esxi를 활용한 내부망 구성 관련하여 고수님들께 질문을 구하고 싶습니다.

가상화 more

검색 목록

쓰기

esxi를 활용한 내부망 구성 관련하여 고수님들께 질문을 구하고 싶습니다.

검은블랙

2021-08

2021-08-25 15:51:51

조회 2967 추천 0

 안녕Ȣ16;세요 

1200;7148; 회사가 1060;번에 구현Ȣ16;ǉ16; 프/196;그ǖ16;1060; esxi 를통한 다수1032; 윈도우 vm 내에서 돌아가고 네트워크 가상화와 ኖ1;ǥ16;리 መ1;1012; 구현해야 Ȣ16;ǉ16;데

코딩만 Ȣ16;다보니 여러가1648; 0145;천1060; 들Ǻ12;나ǉ16;1648;라 여러 1064;프라 + 가상화 고수님들1032; 1312;Ǻ16;1012; 여쭙고1088; 합니다.

현1116; 대략1201;1004;/196; 1060;러한 시스템1012; 구상Ȣ16;고 1080;1004;며 개별 VM1008; 가상 nic가 .160;개씩 설치.104; 내ǥ12;ኖ1; 외ǥ12;ኖ1;(모든 vm1060; 모.160; 다른 공1064; ip를 할Ǌ17;0155;1020;)

에 모.160; 연결.121;니다.

 설치.108; client프/196;그ǖ16;1008;  내ǥ12;용 서버에 1217;속1012;해서 Ȟ17;소에ǉ16; 내ǥ12;ኖ1;1004;/196; tcp통신1012; Ȣ16;고

ǐ12;에따라 외ǥ12;ኖ1;1004;/196; 통신1012; Ȣ16;,172; .121;니다

아 그리고 내ǥ12;용 서버ǉ16; 그림에 나와1080;1648; 않1004;나 우측상단 공유기에 연결.104;Ǻ12; 1080;습니다.

1.내ǥ12;ኖ1; latecy(RTT) 를 1460;1068;수 1080;ǉ16; 0169;법1060; 1080;ǉ16;1648;? 

 현1116; 내ǥ12;용 서버와 개별 VM1008; 대략 1ms~2ms 1221;도가 나Ꮢ1;니다. 생각같아선 마1060;크/196; 세컨드 단위/196; 

  더 1460;1060;고 ǳ10;1008;데 tcp 통신1032; 한계/196; 가능할런1648; 모르,192;네요

 UTP 선1012; 모.160; 최상급1004;/196; 교체(1060;,148; 대역폭과 관/144;1080;ǉ16; 문1228;1064;,163; 같1008;데 latency 에도 영향1012; 1452;ǉ16;1648; Ƽ17;금합니다.)

 현행 Ǹ16;고1080;ǉ16; iptime 1109;비를 최고급형1004;/196; 교체(1060;,163; 역시 latency를 1460;1060;ǉ16; ,163;과 관/144;1060; 1080;1012;1648; Ƽ17;금합니다.)

2. 개별 vm1008; 사실상 WAN에 0148;/196; 물/140;1080;,172; .121;니다. vm 내ǥ12;에 설치.104;ǉ16; 윈도우에서 inbound 포트 개0169;1008; 없1648;만(1200;번에 올린 1656;문에 1060; 문1228;에 대해서 많1008; 논1032;를 해 1452;ǯ12;ǉ16;데 너무 감사 드립니다) 그래도 1328; 불안 불안해서 

 최소한1032; 대비만 Ȣ16;/140;고 Ȣ16;ǉ16;데요 1228;가 아ǉ16;선에서 솔루션1008; 1060;/111;습니다.

 ESXI_1 1032; vm Ȣ16;나에 pfSense 설치후(1060;Ȣ16; pfsense_vm)  pfsense_vm에 가상1060;더넷 카드(pfsense-WAN연결용 )를 1204;체 VM 갯수(7개)만큼 추가 시Ȗ12;고 

 vSwitch를 통해 0155;1008; 공1064; ip Ȣ16;나Ǌ17; 각각1032; NAT를 구성한뒤  pfsense-vm 연결용 가상1060;더넷카드4개(같1008; esxi_1 내ǥ12; vm 3개, esxi_2 와 연결 시Ȗ12;기 위해 한개) 를 통해 나머1648; vm 들과 연결 한다.(물론 1060;/111;,172; .104;면 그림과 달리 외ǥ12;ኖ1;에서 0148;/196; esxi_2 와 연결1008; 안Ȣ16;,172;.104;고  esxi_11008; 물리 랜카드 3개를 가1256;야 함)

