보안

[NSX②] “SW로 레거시 네트워크 한계 극복”

백지영
[디지털데일리 백지영기자] “NSX는 이미 8년 이상된 완성형 솔루션으로 쉬운 인프라 구축과 운영성 향상, 비용 절감이 가능합니다”

22일 <디지털데일리>의 버추얼 컨퍼런스 플랫폼 ‘DD튜브’를 통해 진행된 ‘오픈베이스 웨비나 데이 - VM웨어와 함께하는 NSX의 모든 것’에서 안성철 오픈베이스 부장은 “VM웨어 NSX는 소프트웨어로 네트워크의 자유를 준다”며 “논리적 스위치·라우터부터 방화벽, 로드밸런서, VPN, 가상화 물리적 연결까지 다양한 기능을 제공한다”고 설명했다.

그는 NSX를 구성하기 위해선 세 가지를 확인해야 한다고 말했다. 첫 번째는 데이터센터의 가상화 환경이 v스피어 또는 KVM이 맞는지, 두 번째는 x86 서버 vTEP 커널 IP 간 통신 할 수 있는 네트워크 인터페이스 구성(MTU 1700 이상)인지, 세 번째는 엣지 클러스터(VM 또는 베어메탈)에서 외부와 연결되기 위한 x86 서버의 네트워크 인터페이스 구성 등이다.
그는 “NSX는 네트워크와 보안 서비스를 단일 플랫폼으로 구성할 수 있는 솔루션”이라며 “이와 함께 NSX 플랫폼에 포함돼 있는 HCX라는 워크로드 마이그레이션 솔루션을 통해 대규모 전환도 가능하다”고 말했다. 그는 “실제 오픈베이스는 이를 통해 3개월만에 900여개에 가까운 서버를 전환한 사례가 있다”고 덧붙였다.

한편 NSX를 체험하고자 하는 고객을 대상으로 VM웨어 핸즈온랩을 통한 데모 테스트도 가능하다. 가상 환경으로 구현된 핸즈온랩에선 라우팅, 방화벽 구성 등 NSX의 다양한 기능 테스트를 해 볼 수 있다.

<웨비나에서 나온 주요 질의와 답변>

Q. 기존 VM웨어 환경에 NSX를 추가할 경우에는 호스트 서버의 하드웨어 사양을 더 추가해야 하나요?
A. 아닙니다. 기존 서버 환경을 그대로 사용하시면 되고 NSX 라이선스만 설치하시면 됩니다.

Q. 모니터링을 위한 대시보드에서 트래픽의 가시성 및 성능, 장애 여부 등도 복합적으로 파악이 가능한지 궁금합니다.
A. 트래픽의 가시성을 확인하기 위해서는 대시보드가 아닌 트레이스플로우(traceflow) 창에서 확인이 가능하고, 함께 제공되는 NSX-T 매니저 같은 도구를 통해 성능과 장애여부 등을 확인하실 수 있습니다. 조금 더 자세한 분석과 정밀한 모니터링을 위해 vRNI와 같은 추가 도구를 사용할 수도 있습니다.

Q. NSX의 라이센스 정책 및 리던던시 구성은 가능한지와 구성방식이 궁금합니다.
A. NSX 라이선스는 서버의 물리 CPU(소켓) 단위로 주어지며 통상 1 서버 당 2개의 라이선스가 설치됩니다. 리던던시 구성은 L2-L7 레벨의 모든 구성 요소에서 지원됩니다.

