프라이빗 클라우드 VMware 구성요소
프라이빗 클라우드는 관리 도메인의 vCenter 서버에서 관리하는 격리된 VMware 스택 (ESXi 호스트, vCenter, vSAN, NSX)환경입니다. Google Cloud VMware Engine은 다음과 같은 VMware 스택 구성요소로 프라이빗 클라우드를 배포합니다.
- VMware ESXi: 전용 노드의 하이퍼바이저
- VMware vCenter: 프라이빗 클라우드 vSphere 환경의 중앙 집중식 관리
- VMware vSAN: 하이퍼컨버지드 소프트웨어 정의 스토리지 플랫폼
- VMware NSX 데이터 센터: 네트워크 가상화 및 보안 소프트웨어
- VMware HCX: 데이터 센터 및 클라우드에서 애플리케이션 마이그레이션 및 워크로드 재균등화
프라이빗 클라우드 세부정보 페이지에서 VMware 스택 구성요소에 대해 생성된 로그인 사용자 인증 정보를 검색할 수 있습니다.
VMware 구성요소 버전
프라이빗 클라우드 VMware 스택의 소프트웨어 버전은 다음과 같습니다.
| 구성요소 | 버전 | 라이선스 버전 |
|---|---|---|
| ESXi | 7.0 업데이트 2c | vSphere Enterprise Plus |
| vCenter | 7.0 업데이트 2d | vCenter 스탠더드 |
| vSAN | 7.0 업데이트 2c | 고급 + vSAN Enterprise 기능 선택 |
| NSX 데이터 센터 | 3.1.2 | 사용 가능한 기능을 선택합니다. 자세한 내용은 NSX 데이터 센터 섹션을 참조하세요. |
| HCX | 4.5개 | 기업 |
ESXi
프라이빗 클라우드를 만들면 프로비저닝된 Google Cloud VMware Engine 노드에 VMware ESXi가 설치됩니다. ESXi는 워크로드 가상 머신(VM) 배포를 위한 하이퍼바이저를 제공합니다. 노드는 하이퍼컨버지드 인프라(컴퓨팅 및 스토리지)를 제공하며 프라이빗 클라우드에서 사용되는 vSphere 클러스터의 일부입니다.
각 노드에는 기본 네트워크에 연결된 4개의 물리적 네트워크 인터페이스가 있습니다. VMware Engine은 이러한 물리적 네트워크 인터페이스를 업링크로 사용해서 vCenter에 vSphere 분산 스위치(VDS)를 만듭니다. 네트워크 인터페이스는 고가용성을 위해 활성 모드로 구성됩니다.
vCenter 서버 어플라이언스
vCenter 서버 어플라이언스(VCSA)는 VMware Engine의 인증, 관리, 조정 기능을 제공합니다. 프라이빗 클라우드를 만들고 배포할 때 VMware Engine은 임베디드 플랫폼 서비스 컨트롤러(PSC)를 갖춘 VCSA를 vSphere 클러스터에 배포합니다. 각 프라이빗 클라우드에는 자체 VCSA가 있습니다. 프라이빗 클라우드에 노드를 추가하면 VCSA에 노드가 추가됩니다.
vCenter 싱글 사인온(SSO)
VCSA의 임베디드 플랫폼 서비스 컨트롤러는 vCenter 싱글 사인온(SSO)과 연결되어 있습니다. 도메인 이름은 gve.local입니다. vCenter에 액세스하려면 자동으로 vCenter에 액세스하도록 생성된 기본 사용자 CloudOwner@gve.local을 사용합니다. 온프레미스/Active Directory vCenter용 ID 소스를 추가할 수 있습니다.
vSAN 스토리지
프라이빗 클라우드의 클러스터는 완전히 구성된 올플래시 vSAN 스토리지를 갖추고 있습니다. 올플래시 스토리지는 로컬 SSD에서 제공됩니다. vSAN 데이터 스토어가 있는 vSphere 클러스터를 만들려면 동일한 SKU의 노드가 3개 이상 필요합니다. vSphere 클러스터의 각 노드에는 디스크 그룹이 2개 있습니다. 각 디스크 그룹에는 캐시 디스크 1개와 용량 디스크 3개가 포함됩니다.
