vRealize Suite 개요vRealize Suite 7.0

vRealize Suite 개요

2 VMware, Inc.

VMware 웹 사이트 (https://docs.vmware.com/kr/) 에서 최신 기술 문서를 확인할 수 있습니다.

또한 VMware 웹 사이트에서 최신 제품 업데이트를 제공합니다.

이 문서에 대한 의견이 있으면 docfeedback@vmware.com으로 사용자 의견을 보내주십시오.

Copyright © 2017 VMware, Inc. 판권 소유. 저작권 및 상표 정보.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

목차

VMware vRealize Suite 소개 5

업데이트된 정보 7

1 vRealize Suite 소개 9

vRealize Suite 기능 9

vRealize Suite 버전 및 제품 10

vRealize Suite 라이센싱 12

2 vRealize Suite 아키텍처 개요 13

소프트웨어 정의 데이터 센터 13

vRealize Suite 환경의 개념적 설계 15

관리 클러스터의 vRealize Suite 제품 17

SDDC 핵심 인프라 18

vRealize Suite 인프라의 가상화 및 관리 18

vRealize Suite 핵심 인프라 관리 21

vRealize Suite 핵심 인프라 모니터링 22

인프라 서비스 제공 23

PaaS(Platform as a Service) 제공 24

vRealize Suite 보안 고려 사항 25

vRealize Suite 의 인증 및 권한 부여 26

TLS 및 데이터 보호 28

물리적 계층 보호 29

가상 계층 보호 32

VMware NSX 를 사용하여 워크로드 보호 34

3 vRealize Suite 설치의 검사 목록 39

4 vRealize Suite 이전 버전 또는 vCloud Suite에서 업그레이드 41

색인 43

VMware, Inc. 3

vRealize Suite 개요

4 VMware, Inc.

VMware vRealize Suite 소개

VMware vRealize Suite 개요에서는 vRealize Suite 설치, 구성 및 사용에 대한 아키텍처 개요 및정보를 제공합니다.

시작하는 데 도움이 되도록 설치, 구성 및 사용에 대한 개괄적인 설명에서는 전용 개별 제품 집합으로 안내하여 자세한 개념 및 절차를 보여줍니다.

대상 사용자이 정보는 SDDC(소프트웨어 정의 데이터 센터)를 모니터링하고 관리하기 위해 vRealize Suite의 제품을 배포하고 사용하려는 사용자를 대상으로 합니다. 이 정보는 가상 시스템 기술과 데이터 센터 작업에 익숙한 숙련된 Windows 또는 Linux 시스템 관리자를 대상으로 작성되었습니다.

VMware 기술 자료 용어집VMware 기술 자료 사이트에서는 새로운 용어를 정리한 용어집을 제공하고 있습니다. VMware 기술설명서에 사용된 용어에 대한 정의를 보려면 http://www.vmware.com/support/pubs를 참조하십시오.

VMware, Inc. 5

vRealize Suite 개요

6 VMware, Inc.

업데이트된 정보

vRealize Suite 개요는 제품의 각 릴리스에 따라 업데이트되거나 필요할 때 업데이트됩니다.

이 테이블은 vRealize Suite 개요 자료의 업데이트 기록을 제공합니다.

개정 설명

001965-06 vRealize Business for Cloud 7.3, vRealize Log Insight 4.5 및vRealize Operations Manager 6.6에 대한 지원을 추가하기 위해 업데이트되었습니다.

001965-05 vRealize Automation 7.3, vRealize Log Insight 4.3 및 vRealize Operations Manager6.5에 대한 지원을 추가하기 위해 업데이트되었습니다.

001965-04 부분적 텍스트 업데이트입니다.

001965-03 vRealize Automation 7.2, vRealize Business for Cloud 7.2, vRealize Log Insight 4.0및 vRealize Operations Management 6.4에 대한 지원을 추가하기 위해 업데이트되었습니다.

001965-02 vRealize Automation 7.1, vRealize Business for Cloud 7.1, vRealize Log Insight 3.6및 vRealize Operations Management 6.3에 대한 지원을 추가하기 위해 업데이트되었습니다.