Q. 현재 도입된 VM웨어 환경이 있을 때에 NSX 라이선스가 포함돼 있는지를 V센터 등에서 확인할 수 있나요?
A. NSX 라이선스의 경우에는 NSX 매니저의 라이선스 창에서 확인이 가능합니다.

Q. 보안장비(방화벽/IDPS/AV)는 쓰루풋 때문에 충분한 성능을 제공할 수 있는 하드웨어 장비로 도입을 해야 한다고 생각하는데, NSX는 라이선스만을 추가했을 때 쓰룻풋 등의 성능 상 이슈는 없을까요?
A. NSX의 보안 기능은 각 서버의 하이퍼바이저 레벨에서 분산 처리되기 때문에 부하가 수반되는 단일 어플라이언스 대비 탁월한 성능을 보여주고 있습니다. 분산 처리가 핵심이며 예를 들어 1000개의 서버에 FW을 분산시키면 2Tbps 이상의 트래픽 처리가 가능합니다. IDS/IPS 의 경우도 시그니처를 해당 애플리케이션/워크로드에 맞게 할당해 처리하기 때문에 부하가 현저히 줄어들고 마찬가지로 분산 처리됩니다. 방화벽 등의 기능은 엣진 노드를 사용하고 엣지의 경우 스몰, 미디엄, 라지 등 사이즈를 선택해 구성할 수 있고, 베어메탈 서버를 통해 구현도 가능합니다.

Q. L3가 지원되면 백본스위치의 라우팅까지도 가능할까요?
A. 네, 물론 라우팅 기능을 지원하며 SDDC에서 필요한 모든 L3 네트워킹을 사용하실 수 있습니다. 또, NSX 엣지 노드를 통해 백본스위치와 Static, BGP 라우팅 연동이 가능합니다.

Q. 각각 별도의 장비로 운영되던 네트워크 장비를 서버 내에 코드로 구성하게 된다면, 서버에 부하가 많이 갈 것 같은데요. 트래픽이 몰리는 상황에서도 안정적인 운영이 가능한지, 무중단으로 하드웨어 스펙을 올릴 수 있는지 궁금합니다.
A. 생각보다 서버에서 코드로 운영되는 네트워킹의 부하는 크지 않습니다. 특히 서버 내에서 처리되는 트래픽의 경우 외부 물리 장비를 태우지 않기 때문에 더 신속하게 처리되며 코드를 통한 네트워킹 부하는 통상 5%에서 최대 20% 정도라고 보시면 됩니다. 또한 무중단 운영을 위해 모든 L2-7 구성 요소를 리던던시 형태로 구성하고 운영하실 수 있습니다.

Q. 스위치, 라우터, 방화벽 등 네트워크 서비스를 위한 구성 요소을 VM 단위로 구성한 템플릿 형태로 작성 할 수 있는지 궁금합니다. 그렇게 구성된다면 관리는 어떻게 이뤄지는지 궁금합니다. 또, 장애가 발생한 경우는 어떻게 조치가 이뤄지는지 궁금합니다.
A. 템플릿 형태는 아닙니다. 관리는 NSX 매니저의 단일 콘솔에서 가능합니다. 장애 상황에 따라 다르지만, 엣지 노드의 경우 클러스터 구성으로 장애시 해당 엣지 VM을 재시작 또는 재설치가 가능합니다.

Q. ID기반 정책을 구현하려면 별도 라이선스를 구매해야 하는 것인지 궁금하고 ID기반 제로트러스트 접근설정이나 CASB 같은 효과를 낼 수 있는지 궁금합니다.
A. NSX는 ID 정책 기반의 방화벽을 지원합니다. 즉, 제로트러스트 접근 통제를 지원합니다. AD 연동도 지원합니다.

Q. 가상 클라우드 네트워킹을 하기 위한 하드웨어 사양이 있는가요. 노트북, 워크스테인션 모두 사용 되는가요.
A. NSX를 사용하기 위해서는 하이퍼바이저, 베어메탈 환경에서 구성이 되면, VM웨어에서 제공하는 호환성 가이드에서 확인 가능합니다. 권장 드리는 최소 하드웨어 요건은 https://docs.vmware.com/en/VMware-NSX-Data-Center-for-vSphere/6.4/com.vmware.nsx.install.doc/GUID-311BBB9F-32CC-4633-9F91-26A39296381A.html에서 확인 가능합니다.

