[번역] Introducing vSphere 7: Features & Technology for the Hybrid Cloud

출처 : https://blogs.vmware.com/vsphere/2020/03/vsphere-7-features.html

2020년 3월 10일, VMware는 vSphere 7을 발표했으며, 하이브리드 클라우드를 위한 진정한 기술인 이유를 최종적으로 설명할 수 있게 되어 매우 기쁘다! 만약 vSphere 7의 개요를 제공하는 크리시 프라사드의 출시 게시물을 아직 읽지 않았다면, 거기서 시작하는 것을 추천하고 싶다. 그런 다음 vSphere 7 기능 목록의 포장을 해제할 아래를 계속하십시오. 하지만 이건 엄청난 양의 발표고, 우리는 그 발표의 핵심 영역에서 자세한 내용을 다룰 것이다. 많은 새로운 기능들이 있으며, 우리는 앞으로 모든 새로운 주제와 기능에 대해 훨씬 더 상세하게 설명될 블로그 게시물들을 많이 보유하고 있으므로 더 많은 정보를 위해 vSphere 블로그에 계속 관심을 갖기 바란다.

vSphere7Features-1536x681.png

쿠버네티스가 포함된 vSphere

vSphere 7의 첫 번째 기능은 vSphere with Kubernetes(이전의 Project Pacific)이다. 이것은 큰 주제이며 우리는 VM과 컨테이너를 모두 지원하기 위해 vSphere가 어떻게 변화했는지에 대해 더 자세히 설명하기 위해 계획된 많은 컨텐츠를 가지고 있다. 크리쉬가 언급했듯이 Tanzu Kubernetes Grid Service는 고객이 vSphere를 완벽하게 준수하고 준수하는 Kubernetes를 실행할 수 있는 방법이다. 그러나 오픈 소스 프로젝트를 완벽하게 준수할 필요가 없는 경우 vSphere 포드 서비스는 VM와 같은 분리를 통해 최적화된 성능과 향상된 보안을 제공할 수 있다. 이 두 가지 옵션은 모두 VMware Cloud Foundation 4를 통해 이용할 수 있다.

중요한 이점은 개발자들이 현대적인 애플리케이션을 만들기 위해 사용했던 것과 동일한 업계 표준 툴과 인터페이스를 계속 사용할 수 있도록 하는 vSphere에 쿠버네티스가 내장되어 있다는 것이다. 또한 vSphere 관리자는 vSphere에서 개발한 것과 동일한 툴과 기술을 사용하여 Kubernetes 인프라스트럭처를 관리하는 데 도움을 줄 수 있기 때문에 이점도 있다. 이러한 두 세계를 연결하기 위해 우리는 네임스페이스라는 새로운 vSphere 구조를 도입하여 vSphere 관리자가 애플리케이션 중심 접근 방식을 지원하는 논리적 리소스, 사용 권한 및 정책 집합을 생성할 수 있도록 지원했다.

vSphere-with-Kubernetes-101-e1583865494335-768x444.png

쿠버네티스가 레이더에 잡히지 않는다면, 우리는 이번 출시에서 여전히 많은 새롭고 개선된 기능들을 가지고 있다. 사실, 우리는 가장 성숙된 두 가지 기술인 DRS와 vMotion을 위해 앞으로 큰 발걸음을 내디뎠다. 네임스페이스 외에도, 우리는 논의할 새로운 기능들이 꽤 있다.

DRS(Distributed Resource Scheduler) 향상

vSphere DRS는 컨테이너와 VM 둘 다 더 나은 서비스를 제공하도록 재구성되었다. DRS는 클러스터 상태에 초점을 맞추었고 알고리즘은 클러스터 전체의 균형에 도움이 될 때 vMotion을 권장할 것이다. 이것은 DRS가 클러스터 전체 표준 편차 모델을 사용하여 클러스터 균형을 달성하는 것을 의미했다.

DRS2-768x385.png

그러나 개별 VM은 어떤가? 이 vMotion이 이동된 VM에 어떤 영향을 미칠까? 이전 또는 새로운 인접 네트워크일까? 새로운 DRS 논리는 이러한 질문을 다루는 매우 다른 접근방식을 취한다. 호스트에서 VM DRS 점수를 계산하고 VM을 가장 높은 VM DRS 점수를 제공하는 호스트로 이동한다. 이전 DRS 버전과 가장 큰 차이점은 호스트 로드의 균형을 더 이상 유지하지 않는다는 것이다. 이는 DRS가 ESXi 호스트 사용률에 대해 덜 신경을 쓰고 VM의 "행복"에 우선 순위를 부여한다는 것을 의미한다. 또한 VM DRS 점수는 매 분마다 계산되며 이는 훨씬 세분화된 리소스 최적화를 초래한다.