 1064;데 뭔가 0120;개한,163; 같기도 Ȣ16;고 해서 뭔가 1060;,163;보다 우아한 해결책1060; 1080;1004;면 1312;Ǻ16; ǥ12;ᓠ1;드립니다 

3.vm 내ǥ12; 윈도우1032; 라우ᔚ1; 문1228;. 만약 내ǥ12;ኖ1;1060; 192.168.0.0/24 대역1012; 가1648;고 1080;고 내ǥ12;용 서버가 192.168.0.10/24  1060;라면 내ǥ12;ኖ1; 통신1008; 

  192.168.0.0/24  대역에서만 Ȣ16;기를 원Ȣ16;고, 그외에ǉ16; 모.160; 외ǥ12;ኖ1;1012; 통해야 합니다. 

 1228;가 아ǉ16;선 에서ǉ16; 스크립트를 መ1;/197;해서  PBR 세ᔚ1;1012; 통Ȣ16;ǉ16;,163; 0150;에 없ǉ16;데요 1648;금1008; ƻ16;찮1648;만 머신 대수를 많1060; 늘릴수도 1080;Ǻ12;서 그런데

 PBR스크립트를 1676;서 시1089;프/196;그ǖ16;1004;/196; መ1;/197;Ȣ16;ǉ16;  0169;법0150;에ǉ16; 없ǉ16;,148;가요?

  내ǥ12;용 서버ǉ16; 그림에 나와1080;1648; 않1004;나 우측상단 공유기에 연결.104;Ǻ12; 1064;터넷 통신1060; 가능합니다.

1228;가 써놓고도 1096; 못알아 먹,192;네요 코딩1137;1060;1032; 한계를 너그러1060; 1060;해해 1452;시고 많1008; 1648;도 편달 ǥ12;ᓠ1;드립니다

짧은글 일수록 신중하게.



송주환 2021-08 1. 왜 Low latency 특성이 필요한지를 먼저 말씀해 주셔야 할 것 같습니다. RTT는 측정 방법에 따라 얼마든지 달라질 수 있기 때문에, 요구사항을 먼저 정의하고, 그 요구사항에 적합한 측정 방식을 고안하고, 충분한 샘플을 수집한 다음 평가를 진행하야 합니다. 단순히 'ping을 날렸더니 RTT가 몇이 찍히더라' 라는 말은 SLA 달성에 도움이 되지 않습니다. 일반적으로 패킷이 커널 내부를 통과하는 데 시간이 많이 걸린다고 생각하는 경향이 있으나, 실제론 그렇지 않습니다. 가상화 환경이기 때문에 튜닝이 보다 어려울 것 같구요. 소프트웨어와 커널 수정 없이 레이턴시를 개선하는 것에는 SR-IOV 사용과 저지연 스위치 사용이 도움이 될 수 있습니다. 2. 상단에 방화벽을 추가하는 것이 가장 좋습니다. 만, 현실적으로 어렵다면 방화벽을 VM으로 올려야 하는데, 현재의 구성에서 N개의 VM이 있다고 PFSense가 N개의 포트를 가져야 할 필요는 없습니다. 동일 vSwitch에 위치하기만 하면 OK 3. NAT를 통해 외부망과 연결된다는 전제 하에, VM에 2개의 vNIC을 연결하고, 외부망 NAT의 IP 대역을 분리(192.168.10.0/24 등)하고 이쪽을 Default Route로 지정, 내부망에 대한 라우팅 경로를 추가해주는 것이 가장 깔끔해 보입니다. 1. 왜 Low latency 특성이 필요한지를 먼저 말씀해 주셔야 할 것 같습니다. RTT는 측정 방법에 따라 얼마든지 달라질 수 있기 때문에, 요구사항을 먼저 정의하고, 그 요구사항에 적합한 측정 방식을 고안하고, 충분한 샘플을 수집한 다음 평가를 진행하야 합니다. 단순히 'ping을 날렸더니 RTT가 몇이 찍히더라' 라는 말은 SLA 달성에 도움이 되지 않습니다. 일반적으로 패킷이 커널 내부를 통과하는 데 시간이 많이 걸린다고 생각하는 경향이 있으나, 실제론 그렇지 않습니다. 가상화 환경이기 때문에 튜닝이 보다 어려울 것 같구요. 소프트웨어와 커널 수정 없이 레이턴시를 개선하는 것에는 SR-IOV 사용과 저지연 스위치 사용이 도움이 될 수 있습니다. 2. 상단에 방화벽을 추가하는 것이 가장 좋습니다. 만, 현실적으로 어렵다면 방화벽을 VM으로 올려야 하는데, 현재의 구성에서 N개의 VM이 있다고 PFSense가 N개의 포트를 가져야 할 필요는 없습니다. 동일 vSwitch에 위치하기만 하면 OK 3. NAT를 통해 외부망과 연결된다는 전제 하에, VM에 2개의 vNIC을 연결하고, 외부망 NAT의 IP 대역을 분리(192.168.10.0/24 등)하고 이쪽을 Default Route로 지정, 내부망에 대한 라우팅 경로를 추가해주는 것이 가장 깔끔해 보입니다.