001965-01 vRealize Business for Cloud 설명서에 대한 링크를 업데이트했습니다.

001965-00 제1판

VMware, Inc. 7

vRealize Suite 개요

8 VMware, Inc.

vRealize Suite 소개 1vRealize Suite는 물리적 인프라와 사설 및 공용 클라우드를 포함하여 VMware vSphere® 및 기타하이퍼바이저에서 애플리케이션 제공, 모니터링 및 관리를 위한 포괄적인 클라우드 관리 플랫폼을 제공합니다. vRealize Suite는 Standard, Advanced 및 Enterprise 버전으로 제공됩니다.

이 장에서는 다음 주제에 대해 설명합니다.

n “vRealize Suite 기능,”(9 페이지)

n “vRealize Suite 버전 및 제품,”(10 페이지)

n “vRealize Suite 라이센싱,”(12 페이지)

vRealize Suite 기능지능적인 작업, 자동화된 IT, IaaS(Infrastructure as a Service), 및 DevOps-ready IT는 클라우드 관리 솔루션의 가장 일반적인 용도입니다. 지능적인 작업은 효율화되고 자동화된 데이터 센터 작업을제공하도록 도움을 줍니다. 자동화된 IT, IaaS 및 DevOps-ready IT는 애플리케이션 및 인프라 서비스제공이 가능하게 합니다.

지능적인 작업 관리

지능적인 작업은 이기종 및 하이브리드 클라우드 환경에서 IT 서비스의 상태, 성능 및 용량 관리를 사전에 처리하여 IT 서비스 성능 및 가용성을 개선합니다.

자동화된 IT - IaaS

자동화된 IT 및 IaaS는 IT 인프라의 제공 및 지속적인 관리를 자동화하여 IT 리소스의 요청에 대한 응답시간을 줄이고 프로비저닝된 리소스의 지속적인 관리를 개선합니다.

DevOps-Ready IT

DevOps-ready IT는 다음 기능과 함께 완전한 애플리케이션 스택을 제공할 수 있는 개발 팀을 위한 클라우드 솔루션을 구축하도록 도움을 줍니다.

n 리소스에 대한 API 및 GUI 액세스의 형태로 개발자 선택을 지원합니다.

n 하이브리드 클라우드 전반에 리소스를 프로비저닝합니다.

n 애플리케이션 제공 속도를 더 높이기 위해 지속적인 제공을 처리하여 솔루션 범위를 확장합니다.

VMware, Inc. 9

vRealize Suite 버전 및 제품vRealize Suite는 Standard, Advanced 및 Enterprise 버전으로 제공됩니다. 각 vRealize Suite버전에는 서로 다른 제품 버전 및 기능의 개별 제품이 포함됩니다.

vRealize Suite의 Standard, Advanced 및 Enterprise 버전 각각은 아래 표에 설명된 것과 같이 다른 기능 집합을 제공합니다.

표 1‑1. vRealize Suite 버전 기능

vRealize Suite 제품 vRealize Suite 기능 Standard 버전

Advanced 버전 Enterprise 버전

vRealizeOperationsManager(vRealize Log Insight 및vRealizeInfrastructureNavigator 포함)

로그 분석 예 예 예

운영 플랫폼 예 예 예

시각화 예 예 예

정책 관리 예 예 예

성능 모니터링 및 분석 예 예 예

용량 관리 예 예 예

워크로드 밸런싱 예 예 예

변경, 구성 및 규정 준수 관리 예 예 예

애플리케이션 종속성 매핑 예 예 예

애플리케이션 모니터링 예 예

vRealizeBusiness forCloud

자동 가상 인프라 계량, 비용 산정및 가격 책정

예 예 예

자동 서비스 카탈로그 가격 책정,vRealize Automation과 통합됨

예 예 예

가상 인프라 소비 분석 예 예 예

자동 보고를 가능하게 하는 내보내기 가능 데이터 집합

예 예 예

공용 클라우드 및 가상화 인프라비용 비교

예 예 예

공용 클라우드 비용 산정, 소비 분석 및 가격 책정

아니요 예 예

가상 인프라 및 공용 클라우드에서규칙 기반 쇼백(Showback)