VMware Engine의 vSAN Datastore에서 [중복 삭제 및 압축]vmware 중복 삭제 압축을 사용 설정할 수 있습니다. 이 서비스는 새 클러스터가 생성될 때 기본적으로 vSAN 압축을 사용 설정합니다. 프라이빗 클라우드의 각 클러스터에는 vSAN Datastore가 포함됩니다. 저장된 가상 머신 데이터가 중복 및 압축을 기준으로 또는 압축만 기준으로 vSAN 공간 효율에 적합하지 않은 경우 개별 vSAN Datastore에서 선택한 구성으로 vSAN 공간 효율을 변경할 수 있습니다.
VMware Engine은 vSAN Advanced 기능 외에도 저장 데이터 및 전송 중 데이터의 vSAN Enterprise 데이터 암호화에 대한 액세스도 제공합니다.
vSAN 스토리지 정책
vSAN 스토리지 정책은 허용되는 장애(FTT) 및 실패 허용 메서드를 정의합니다. 새 스토리지 정책을 만들어 VM에 적용할 수 있습니다. SLA를 유지하려면 vSAN Datastore에서 20%의 여유 용량을 유지해야 합니다.
각 vSphere 클러스터에는 vSAN Datastore에 적용되는 기본 vSAN 스토리지 정책이 있습니다. 스토리지 정책은 서비스 수준을 보장하기 위해 Datastore 내에서 VM 스토리지 객체를 프로비저닝하고 할당하는 방법을 결정합니다.
다음 표는 기본 vSAN 스토리지 정책 매개변수를 보여줍니다.
| FTT | 실패 허용 메서드 | vSphere 클러스터의 노드 수 |
|---|---|---|
| 1 | RAID 1(미러링) 사본 2개 생성 |
노드 3개 및 4개 |
| 2 | RAID 1(미러링) 사본 3개 생성 |
노드 5~32개 |
지원되는 vSAN 스토리지 정책
다음 표에서는 지원되는 vSAN 스토리지 정책 및 정책을 사용 설정하는 데 필요한 최소 노드 수를 보여줍니다.
| FTT | 실패 허용 메서드 | vSphere 클러스터에 필요한 최소 노드 수 |
|---|---|---|
| 1 | RAID 1(미러링) | 3 |
| 1 | RAID 5(삭제 코딩) | 4 |
| 2 | RAID 1(미러링) | 5 |
| 2 | RAID 6(삭제 코딩) | 6 |
| 3 | RAID 1(미러링) | 7 |
NSX 데이터 센터
NSX 데이터 센터는 프라이빗 클라우드에서 네트워크 가상화, 마이크로 세분화, 네트워크 보안 기능을 제공합니다. NSX를 사용하여 프라이빗 클라우드에서 NSX 데이터 센터에서 지원하는 서비스를 구성할 수 있습니다.
사용할 수 있는 기능
다음 목록에서는 VMware Engine에서 지원하는 NSX-T 기능을 카테고리별로 설명합니다.
