감각적신사 의 멱살잡고 IT

#NSX

------------------

1. 정의 : 가상화 네트워크 와 보안 솔루션

- 실제 물리 스위치, 라우터를 다루는 것이 아니라, 가상 컴포넌트를 만들고 제어한다

- 목표 : remove dependency switch, router. VM 스스로 통신의 destination 을 찾게끔 한다

- 관련된 기능

- router

- static

                        - dynamic

                - OSPF

                - BGP

                - IS-IS

        - firewall

        - load balancer

        - NAT

        - VPN

        - IDS - IPS

        - Antivirus

        - spootgaurd

        - activity monitoring

        - live monitoring

        - data compliance

        - DHCP

2. NSX 의 컴포넌트

    - NSX Manager : Virtual Appliance 로 vCenter 와 1대1 mapping 하여 https:443 통신한다

    - NSX 에서 생성하는 logical switch 를 생성 및 관리한다

    - ESXi 에 5개의 NSX 필수 컴포넌트를 설치한다

    - 설정 및 기본 정보를 postgreSQL 에 저장한다

    - NSX Controllers : 아래 테이블 정보를 관리한다

        - ARP table

        - MAC table

        - VTEP table

        - Routing table

※ event 발생 시 업데이트 되며 vCenter 에 변경사항을 공유한다

    - NSX Edge

    - NSX Control VM : VM 인스턴스 로 ESXi 에 논리적 router 를 설치하는 용도이다

    - 물리적 router 를 거치지 않는 장점이 있다 == data traffic optimization

    - network 를 논리적으로 분리하여 사용하기 용이 하다

    - NSX Edge Service Gateway : VM 인스턴스 로 외부통신 (N-S) 을 위해 필요한 컴포넌트

    - router

                - static

                - dynamic

                    . OSPF

                    . BGP

                    . IS-IS

                - firewall

                - load balancer

                - NAT

                - VPN

                - DHCP

- NSX Distributed Logical Router : ESXi 호스트간 E-W 통신을 위해 필요한 컴포넌트

3. NSX structure

4. NSX 사용을 위한 preparation

- vCenter, vSphere, NSX Manager 가 필요하다

- ESXi 에 5가지의 컴포넌트 를 설치해야 한다 

- 메뉴 > Networking and security > Host preparation

- ESXi user world 부분 2 Agents

1. netcpa

2. vsFwd

- ESXi kernel world 부분 3 Agents

1. DFW ( distributed firewall )     ↘

2. VXLAN ( virtual extensible lan ) → VIBs ( Virtual Infrastructure Bundle )

3. DLR ( distributed logical router ) ↗

5. VXLAN 이란 : overlay L2 to L3

- 캡슐화 패킷 전송을 지원한다

- VTEP : ESXi host 커뮤니케이션을 위한 컴포넌트

- VM -> port group (vxlan:5000,5001)-> VTEP , -> v switch -> p switch

- 캡슐화를 통해 Ip 를 보호한다

- TCP 를 UDP 로 캡슐화 한다 (UDP, TCP 차이 : http://wooguy-tcpip.blogspot.kr/2014/04/tcp-udp.html)

- 소스 port 는 항상 random 하게 부여된다

- 타겟 port 는 4789 (vxlan 의 고정된 포트)

- VM -> port group (vlan:10) , tag vlan only -> v switch -> p switch : VM 의 Ip 추적이 가능하다

6. NSX 를 통한 2 type of communication

- EAST - WEST : VM - VM 10.11.10.12 -- 10.11.10.13 (by DLR) 

- North - South : VM - client desktop 10.11.10.12 -- 192.168.110.12 (by edge)

7. 네트워크 layer 별 구분

http://defensecurity.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%9E%A5%EB%B9%84-L2-%C2%B7-L3-%C2%B7-L4-%C2%B7-L7

    - L2 스위치 > MAC 정보(MAC Table)를 보고 스위칭 : 동일 네트워크 환경

    - L3 스위치 > IP 정보(Routing Table)를 보고 스위칭 : 다른 네트워크 환경

    - L4 스위치 > IP+Port(Session or Connection)를 보고 스위칭

    - L7 스위치 > 실제 App 데이터(Content)를 보고 스위칭컴포넌트를 설치한다

0. Snapshot

- 사용중인 공간은 수정이 불가능 하다

- 미사용중인 공간에 대해 delta.vmdk 파일을 생성한다 == 실제 사용 공간

- 최소 16MB 이며, 최대 남은 전체 사용공간을 사용할 수 있다

- 사용중인 공간의 수정, 삭제 여부를 기록한다

- 추가 및 변경 사항을 기록한다

- Copy-on-Write (COW) 방식 : http://hybridstoragekorea.blogspot.kr/2013/10/blog-post_4204.html

- snapshot 삭제 조건

- 현재 사용중인 이미지 와의 연결 관계가 없어야 한다

- child snapshot 이 없어야 한다

- 그림 상에서는 스냅샷4만 삭제가 가능하다, 나머지 스냅샷은 merge 를 통해 지울 수 있다

        -  snapshot merge

          - 스냅샷2를 삭제 시, 스냅샷1에 스냅샷2의 변경사항이 merge 된다 > 스냅샷1에는 app v2.0 의 정보 로 업데이트 된다

            - 스냅샷3을 삭제 시, 스냅샷3의 변경사항이 스냅샷4에 merge 된다 > 스냅샷4에는 app v2.0.4 가 존재한다 (?????)

