깡민쓰~IT Story

이전한 후, 전환 단계에서 vMotion을 호출합니다. 

이 유형의 마이그레이션은 비즈니스에 중요한 대규모 가상 머신에 가장 적합합니다. RAV를 사용하면 페타바이트 규모의 데이터를 온라인으로 이전할 수 있습니다.

RAV는 vSphere Replication을 활용하여 초기 (대부분) 디스크 이동을 수행하므로 더 높은 병렬 처리(수백 개에서 수천 개의 VM/디스크)를 구현할 수 있으며, 따라서 마이그레이션 횟수를 줄일 수 있습니다. 또한 RAV 마이그레이션은 마이그레이션 재개 및 일시 중지 기능을 제공합니다.

참고: RAV는 HCX Enterprise 기능이며, 소스와 클라우드 사이트 모두에서 Enterprise 키를 통해 HCX가 활성화된 경우에만 사용할 수 있습니다.

RAV 워크플로

아래 다이어그램은 RAV 작업의 높은 수준의 워크플로를 보여줍니다.

                                                                           그래픽은 vmware.com에서 제공되었습니다.

RAV 사용 사례

• 빠른 라이브 전환을 통한 대량 마이그레이션.
• 예약된 라이브 전환을 통한 대량 마이그레이션.
• DR 보호 VM에 대한 라이브 전환 일정을 예약합니다.
• 빠른 라이브 전환 DR 보호 VM.
• 계획된 데이터 센터 대피에 사용할 수 있습니다.

참고: RAV와 관련된 몇 가지 주의 사항이 있습니다. 이러한 내용은 HCX 공식 문서 에 자세히 설명되어 있습니다 . 따라서 RAV 마이그레이션을 사용하기 전에 마이그레이션 계획을 신중하게 세우시기 바랍니다.  

이제 RAV 마이그레이션에 대한 배경 지식을 갖추었으니 실험실로 들어가 실제로 작동하는 모습을 살펴보겠습니다.

온프레미스 vSphere Client에 로그인하고 기본 메뉴에서 HCX 컨텍스트로 전환한 다음 마이그레이션 페이지로 이동하여 마이그레이션을 클릭하여 마이그레이션 구성을 시작합니다.

마이그레이션할 VM을 선택하고 추가를 클릭합니다.

또한 그룹 이름을 제공합니다(이것은 모빌리티 그룹이라고 하는 새로운 HCX 기능이며 다음 게시물에서 이에 대해 설명하겠습니다)

참고: 내 랩에서 선택한 VM은 네트워크 확장 기능을 사용하여 HCX 클라우드 사이트로 확장된 네트워크에 배치되었습니다 .  

마이그레이션 프로필 드롭다운 메뉴에서 수행할 마이그레이션 유형을 선택하세요.  여기서는 RAV 마이그레이션을 시연해 보겠습니다.

선택한 VM에 대한 전송 및 배치 옵션도 선택합니다.

선택한 VM에 대한 네트워크 매핑이 구성되었는지 확인한 다음, 검증을 클릭하여 VM이 클라우드 사이트로 성공적으로 마이그레이션될 수 있는지 확인하세요.

검증이 통과되면 [이동] 버튼을 클릭하여 즉시 마이그레이션을 시작할 수도 있고, 나중에 마이그레이션을 시작할 수 있도록 이 프로필을 저장할 수도 있습니다.

VM 크기에 따라 마이그레이션에 시간이 다소 걸릴 수 있습니다. 마이그레이션하는 VM에 대한 전환을 예약할 수 있는 옵션이 있습니다. 전환 기간을 지정하지 않으면 VM의 초기 동기화가 완료되는 즉시 전환이 수행됩니다. 

참고: 어떤 이유로든 RAV 마이그레이션이 실패한 경우, 원본 사이트와 대상 사이트 모두에서 정리 마이그레이션을 강제 실행하는 옵션이 있습니다. 또한, 어떤 이유로든 실행 중인 마이그레이션을 중단할 수도 있습니다.

RAV 마이그레이션 문제 해결 팁

실패한 RAV 마이그레이션을 디버깅하거나 문제를 해결하는 경우 HCX 관리자 어플라이언스의 app.log 파일을 참조할 수 있습니다. 이 로그 파일은 /common/logs/admin 폴더 에 있습니다 . RAV 관련 로그 메시지를 보여주는 다양한 키워드는 다음과 같습니다.