- 전환, DNS, DHCP, IPAM(DDI):
- 최적화된 ARP 학습 및 브로드캐스트 억제
- 유니캐스트 복제
- 헤드 엔드 복제
- SpoofGuard
- IP 주소 관리
- IP 차단
- IP 서브넷
- IP 풀
- IPv4 DHCP 서버
- IPv4 DHCP 릴레이
- IPv4 DHCP 정적 binding/고정 주소
- IPv4 DNS 릴레이/DNS 프록시
- 라우팅:
- null 경로
- 정적 라우팅
- 기기 라우팅
- 경로 맵과 프리픽스 목록을 사용하여 BGP 경로 제어
- NAT:
- 북/남 및 동/서 논리 라우터의 NAT
- 소스 NAT
- 대상 NAT
- N:N NAT
- 방화벽:
- 에지 방화벽
- 분산 방화벽
- 공통 방화벽 사용자 인터페이스
- 방화벽 섹션
- 방화벽 로깅
- 스테이트풀(Stateful) Layer 2 및 Layer 3 방화벽 규칙
- 태그 기반 규칙
- 분산 방화벽 기반 IPFIX
- 방화벽 정책, 태그, 그룹:
- 객체 태그 지정/보안 태그
- 네트워크 중심 그룹화
- 워크로드 중심 그룹화
- IP 기반 그룹화
- MAC 기반 그룹화
- VPN:
- Layer 2 VPN
- Layer 3 VPN(IPv4)
- 통합:
- Tanzu Kubernetes Grid(TKG)만 사용하는 컨테이너 네트워킹 및 보안
- VMware Cloud Director 서비스
- VMware Aria Automation
- 로그용 VMware Aria Operations
- 인증 및 승인:
- LDAP를 사용하여 직접 Active Directory 통합
- OpenLDAP를 사용하여 인증
- 역할 기반 액세스 제어(RBAC)
- 자동화:
- REST API
- Java SDK
- Python SDK
- Terraform 제공업체
- Ansible 모듈
- REST API용 OpenAPI/Swagger 사양 및 자동 생성 API 문서
- 검사:
- 포트 미러링
- Traceflow
- 스위치 기반 IPFIX
기능 제한사항
일부 NSX 데이터 센터 기능에는 매우 구체적인 네트워킹 및 보안 사용 사례가 있습니다. 2022년 8월 30일 이전에 Google Cloud 계정을 만든 고객은 Cloud Customer Care에 문의하여 이러한 사용 사례의 기능에 대한 액세스 권한을 요청할 수 있습니다.
다음 표에서는 이러한 기능, 해당 사용 사례, 가능한 대안을 설명합니다.
| 특성 | 사용 사례 | 권장 옵션 | 2022년 8월 30일 이전의 Google Cloud 고객 | 2022년 8월 30일 이후의 Google Cloud 고객 |
|---|---|---|---|---|
| Layer 3 멀티캐스트 | 멀티 홉 Layer 3 멀티캐스트 라우팅 | NSX-T 서브넷 내에서 Layer 2 멀티캐스트가 지원됩니다. 이렇게 하면 모든 멀티캐스트 트래픽이 같은 NSX-T 서브넷의 워크로드에 전달됩니다. | 지원됨 | 지원되지 않음 |
| 서비스 품질(QoS) | 네트워크 초과 구독이 발생하는 VoIP 및 지연 시간에 민감한 애플리케이션 | VMware Engine은 초과구독이 아닌 네트워크 아키텍처를 제공하므로 별도의 작업이 필요하지 않습니다. 또한 프라이빗 클라우드에서 나가는 모든 QoS 태그는 피어링 연결을 통해 VPC에 들어갈 때 제거됩니다. | 지원됨 | 지원되지 않음 |
| 단순 네트워크 관리 프로토콜(SNMP) 트랩 | 사용자에게 이벤트를 알릴 수 있는 기존 알림 프로토콜 | 최신 프로토콜을 사용하여 NSX-T 내에서 이벤트와 경보를 구성할 수 있습니다. | 지원됨 | 지원되지 않음 |
| 스테이트리스(Stateless) NAT, NAT 로깅, NAT64와 같은 NAT 기능 | 대규모 통신 배포에서 이동통신사급 NAT에 사용됨 | NSX-T는 북/남 및 동/서 논리 라우터에서 소스/대상 NAT 및 N:N NAT를 지원합니다. | 지원됨 | 지원되지 않음 |