Q. 기존 네트워크 장비 벤더와 연동해 구성도 가능하겠죠?
A. 물론 연동 구성도 지원합니다만, NSX 만으로도 최적의 네트워킹, 보안 기능과 성능을 모두 사용하실 수 있습니다.

Q. 현재 VM웨어 기반으로 SDDC를 구축해 운영하고 있습니다. NSX 도입 시 고려했던 부분이 East-West 통신에 대한 접근통제였으나, 내부 서비스에 대한 통신 현황 파악 부재로 적용을 못하고 있습니다. 혹시 East-West 통신에 대한 현황을 파악해 통제할 수 있는 최적의 방안은 무엇인지 궁금합니다.
A. v리얼라이즈 네트워크 인사이트와 NSX-T의 조합을 통해 East-West 통신 현황 파악 및 방화벽 정책 제안도 가능합니다.

Q. 코드로 구현하는 간편성이라 함은 코드 변경이나 결합을 통해 변화에 대응 가능한 솔루션이라는 것인가요?
A. 중의적인 의미가 있는데요, NSX 자체가 코드로 제공돼 네트워킹 기능을 제공하고, 또한 구성 작업을 코드로 심플하게 자동화시켜 수행할 수 있다는 의미도 있습니다.

Q. NSX를 기능중에 패킷제어, 필터링, 로드밸런싱을 위한 패킷 브로커 스위치와, TAP Switch, ByPass Switch 모두 가능한지요?
A. 패킷 제어, 필터링, 로드밸런싱을 모두 지원합니다. 탭 스위치와 바이패스 스위치는 NSX의 NTA/NDR 기능을 통해 제공됩니다.

Q. VM웨어 NSX 도입할 경우, 실습도 가능한 VM웨어 NSX 전문 무료 교육도 받을 수 있나요?
A. 네, VM웨어 HOL 이라는 검색어를 통해 찾아보시면 많은 온라인 핸즈온 교육을 찾아보실 수 있습니다.

Q. SDN이 구성 및 배치가 용이하고 빠른 반면에 장애발생시 트러블슈팅 및 복구시간이 장시간 소요되는 장점이 있는데 이런 점이 개선됐는지 궁금합니다.
A. SDN 초기 시장인 7~8년 전에는 이러한 이슈가 있었던 것으로 알고 있습니다만, 지금은 기술과 제품이 원숙해져서 이러한 문제가 없습니다.

Q. QoS를 ip 대역별로 하고 있는데 NSX에서도 그런 QoS 기능이 있나요? 아니면 다른 제품을 별도로 구매해야 하나요?
A. QoS 기능을 지원하고 있습니다. 자세한 내용은 https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/2.3/com.vmware.nsxt.admin.doc/GUID-D6396BD7-6A9B-41D0-AD7D-E67CF5542524.html 에서 확인 가능합니다.

Q. SW를 연동해 네트웍을 필요한 시간만 켜고, 원격에서 제어할 수 있는 관리 솔루션도 연계 가능할까요?
A. 원격에서 API 연동을 통해 제어 가능할 것 같습니다. NSX는 시장의 다양한 API 에코시스템을 수용 및 지원합니다.

Q. NSX 구축 시 기존 네트워크 장비의 설정이나 구조 변경은 필요없는지요?
A. NSX 구축시 호스트 간 vtep IP 가 통신할 수 있도록 해당 VLAN(MTU 1700이상) 추가 및 엣지 와 라우팅 연동 등의 설정은 필요하지만, 기존 네트워크 장비의 물리 구성의 변경은 필요 없습니다.