        - VM 생성시, snapshot 설정 옵션

                - Independent : 스냅샷 없는 DISK

                - persistent : write and save

                - nonpersistent : vm 이 종료되면 disk 의 변경사항이 삭제된다 (데모, 로그, ...) != reboot 은 해당되지 않는다

1. VApps

- 정의 : 여러 VM 들을 관리, 설정하기 위한 집합 도구 http://searchvmware.techtarget.com/definition/VMware-vApp

- 하나의 VM 은 하나의 VApps 에 속한다

- 단일 ESXi 혹은 여러 ESXi 에 적용할 수 있다

- 기능 :

            - 같은 그룹 내의 VM들의 실행 / 중단을 순차적으로 진행하게끔 한다

            - ip pool 을 VM Vapps 그룹에 제공하여 서로 인식할 수 있게끔 한다

            - 같은 그룹 내의 resource 의 할당을 제어할 수 있게끔 한다

            - shared value 각각 부여하고 그 순서에 맞게 할당한다 high == 중요하다 (리소스 우선 부여)

2. Resource Pool

- 동작 단위 : ESXi

- memory 관리

- 종류

        - limit : VM 에 부여하는 최대 제한 메모리

        - allocate memory : VM 에 할당하는 최대치의 메모리지만, no guaranteed

        - reservate : VM 에 제공을 약속한 최소치의 메모리로, guaranteed

        - overhead : VM을 power on 하기 위한 최소한의 메모리로, ESXi 가 사용하는 VM 을 움직이게 하기 위한 추가적인 memory

- SWAP : 디스크 공간을 메모리로 사용할 수 있게끔 할당한다

- 일반적인 swap partition 의 활용 > http://sergeswin.com/1034

- 장점 : 추가 메로리 사용, 빠른속도의 메모리에서 더 많은 공간을 사용할 수 있게끔 지원

- 단점 : 동적 할당이 불가능하여 디스크를 차지함, 디스크 소모율 높다

        - ESXi 가 각 VM 에 SPY 프로그램을 설치, 메모리 사용량을 확인하여 접근이 덜한 메모리를 swap 영역으로 보내고 이로 발생한 여유 메모리를 사용량이 많은 VM 에 할당한다

- CPU 관리

- 1 core = 1LCPU

- vm 마다 8 core 부여 가능

- CPU Scheduler 에 의해 VM 에 CPU 를 할당 및 회수 한다

- 설계 목표 http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/vmware-vsphere-cpu-sched-performance-white-paper.pdf

- 공정성

            - 응답반응속도

            - 확장성

- pool group 관리

- 하나의 VM 은 1 Resource Pool 에 속하게 된다

- 같은 VM 그룹내에 VM 들에게 shared value 의 값을 부여하고 그 값의 비중에 따라, resource 부족할 시에 순차적으로 분배한다

- 다른 그룹 간에 그룹 share value 의 값을 부여하고 그 값의 비중에 따라, resource 부족할 시에 순차적으로 분배한다

3. View

- 정의 : End User 에게 가상의 데스크탑을 지원해주는 platform http://searchvmware.techtarget.com/What-is-VMware-View

- server 와 다른 application 들을 제공하는 desktop 용 OS 들을 사용한다

# VMware - network

------------------------

0. ESXi 는 총 4개의 NIC 를 가질수 있다

1. vSwitch 2 types connection 기술

- virtual standard switch : virtual machine port group - per HOST

     - 동작 1. 에 대한 Ethernet Frame 의 값 변화

     - 동작 2. 에 대한 Ethernet Frame 의 값 변화  

. 같은 subnet 을 사용하는 IP 간에 (ESXi) 통신할 수 있도록 지원

. 이때 physical switch을 지나는데 mac table 를 통해 확인하여 통신한다

mac table : 물리적 network card

request 는 broadcase 형태로 나가서 받아준다

.한번의 통신이후 에는 최초 VM 의 arp table 에 값을 저장하고 있다

     - virtual distributed switch : VMkernel port - per DataCenter

. 용도

- easy management

- storage (NFS/iSCSI)

- vMotion (migration VM to other ESXi)

- fault tolerance

- replication

- virtual SAN

- VXLAN

2. VLAN 동작 

- private 한 환경을 제공하여 separate network 구성 한다

. tagging 하여 segement 를 나눈다

                . https://www.thomas-krenn.com/en/wiki/VLAN_Basics 

- Trunk : vLAN TAG 정보들을 알고 있어 연결 시켜주는 역할

- 패킷은 

. VM A -> tagging -> switchA 1 -> untagging -> VM D

. VM B -> tagging -> switchA 2 -> truck -> router -> truck -> switchB 2 -> untagging -> VM K

3. VDS (Virtual Distributed Switch)

- vCenter 에서 생성하고 물리스위치를 보유한다 [Managerment]  <---- 히든 가상 스위치 ----> ESXi [Use]