• 복제 전송 서비스_서비스 스레드
• RAVService_SvcThread
• VmotionService_SvcThread

RAV가 vMotion을 호출한 단계와 관련된 로그는 UI에 있는 RAV 마이그레이션에 대한 ID를 사용하여 VC, ESXi, IX에서 볼 수 있습니다.

마무리: 기존 HCX 인스턴스의 라이선스 키를 고급에서 엔터프라이즈로 업그레이드하는 경우 HCX Enterprise 키로 잠금 해제된 기능(RAV, SRM 통합, OSAM 등)을 포함하도록 기존 서비스 메시와 컴퓨팅 프로필 등을 편집해야 합니다.

이 글은 여기까지입니다.  

얼마 전 HCX용으로 제작했던 네트워크 포트 다이어그램을 공유합니다. 이 다이어그램들은 ports.vmware.com에 있는 HCX 흐름 데이터를 시각화한 것일 뿐입니다 . 그 이상도 그 이하도 아닙니다.

1. HCX 네트워크 포트 – 소스 환경(개시자 사이트)

2. HCX 네트워크 포트 – 대상 환경(수신 사이트)

3. HCX 네트워크 포트 – vCD 기반 대상 사이트

4. HCX 네트워크 포트 - 소스 및 대상 표시

5. HCX 네트워크 포트 – OSAM 배포 시 소스 및 목적지

최근 한 고객으로부터 이전에 사용해 본 적이 없는 기능을 사용해 달라는 요청을 받았습니다. 해당 고객은 현재 네트워크 내 특정 사이트에 대한 사용자 액세스를 방지하기 위해 NSX-t 온프레미스의 ID 방화벽을 사용하고 있었습니다. Azure VMware Solution(AVS)은 관리형 서비스이므로 NSX에서 작동하는 몇 가지 기능이 AVS 기반 NSX에서는 지원되지 않습니다. 이는 여러 가지 이유가 있을 수 있지만, 대개 서비스 자동화가 중단되거나 대규모로 제공하기 어렵기 때문입니다. (IDS/IPS와 같은 일부 기능은 단순히 구현만 하면 되며 로드맵 우선순위가 높은 항목입니다.) 그렇다면 이 기능이 AVS에서 작동할까요? 함께 확인해 볼까요!

업데이트: 이 블로그 게시물이 게시된 이후 두 가지 유의해야 할 사항이 있습니다. 이 기능은 추가 라이선스가 필요합니다. 이는 IDS/IPS 기능에도 해당되며 Azure에서는 비공개 미리 보기로 제공됩니다!

ID 분산 방화벽이란 무엇인가요?

VMware의 가장 큰 이점 중 하나는 20년 이상 구축, 인수 및 통합하는 데 걸린 생태계입니다.모든 VMware 도구가 완벽하게 작동한다고 말하지는 않겠습니다.그러나 생태계 전체가 고객의 중요한 과제를 해결한다고 말할 수 있습니다.이에 대한 좋은 예는 Identity Firewall입니다.이 기능을 통해 사용자는 Active Directory 인프라를 사용하여 사용자 및 그룹에 대한 정보를 NSX로 전달할 수 있습니다.NSX에서 해당 정보를 사용하여 특정 컴퓨터 대신 사용자 및 그룹을 중심으로 보안 그룹을 만들 수 있습니다.이는 VDI(가상 데스크톱 인프라)와 같은 것을 살펴볼 때 필요합니다.VDI는 동적일 수 있으므로 영구적이지 않은 컴퓨터에 방화벽 규칙을 적용하기 어려울 수 있습니다.조직의 여러 부서에서 여러 사용자가 단일 컴퓨터에 로그인하는 경우 불가능할 수 있습니다.그러나 Active Directory의 데이터를 사용하면 이제 사용자에게 보안 그룹을 적용하여 환경의 다른 인프라로의 트래픽을 차단하거나 허용할 수 있습니다.

그렇다면 이 기능은 어떻게 작동하고 어떻게 구성해야 할까요? 먼저 이 기능의 작동 방식을 개략적으로 보여주는 다이어그램을 살펴보겠습니다.