후리부야 2021-08 답변 감사합니다. 1.윈도우 응용프로그램에서 측정하는 기준입니다 1-way latency 를 어떻게 정확히 측정하나 고민하였고, tcp 소켓프로그래밍 작성후 client가 일단 접속을 한뒤에 server로 패킷을 보내기 직전 chrono로 micosecond 정확도 start timestamp 체크 하였고 server는 받자마자 바로 돌려 보낸뒤 client가 다시 받아서 다시 end timestamp를 측정한 결과 end -start 2~4ms가 나온걸 확인후 이를 1/2 한 결과로 예측 하였습니다. 일단은 어플리케이션 영역에서 하나의 노드에서 보낸 패킷을 최대한 빨리 다른 노드에서 받기를 원합니다. 2. 방화벽을 VM으로 올려야 하는데, 현재의 구성에서 N개의 VM이 있다고 PFSense가 N개의 포트를 가져야 할 필요는 없습니다. 동일 vSwitch에 위치하기만 하면 OK -> 이의미가 WAN-pfsense 연결용은 vNIC N개를 갖추어야 한다 + WAN-다른vm 은 동일 vSwitch 이기만 하면 OK 이 의미 인가요? 아니면 WAN-pfsense 연결용도 vNIC 하나 + WAN-다른vm 은 동일 vSwitch 이기만 하면 OK 이 의미 인가요 두번째라면 vSwitch 를 통해서 각 아이피를 할당 받아야 하는데 pfSense가 vnic 하나로 공인아이피 여러개를 받을수가 있나요? 답변 감사합니다. 1.윈도우 응용프로그램에서 측정하는 기준입니다 1-way latency 를 어떻게 정확히 측정하나 고민하였고, tcp 소켓프로그래밍 작성후 client가 일단 접속을 한뒤에 server로 패킷을 보내기 직전 chrono로 micosecond 정확도 start timestamp 체크 하였고 server는 받자마자 바로 돌려 보낸뒤 client가 다시 받아서 다시 end timestamp를 측정한 결과 end -start 2~4ms가 나온걸 확인후 이를 1/2 한 결과로 예측 하였습니다. 일단은 어플리케이션 영역에서 하나의 노드에서 보낸 패킷을 최대한 빨리 다른 노드에서 받기를 원합니다. 2. 방화벽을 VM으로 올려야 하는데, 현재의 구성에서 N개의 VM이 있다고 PFSense가 N개의 포트를 가져야 할 필요는 없습니다. 동일 vSwitch에 위치하기만 하면 OK -> 이의미가 WAN-pfsense 연결용은 vNIC N개를 갖추어야 한다 + WAN-다른vm 은 동일 vSwitch 이기만 하면 OK 이 의미 인가요? 아니면 WAN-pfsense 연결용도 vNIC 하나 + WAN-다른vm 은 동일 vSwitch 이기만 하면 OK 이 의미 인가요 두번째라면 vSwitch 를 통해서 각 아이피를 할당 받아야 하는데 pfSense가 vnic 하나로 공인아이피 여러개를 받을수가 있나요?