할당 가능한 하드웨어

vSphere 7에는 고객이 하드웨어 가속기를 사용할 때 vSphere 기능에 대한 지원을 확장하기 위해 개발된 할당 가능한 하드웨어라는 새로운 프레임워크가 있다. 클러스터에 VM을 초기 배치하기 위해 vSphere DRS와 패스스루 PCIe 디바이스 또는 NVIDIA vGPU가 장착된 VM에 대한 vSphere HA(High Availability) 지원을 도입한다. 할당 가능한 하드웨어와 관련된 새로운 Dynamic DirectPath I/O는 PCIe 디바이스를 VM에 직접 노출하도록 패스스루를 구성하는 새로운 방법이다. PCIe 디바이스의 하드웨어 주소가 더 이상 가상 시스템의 구성(vmx) 파일에 직접 매핑되지 않음 대신, 이제 VM에 PCIe 디바이스 기능으로 노출된다.

Dynamic DirectPath I/O, NVIDIA vGPU 및 Assignable Hardware를 함께 사용하면 몇 가지 뛰어난 새로운 기능을 실현할 수 있다. 예를 들어 NVIDIA V100 GPU가 필요한 VM을 살펴보기로 하자. 이제 할당 가능한 하드웨어는 VM 전원이 켜지면(초기 배치) DRS와 상호 작용하여 사용 가능한 디바이스가 있는 ESXi 호스트를 찾고, 해당 디바이스를 할당하고, VM을 해당 호스트에 등록한다. 호스트 장애가 발생하고 vSphere HA가 시작되면 할당 가능한 하드웨어를 통해 필요한 하드웨어를 사용할 수 있는 적절한 호스트에서 VM을 재시작할 수 있다.

vSphere 라이프사이클 관리자

vSphere Lifecycle Manager는 여러 가지 새로운 vSphere 7 기능을 설명하여 라이프사이클 운영을 개선할 수 있는 일련의 기능을 제공한다. vSphere Lifecycle Manager를 사용하면 vCenter Server와 ESXi 호스트 구성 관리 모두에서 패러다임이 변화할 수 있다. 원하는 상태 구성 모델을 사용하여 vSphere 관리자는 구성을 한 번 생성하여 적용하고 vCenter Server 프로파일 및 이미지 클러스터 관리라는 새로운 도구를 통해 원하는 상태를 계속 모니터링할 수 있으며, vCenter Server 프로파일은 관리자가 모든 vCenter Server에 대한 구성을 표준화할 수 있도록 지원하며, 구성 드리프트로부터 보호하기 위해 모니터한다.

vlcm-768x433.png

클러스터 이미지 관리를 통해 관리자는 클러스터 레벨에서 클러스터 내의 호스트를 구성하는 방법을 지시하는 이미지를 생성할 수 있다. 클러스터 이미지는 vSphere(ESXi) 릴리스, 벤더 애드온(VUM 용어의 골드 ESXi 이미지와 OEM ISO 사이의 델타) 및 vSphere Lifecycle Manager가 Dell OMIVV와 같은 벤더가 제공하는 펌웨어 관리 도구(또는 하드웨어 지원 관리자)와 통신할 수 있는 펌웨어 애드온으로 구성될 수 있다. 이번 론칭의 파트너는 Dell EMC와 HPE이며 앞으로 더 많은 제품을 출시할 예정이다.

UpdatePlanner-768x329.png

셋째, vSphere Lifecycle Manager 내부에는 vCenter Server Update Planner가 있으며 vCenter Server Update Planner는 고객 환경을 성공적으로 계획, 검색 및 업그레이드하는 데 도움이 되는 기본 툴링을 제공한다. vSphere Client에서 직접 업그레이드를 사용할 수 있는 경우 알림을 수신한다. 그런 다음 업데이트 플래너를 사용하여 VMware 제품 상호 운용성 매트릭스를 쉽게 모니터링하여 사용 가능한 업그레이드가 환경의 다른 VMware 소프트웨어와 호환되는지 확인한다. 업그레이드를 시작하기 전에 사용 가능한 사전 검사를 실행하여 버전 호환성을 확인한다. 다 괜찮은 거야? 놀랄 일도 없이 성공적인 업그레이드를 할 것이다.

vCenter Server 업데이트 플래너는 vSphere 7 이상에서만 작동한다는 점에 유의한다. 따라서 업데이트 플래너는 vSphere 6.x에서 vSphere 7로 업그레이드하는 계획을 수립하지 않을 수 없지만, vSphere 7을 실행하면 업그레이드가 대폭 간소화된다.

