Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

Nutanix를 통한 vSRX 가상 방화벽 구축 이해

Nutanix 플랫폼 개요

Nutanix 가상 컴퓨팅 플랫폼은 가상 머신(VM)을 호스팅하고 저장하도록 맞춤 설계된 통합 스케일아웃 컴퓨팅 및 스토리지 시스템입니다.

Nutanix 클러스터의 모든 노드가 융합되어 계층화된 스토리지의 통합 풀을 제공하고 원활한 액세스를 위해 VM에 리소스를 제공합니다. 글로벌 데이터 시스템 아키텍처는 각 새로운 노드를 클러스터에 통합하여 인프라의 요구 사항을 충족하도록 솔루션을 확장할 수 있도록 지원합니다. Nutanix는 VMware vSphere(ESXi), Microsoft HyperV, Citrix XenServer 및 Nutanix Acropolis 하이퍼바이저(AHV)(KVM 기반)를 지원합니다.

클러스터의 기본 유닛은 Nutanix 노드입니다. 클러스터의 각 노드는 표준 하이퍼바이저를 실행하고 프로세서, 메모리 및 로컬 스토리지(SSD 및 하드 디스크)를 포함합니다.

Nutanix 클러스터에는 분산 아키텍처가 있습니다. 즉, 클러스터의 각 노드는 클러스터 리소스 및 책임 관리에서 공유됩니다. 각 노드에는 클러스터 작업 중에 특정 작업을 수행하는 소프트웨어 구성 요소가 있습니다. 모든 구성 요소는 클러스터의 여러 노드에서 실행되며 구성 요소를 실행하는 피어 간의 연결에 따라 다릅니다. 대부분의 구성 요소도 정보를 위해 다른 구성 요소에 의존합니다.

Nutanix Controller VM은 각 노드에서 실행되므로 클러스터의 모든 노드에서 로컬 스토리지를 풀링할 수 있습니다.

Guest VM 데이터 관리

VM 데이터는 로컬에 저장되며 하드웨어 장애를 보호하기 위해 다른 노드에 복제됩니다.

게스트 VM이 하이퍼바이저를 통해 쓰기 요청을 제출하면 호스트의 컨트롤러 VM으로 해당 요청이 전송됩니다. 게스트 VM에 대한 신속한 응답을 제공하기 위해 이 데이터는 먼저 스토리지의 하위 집합 내의 메타데이터 드라이브에 저장됩니다. 이 캐시는 10기가비트 이더넷 GbE 네트워크 전반에 걸쳐 클러스터의 다른 메타데이터 드라이브로 빠르게 배포됩니다. Oplog 데이터는 주기적으로 클러스터 내의 영구 스토리지로 전송됩니다. 데이터는 성능을 위해 로컬로 작성되며 고가용성을 위해 여러 노드에 복제됩니다.

게스트 VM이 하이퍼바이저를 통해 읽기 요청을 전송하면 컨트롤러 VM은 로컬 카피(있는 경우)에서 먼저 읽습니다. 호스트에 로컬 복사본이 포함되어 있지 않은 경우 컨트롤러 VM은 복사본을 포함하는 호스트에서 네트워크 전반에 걸쳐 읽습니다. 원격 데이터에 액세스하면 현재 호스트의 스토리지 디바이스로 마이그레이션되어 향후 읽기 요청이 로컬이 될 수 있습니다.

Guest VM 데이터 관리에는 다음과 같은 기능이 포함됩니다.

  • MapReduce tiering—Nutanix 클러스터는 액세스 빈도에 따라 데이터를 동적으로 관리합니다. 새 데이터는 SSD 티어에 저장됩니다. 자주 액세스하는 데이터는 SSD 계층에 유지되며 오래된 데이터는 HDD 티어로 마이그레이션됩니다.

    자동화된 데이터 마이그레이션은 네트워크 전반의 읽기 요청에도 적용됩니다. 게스트 VM이 원격 호스트의 데이터 블록에 반복적으로 액세스하면 로컬 컨트롤러 VM은 해당 데이터를 로컬 호스트의 SSD 계층으로 마이그레이션합니다. 이러한 마이그레이션은 네트워크 지연 시간을 줄일 뿐만 아니라 자주 액세스하는 데이터가 가장 빠른 스토리지 계층에 저장되도록 보장합니다.

  • Live migration—VM이 수동으로 시작하든 vSphere DRS와 같은 자동 프로세스를 통해 시작하든 관계없이 Nutanix 가상 컴퓨팅 플랫폼에서 완전히 지원됩니다. 클러스터 내의 모든 호스트는 컨트롤러 VM을 통해 공유 Nutanix 데이터스토어에 대한 가시성을 제공합니다. Guest VM 데이터는 로컬로 작성되며 고가용성을 위해 다른 노드에도 복제됩니다.