아니요 예 예

데이터 센터 최적화,vRealize OperationsManager와 통합됨

아니요 예 예

가상 인프라 회수 기회 수치화,vRealize OperationsManager와 통합됨

아니요 예 예

사용자 지정 보고, 시각 차트 및자동 데이터 추출을 위한 API

아니요 예 예

vRealizeAutomation

통합 서비스 카탈로그 및 API 기능이 있는 셀프 서비스

아니요 예 예

다중 벤더 가상, 물리 및 공용 클라우드 지원

아니요 예 예

IaaS. 단일 및 다중 계층 시스템프로비저닝 포괄 수명 주기 관리

아니요 예 예

vRealize Suite 개요

10 VMware, Inc.

표 1‑1. vRealize Suite 버전 기능 (계속)

vRealize Suite 제품 vRealize Suite 기능 Standard 버전

Advanced 버전 Enterprise 버전

IaaS. 네트워크 및 보안 구성 아니요 예 예

XaaS(Anything as aservice). 사용자 지정 IT 서비스작성

아니요 예 예

XaaS. 카탈로그 항목 또는 2일차작업으로 배포 가능

아니요 예 예

애플리케이션 작성. 소프트웨어 구성 요소 작성 및 애플리케이션 스택 프로비저닝

아니요 아니요 예

애플리케이션 작성. 동적 소프트웨어 스크립팅 및 종송성 바인딩

아니요 아니요 예

애플리케이션 작성. 애플리케이션중심 네트워크 및 보안 구성

아니요 아니요 예

vRealize Suite 제품

VMware vRealize Suite에는 구매하는 vRealize Suite 버전에 따라 특정 제품 또는 이러한 제품의하위 집합이 포함됩니다.

표 1‑2. vRealize Suite 에 포함된 제품

제품 이름 설명

vRealize Operations Manager 개별 가상 시스템 및 디스크 드라이브부터 전체 클러스터 및 데이터 센터에이르기까지 가상 시스템 환경의 모든 수준에서 각 개체의 성능 데이터를 수집합니다. 데이터를 저장 및 분석하고 해당 분석을 사용하여 가상 시스템의문제 또는 잠재적 문제에 대한 실시간 정보를 제공합니다.

vRealize Infrastructure Navigator 자동화된 애플리케이션 서비스 검색을 제공하고, 관계를 시각화하고, 가상화된 계산, 스토리지 및 네트워크 리소스에서 애플리케이션의 종속성을 매핑합니다.

vRealize Log Insight vSphere의 모든 버전을 포함하여 vRealize Suite에 대한 확장 가능 로그집계 및 인덱스와 실시간 검색 및 분석 기능을 제공합니다. Log Insight는로그를 수집하고 가져오고 분석하여 물리, 가상 및 클라우드 환경에서 시스템, 서비스 및 애플리케이션 관련 문제에 대한 실시간 답변을 제공합니다.

vRealize Automation 프라이빗 및 퍼블릭 클라우드, 물리적 인프라, 하이퍼바이저 및 퍼블릭 클라우드 공급자 간에 비즈니스 관련 클라우드 서비스를 배포하고 프로비저닝할수 있도록 해줍니다. vRealize Automation Enterprise에는vRealize Automation Application Service가 포함됩니다.

vRealize Orchestrator 복잡한 IT 작업의 자동화를 간소화하고 vRealize Suite 제품과 통합하여서비스 제공 및 작업 관리를 적용하고 확장함으로써 기존 인프라, 도구 및프로세스와 효과적으로 작업할 수 있습니다.

vRealize Business for Cloud 클라우드 인프라에 대한 금융 시각을 제공하여 이러한 작업을 최적화하고개선할 수 있도록 해줍니다.

vRealize Suite 버전 및 제품 버전

특정 제품 버전은 vRealize Suite Standard, Advanced 및 Enterprise 버전에서 사용할 수 있습니다.