Q. IT/OT 구분해 보안 구축을 할 때 NSX를 양쪽 구축 없이 가능한지요?
A. IT/OT 환경에 각각 NSX를 설치할 수도 있고, 아니면 한 곳에만 설치하시고 IT/OT 테넌트를 분리해 사용하셔도 됩니다.

Q. NSX는 운영 비용 및 자본 비용을 통상 몇 % 정도 절감할 수 있나요?
A. 전문 기관에 의뢰go 받은 결과에 의하면 실제 NSX 투자 후 투자 및 운영 비용 절감은 약 60%~70%로 보고되고 있습니다.

Q. 기존 레거시 네트워크 장비 대비 SDN의 성능(딜레이 및 QOS) 등은 어느 정도 개선이 있는지 궁금합니다.
A. 이 부분은 실제 연결된 물리 장비의 종류와 서버의 스펙, 그리고 애플리케이션 로드에 따라 다양하게 바뀔 수 있기 때문에 정확히 몇 퍼센트라고 말씀드리기 어렵습니다만, 하드웨어 네트워킹 장비를 최대한 덜 태우고 많은 East-West 트래픽 처리를 하이퍼바이저 레벨에서 끝내기 때문에 기존보다는 개선된다고 보시면 되겠습니다.

Q. NSX에서 생성되는 방화벽, LB는 전문 벤더에서 제공하는 이중화 고가용성(HA)와 세션동기화 기능을 모두 지원하나요?
A. 네, NSX가 제공하는 두 가지 형태의 방화벽(경계방화벽, 분산방화벽)에서 고가용성을 위한 HA 를 지원하고 있습니다. 다만 엣지에서 라우팅 기능 등은 Active-Active, Active-Standby 구성을 제공하고, 세션동기화 기능은 제공하지 않기 때문에 방화벽, 로드밸런싱의 경우 Active-Standby 모드로 지원합니다. NAT 의 경우 어시메트릭 트래픽 관련 추가 NAT 기능을 제공합니다.

Q. NSX에서 L2와 L7까지 보안 적용에 따른 네트워크 보안 로그 분석은 어디까지 가능한지요? 로그에 대한 분석의 제한점은 없는지요?
A. 말씀하신 L2-L7 보안 로그를 방화벽에서 지원하고 있습니다. 또한 IDS/IPS 까지 올리면 이에 해당되는 보안 로그도 보실 수 있습니다. 별도의 분석 제한점은 없습니다.

Q. 기존 운영 중인 네트워크 밴더의 장비와 연계는 어떤 식으로 지원하는지요?
A. 기존 운영 중인 네트워크 장비는 벤더에 관계없이 모두 사용하실 수 있으며 디자인과 구성을 바꿀 필요도 없습니다. 그대로 사용하시되 서버 간 Ping이 가능하게 만들어 주시면 모든 작업이 완료됩니다.

Q. SDN으로 BGP 및 다양한 정책도 그대로 적용이 가능한지 궁금합니다.
A. BGP의 access-list, portmap, hellopacket 의 옵션 조정 등 대부분의 기능을 제공해 적용이 가능합니다.

Q. VM웨어 NSX 구축 시 기존 VM웨어 가상화 라이선스의 추가는 필요없나요?
A. 기존 VM웨어 가상화 라이선스의 추가는 필요 없으며 그대로 사용하시되, NSX 라이선스만 추가하시면 됩니다.

Q. 네트워크 관련 설정 실수로 인한 장애가 있을수 있는데 작업 히스토리나 빠르고 쉽게 복원 할 수 있는 UI를 제공하나요?
A. 네, 물론입니다. Rollback 기능을 지원하여 구성을 다시 되돌릴 수 있습니다.

Q. NSX의 기능 모듈 중 초기 투자시 선택 가능한지 통합형인지 궁금합니다.
A. 네, NSX 라이선스는 4단계로 구분되어 각각 지원하는 기능의 레벨이 다릅니다. 가장 낮은 혹은 중간급의 라이선스를 구입하시고 추후 업그레이드도 가능한 형태입니다.