    VM이 다른 호스트로 마이그레이션되면 데이터가 존재하는 경우 향후 읽기 요청이 해당 데이터의 로컬 복사본으로 전송됩니다. 그렇지 않으면 요청이 네트워크 전반에 걸쳐 요청된 데이터를 포함하는 호스트로 전송됩니다. 원격 데이터에 액세스하면 원격 데이터가 현재 호스트의 스토리지 디바이스로 마이그레이션되어 향후 읽기 요청이 로컬이 됩니다.

  • High availability (HA)—Nutanix 클러스터에 내장된 데이터 이중화는 하이퍼바이저에서 제공하는 고가용성을 지원합니다. 노드가 실패하면 고가용성으로 보호되는 모든 VM을 클러스터의 다른 노드에서 자동으로 다시 시작할 수 있습니다. vCenter와 같은 하이퍼바이저 관리 시스템은 VM 데이터의 복사본을 포함하거나 포함하지 않을 수 있는 VM에 대한 새 호스트를 선택합니다.

  • Virtualization management VM high availability-가상화 관리 VM 고가용성에서 노드를 사용할 수 없게 되면 해당 노드에서 실행되는 VM이 동일한 클러스터의 다른 노드에서 다시 시작됩니다.

    일반적으로 엔터티 실패는 네트워크로부터의 격리(하트비트에 대응하지 못함)로 감지됩니다. 가상화 관리는 페일오버 중에 어느 지점에서나 VM의 하나 이상의 인스턴스가 실행되도록 보장합니다. 이 속성은 손상으로 이어질 수 있는 동시 네트워크 및 스토리지 I/O를 방지합니다.

    가상화 관리 VM 고가용성은 승인 제어를 구현하여 노드 실패 시 나머지 클러스터가 다른 VM을 수용할 수 있는 충분한 리소스를 갖추도록 지원합니다.

  • Datapath redundancy— Nutanix 클러스터는 하이퍼바이저 호스트와 게스트 VM 데이터 사이에 최적의 경로를 자동으로 선택합니다. 컨트롤러 VM은 여러 개의 중복 경로를 사용할 수 있어 클러스터가 장애에 보다 탄력적일 수 있습니다.

    사용 가능한 경우, 최적의 경로는 로컬 컨트롤러 VM을 통해 로컬 스토리지 디바이스로 가는 것입니다. 게스트 VM이 최근에 다른 호스트로 마이그레이션된 경우와 같이 로컬 스토리지에서 데이터를 사용할 수 없는 경우도 있습니다. 이러한 경우 컨트롤러 VM은 네트워크 전반의 읽기 요청을 해당 호스트의 Controller VM을 통해 다른 호스트에 저장하도록 지시합니다.

    로컬 컨트롤러 VM을 사용할 수 없는 경우에도 Datapath 이중화가 응답합니다. 스토리지 경로를 유지하려면 클러스터가 호스트를 다른 컨트롤러 VM으로 자동으로 리디렉션합니다. 로컬 컨트롤러 VM이 다시 온라인으로 돌아오면 데이터 경로가 이 VM으로 반환됩니다.

Nutanix를 통한 vSRX 가상 방화벽 구축 개요

이 주제에서는 Nutanix Enterprise Cloud에서의 vSRX 가상 방화벽 구축에 대한 개요를 제공합니다.

vSRX 가상 방화벽 물리적 주니퍼 네트웍스 SRX 시리즈 방화벽과 동일한 기능을 갖춘 고급 보안을 가상화된 폼 팩터에서 제공합니다. 처리 속도는 최대 100Gbps이며 업계에서 가장 빠른 가상 방화벽입니다. Nutanix의 vSRX 가상 방화벽 다음과 같은 성과를 제공합니다.

  • 모든 가상 워크로드에 대해 고성능과 예측 가능한 확장이 가능한 단일 플랫폼입니다.

  • 스케일아웃 가상 데이터센터를 위한 고성능 네트워킹 및 보안.

  • 멀티 하이퍼바이저 지원(하이퍼-V, ESXi, Acropolis 하이퍼바이저)을 통한 유연성과 적절한 컴퓨팅 및 스토리지 리소스 조합을 위한 완전한 어플라이언스 포트폴리오를 제공합니다.

  • VM 중심 백업 및 통합 재해 복구를 통해 계속 실행되고 보호되는 VM입니다.