송주환 2021-08 1. Windows에서 low latency를 달성하는 것은 어렵습니다. 무슨 수를 써서든 레이턴시를 낮춰야만 한다면 RDMA를 사용하는 것을 고려할 수 있습니다. 2. Public IP와 VM이 1:1로 연결되어야 한다면 macvlan+PBR이 최선입니다. 리눅스 환경이어야 하므로 pfsense 대신 Vyatta를 사용해야 합니다. 어느 쪽이든 확장성 문제가 있습니다. 만약 타겟 애플리케이션이 Stateless Application이라면 N:N NAT를 고려해 볼 수도 있으나, 현실적으로는 어렵지 않을까 생각합니다. 관리 편의성을 고려하면 ISP로부터 IP Block을 할당받은 뒤 상단에 방화벽을 붙이는 것이 좋습니다. 1. Windows에서 low latency를 달성하는 것은 어렵습니다. 무슨 수를 써서든 레이턴시를 낮춰야만 한다면 RDMA를 사용하는 것을 고려할 수 있습니다. 2. Public IP와 VM이 1:1로 연결되어야 한다면 macvlan+PBR이 최선입니다. 리눅스 환경이어야 하므로 pfsense 대신 Vyatta를 사용해야 합니다. 어느 쪽이든 확장성 문제가 있습니다. 만약 타겟 애플리케이션이 Stateless Application이라면 N:N NAT를 고려해 볼 수도 있으나, 현실적으로는 어렵지 않을까 생각합니다. 관리 편의성을 고려하면 ISP로부터 IP Block을 할당받은 뒤 상단에 방화벽을 붙이는 것이 좋습니다.



후리부야 2021-08 감사합니다 관리의 용이성 측면에서도 그냥 물리방화벽을 두는게 좋을것 같네요 혹시 방화벽 추천 하시고 싶은 상품이 있으신지요 vm 의 숫자의 약 20~40개 정도 생각하고 있으며 트래픽의 양은 크지 않습니다 감사합니다 관리의 용이성 측면에서도 그냥 물리방화벽을 두는게 좋을것 같네요 혹시 방화벽 추천 하시고 싶은 상품이 있으신지요 vm 의 숫자의 약 20~40개 정도 생각하고 있으며 트래픽의 양은 크지 않습니다



송주환 2021-08 소규모 환경에서는 Fortigate 제품의 가성비가 좋습니다. 소규모 환경에서는 Fortigate 제품의 가성비가 좋습니다.



dateno1 2021-08 1. 경험상 저렇게 가상 스위치 거치면 1ms 이하는 좀 힘들꺼에요 2. 인바운드 포워딩할일 없다면 공유기쪽에 물리세요 아니면 적으신대로 라우터계열 돌려도 됩니다 다만 굳이 일일히 1:1 매칭해줄 필요없이 가상 NIC 2개만 달고, LAN용 NIC를 가상 스위치에 물리고, 그걸 VM이랑 같이 써도 됩니다 3. Route 추가시 서브넷 단위도 가능할껀데요? 1. 경험상 저렇게 가상 스위치 거치면 1ms 이하는 좀 힘들꺼에요 2. 인바운드 포워딩할일 없다면 공유기쪽에 물리세요 아니면 적으신대로 라우터계열 돌려도 됩니다 다만 굳이 일일히 1:1 매칭해줄 필요없이 가상 NIC 2개만 달고, LAN용 NIC를 가상 스위치에 물리고, 그걸 VM이랑 같이 써도 됩니다 3. Route 추가시 서브넷 단위도 가능할껀데요?



후리부야 2021-08 감사합니다. 저지연 장비를 검토해야 할것 같습니다 ㅠ 감사합니다. 저지연 장비를 검토해야 할것 같습니다 ㅠ



감자 2021-08 내부망 40G나 10G로 연결하시고 ssd 여러개 raid 0 하심이 ? 내부망 40G나 10G로 연결하시고 ssd 여러개 raid 0 하심이 ?