1장 vRealize Suite 소개

VMware, Inc. 11

표 1‑3. Suite 버전에 포함된 vRealize Suite 소프트웨어 제품 버전

vRealize 제품 버전vRealize SuiteStandard 버전

vRealize SuiteAdvanced 버전

vRealize SuiteEnterprise 버전

VMware vRealize AutomationAdvanced Edition

아니요 예 아니요

VMware vRealize AutomationEnterprise Edition

아니요 아니요 예

VMware vRealize OperationsManagement Suite(Advanced)

예 예 예

VMware vRealize OperationsManagement Suite 애플리케이션 모니터링

아니요 아니요 예

VMwarevRealize Business for CloudStandardEdition

예 아니요 아니요

VMware vRealize Business for CloudAdvanced Edition

아니요 예 예

VMware vRealize OrchestratorAdvanced Edition

아니요 예 아니요

VMware vRealize OrchestratorEnterprise Edition

아니요 아니요 예

VMware vRealize Log Insight 예 예 예

VMwarevRealize Infrastructure Navigator

예 예 예

vRealize Suite 라이센싱vRealize Suite의 제품을 개별적으로 라이센싱하거나 vRealize Suite 7.0의 일부로 라이센싱할 수 있습니다.

라이센스 유형을 가져오고 사용하여 vRealize Suite 제품을 라이센싱합니다.

표 1‑4. vRealize Suite 제품과 호환되는 라이센스 유형

라이센스 유형 라이센스 기능

개별 제품 라이센스 제품 라이센스를 사용하여 가상 시스템별로 라이센싱할수 있는 독립형 제품으로 일부 제품을 사용할 수 있습니다. 개별 제품 라이센스는 공용 클라우드 워크로드 또는물리적 하드웨어의 워크로드에 대해 사용됩니다.

vRealize Suite PLU(이동식 라이센스 단위) PLU(이동식 라이센스 단위)로 공용 및 사설 클라우드 제공자를 포함하는 vSphere 및 하이브리드 환경에서 워크로드를 프로비저닝하고 관리할 수 있습니다. PLU는vSphere 및 하이브리드 환경에서 워크로드를 미터링하는 SKU이며 CPU 및 가상 시스템 메트릭을 지원합니다.각 PLU는 무제한 가상 시스템 또는 15개의 운영 체제 인스턴스에 대한 하나의 CPU를 라이센싱합니다.

PLU에 대한 세부 정보는 VMware vRealize Suite 및 vCloud Suite 라이센싱, 가격 책정 및 패키징를 참조하십시오.

vRealize Suite 개요

12 VMware, Inc.

vRealize Suite 아키텍처 개요 2해당 아키텍처에서는 vRealize Suite 제품이 서로 그리고 데이터 센터의 시스템과 상호 작용하여SDDC(소프트웨어 정의 데이터 센터)를 제공하는 방법에 대해 설명합니다.

이 장에서는 다음 주제에 대해 설명합니다.

n “소프트웨어 정의 데이터 센터,”(13 페이지)

n “vRealize Suite 환경의 개념적 설계,”(15 페이지)

n “관리 클러스터의 vRealize Suite 제품,”(17 페이지)

n “SDDC 핵심 인프라,”(18 페이지)

n “vRealize Suite 보안 고려 사항,”(25 페이지)

소프트웨어 정의 데이터 센터SDDC(소프트웨어 정의 데이터 센터)는 기본 인프라를 기반으로 구축되는 보다 복잡한 기능과 함께 여러가지 유형의 기능을 제공합니다. 모든 vRealize Suite 기능을 사용하도록 설정하려면 일련의 설치 및 구성 작업을 수행해야 합니다.

해당 조직이나 클라이언트에 vRealize Suite의 전체 작업 기능 제공은 구조화된 프로세스입니다. 대규모 조직의 경우 평가, 설계, 배포, 지식 전파 및 솔루션 검증의 주기가 포함될 수 있습니다. 조직에 따라,다양한 역할을 포함하는 확장된 프로세스에 대한 계획을 세워야 합니다.

모든 조직이 지정된 시간에 vRealize Suite 기능의 전체 범위를 필요로 하는 것은 아닙니다. 필요할 때조직에서 필요한 기능을 추가할 수 있도록 지원하는 핵심 데이터 센터 인프라 배포로 시작하십시오. 각각의 SDDC 계층을 사용하려면 별도의 배포 프로세스를 계획하고 수행해야 할 수 있습니다.