  • 간소화된 관리를 위한 자동화 기능을 갖춘 혁신적인 Virtual Chassis Fabric 아키텍처.

전통적인 네트워크 환경에서는 수작업, 경직성, 정적 연결 및 보안 구현이 가능합니다. 그러나 애플리케이션 요구 사항이 매우 동적인 멀티클라우드 시대에는 네트워크 보안이 컴퓨팅과 스토리지를 위한 민첩하고 확장 가능한 파트너가 되어야 합니다.

엔터프라이즈 멀티클라우드는 일반적으로 Nutanix Enterprise Cloud와 같은 경계 보안 솔루션을 사용하여 HCI로 들어오고 나가는 North-South 트래픽에 포함된 위협을 차단합니다. 효과적인 이 솔루션은 데이터센터 내에서 애플리케이션과 서비스 간 East-West 트래픽을 감염시키는 손상된 가상 머신(VM)으로 인한 위협을 방어할 수 없습니다. 이러한 위협이 적시에 식별 및 처리되지 않으면 미션 크리티컬 애플리케이션이 손상되고 민감한 데이터의 손실로 이어져 조직의 수익과 평판에 돌이킬 수 없는 피해를 입힐 수 있습니다.

vSRX 가상 방화벽 Nutanix Enterprise Cloud와 연동되어 고급 보안, 일관된 관리, 자동화된 위협 대응, 효과적인 마이크로세그먼테이션을 제공하여 오늘날의 멀티클라우드 환경을 보호할 수 있는 안전하고 자동화된 솔루션을 제공합니다.

이 조인트 주니퍼 네트웍스-Nutanix 하이퍼 컨버지드 솔루션은 고급 보안, 일관된 관리, 자동화된 위협 대응, 자동화 및 효과적인 마이크로세그먼테이션을 통해 기업이 멀티클라우드 환경을 보호할 수 있도록 지원합니다. 이제 기업은 운영상의 오버헤드와 관리 복잡성 없이 안전하고 자동화된 멀티클라우드를 손쉽게 구축할 수 있습니다.

Nutanix는 클라우드에서 온 디맨드 서비스를 제공합니다. 서비스는 IaaS(Infrastructure as a Service) 및 SaaS(Platform as a Service)에서 애플리케이션 및 데이터베이스 as a Service에 이르기까지 다양합니다. Nutanix는 매우 유연하고 확장 가능하며 안정적인 클라우드 플랫폼입니다. Nutanix에서는 클라우드에서 서버 및 서비스를 BYOL(bring-your-own-license) 서비스로 호스팅할 수 있습니다.

Nutanix를 통한 vSRX 가상 방화벽 이점

  • Advanced security—사용자 및 애플리케이션 방화벽, 고급 위협 방지, 침입 방지 등의 고급 보안 서비스를 제공하여 비즈니스를 보호합니다.

  • Microsegmentation—마이크로세그먼테이션을 사용하여 애플리케이션을 보호하고 엔터프라이즈 멀티클라우드의 내부 위협 전파를 방어합니다. 효과적인 마이크로세그먼테이션을 통해 가상 워크로드를 보호합니다.

    마이크로세그먼테이션은 가상화된 호스트 수준에서 보안 정책을 적용하여 세분화된 세분화 및 제어를 용이하게 합니다. 보안 관점에서는 위협을 차단할 수 있는 수준이 더욱 세분화될수록 위협의 확산을 차단하는 데 보다 효과적으로 방어할 수 있습니다. 관리자는 마이크로세그먼테이션 및 자동화된 위협 대응을 통해 보안 솔루션을 강화하여 데이터센터 트래픽을 일반적인 침해로부터 보호하는 데 필요한 가시성과 제어 기능을 제공해야 합니다.

  • Visibility—애플리케이션, 사용자 및 IP 동작에 대한 세분화된 가시성과 분석을 제공합니다.

  • Automation—Nutanix 및 주니퍼 네트웍스 풍부한 API 및 자동화 라이브러리를 제공하여 민첩한 DevOps 워크플로우를 지원합니다. 통합된 보안 자동화와 네트워킹 워크플로우를 통해 향상된 보안 응답을 제공합니다.

  • Operational simplicity—단일 창 관리와 멀티클라우드 구축 전반의 단순하고 직관적인 제어를 통해 정책 구축 및 시행을 간소화하고 활성화합니다.

