Azure VMware Solution 작동 방식
이제 Azure VMware Solution이 무엇이며 무엇을 할 수 있는지 알았으므로 Azure에서 어떻게 작동하는지 살펴보겠습니다.
공유 지원
온-프레미스 VMware 환경에서는 고객이 플랫폼을 실행하기 위해 모든 하드웨어 및 소프트웨어를 지원해야 합니다. Azure VMware Solution은 그렇지 않습니다. Microsoft는 고객을 위한 플랫폼을 유지 관리합니다. 고객이 관리하는 내용과 Microsoft에서 관리하는 것을 살펴보겠습니다.
다음 표의 경우: Microsoft manages = Blue, Customer manages = Grey
VMware와 협력하여 Microsoft는 VMware 소프트웨어(ESXi, vCenter 및 vSAN)의 수명 주기 관리를 다룹니다. Microsoft는 또한 NSX-T 어플라이언스의 수명 주기 관리 및 네트워크 구성 부트스트래핑을 위해 VMware와 함께 작동합니다. 계층 0 게이트웨이를 만들고 남북 라우팅을 사용하도록 설정하는 것을 포함합니다.
고객은 NSX-T SDN 구성을 담당합니다.
- 네트워크 세그먼트
- 분산 방화벽 규칙
- 계층 1 게이트웨이
- 부하 분산 장치
모니터링 및 수정
Azure VMware Solution은 기본 구성 요소와 VMware 구성 요소의 상태를 지속적으로 모니터링합니다. Azure VMware Solution이 실패를 탐지하면 실패한 구성 요소를 복구하는 작업을 수행합니다. Azure VMware Solution이 Azure VMware Solution 노드에서 성능 저하 또는 장애를 탐지하면 호스트 수정 프로세스를 트리거합니다.
호스트 수정에는 장애가 발생한 노드를 클러스터에서 새로운 정상 노드로 대체하는 작업이 포함됩니다. 그런 다음 가능한 경우 장애가 발생한 호스트를 VMware vSphere 유지 관리 모드로 전환합니다. VMware vMotion은 VM을 장애가 발생한 호스트에서 클러스터의 다른 사용 가능한 서버로 이동하여 워크로드의 실시간 마이그레이션으로 인한 가동 중지 시간을 최소화할 수 있습니다. 장애가 발생한 호스트를 유지 관리 모드로 전환할 수 없는 경우 호스트는 클러스터에서 제거됩니다.
Azure VMware Solution은 호스트에서 다음 상태를 모니터링합니다.
- 프로세서 상태
- 메모리 상태
- 연결 및 전원 상태
- 하드웨어 팬 상태
- 네트워크 연결 손실
- 하드웨어 시스템 보드 상태
- vSAN 호스트의 디스크에서 발생한 오류
- 하드웨어 전압
- 하드웨어 온도 상태
- 하드웨어 전원 상태
- 스토리지 상태
- 연결 실패
Azure의 프라이빗 클라우드, 클러스터 및 호스트
Azure VMware Solution은 vSphere 클러스터를 포함하는 프라이빗 클라우드를 제공합니다. 이러한 클러스터는 전용 운영 체제 미설치 Azure 호스트에서 빌드됩니다.
각 프라이빗 클라우드에는 동일한 vCenter 서버 및 NSX-T Manager에서 관리하는 여러 클러스터가 있을 수 있습니다. 프라이빗 클라우드는 Azure 구독 내에서 설치되고 관리됩니다. 구독 내의 프라이빗 클라우드 수는 스케일링 가능합니다. 처음에는 구독 당 하나의 프라이빗 클라우드로 제한됩니다.
생성된 각 프라이빗 클라우드에는 기본적으로 하나의 vSphere 클러스터가 있습니다. Azure Portal을 사용하거나 API를 사용하여 클러스터를 추가, 삭제 및 스케일링할 수 있습니다. Microsoft는 코어, 메모리 및 스토리지 요구 사항에 따라 노드 구성을 제공합니다. 지역에 적합한 노드 유형을 선택합니다. 가장 일반적인 선택은 AV36입니다.
최소 및 최대 노드 구성은 다음과 같습니다.
