전송 | 공용 전송 VLAN |
이름 지정 규칙
다음 이름 지정 규칙은 배치에 사용됩니다. 가독성을 위해 특정 이름 지정만 사용됩니다. 예를 들어, instancename-dcname-clustername-tz-edge-private를 tz-edge-private라고 합니다.
| 설명 | 이름 지정 표준 |
|---|---|
| 관리 VM | instancename-nsxt-ctrlmgr0instancename-nsxt-ctrlmgr1instancename-nsxt-ctrlmgr2 |
| 업링크 프로파일 | instancename-esxi-private-profileinstancename-esxi-public-profileinstancename-edge-private-profileinstancename-edge-public-profileinstancename-edge-tep-profileinstancename-mgmt-edge-private-profileinstancename-mgmt-edge-public-profileinstancename-mgmt-edge-tep-profile |
| NIOC 프로파일 | instancename-clustername-nioc-private-profileinstancename-clustername-nioc-public-profile |
| 게이트웨이 클러스터 프로필 | instancename-dcname-clustername-service-edge-cluster-profileinstancename-dcname-clustername-service-edge-cluster-profile |
| 전송 구역 | instancename-tz-esxi-privateinstancename-tz-esxi-publicinstancename-tz-vm-overlayinstancename-tz-edge-privateinstancename-tz-edge-public |
| 세그먼트 | instancename-podname.dcname-customer-t0-172-16-16-0instancename-podname.dcname-customer-t1-192-168-0-0instancename-podname.dcname-customer-t1-192-168-1-0instancename-podname.dcname-customer-to-privateinstancename-podname.dcname-customer-to-publicinstancename-podname.dcname-service-to-privateinstancename-podname.dcname-service-to-publicinstancename-clustername-edge-teps |
| IP 주소 풀 | instancename-clustername-tep-pool |
| 전송 노드 프로파일 | instancename-podname.dcname-clustername-esxi-tpn-profile |
| 티어 0 및 티어 1 게이트웨이 | instancename-podname.dcname-clustername-T0-function (여기에서 function은(는) services, workload, openshift을(를) 포함합니다.)instancename-podname.dcname-clustername-T1-function |
전송 노드
전송 노드는 가상 네트워크 패브릭에 참여하는 실제 서버 오브젝트 또는 VM을 정의합니다. 디자인을 이해하려면 다음 표를 검토하십시오.
| 전송 노드 유형 | 업링크 프로파일 | IP 지정 |
|---|---|---|
| ESXi | esxi-private-profileesxi-public-profile |
tep-pool |
| Gateway 클러스터 | edge-private-profileedge-public-profileedge-tep-profilemgmt-edge-private-profilemgmt-edge-public-profilemgmt-edge-tep-profile |
tep-pool |
업링크 프로파일 및 팀 구성
업링크 프로파일은 하이퍼바이저 호스트에서 NSX-T 논리 스위치까지 또는 NSX 에지 노드에서 ToR(Top of Rack) 스위치까지의 링크에 대한 정책을 정의합니다.
| 업링크 프로파일 이름 | VLAN | 팀 구성 정책 | 활성 업링크 | 대기 링크 | 최대 전송 단위 |
|---|---|---|---|---|---|
esxi-private-profile |
기본값 | 기본값 - Loadbalance 소스 | uplink-1 uplink-2 |
vCenter 서버에서 관리 | |
esxi-private-profile |
기본값 | TEP - 장애 복구 순서 | uplink-1 | uplink-2 | vCenter 서버에서 관리 |
esxi-public-profile |
기본값 | 기본값 - Loadbalance 소스 | uplink-1 uplink-2 |
vCenter 서버에서 관리 | |
edge-private-profile |
기본값 | uplink-1 | 9000 | ||
edge-public-profile |
기본값 | uplink-1 | 1500 | ||
edge-tep-profile |
기본값 | 장애 복구 순서 | uplink-1 | 9000 | |
mgmt-edge-private-profile |
기본값 | uplink-1 | 9000 | ||
mgmt-edge-public-profile |
기본값 | uplink-1 | 1500 | ||
mgmt-edge-tep-profile |
기본값 | 장애 복구 순서 | uplink-1 | 9000 |
VNI 풀
VNI(Virtual Network Identifiers)는 실제 네트워크에 대한 VLAN과 유사합니다. 이는 논리 스위치가 풀 또는 ID 범위에서 작성될 때 자동으로 작성됩니다. 이 디자인은 NSX-T로 배치되는 기본 VNI 풀을 사용합니다.