Nutanix AHV를 통한 vSRX 가상 방화벽 구축 이해

Nutanix Acropolis 하이퍼 컨버지드 인프라(HCI)는 VMware vSphere(ESXi), Microsoft HyperV, Citrix XenServer 및 Nutanix AHV를 비롯한 가상화 솔루션에서 고객의 선택을 지원합니다. AHV는 풍부한 기능의 Nutanix 하이퍼바이저입니다. AHV는 검증된 오픈 소스 기술을 기반으로 하는 엔터프라이즈 지원 하이퍼바이저입니다. Nutanix AHV는 Acropolis에 포함된 라이선스 없는 가상화 솔루션으로, 멀티클라우드 시대에 대비한 엔터프라이즈 가상화를 제공합니다. Acropolis 및 AHV를 통해 가상화는 별도의 라이선스, 구축 및 관리가 필요한 독립 실행형 제품으로 계층화되지 않고 Nutanix Enterprise Cloud OS에 긴밀하게 통합됩니다.

VM 구축, 복제 및 보호와 같은 일반적인 작업은 단편적인 전략에서 서로 다른 제품과 정책을 활용하는 대신 Nutanix Prism을 통해 중앙에서 관리됩니다.

그림 1 은 AHV 하이퍼바이저를 이용한 Nutanix Enterprise Cloud의 프라이빗 서브넷에서 실행되는 애플리케이션에 대한 보안이 어떻게 제공되는지 보여줍니다.

그림 1: nutanix Enterprise Cloud vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud 에서의 vSRX 가상 방화벽 구축

관리해야 하는 툴을 포함한 Nutanix AHV 가상화 솔루션은 이미 설치되어 가동 준비가 완료된 공장에서 제공되므로 클러스터를 설치하고 전원을 켜는 즉시 시스템을 가동하고 실행할 수 있습니다. 시스템이 실행되면 간단한 HTML 5 웹 UI를 통해 환경을 유지할 수 있습니다. 구축 중인 각 클러스터에서 사용할 수 있는 Prism Element는 이 UI를 전체 Nutanix 솔루션과 통합합니다. 클러스터 IP 또는 개별 Nutanix 컨트롤러 가상 머신(CVM) IP 주소를 통해 각 개별 Nutanix 클러스터를 통해 Prism 요소에 액세스할 수 있습니다. Prism Element는 추가 소프트웨어가 필요하지 않습니다. 모든 Nutanix 클러스터에 내장되어 있으며 AHV에 대한 지원이 통합되어 있습니다.

보다 중앙화된 메커니즘을 통해 구축을 관리하는 경우, Nutanix 포털에서 Prism Central을 사용할 수 있거나 Nutanix 클러스터에서 직접 구축할 수 있습니다. Prism Central은 ESXi, Hyper-V 또는 AHV에서 실행할 수 있는 강력한 옵션 소프트웨어 어플라이언스 VM입니다.

Prism Central은 플랫폼이자 하이퍼바이저 독립적인 관리 인터페이스로서 구축된 Nutanix 클러스터에 대한 종합적인 뷰를 제공합니다. Prism Central은 클러스터를 보고 관리할 수 있도록 지원하는 것 외에도 VM, 호스트, 디스크, 컨테이너 또는 풀링된 디스크에 대한 인사이트를 제공합니다.

Prism Central은 여러 Nutanix 클러스터뿐만 아니라 네이티브 Nutanix 하이퍼바이저인 AHV를 관리하기 위한 단일 창을 제공합니다. 다른 하이퍼바이저와 달리 AHV는 UI에서 렌더링된 데이터를 유지하기 위해 추가 백엔드 애플리케이션이나 데이터베이스가 필요하지 않습니다.

Prism은 클러스터의 모든 노드에서 실행되지만 다른 구성 요소와 마찬가지로 리더를 선택합니다. 모든 요청은 Linux iptable을 사용하여 팔로워로부터 리더에게 전달됩니다. 이를 통해 관리자는 컨트롤러 VM IP 주소를 사용하여 Prism에 액세스할 수 있습니다. 프리즘 지도자가 실패하면 새로운 지도자가 선출된다. 또한 이 리더는 VM 상태 및 관련 정보를 위해 ESXi 호스트와 통신합니다. Junos Space Security Director Nutanix AHV 클러스터의 각 노드에 구축된 vSRX 가상 방화벽 가상 방화벽을 관리하고 통합 보안 정책 관리자로서 Nutanix 기반 프라이빗 및 퍼블릭 클라우드(AWS/Azure)의 모든 vSRX 가상 방화벽 VM에 일관된 정책을 적용합니다.