개념은 매우 간단합니다. Active Directory 자격 증명을 사용하여 네트워크의 특정 애플리케이션에 대한 액세스를 활성화하거나 차단합니다. 즉, 인사팀의 Toby가 시스템에 로그인하면 Toby는 인사 도구에만 액세스할 수 있고 재무 도구에는 액세스할 수 없습니다.

구성

시작하기 위해 랩 환경에서 시연하겠습니다. 피자를 주문하는 데 사용되는 웹 서버가 있지만, 인사부에서 이 웹 서버에 접근하는 것을 차단하려고 합니다. 이 잔혹하고 불합리한 처벌은 CEO에게서 내려진 것입니다. 외로운 IT 관리자로서 저는 질문하지 않고, 그저 설정만 하겠습니다. 먼저 NSX-t의 "ID 방화벽" 섹션에서 Active Directory를 구성해야 합니다. 이 설정은 시스템->ID 방화벽 AD에서 찾을 수 있습니다. "Active Directory 추가"를 클릭합니다. AD 시스템 정보를 입력합니다. 간단한 팁: "기본 이름" 섹션에서는 마침표로 구분된 도메인을 사용합니다. 따라서 제 예에서는 도메인이 webblab.lab이므로 DC=webblab,DC=lab으로 구성합니다.

첫 번째 화면을 작성한 후 "LDAP 서버"를 클릭하고 LDAP 서버를 설정하세요. "연결 테스트"를 클릭하여 LDAP에 접속 가능한지 확인할 수 있습니다. 완료되면 "저장"을 클릭하세요.

이제 기본 설정을 마쳤으니 Active Directory의 사용자를 사용하여 분산 방화벽 규칙을 만들 차례입니다. 먼저, 방화벽 정책을 구축할 사용자로 그룹을 만들어 보겠습니다. 인벤토리 -> 그룹으로 이동하여 "그룹 추가"를 클릭하고 그룹 이름을 지정한 다음 "구성원 설정"을 선택합니다. 이 화면에서 적용할 그룹을 선택합니다. 예를 들어, 인사팀의 Toby를 찾고 있습니다. Toby는 인사팀에 있으므로 인사팀 그룹을 선택합니다. "적용"을 클릭합니다. 이제 피자 웹사이트에 대해서도 같은 단계를 반복합니다. 여기서는 웹사이트를 실행하는 VM의 이름을 기반으로 그룹을 생성합니다. 완성된 그룹의 예는 아래와 같습니다. "Webb-AD-HR" 및 "Webb-Pizza"

내 HR 그룹 "멤버 선택" 화면을 자세히 살펴보겠습니다.

이제 그룹이 구성되었으니 정책을 적용할 수 있습니다. 이 예시에서는 정책이 간단합니다. HR 그룹에서 피자 웹 서버로 향하는 모든 트래픽을 차단하는 정책을 만들겠습니다.

IDFW로 보호하려는 VM에서 게스트 인트로스펙션이 활성화되어 있는지 확인해야 합니다. 게스트 인트로스펙션이 설치되어 있는지 확인하려면 VMware Tools가 설치된 VM 또는 골드 이미지로 이동해야 합니다.

이제 설치를 수정하고 인트로스펙션이 선택되었는지 확인하세요. 선택되지 않은 경우 기능을 추가하세요.

이제 구성을 적용했으니 제대로 작동하는지 확인해 보겠습니다! VMware 원격 콘솔을 통해 로그인할 Windows 10 가상 머신이 있습니다. 일반적으로 사용자는 다른 방법으로 로그인하지만, 이 방법을 통해 규칙이 제대로 작동하는지 빠르게 확인할 수 있습니다. Toby로 로그인한 상태에서는 웹 서버에 접속할 수 없습니다.

관리자로 로그인하면 웹 서버에 접속할 수 있습니다.

마무리!

NSX-t는 Azure VMware Solution 고객에게 여러 보안 기능을 제공합니다. 가장 좋은 점은 NSX-t가 포함되어 있고 초기 구성이 모두 자동으로 이루어진다는 것입니다. 이는 NSX-t를 고려했지만 여러 가지 이유로 보류했던 고객에게 큰 가치를 제공합니다. NSX의 Identity Firewall은 VDI 인프라를 보호하기 위해 더욱 강력한 제어 기능을 제공합니다!