리팩터링된 vMotion

DRS와 마찬가지로, 우리는 vMotion 프로세스를 검토하고 오늘날의 워크로드를 지원하기 위해 vMotion을 개선할 수 있는 방법을 면밀히 검토할 필요가 있었다. SAP HANA 및 Oracle 데이터베이스 백엔드와 같이 메모리 및 CPU 설치 공간이 큰 VM은 vMotion을 사용하여 실시간 마이그레이션하는 데 어려움을 겪었다. vMotion 프로세스 중 성능 영향과 전환 단계 중 잠재적으로 긴 스턴 시간이 영향을 미쳤다는 것은 고객이 이러한 대규모 워크로드에 vMotion을 사용하는 데 불편함을 의미했다. 우리는 vSphere 7을 통해 vMotion 로직을 크게 개선했기 때문에 이러한 기능을 다시 사용할 수 있게 되었다.

높은 수준에서 vMotion은 몇 가지 프로세스로 구성된다. 대부분의 VM에서 이러한 프로세스는 매우 빠르게, 종종 눈에 띄지 않을 정도로 빠르게 실행될 수 있다. CPU 및 메모리 할당량이 큰 VM의 경우 이러한 프로세스가 눈에 띄게 될 수 있으며, VM 내에서 실행 중인 애플리케이션이 문제가 있다고 생각할 수 있을 정도로 오래 지속될 수도 있다. 따라서 이러한 여러 프로세스는 대규모 VM의 vMotion 문제를 완화하기 위해 개선되었다. 이러한 프로세스 중 하나는 vMotion이 마이그레이션 중에 메모리 페이징 작업을 추적하는 페이지 트레이서를 사용한다. vSphere 7 이전까지는 VM 내의 모든 vCPU에서 페이지 추적이 발생하여 마이그레이션 자체에 의해 VM 및 해당 워크로드의 리소스가 제한될 수 있었다. vSphere 7에서는 전용 vCPU가 페이지 추적을 위해 사용되며, 이는 vMotion 프로세스가 진행되는 동안 VM과 해당 애플리케이션이 계속 작동할 수 있음을 의미한다.

개선된 또 다른 과정은 메모리 복사다. vSphere 7 이전에는 호스트 간에 메모리가 4k 페이지로 전송되었다. 이제 vSphere 7은 이 데이터 전송을 훨씬 더 효율적으로 만들기 위해 몇 가지 다른 최적화 사항과 함께 1GB 페이지를 사용한다. 스턴 시간이 1초 목표(호스트 간에 전환이 발생하는 시간) 내에 유지되도록 하려면 VM 상태와 메모리 페이지의 비트맵이 전송된다. 이 스턴 시간은 중요하며 VM이 매우 크면 원하는 1초 이내에 비트맵을 전송하기가 어려워진다. 따라서 대규모 VM에 대해 수백 MB의 크기를 가질 수 있는 전체 비트맵을 전송하는 대신 필요한 페이지만 전송된다. 대부분의 페이지가 원래 전송에서 대상 호스트에 이미 있기 때문에 전송 시간을 초에서 밀리초로 줄일 수 있다.

이 게시물의 모든 주제와 마찬가지로, 이 새로운 프로세스에 대한 다음 게시물로서 더 많은 세부사항들을 이용할 수 있을 것이다. 핵심 결과는 이제 vMotion을 가장 큰 VM에도 사용할 수 있다는 것이다.

내부(Intrinsic) 보안

고객들이 보안을 개선할 수 있는 가장 큰 방법 중 하나는 좋은 비밀번호 정책을 통해서이며, 가장 쉬운 방법 중 하나는 멀티팩터 인증(MFA)을 구현하는 것이다. 그렇다면 문제는 MFA를 구현할 수 있는 방법이 너무나 많고, 이 모든 방법과 함께 vCenter Server를 확장하는 것은 거의 불가능하다는 겁니다. 또한 VMware가 이러한 기능 중 일부를 구현하더라도 많은 고객이 기업 ID 관리 시스템에서 이미 보유하고 있는 것을 복제할 수 있으며, 이는 사용자인 vSphere Admins의 삶을 개선하고자 하는 우리의 바람과 일치하지 않는다.

