안녕하세요
저희 회사가 이번에 구현하는 프로그램이 esxi 를통한 다수의 윈도우 vm 내에서 돌아가고 네트워크 가상화와 망분리 등을 구현해야 하는데
코딩만 하다보니 여러가지 밑천이 들어나는지라 여러 인프라 + 가상화 고수님들의 조언을 여쭙고자 합니다.
현재 대략적으로 이러한 시스템을 구상하고 있으며 개별 VM은 가상 nic가 두개씩 설치되 내부망 외부망(모든 vm이 모두 다른 공인 ip를 할당받음)
에 모두 연결됩니다.
설치된 client프로그램은 내부용 서버에 접속을해서 평소에는 내부망으로 tcp통신을 하고
때에따라 외부망으로 통신을 하게 됩니다
아 그리고 내부용 서버는 그림에 나와있지 않으나 우측상단 공유기에 연결되어 있습니다.
1.내부망 latecy(RTT) 를 줄일수 있는 방법이 있는지?
현재 내부용 서버와 개별 VM은 대략 1ms~2ms 정도가 나옵니다. 생각같아선 마이크로 세컨드 단위로
더 줄이고 싶은데 tcp 통신의 한계로 가능할런지 모르겠네요
UTP 선을 모두 최상급으로 교체(이건 대역폭과 관련있는 문제인것 같은데 latency 에도 영향을 주는지 궁금합니다.)
현행 쓰고있는 iptime 장비를 최고급형으로 교체(이것 역시 latency를 줄이는 것과 관련이 있을지 궁금합니다.)
2. 개별 vm은 사실상 WAN에 바로 물려있게 됩니다. vm 내부에 설치되는 윈도우에서 inbound 포트 개방은 없지만(저번에 올린 질문에 이 문제에 대해서 많은 논의를 해 주셨는데 너무 감사 드립니다) 그래도 좀 불안 불안해서
최소한의 대비만 하려고 하는데요 제가 아는선에서 솔루션은 이렇습니다.
ESXI_1 의 vm 하나에 pfSense 설치후(이하 pfsense_vm) pfsense_vm에 가상이더넷 카드(pfsense-WAN연결용 )를 전체 VM 갯수(7개)만큼 추가 시키고
vSwitch를 통해 받은 공인 ip 하나당 각각의 NAT를 구성한뒤 pfsense-vm 연결용 가상이더넷카드4개(같은 esxi_1 내부 vm 3개, esxi_2 와 연결 시키기 위해 한개) 를 통해 나머지 vm 들과 연결 한다.(물론 이렇게 되면 그림과 달리 외부망에서 바로 esxi_2 와 연결은 안하게되고 esxi_1은 물리 랜카드 3개를 가져야 함)
인데 뭔가 미개한것 같기도 하고 해서 뭔가 이것보다 우아한 해결책이 있으면 조언 부탁드립니다
3.vm 내부 윈도우의 라우팅 문제. 만약 내부망이 192.168.0.0/24 대역을 가지고 있고 내부용 서버가 192.168.0.10/24 이라면 내부망 통신은
192.168.0.0/24 대역에서만 하기를 원하고, 그외에는 모두 외부망을 통해야 합니다.
제가 아는선 에서는 스크립트를 등록해서 PBR 세팅을 통하는것 밖에 없는데요 지금은 괜찮지만 머신 대수를 많이 늘릴수도 있어서 그런데
PBR스크립트를 짜서 시작프로그램으로 등록하는 방법밖에는 없는건가요?
내부용 서버는 그림에 나와있지 않으나 우측상단 공유기에 연결되어 인터넷 통신이 가능합니다.
제가 써놓고도 잘 못알아 먹겠네요 코딩쟁이의 한계를 너그러이 이해해 주시고 많은 지도 편달 부탁드립니다
ÀϹÝÀûÀ¸·Î ÆÐŶÀÌ Ä¿³Î ³»ºÎ¸¦ Åë°úÇÏ´Â µ¥ ½Ã°£ÀÌ ¸¹ÀÌ °É¸°´Ù°í »ý°¢ÇÏ´Â °æÇâÀÌ ÀÖÀ¸³ª, ½ÇÁ¦·Ð ±×·¸Áö ¾Ê½À´Ï´Ù. °¡»óÈ È¯°æÀ̱⠶§¹®¿¡ Æ©´×ÀÌ º¸´Ù ¾î·Á¿ï °Í °°±¸¿ä.