| 인텐트 기반 네트워킹 및 보안 정책 | VMware Aria와 함께 NSX-T 내에 비즈니스 기반 방화벽 정책 만들기 | NSX-T 게이트웨이 및 분산 방화벽 기능을 사용하여 보안 정책을 만들고 적용할 수 있습니다. | 지원됨 | 지원되지 않음 |
| Active Directory를 사용하는 ID 기반 그룹 | 사용자가 특정 VDI 게스트에 로그인한 VDI 배포를 감지하여 커스텀 NSX-T 방화벽 규칙 집합을 수신할 수 있습니다. | 전용 할당 풀을 사용하여 사용자에게 특정 워크스테이션을 할당할 수 있습니다. NSX-T 태그를 사용하여 풀별로 특정 방화벽 규칙을 적용합니다. | 지원됨 | 지원되지 않음 |
| 레이어 7 속성(앱 ID) 규칙 | NSX-T 방화벽 규칙에 사용 | NSX-T 서비스 그룹을 사용하여 방화벽 규칙을 하나 이상 만들 때 쉽게 참조할 수 있는 포트와 서비스의 집합을 정의합니다. | 지원됨 | 지원되지 않음 |
| 스테이트리스(Stateless) Layer 2 및 Layer 3 방화벽 규칙 | 대규모 전자통신 배포에서 이동통신사급 고속 방화벽에 사용 | NSX-T에서는 스테이트풀(Stateful) 고성능 Layer 2 및 Layer 3 규칙을 지원합니다. | 지원됨 | 지원되지 않음 |
| NSX-T 서비스 삽입 | NSX-T를 사용하여 트래픽을 보호하고 검사함으로써 타사 네트워크 서비스의 북/남 또는 동/서 배포를 자동화하는 데 사용 | 타사 보안 공급업체 배포의 경우 VMware Engine은 루틴 서비스 업그레이드가 네트워크 가용성에 영향을 미치지 않도록 서비스 삽입을 통해 라우팅된 모델을 권장합니다. | Cloud Customer Care에 문의 | 지원되지 않음 |
업데이트 및 업그레이드
이 섹션에서는 소프트웨어 구성요소에 대한 업데이트 및 업그레이드 고려사항과 수명 주기 관리 책임을 설명합니다.
HCX
VMware Engine은 프라이빗 클라우드에서 HCX의 초기 설치, 구성, 모니터링을 처리합니다. 그런 다음 HCX Cloud와 HCX-IX Interconnect와 같은 서비스 어플라이언스의 수명 주기 관리에 대한 책임은 사용자에게 있습니다.
VMware는 HCX 서비스를 통해 HCX Cloud의 업데이트를 제공합니다. HCX Cloud 인터페이스에서 HCX Manager 및 배포된 HCX 서비스 어플라이언스를 업그레이드할 수 있습니다. 제품 출시 버전 지원 종료 날짜를 확인하려면 VMware 제품 수명 주기 매트릭스를 참조하세요.
기타 VMware 소프트웨어
프라이빗 클라우드에서 VMware 소프트웨어(ESXi, vCenter, PSC, NSX)의 수명 주기 관리에 대한 책임은 Google에 있습니다.
소프트웨어 업데이트에는 다음이 포함됩니다.
- 패치: VMware에서 출시한 보안 패치 또는 버그 수정
- 업데이트: VMware 스택 구성요소의 부 버전 변경사항
- 업그레이드: VMware 스택 구성요소의 주 버전 변경사항
Google은 VMware에서 제공하는 즉시 중요 보안 패치를 테스트합니다. SLA에 따라 Google은 일주일 이내로 프라이빗 클라우드 환경에 보안 패치를 배포합니다.
Google은 VMware 소프트웨어 구성요소의 분기별 유지보수 업데이트를 제공합니다. VMware 소프트웨어의 새로운 주 버전의 경우 Google은 고객과 협력하여 업그레이드에 적합한 유지보수 기간을 조정합니다.
vSphere 클러스터
프라이빗 클라우드의 고가용성을 보장하기 위해 ESXi 호스트는 클러스터로 구성됩니다. 프라이빗 클라우드를 만들 때 VMware Engine은 첫 번째 클러스터에 vSphere의 관리 구성요소를 배포합니다. VMware Engine은 관리 구성요소의 리소스 풀을 만들고 이 리소스 풀에 모든 관리 VM을 배포합니다.