세그먼트
NSX-T 세그먼트는 기본 하드웨어에서 분리되는 가상 환경에서 기능, 브로드캐스트, 알 수 없는 유니캐스트, 멀티캐스트(BUM) 트래픽 전환을 재현합니다.
| 세그먼트 이름 | VLAN | 전송 구역 | 업링크 팀 구성 정책 |
|---|---|---|---|
edge-teps |
기본값 | tz-esxi-private |
TEP - 장애 복구 순서 |
service-to-private |
기본값 | tz-edge-private |
|
service-to-public |
기본값 | tz-edge-public |
|
customer-to-private |
기본값 | tz-edge-private |
|
customer-to-public |
기본값 | tz-edge-public |
|
customer-t0-172-16-16-0 |
tz-vm-overlay |
||
customer-t1-192-168-0-0 |
tz-vm-overlay |
||
customer-t1-192-168-1-0 |
tz-vm-overlay |
Gateway 클러스터
이 디자인에서는 두 개의 가상 에지 노드 클러스터가 프로비저닝됩니다. 하나는 관리용이고 다른 하나는 고객 워크로드용입니다. 에지 전송 노드당 하나의 T0로 제한됩니다. 즉, 단일 에지 노드 클러스터에서 1개의 T0 게이트웨이(활성-대기 또는 활성-활성)를 지원할 수 있습니다.
다음 그림은 NSX-T 게이트웨이 클러스터의 기능적 구성 요소를 보여줍니다.
{: caption="토폴로지고객 게이트웨이 클러스터의 토폴로지고객 게이트웨이 클러스터의 " caption-side="bottom"}
티어 0 논리 게이트웨이
NSX-T 티어-0 논리 게이트웨이는 논리 네트워크와 실제 네트워크 간의 게이트웨이 서비스를 제공합니다(북쪽-남쪽 트래픽의 경우 ). 이 설계에서는 가용성이 높은 두 개의 T0 게이트웨이가 두 개의 개별 NSX-T 게이트웨이 클러스터에 배치되는데, 하나는 고객용이고 다른 하나는 서비스 또는 관리용입니다. 고객이 선택한 토폴로지에 따라 더 많은 서비스와 제품이 선택 사항이 되며, 인바운드 또는 아웃바운드 연결 요구에 따라 T0 서비스를 사용합니다. 각 T0 논리 게이트웨이는 사설용 업링크 두 개와 공용용 업링크 두 개로 구성됩니다. 추가적으로 VIP는 공용 및 사설 업링크 둘 다에 지정됩니다.
티어 1 논리 게이트웨이
NSX-T 티어 1 논리 게이트웨이에는 NSX-T 데이터 센터 논리 스위치에 연결할 다운링크 포트와 NSX-T 데이터 센터 티어 0 논리 게이트웨이에 연결할 업링크 포트만 있습니다. 이것들은 설정된 하이퍼바이저의 커널 수준에서 실행되며, NSX-T 게이트웨이 클러스터의 가상 라우터 인스턴스(VRF)입니다. 이 디자인에서는 고객이 선택한 토폴로지의 필요에 따라 하나 이상의 T1 논리 게이트웨이를 만들 수 있습니다.
티어 1 대 티어 0의 라우트 알림
다른 티어 1 논리 게이트웨이에 연결되는 논리 스위치에 연결된 VM 간의 티어 3 연결을 제공하려면 티어 0에 대한 티어 1 라우트 알림을 사용으로 설정해야 합니다. 티어 1 및 티어 0 논리 라우터 간의 라우팅 프로토콜 또는 정적 라우트를 구성할 필요가 없습니다. NSX-T는 라우트 알림을 사용으로 설정할 때 정적 라우트를 자동으로 작성합니다. 이 디자인의 경우, 라우트 알림은 IBM Cloud® for VMware Solutions 자동화에 의해 작성된 T1 게이트웨이에 대해 항상 사용으로 설정됩니다.
사전 구성된 토폴로지
T1 에서 T0 게이트웨이 작업량 – 가상 게이트웨이 클러스터
토폴로지 1은 기본적으로 NSX-V DLR 및 에지 게이트웨이로 배치된 동일한 토폴로지입니다. NSX-T를 사용하면 T1과 T0 간의 동적 라우팅 프로토콜 구성이 없습니다. RFC-1891 IP 주소 공간은 워크로드 오버레이 네트워크와 전송 오버레이 네트워크에 사용됩니다. 고객 사설 및 공용 포터블 IP 공간은 고객 사용을 위해 지정됩니다. 고객이 지정한 IBM Cloud 사설 및 공용 포터블 IP 공간은 고객 사용을 위해 T0에 지정됩니다.
-
T0 의 게이트웨이는 ESG와 유사합니다. 물리적 네트워크와 논리적 네트워크 간에 북쪽-남쪽 연결을 제공하며 동적 라우팅(BGP), ECMP 및 stateful 서비스(예: 방화벽, NAT 및 로드 밸런싱)를 지원합니다. 동쪽-서쪽 라우팅의 분산 서비스도 제공합니다. ↩︎
-
T1 게이트웨이는 T0 게이트웨이와 비슷하지만, 일반적으로 물리적 네트워크에 연결하기 위한 업링크를 포함하지 않습니다. 업링크는 T0 게이트웨이를 사용하여 자동 연결(plumb) 오버레이 세그먼트에 연결합니다. T1에서는 정적 라우트, NAT, 로드 밸런싱 및 IPSec VPN을 지원합니다. ↩︎