- 클러스터의 최소 3개 노드
- 클러스터의 최대 16개 노드
- Azure 프라이빗 클라우드에서 최대 12개의 클러스터
- Azure 프라이빗 클라우드에서 최대 96개의 노드
각 고급 호스트에는 576GB의 RAM과 이중 Intel 18코어, 2.3GHz 프로세서가 있습니다. 고급 호스트에는 15.20TB(SSD) 원시 vSAN 용량 계층 및 3.2TB(NVMe) vSAN 캐시 계층이 있는 두 개의 vSAN 디스크 그룹이 있습니다.
vSphere와 NSX-T Manager를 사용하여 클러스터 구성 또는 작업의 대부분의 측면을 관리합니다. 클러스터의 각 호스트에 대한 모든 로컬 스토리지는 vSAN이 제어합니다. 솔루션의 각 ESXi 호스트는 25Gbps NIC 4개, ESXi 시스템 트래픽용으로 프로비전된 NIC 2개 및 워크로드 트래픽용으로 프로비전된 2개의 NIC로 구성됩니다.
Azure VMware Solution에서 프라이빗 클라우드 클러스터의 새 배포에 사용되는 VMware 소프트웨어 버전은 다음과 같습니다.
| 소프트웨어 | 버전 |
|---|---|
| VMware vCenter Server | 7.0 U3c |
| ESXi | 7.0 U3c |
| vSAN | 7.0 U3c |
| vSAN 온디스크 형식 | 10 |
| HCX | 4.4.2 |
| VMware NSX-T 데이터 센터 참고: VMware NSX-T 데이터 센터는 유일하게 지원되는 NSX 데이터 센터 버전입니다. |
3.1.2 |
현재 지원되는 유일한 NSX 버전은 NSX-T입니다. 기존 프라이빗 클라우드에 새 클러스터를 추가하는 경우 현재 실행 중인 소프트웨어 버전이 적용됩니다.
Azure VMware Solution이 구독에 배포되면 Azure Monitor 로그가 자동으로 생성됩니다. Azure Monitor 로그를 사용하여 Azure VMware Solution 내의 가상 머신(VM) 패턴을 모니터링할 수 있습니다.
Azure의 상호 연결
Azure VMware Solution에 대한 프라이빗 클라우드 환경은 온-프레미스 및 Azure 기반 리소스에서 액세스할 수 있습니다. 다음 서비스는 상호 연결을 제공합니다.
- Azure ExpressRoute
- VPN 연결
- Azure 가상 WAN
다음 다이어그램에서는 Azure VMware Solution에 대한 ExpressRoute 및 ExpressRoute Global Reach 상호 연결 메서드를 보여 줍니다.
이러한 서비스를 사용하려면 특정 네트워크 주소 범위와 방화벽 포트가 필요합니다.
가상 네트워크당 4개의 ExpressRoute 회로 제한을 초과하지 않는 한 기존 ExpressRoute 게이트웨이를 사용하여 Azure VMware Solution에 연결할 수 있습니다. ExpressRoute를 통해 온-프레미스에서 Azure VMware Solution에 액세스하려면 ExpressRoute Global Reach가 있어야 합니다.
ExpressRoute Global Reach는 프라이빗 클라우드를 온-프레미스 환경에 연결하는 데 사용됩니다. 연결하려면 구독에서 온-프레미스에 연결되는 ExpressRoute 회로를 사용하는 가상 네트워크가 필요합니다. Azure VMware Solution에 대한 프라이빗 클라우드의 상호 연결에는 두 가지 옵션이 있습니다.
기본 Azure 전용 상호 연결을 사용하면 Azure의 단일 가상 네트워크로 프라이빗 클라우드를 관리하고 사용할 수 있습니다. 해당 구현은 온-프레미스 환경에서 액세스할 필요가 없는 Azure VMware Solution 평가 또는 구현에 가장 적합합니다.
온-프레미스와 프라이빗 클라우드 간의 전체 상호 연결은 기본 Azure 전용 구현을 확장하여 온-프레미스 환경과 Azure VMware Solution 프라이빗 클라우드 간의 상호 연결을 포함합니다.
프라이빗 클라우드를 배포하는 동안 관리, 프로비전 및 vMotion을 위한 개인 네트워크가 만들어집니다. 이러한 개인 네트워크는 vCenter 및 NSX-T 관리자에 대한 액세스와 가상 머신 vMotion 또는 배포에 사용됩니다.
프라이빗 클라우드 스토리지
Azure VMware Solution은 클러스터에 로컬인 완전하게 구성된 네이티브 플래시 vSAN 스토리지를 사용합니다. 클러스터의 각 호스트에 있는 모든 로컬 스토리지는 vSAN 데이터 저장소에서 사용되며, 미사용 데이터 암호화는 기본적으로 활성화됩니다.