VM과 애플리케이션 간의 트래픽은 vSRX 가상 방화벽 통해 리디렉션되어 고급 위협 방지 기능을 갖춘 차세대 방화벽 보안 서비스를 프로비저닝할 수 있습니다. Nutanix Enterprise Cloud 내부의 트래픽에 적용되는 보안 정책은 마이크로세그먼테이션을 통해 Nutanix HCI를 강화하여 내부로 확산되는 정교한 위협을 차단하는 동시에 애플리케이션 및 사용자 액세스를 식별하고 제어합니다. 이를 통해 보안 관리자는 제로 트러스트 보안 원칙을 사용하여 미션 크리티컬 애플리케이션과 데이터를 격리하고 분할할 수 있습니다.

Nutanix를 통한 vSRX 가상 방화벽 구축 구성 요소

vSRX 가상 방화벽 및 Nutanix와의 조인트 솔루션에는 다음과 같은 주요 구성 요소가 포함됩니다.

  • vSRX Virtual Firewall—vSRX 가상 방화벽 물리적 주니퍼 네트웍스 SRX 시리즈 방화벽과 동일한 기능을 갖춘 고급 보안을 가상화된 형태로 제공합니다.

  • Junos Space Security Director—Junos Space Security Director 통해 네트워크 운영자는 단일 위치에서 분산된 가상 및 물리적 방화벽 네트워크를 관리할 수 있습니다. vSRX 가상 방화벽 가상 방화벽의 관리 인터페이스 역할을 하는 Security Director 모든 vSRX 가상 방화벽 인스턴스에서 방화벽 정책을 관리합니다. 세부 정보, 위협 맵 및 이벤트 로그가 포함된 커스터마이즈 가능한 대시보드가 포함되어 있어 네트워크 보안에 대한 탁월한 가시성을 제공합니다. Google Android 및 Apple iOS 시스템을 위한 모바일 애플리케이션을 통해 원격 모바일 모니터링도 가능합니다.

  • Nutanix AHV—Nutanix AHV는 Nutanix Enterprise Cloud OS에 포함된 엔터프라이즈급 가상화 솔루션으로, 라이선스, 설치 또는 관리할 추가 소프트웨어 구성 요소가 없습니다. 검증된 오픈 소스 가상화 기술부터 시작하여, AHV는 최적의 성능, 보안 강화, 플로우 네트워크 가상화 및 완전한 관리 기능을 위한 향상된 데이터 경로를 결합하여 간소하면서도 강력한 가상화 스택, 고비용 SHELFWARE 및 낮은 가상화 비용을 제공합니다.

  • Nutanix Manager (Nutanix Prism)—Nutanix Prism은 nCLI 및 웹 콘솔을 사용하여 가상화된 데이터센터 환경에 대한 Nutanix 클러스터 및 솔루션을 구성하고 모니터링하기 위한 관리자를 위한 엔드 투 엔드 관리 도구입니다. 엔드 투 엔드 관리 기능은 공통 워크플로우를 간소화하고 자동화하여 데이터센터 운영 전반에 걸쳐 여러 관리 솔루션이 필요하지 않습니다. 고급 머신러닝 기술을 기반으로 하는 Prism은 시스템 데이터를 분석하여 가상화 및 인프라 관리를 최적화하기 위한 실행 가능한 인사이트를 생성합니다.

Nutanix AHV를 사용한 vSRX 가상 방화벽 구축 샘플

AHV 하이퍼바이저가 포함된 Nutanix Enterprise Cloud의 프라이빗 서브넷에서 실행되는 애플리케이션에 대한 보안을 제공하는 vSRX 가상 방화벽 샘플 구축이 그림 2에 제시되어 있습니다.

그림 2: AHV를 사용한 Nutanix Enterprise Cloud 구축 vSRX 가상 방화벽 샘플 Sample vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud Using AHV

vSRX 가상 방화벽 이미지를 하이퍼바이저로 Nutanix AHV 가상화 솔루션이 탑재된 Linux 기반 커널에 로드됩니다. AHV 기반 VM은 멀티테넌시를 지원하여 호스트 OS에서 여러 vSRX 가상 방화벽 VM을 실행할 수 있습니다. AHV는 호스트 OS와 여러 vSRX 가상 방화벽 VM 간에 시스템 리소스를 관리하고 공유합니다.

참고:

vSRX 가상 방화벽 인텔 가상화 기술(VT) 지원 프로세서가 포함된 호스트 OS에서 하드웨어 기반 가상화를 지원해야 합니다.

이 구축의 기본 구성 요소는 다음과 같습니다.

  • Linux bridge-CVM 제어 트래픽에 사용

  • Open vSwitch (OVS) bridge(s)—VM 트래픽 형식을 사용하고 물리적 포트에 연결하는 데 사용

  • Physical switch—호스트의 물리적 네트워크 포트로 트래픽 내부 또는 외부 트래픽 전송

관련 문서