프라이빗 클라우드 축소를 위해 첫 번째 클러스터를 삭제할 수 없습니다. vSphere 클러스터는 vSphere HA를 사용하여 VM에 고가용성을 제공합니다. 허용되는 장애(FTT)는 클러스터에서 사용 가능한 노드 수를 기반으로 합니다. N이 FTT인 Number of nodes = 2N+1 공식은 클러스터에서 사용 가능한 노드와 FTT 간의 관계를 설명합니다.
프로덕션 워크로드의 경우 노드가 최소 3개 이상 포함된 프라이빗 클라우드를 사용합니다.
단일 노드 프라이빗 클라우드
VMware Engine를 사용한 테스트 및 개념 증명을 위해 단일 노드와 클러스터만 포함된 프라이빗 클라우드를 만들 수 있습니다. VMware Engine은 60일 후에 노드가 1개뿐인 프라이빗 클라우드를 삭제하고, 연결된 워크로드 VM 및 데이터도 함께 삭제합니다.
노드가 3개 이상 포함되도록 단일 노드 프라이빗 클라우드의 크기를 조절할 수 있습니다. 그러면 VMware Engine이 vSAN 데이터 복제를 시작하고 더 이상 프라이빗 클라우드 삭제를 시도하지 않습니다. 프라이빗 클라우드가 SLA에 따른 보장 범위에 해당하려면 노드가 최소 3개 이상 포함되고 vSAN 데이터 복제를 완료해야 합니다.
노드가 두 개 이상 필요한 기능 또는 작업은 단일 노드 프라이빗 클라우드에서 작동하지 않습니다. 예를 들어 vSphere Distributed Resource Scheduler(DRS) 또는 고가용성(HA)을 사용할 수 없습니다.
vSphere 클러스터 한도
다음 표에서는 SLA 요구사항을 충족하는 프라이빗 클라우드의 vSphere 클러스터 한도를 설명합니다.
| 리소스 | 한도 |
|---|---|
| 프라이빗 클라우드를 만들기 위한 최소 노드 수(첫 번째 클러스터) | 3 |
| 클러스터를 만들기 위한 최소 노드 수 | 3 |
| 클러스터당 최대 노드 수 | 32 |
| 프라이빗 클라우드당 최대 노드 수 | 96 |
| 프라이빗 클라우드당 최대 클러스터 수 | 21 |
게스트 운영체제 지원
프라이빗 클라우드에 VMware for ESXi 버전에서 지원되는 모든 게스트 운영체제로 VM을 설치할 수 있습니다. 지원되는 게스트 운영체제 목록은 게스트 OS용 VMware 호환성 가이드를 참조하세요.
VMware 인프라 유지보수
경우에 따라 VMware 인프라의 구성을 변경해야 합니다. 현재 이 간격은 1~2개월마다 발생할 수 있지만 시간 경과에 따라 빈도가 감소할 것으로 예상됩니다. 이러한 유형의 유지보수는 일반적으로 서비스의 정상적인 사용을 방해하지 않고 수행할 수 있습니다.
VMware 유지보수 기간 중에 다음 서비스는 아무런 영향 없이 계속 작동합니다.
- VMware 관리 영역 및 애플리케이션
- vCenter 액세스
- 모든 네트워킹 및 스토리지
- 모든 클라우드 트래픽
외부 저장소
노드를 추가하여 Google Cloud VMware Engine 클러스터의 스토리지 용량을 확장할 수 있습니다. 또는 스토리지를 확장하려는 경우에만 외부 저장소를 사용할 수 있습니다. 스토리지를 확장하면 클러스터의 컴퓨팅 용량을 늘리지 않고도 스토리지 용량이 늘어나서 독립적으로 리소스를 확장할 수 있습니다.
외부 저장소 사용에 대한 자세한 내용은 Google 지원 또는 영업 담당자에게 문의하세요.