¼ÒÇÁÆ®¿þ¾î¿Í Ä¿³Î ¼öÁ¤ ¾øÀÌ ·¹ÀÌÅϽø¦ °³¼±ÇÏ´Â °Í¿¡´Â SR-IOV »ç¿ë°ú ÀúÁö¿¬ ½ºÀ§Ä¡ »ç¿ëÀÌ µµ¿òÀÌ µÉ ¼ö ÀÖ½À´Ï´Ù.
2. »ó´Ü¿¡ ¹æȺ®À» Ãß°¡ÇÏ´Â °ÍÀÌ °¡Àå ÁÁ½À´Ï´Ù. ¸¸, Çö½ÇÀûÀ¸·Î ¾î·Æ´Ù¸é ¹æȺ®À» VMÀ¸·Î ¿Ã·Á¾ß Çϴµ¥, ÇöÀçÀÇ ±¸¼º¿¡¼ N°³ÀÇ VMÀÌ ÀÖ´Ù°í PFSense°¡ N°³ÀÇ Æ÷Æ®¸¦ °¡Á®¾ß ÇÒ ÇÊ¿ä´Â ¾ø½À´Ï´Ù. µ¿ÀÏ vSwitch¿¡ À§Ä¡Çϱ⸸ Çϸé OK
3. NAT¸¦ ÅëÇØ ¿ÜºÎ¸Á°ú ¿¬°áµÈ´Ù´Â ÀüÁ¦ ÇÏ¿¡, VM¿¡ 2°³ÀÇ vNICÀ» ¿¬°áÇÏ°í, ¿ÜºÎ¸Á NATÀÇ IP ´ë¿ªÀ» ºÐ¸®(192.168.10.0/24 µî)ÇÏ°í ÀÌÂÊÀ» Default Route·Î ÁöÁ¤, ³»ºÎ¸Á¿¡ ´ëÇÑ ¶ó¿ìÆà °æ·Î¸¦ Ãß°¡ÇØÁÖ´Â °ÍÀÌ °¡Àå ±ò²ûÇØ º¸ÀÔ´Ï´Ù.
1.À©µµ¿ì ÀÀ¿ëÇÁ·Î±×·¥¿¡¼ ÃøÁ¤ÇÏ´Â ±âÁØÀÔ´Ï´Ù 1-way latency ¸¦ ¾î¶»°Ô Á¤È®È÷ ÃøÁ¤Çϳª °í¹ÎÇÏ¿´°í, tcp ¼ÒÄÏÇÁ·Î±×·¡¹Ö ÀÛ¼ºÈÄ client°¡ ÀÏ´Ü Á¢¼ÓÀ» Çѵڿ¡
server·Î ÆÐŶÀ» º¸³»±â Á÷Àü chrono·Î micosecond Á¤È®µµ start timestamp üũ ÇÏ¿´°í server´Â ¹ÞÀÚ¸¶ÀÚ ¹Ù·Î µ¹·Á º¸³½µÚ client°¡ ´Ù½Ã ¹Þ¾Æ¼ ´Ù½Ã end timestamp¸¦ ÃøÁ¤ÇÑ °á°ú end -start 2~4ms°¡ ³ª¿Â°É È®ÀÎÈÄ À̸¦ 1/2 ÇÑ °á°ú·Î ¿¹Ãø ÇÏ¿´½À´Ï´Ù. ÀÏ´ÜÀº ¾îÇø®ÄÉÀÌ¼Ç ¿µ¿ª¿¡¼ ÇϳªÀÇ ³ëµå¿¡¼ º¸³½ ÆÐŶÀ» ÃÖ´ëÇÑ »¡¸® ´Ù¸¥ ³ëµå¿¡¼ ¹Þ±â¸¦ ¿øÇÕ´Ï´Ù.
