스위칭
- Link Aggregation : 여러 개의 물리 포트를 모아 하나의 논리적 포트로 만듦
- LACP (Link Aggregation Control Protocol) : IEEE 표준 이더채널 모드
- PAgP : Cisco 전용 이더채널 모드
-> Teaming 환경 참고
NSX 라우팅 프로토콜 -> OSPF, BGP 사용
BGP : loop-free routing 보장, TCP (port 179) 통해 트래픽 운반
OSPF와 달리 iBGP, eBGP 로 나누어 내외부 구분 용이
iBGP : 서로 같은 AS 상의 Border Gateway들 끼리의 연결을 담당하는 BGP
eBGP : 서로 다른 AS 상의 Border Gateway들 끼리의 연결을 담당하는 BGP
* BGP는 직접적으로 인터페이스를 물리지 않아도 서로간의 BGP 연결 가능
* BGP는 자신의 AS 내 모든 라우터가 IGP를 통해 그 경로를 알기 전에는 사용하지 않으며, 다른 Externel neighbor 에게도 알리지 않음 (BGP Synchronization on)
NSX 아키텍처
- 3가지 평면을 기준으로 워크로드에 영향을 주지 않고 확장성을 제공
(관리, 제어, 데이터 평면)
관리 평면
- NSX Management Cluster로 구성됨
- 정책 및 관리자 역할
- UI 라고 보면 된다
NSX Management Cluster 구성 옵션
제어 평면
- CCP / LCP 로 나뉜다
CCP (Central Control Plane)
- 중앙 집중 정책 관리 / 상태 모니터링 수행
LCP ( Local Control Plane )
- 전송 노드에서 실행되며 CCP와 연결됨
- 데이터 평면의 포워딩 항목과 방화벽 규칙을 프로그래밍함
MPA (Management Plane Agent)
- 데이터 평면과 관리 평면의 연결점
NSX Logical Switching 용어
Policy
-> Segment : 전송 노드위에 펼쳐진 2계층 브로드캐스트 도메인
터널링 : 데이터 트래픽 캡슐화 (Transport node를 통과할 때 터널링 활용)
- 여기서 Geneve 프로토콜을 활용해 Segment 트래픽 데이터를 L3 캡슐화하는 오버레이 터널링 기술 활용 (UDP, 6081, 24bit VNI, 가변길이옵션) -> 새로 정의되는 요소들이 있으면 가변길이옵션을 활용하기 때문에 Geneve를 사용하는 중요한 이점
여기서 오른쪽 그림의 같은 Segment상의 두 가상머신 노드 간 통신 모습을 보자
ESXi 호스트 간은 터널이 구성되어 있지만 오버레이 단에서는 Transport Node 간의 통신으로 보면 됨
여기서 1단계에서는 TEP Table 생성 과정이 포함된다
Logical Gateway
1. Tier-0 Gateway
- 정적 또는 동적 라우팅 지원
- 물리적 게이트웨이와 연결되어 ECMP(다중경로) 라우팅 지원
- NSX Edge Cluster 필요
- 논리적과 물리적 네트워크 간 연결 포인트
2. Tier-1 Gateway
- 동적 라우팅 프로토콜 사용 x
- 세그먼트 간 라우팅 지원 (East - West)
- 외부 연결 제공 시 Tier-0 Gateway에 연결되어 있어야 함
NSX Edge Node
- 외부 네트워크에 대한 연결점 제공
- Tier-0 게이트웨이를 호스트
NSX Edge Cluster
- Edge Node들의 그룹
- 가용성과 확장성 제공
- NSX Edge Node는 Edge Cluster에 포함되어야 함
그리고 각각 T0, T1 Gateway에는 DR, SR이라고 하는 라우터가 존재
분산 라우터 (DR), 서비스 라우터 (SR)는 아래와 같이 동작
Security
- NSX 마이크로세그먼트를 통한 제로 트러스트 적용
- 즉, 가상 보안 영역 구성 -> 애플리케이션 경계 식별 -> 마이크로 세그먼트 구현 -> 컨텍스트를 통한 보안 구성 (애플리케이션 단 까지의 보안)
-> 보안은 NSX를 쓰는 큰 이유 중 하나
위 단계는 nsx이론 pdf 참고
'NSX 사내 교육' 카테고리의 다른 글
| NSX 설계 / ALB 기술 이론 교육 (0) | 2024.03.20 |
|---|