Q. 분산 라우터 사용으로 인한 속도 증가 부분은 라우팅 관련 활동에만 영향을 줄까요? 아니면 네트워크 전반의 속도 증가 효과까지 제공할 수 있을까요?
A. 네트워크 트래픽의 홉을 줄인 만큼 네트워크 전반의 속도에 영향을 줄 수 있습니다.

Q. 요즘 코로나로 인해 재택근무를 하는 경우가 많은데, NSX 구성시 동시 접속자수 1000명을 기준으로 한다면 인프라 구성을 어느 정도로 고려하면 될까요?
A. 통상 VDI 에이전트 서버 구성 시 물리 서버 1대당 25명의 기준으로 구성합니다. 이 기준을 토대로 단순하게 구성한다면 물리 서버 40대+매니지먼트 클러스터용 서버 정도가 필요할 것 같습니다. 이렇게 구성된 물리 서버에 NSX 라이선스를 함께 올리면 네트워킹과 보안이 모두 지원됩니다.

Q. NSX-T vTEP MTU를 1700이라고 설명해주셨는데 3.1 설치 문서를 확인 해보니 1600으로 나옵니다. 버전에 따라 다른 건가요?
A. 다큐먼트의 권고값은 1600 입니다만, 필드의 다양한 변수를 감안, 조금 더 버퍼를 두어 1700 으로 말씀드렸습니다.

Q. 내부방화벽은 라우팅에 관여를 하지 않고 인라인 Transparent 방식이라고 생각하면 되나요?
A. 네, 맞습니다. 내부방화벽 (분산방화벽은) 하이퍼바이저 레벨에서 동작하며 애플리케이션이 돌아가는 VM 워크로드의 바로 앞단에서 인라인으로 동작합니다.

Q. NSX 투자 후 투자 및 운영 비용 절감은 약 60%~70%로 보고되고 있다고 답변을 주셨는데요. 도입사마다의 조건에 따라 편차가 발생할 수 있을 것 같습니다. 비용 절감 효과를 극대화하려면 어떤 부분을 주의하는 또는 신경 쓰는 것이 좋을까요?
A. 핵심 비용 절감 포인트는 반복되는 구성 작업에 대한 자동화 처리라고 봅니다. NSX 도입 시 구성 및 운영 자동화 적용을 권장드립니다.

Q. NSX에 L7 DPI(Deep Packet Inspection) 기능도 올릴 수 있나요? L7 시그니처 기반 등으로 패킷 제어 등이 가능한가요?
A. 네, 가능합니다. NSX는 L7 DPI 기능을 제공하고 있으며 시그니처 기반으로 IDS/IPS를 지원하고 있습니다.

Q. 방화벽은 사용자 기반으로도 룰 설정이 가능한지요? 아니면 IP와 포트 조합으로만 가능한지요?
A. 방화벽의 경우 IP, 포트 외에도 ID, tag, vm group 등의 여러가지 조합이 가능합니다. 물론 사용자 ID 기반으로 룰 설정이 지원되며 AD와의 연동도 지원합니다.(김)

Q. SDN을 기반으로 한 NSX-V와 NSX-T의 차이점에 대해서 질문드립니다 오픈베이스에서 제공하시는 서비스와 기술에 대해서 질문드립니다.
A. NSX-V는 예전 제품이라고 보시면 되고 현재는 NSX-T가 주로 도입되고 사용되고 있습니다. NSX-T의 경우 VM웨어 환경 뿐 아니라 KVM, 베어메탈 등 다양한 환경에서 구성이 가능합니다. 오픈베이스는 VM웨어 대부분 제품군에 대해 서비스를 제공합니다.