2. ¹æȺ®À» VMÀ¸·Î ¿Ã·Á¾ß Çϴµ¥, ÇöÀçÀÇ ±¸¼º¿¡¼ N°³ÀÇ VMÀÌ ÀÖ´Ù°í PFSense°¡ N°³ÀÇ Æ÷Æ®¸¦ °¡Á®¾ß ÇÒ ÇÊ¿ä´Â ¾ø½À´Ï´Ù. µ¿ÀÏ vSwitch¿¡ À§Ä¡Çϱ⸸ Çϸé OK
-> ÀÌÀǹ̰¡ WAN-pfsense ¿¬°á¿ëÀº vNIC N°³¸¦ °®Ãß¾î¾ß ÇÑ´Ù + WAN-´Ù¸¥vm Àº µ¿ÀÏ vSwitch À̱⸸ Çϸé OK ÀÌ ÀÇ¹Ì Àΰ¡¿ä?
¾Æ´Ï¸é WAN-pfsense ¿¬°á¿ëµµ vNIC Çϳª + WAN-´Ù¸¥vm Àº µ¿ÀÏ vSwitch À̱⸸ Çϸé OK ÀÌ ÀÇ¹Ì Àΰ¡¿ä
µÎ¹ø°¶ó¸é vSwitch ¸¦ ÅëÇؼ °¢ ¾ÆÀÌÇǸ¦ ÇÒ´ç ¹Þ¾Æ¾ß Çϴµ¥ pfSense°¡ vnic Çϳª·Î °øÀξÆÀÌÇÇ ¿©·¯°³¸¦ ¹ÞÀ»¼ö°¡ ÀÖ³ª¿ä?
2. Public IP¿Í VMÀÌ 1:1·Î ¿¬°áµÇ¾î¾ß ÇÑ´Ù¸é macvlan+PBRÀÌ ÃÖ¼±ÀÔ´Ï´Ù. ¸®´ª½º ȯ°æÀ̾î¾ß ÇϹǷΠpfsense ´ë½Å Vyatta¸¦ »ç¿ëÇØ¾ß ÇÕ´Ï´Ù. ¾î´À ÂÊÀ̵ç È®À强 ¹®Á¦°¡ ÀÖ½À´Ï´Ù. ¸¸¾à Ÿ°Ù ¾ÖÇø®ÄÉÀ̼ÇÀÌ Stateless ApplicationÀ̶ó¸é N:N NAT¸¦ °í·ÁÇØ º¼ ¼öµµ ÀÖÀ¸³ª, Çö½ÇÀûÀ¸·Î´Â ¾î·ÆÁö ¾ÊÀ»±î »ý°¢ÇÕ´Ï´Ù. °ü¸® ÆíÀǼºÀ» °í·ÁÇϸé ISP·ÎºÎÅÍ IP BlockÀ» ÇÒ´ç¹ÞÀº µÚ »ó´Ü¿¡ ¹æȺ®À» ºÙÀÌ´Â °ÍÀÌ ÁÁ½À´Ï´Ù.
Ȥ½Ã ¹æȺ® Ãßõ ÇÏ½Ã°í ½ÍÀº »óÇ°ÀÌ ÀÖÀ¸½ÅÁö¿ä vm ÀÇ ¼ýÀÚÀÇ ¾à 20~40°³ Á¤µµ »ý°¢ÇÏ°í ÀÖÀ¸¸ç Æ®·¡ÇÈÀÇ ¾çÀº Å©Áö ¾Ê½À´Ï´Ù
2. Àιٿîµå Æ÷¿öµùÇÒÀÏ ¾ø´Ù¸é °øÀ¯±âÂÊ¿¡ ¹°¸®¼¼¿ä
¾Æ´Ï¸é ÀûÀ¸½Å´ë·Î ¶ó¿ìÅÍ°è¿ µ¹·Áµµ µË´Ï´Ù
´Ù¸¸ ±»ÀÌ ÀÏÀÏÈ÷ 1:1 ¸ÅĪÇØÁÙ ÇÊ¿ä¾øÀÌ °¡»ó NIC 2°³¸¸ ´Þ°í, LAN¿ë NIC¸¦ °¡»ó ½ºÀ§Ä¡¿¡ ¹°¸®°í, ±×°É VMÀ̶û °°ÀÌ ½áµµ µË´Ï´Ù
3. Route Ãß°¡½Ã ¼ºê³Ý ´ÜÀ§µµ °¡´ÉÇÒ²«µ¥¿ä?
ÀúÁö¿¬ Àåºñ¸¦ °ËÅäÇØ¾ß ÇÒ°Í °°½À´Ï´Ù ¤Ð
ssd ¿©·¯°³ raid 0 ÇϽÉÀÌ ?