IdentityFed-768x538.png

해결책은 OAUTH2와 OIDC와 같은 개방형 인증 및 허가 표준을 사용하는 연합이다. vSphere 7 및 ID Federation을 통해 vCenter Server는 엔터프라이즈 ID 제공자와 대화하여 vSphere 관리자와 vCenter Server를 프로세스에서 제외할 수 있다. 이를 통해 vSphere 관리자의 작업을 간소화하고 규정 준수 감사 범위를 줄이는 데 도움이 된다. 또한 Active Directory Federation Services(ADFS)와 같은 것에 연결하는 방법을 이미 알고 있기 때문에 많은 다른 MFA 방법에 대한 문을 열어준다. vSphere 7을 통해 즉시 ADFS를 지원하고 있으며, 시간이 지남에 따라 더 많은 제공자를 위한 지원을 구축할 것이다.

vTA-e1583895775963-768x630.png

또한 vSphere Trust Authority(vTA)를 도입하여 전체 스택(bare metal)에서 워크로드 전반에 걸쳐 신뢰도를 더욱 쉽게 구축할 수 있도록 지원하고 있으며, vSphere Trust Authority는 증명 작업을 인계받는 ESXi 호스트의 소규모 분리 관리 클러스터를 사용하여 신뢰의 하드웨어 루트를 생성한다. 호스트 증명은 UEFI 보안 부팅 프로세스, 서버의 신뢰할 수 있는 플랫폼 모듈(TPM) 및 외부 서비스가 암호화를 사용하여 함께 작동하여 호스트가 올바른 구성으로 소프트웨어를 실행 중인지 확인하는 것이다.

vSphere 7에서 vTA는 신뢰할 수 있는 호스트가 키 관리 시스템(KMS)과의 통신을 인계받음으로써 규칙을 시행할 수 있는 기능을 제공한다. 이는 KMS와의 연결을 단순화하여 위험 감사가 단순화되며, 입증에 실패한 호스트가 기밀에 액세스하지 못하도록 보장한다. 이러한 보안이 없는 호스트는 암호화된 VM을 실행할 수 없으며, 이는 양호한 것이다. 신뢰할 수 없는 서버에 보안 VM을 설치하지 않는다.

새로운 인증서 가져오기 마법사의 도입은 물론 관리해야 할 인증서의 양을 줄임으로써 인증서 관리도 지속적으로 개선되고 있다. 솔루션 사용자 인증서를 더 이상 관리할 필요가 없으며 ESXi도 간소화되어 해당 서비스가 공통 인증서를 사용하게 되었다. 마지막으로 VMCA(VMware Certificate Authority)에서 인증서를 갱신하는 등의 작업을 위한 REST API가 있어 프로세스 자동화가 용이하다.

기타 개선 사항

이 블로그 게시물은 완전한 것은 아니지만, 내가 언급하고 싶은 몇 가지 다른 vSphere 7 기능들이 있다. 첫째, vCenter Server 아키텍처를 계속해서 단순화했으며, vSphere 7에서는 더 이상 외부 플랫폼 서비스 컨트롤러(PSC) 또는 윈도우즈용 vCenter Server를 배포할 수 있는 기능이 없다. 이러한 배포 유형 중 하나가 있는 경우 vCenter Server 7 설치 관리자는 해당 vCenter Server 인스턴스를 PSC가 포함된 vCenter Server 장치로 자동으로 마이그레이션하십시오. 여러 개의 공구를 포함하는 다단계 프로세스는 없다. 그것은 통합된 완벽한 경험이다.

또한 vCenter Server Appliance, 새로운 CLI Tools 및 vSphere Client의 향상된 개발자 센터를 위한 여러 NIC에 대한 지원이 추가되었다. 새로운 VM 하드웨어 버전 17은 PTP 지원을 위한 정밀 시계, vSGX, 클러스터된 애플리케이션을 모니터링하는 데 도움이 되는 가상 감시기와 같은 새로운 기능을 제공한다. 향후 몇 주 동안 우리는 이 모든 vSphere 7 기능 등에 대한 자세한 블로그를 발표할 것이다. 아래 바닥글에 게시된 링크와 정보를 통해 최신 상태를 유지하기 바란다.

맺음말

지금쯤 수집하셨겠지만 vSphere 7은 실제로 상당한 규모의 획기적인 릴리즈다. 라이프사이클과 보안 개선을 통해 고객의 삶을 더 좋게 만드는 데 큰 초점이 맞춰져 왔다. 우리는 또한 우리의 훌륭한 파트너십과 고객들 덕분에 가능한 것의 경계를 계속 밀고 나가고 있다. 그리고 쿠버네티스가 가세하면서 우리는 곧 속도를 늦추지 않을 것이다. vSphere 7은 하이브리드 클라우드를 위한 기술이다.