로그인 하시면 댓글을 남길 수 있습니다

검색 목록

쓰기

QnA

쓰기

336/420

번호	제목Page 336/420	글쓴이	날짜	조회	추천
1687	노트북에 웹캠이 없네요.. 웹캠 추천 부탁드립니다. ㅠ (5)	고양시	2021-09	1771	0
노트북에 웹캠이 없네요.. 웹캠 추천 부탁… (5) 2021-09 1771 1 고양시
1686	Dell T3610에 NVME M.2 to PCIe 컨버터 사용해서 SSD 사용가능할까요? (2)	Ocean	2020-09	3720	0
Dell T3610에 NVME M.2 to PCIe 컨버터 사… (2) 2020-09 3720 1 Ocean
1685	VirtualBox 사용시 노트북 인텔 11세대 VS 라이젠 5 어느게 낳을까요? (5)	조일권	2021-09	2239	0
VirtualBox 사용시 노트북 인텔 11세대 VS… (5) 2021-09 2239 1 조일권
1684	문의드립니다. (1)	하늘바다	2020-09	2398	0
문의드립니다. (1) 2020-09 2398 1 하늘바다
1683	ide hdd 용량 수정하는 방법 문의드립니다. (1)	임종열	2021-09	1742	0
ide hdd 용량 수정하는 방법 문의드립니다. (1) 2021-09 1742 1 임종열
1682	리눅스가 설치되어 있는 SSD 백업 방법 (6)	이희주	2020-09	4573	0
리눅스가 설치되어 있는 SSD 백업 방법 (6) 2020-09 4573 1 이희주
1681	ADAPTEC 6805T 해놀 설치 안되나보네요.;; (7)	묵향ll김기준	2021-09	1932	0
ADAPTEC 6805T 해놀 설치 안되나보네요.;; (7) 2021-09 1932 1 묵향ll김기준
1680	uefi 통한 pxe 부팅시 발생하는 오류의 이유을 알고 싶습니다. (7)	pu4ro	2020-09	4613	0
uefi 통한 pxe 부팅시 발생하는 오류의 이… (7) 2020-09 4613 1 pu4ro
1679	NAS 궁금한 점이 있습니다. (4)	wguardian	2021-09	1757	0
NAS 궁금한 점이 있습니다. (4) 2021-09 1757 1 wguardian
1678	PC 내부케이블 개조시 쇼트나면 부품이 다 죽어버리나요?? (15)	nbog	2020-09	3533	0
PC 내부케이블 개조시 쇼트나면 부품이 다… (15) 2020-09 3533 1 nbog
1677	가정에서 공유기를 안쓰고 리눅스 서버로 sw방화벽 dns 및 미디어 캐시서버 l4 스위… (18)	겨울나무	2021-09	2320	0
가정에서 공유기를 안쓰고 리눅스 서버로 … (18) 2021-09 2320 1 겨울나무
1676	이 제품 CPU 업그레이드가 가능한지요? (5)	epage	2020-09	2958	0
이 제품 CPU 업그레이드가 가능한지요? (5) 2020-09 2958 1 epage
1675	USB Memory에서 자동 프로그램 설치 방법 아시는분? (7)	박현문	2021-08	1755	0
USB Memory에서 자동 프로그램 설치 방법 … (7) 2021-08 1755 1 박현문
1674	특정 이미지에서 배경이 없는 여러 부분만 크롭하는 방법이 없을까요? (3)	영산회상	2020-09	2595	0
특정 이미지에서 배경이 없는 여러 부분만… (3) 2020-09 2595 1 영산회상
1673	통신단자함을 이용하여 방 랜포트 살리기(그림 있습니다!) 간단합니다 부탁드려요 ㅠ… (40)	wndehrgla	2021-08	15714	0
통신단자함을 이용하여 방 랜포트 살리기(… (40) 2021-08 15714 1 wndehrgla
1672	나스 여러대 사용 중 dsm로그인은 1대만 되는 현상 (4)	링고스타	2020-09	2824	0
나스 여러대 사용 중 dsm로그인은 1대만 … (4) 2020-09 2824 1 링고스타
1671	3mps 속도 어떻게 생각하세요?? (8)	공백기	2021-08	2531	0
3mps 속도 어떻게 생각하세요?? (8) 2021-08 2531 1 공백기
1670	공유폴더 암호설정 방법 (6)	pibang	2020-09	3184	0
공유폴더 암호설정 방법 (6) 2020-09 3184 1 pibang
1669	HPE iLO 라이센스에 유효기간이 있나요? (5)	미친감자	2021-08	2847	0
HPE iLO 라이센스에 유효기간이 있나요? (5) 2021-08 2847 1 미친감자
1668	[ MIKROTIK ] 신/구제품간 사양 비교 - rb962 vs audience vs rb2011 (5)	전설속의미…	2020-09	2685	0
[ MIKROTIK ] 신/구제품간 사양 비교 - rb… (5) 2020-09 2685 1 전설속의미…