Q. NSX 장비 내에 CPU,메모리 등 네트워크와 보안 관련 처리를 어떻게 시스템으로 구성돼 있는지요?
A. NSX는 호스트의 하이퍼바이저 레벨에서 네트워킹과 보안을 처리하고 있으며 해당 물리 서버의 CPU와 메모리를 사용합니다. 일반적인 가상화 보안 솔루션들은 VM을 사용하는 데에 반해 하이퍼바이저 레벨에서 보안을 처리하기 때문에 더 나은 확장성과 보안, 그리고 헤어핀 제거라는 목표를 모두 이루실 수 있습니다.

Q. 망분리 환경에서 NSX 적용시 고려사항은 ?
A. 망분리 환경에서 NSX는 다양한 용도로 사용될 수 있습니다. 네트워크 오버레이 기능, 망분리 환경에서의 방화벽 적용을 통한 워크로드 격리(세그멘테이션), 그리고 로드밸런싱 적용을 모두 고려하시면 됩니다.

Q. NSX에 대한 제품 분류 기준이 상당히 모호한 것 같은데요, NSX 제품은 네트워크 제품으로 봐야할지, 보안제품으로 봐야하는지 궁금합니다.
A. 네, NSX는 네트워킹과, 로드밸런싱보안을 모두 지원하는 토털 솔루션으로 보시면 됩니다.

Q. AI, 머신러닝, 빅데이터 등 대용량 데이터를 신속처리 및 외부 보안침해, 이상 트래픽 처리 등 다양한 환경에서도 기존 레거시 대비 안정적으로 처리가 가능한지 궁금합니다.
A. 특히 AI와 빅데이터와 같은 대용량 트래픽 처리 환경에서 NSX가 많이 사용되고 있습니다. 이러한 환경에 보안 기능을 적용하시면 레거시 대비 더욱 안정적이고 신속한 처리가 가능합니다.

Q. 분산 라우팅의 경우에는 속도 증가 효과를 말씀해주셨는데 분산 방화벽의 경우에는 속도 증가 효과를 말씀해주시지 않은 것 같습니다. 분산 방화벽도 속도 증가 효과를 제공할 수 있을까요?
A. 물론입니다. 분산방화벽의 경우, 외부 보안 구성 요소로의 트래픽 헤어피닝이 없기 떄문에 일반적인 하드웨어 어플라이언스나 VM 어플라이언스 대비 2배의 속도 증가는 기본적으로 가져간다고 보시면 됩니다. 이 부분이 VM웨어 NSX 보안 솔루션의 핵심 장점입니다.

Q. 본사의 보안정책의 잦은 변경에 따라 바로 바로 적용에 어려움이 있고 구조 변경시 리스크가 너무 큰데요. NSX로 구현 시 이런 부분 해소가 가능할지요?
A. 맞습니다. 보안 정책의 잦은 변경에 따라 즉시 적용이 어려우시죠. NSX의 방화벽은 태그 기반의 보안 정책을 제공해 워크로드 VM 배포 시 간편하게 보안 정책을 적용하고 이 속성을 워크로드에 매핑해 이동 및 소멸시킬 수 있습니다.

Q. NSX 기능 중에 로드밸런싱만 사용할 경우에도 풀 라이선스를 구매해야 하는 건가요? 아니면 로드밸런싱만의 라이선스만 구입하면 되나요?
A. NSX-T 어드밴스드 에디션 라이선스를 구입하시면 로드밸런싱이 기본으로 지원됩니다. 그리고 이보다 더 고급 기능을 (네트워크 분석, GSLB, WAF) 지원하는 NSX 어드밴스드 로드 밸런스 제품의 라이선스도 추가하실 수 있습니다.

Q. 기존 스위치 벤더(시스코, 주니퍼 등)의 제품을 대체할 것으로 예상하시나요?
A. 코드로 구현하는 네트워킹도 결국 물리 장비를 통한 서버의 연결이 필요하므로 함께 가는 모델이라고 봅니다. 다만, 보다 많은 고급 네트워킹 기능을 서버로 옮기는 형태가 될 것입니다.

<백지영 기자>jyp@ddaily.co.kr
백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널