모든 디스크 그룹은 호스트당 원시 SSD 기반 용량 15.4TB가 있는 1.6TB의 NVMe 캐시 계층을 사용합니다. vSphere 클러스터의 각 노드에 두 개의 디스크 그룹이 생성됩니다. 각 디스크 그룹에는 캐시 디스크 1개와 용량 디스크 3개가 포함됩니다. 모든 데이터 저장소는 프라이빗 클라우드 배포의 일부로 생성되며 즉시 사용할 수 있습니다.
정책은 vSphere 클러스터에 생성되고 vSAN 데이터 저장소에 적용됩니다. 이 정책은 필요한 서비스 수준을 보장하기 위해 데이터 저장소 내에서 VM 스토리지 개체가 프로비전 및 할당되는 방식을 결정합니다. 서비스 수준 계약을 유지하려면 vSAN 데이터 저장소에서 25%의 예비 용량을 유지 관리해야 합니다.
프라이빗 클라우드에서 실행되는 워크로드에서 Azure 스토리지 서비스를 사용할 수 있습니다. 다음 다이어그램에서는 Azure VMware Solution과 사용할 수 있는 사용 가능한 스토리지 서비스를 보여 줍니다.
보안 및 규정 준수
Azure VMware Solution 프라이빗 클라우드에서는 액세스 및 보안을 위해 vSphere 역할 기반 액세스 제어를 사용합니다. LDAP 또는 LDAPS를 사용하여 CLoudAdmin 역할로 Active Directory에서 사용자 및 그룹을 구성할 수 있습니다.
Azure VMware Solution에서 vCenter는 cloudadmin이라는 기본 제공 로컬 사용자를 cloudAdmin 역할에 할당합니다. cloudAdmin 역할에는 다른 VMware 클라우드 솔루션의 권한과 다른 vCenter 권한이 있습니다.
로컬 cloudadmin 사용자는 Active Directory 관리자가 Azure VMware Solution 사용자에게 권한을 부여할 수 있도록 ID 원본을 연결할 수 있습니다.
Azure VMware Solution 배포의 관리자는 관리자 사용자 계정에 액세스할 수 없습니다. 그러나 관리자는 vCenter의 cloudAdmin 역할에 Active Directory 사용자 및 그룹을 할당할 수 있습니다.
프라이빗 클라우드 사용자는 Microsoft에서 지원하고 관리하는 특정 관리 구성 요소에 액세스할 수 없으며 구성할 수 없습니다. 이러한 구성 요소의 예제로는 클러스터, 호스트, 데이터 저장소 및 분산 가상 스위치가 있습니다.
Azure VMware Solution은 기본적으로 켜져 있는 미사용 데이터 암호화를 사용하여 vSAN 스토리지 데이터 저장소에 대한 보안을 제공합니다. 암호화는 KMS(키 관리 서비스)를 기반으로 하며 키 관리를 위한 vCenter 작업을 지원합니다. 키는 암호화되어 저장되고 Azure Key Vault 마스터 키로 래핑됩니다. 클러스터에서 호스트를 제거하면 SSD의 데이터가 즉시 무효화됩니다. 다음 다이어그램에서는 Azure VMware Solution에 대한 암호화 키의 관계를 보여 줍니다.
Azure VMware Solution 배포의 단계
다음 표에서는 조직에서 Azure VMware Solution 사용을 시작하는 단계를 간략하게 설명합니다.
| Milestone | 단계 |
|---|---|
| 계획 | Azure VMware Solution 배포 계획: - 평가 - 할당량 요청 - 호스트 식별 - 크기 조정 및 연결 결정 |
| 배포 | Azure VMware Solution 배포 및 구성: - Microsoft.AVS 리소스 공급자 등록 - Azure VMware Solution 프라이빗 클라우드 만들기 - ExpressRoute를 사용하여 Azure Virtual Network에 연결 - 연결 유효성 검사 |
| 온-프레미스에 연결 | - 온-프레미스 ExpressRoute 회로에서 ExpressRoute 권한 부여 키 만들기 - 프라이빗 클라우드를 온-프레미스에 피어 - 온-프레미스 네트워크 연결 확인 |
| VMware HCX 배포 및 구성 | VMware HCX 배포 및 구성: - VMware HCX Connector OVA 다운로드 - 온-프레미스 VMware HCX OVA(VMware HCX Connector) 배포 - VMware HCX 커넥터 활성화 - 온-프레미스 VMware HCX Connector를 Azure VMware Solution HCX Cloud Manager와 페어링 - 상호 연결 구성(네트워크 프로필, 컴퓨팅 프로필 및 서비스 메시) - 어플라이언스 상태를 확인하고 마이그레이션이 가능한지 확인하여 설정 완료 |