VMware, Inc. 13

그림 2‑1. SDDC의 계층

서비스관리

포트폴리오 관리

작업 관리

클라우드관리 계층

서비스 카탈로그

셀프 서비스 포털

오케스트레이션

무중단업무 운영

Fault Tolerance 및 재해 복구

백업 및 복원

하이퍼바이저

리소스 풀

가상화 제어

가상인프라계층

계산

스토리지

네트워크

물리적계층

보안

복제 규정 준수

위험

관리

물리적 계층 솔루션의 가장 낮은 계층에는 계산, 네트워크 및 스토리지 구성 요소가 포함됩니다. 계산 구성 요소에는 관리, Edge 및 테넌트 계산 워크로드를 실행하는 x86 기반 서버가 포함됩니다. 스토리지 구성 요소는 SDDC 및 IT자동화 클라우드에 대한 물리적 기반을 제공합니다.

가상 인프라 계층 가상 인프라 계층에는 하이퍼바이저, 리소스 풀링 및 가상화 제어와 함께가상화 플랫폼이 포함됩니다. 이 계층의 VMware 제품은 vSphere,VMware NSX, ESXi 및 vCenter Server입니다. 해당 제품은 기타 모든 솔루션이 통합되는 가상화된 강력한 환경을 설정합니다. 물리적 계층에서 리소스를 추상화하면 VMware 오케스트레이션 및 모니터링 솔루션 통합을 위한 기반이 제공됩니다. IaaS(Infrastructure as a Service) 및PaaS(Platform as a Service)를 사용하도록 설정하기 위해 추가적인프로세스 및 기술이 해당 인프라에서 구축됩니다.

클라우드 관리 계층 클라우드 관리 계층은 배포할 시설이 포함된 서비스 카탈로그, 카탈로그 항목을 배포하기 위한 워크플로를 제공하는 오케스트레이션 및 최종 사용자가SDDC를 사용할 수 있게 하는 셀프 서비스 포털을 포함합니다.vRealize Automation은 포털 및 카탈로그를 제공하며, 포함된vRealize Orchestrator 기능은 복잡한 IT 프로세스를 자동화하기 위한워크플로를 관리하는 데 도움을 줍니다.

서비스 관리 서비스 관리를 사용하여 여러 지역의 SDDC에서 여러 데이터 소스의 작업을 추적하고 분석합니다. 지속적인 가용성과 높아진 로그 수집 속도를 위해여러 노드에서 vRealize Operations Manager 및vRealize Log Insight를 배포합니다.

vRealize Suite 개요

14 VMware, Inc.

무중단 업무 운영 무중단 업무 운영을 사용하여 vRealize Operations Manager,vRealize Log Insight, VMware NSX 및 vRealize Automation용vSphere Data Protection에서 백업 작업을 생성합니다. 하드웨어 오류가 발생하는 경우 저장된 백업에서 해당 제품의 구성 요소를 복원할 수 있습니다.

보안 VMware는 규정 준수 참조 아키텍처 프레임워크 및 규정 준수 가능한 감사 지원 플랫폼을 제공합니다. 고객들은 해당 플랫폼을 사용하여 가상화된워크로드에 대한 까다로운 규정 준수 요구 사항을 충족하고 비즈니스 위험을 관리합니다. VMware 제품 및 호환되는 파트너 제품은 PCI DSS,HIPAA, FedRAMP 및 CJIS 등 신뢰할 수 있는 소스의 요구 사항을 충족시키기 위해 신중하게 매핑되어 있습니다. 핵심 규정 준수 참조 아키텍처프레임워크 문서는 다음과 같습니다.

n 제품 적용 가능성 가이드는 제품 기능에 대한 규정 제어 매핑과 함께제품별 기준 논의 규정에서 VMware 제품군에 대한 설명을 제공합니다.

n 아키텍처 설계 가이드는 특정 규정을 준수하는 안전한 규정 준수VMware vRealize 환경을 구축하기 위한 고려 사항을 제공합니다.

n 검증된 참조 아키텍처 문서는 사용자가 해당 환경에 적용할 수 있는 감사 연구의 규정 증거를 제공합니다.

해당 문서에 액세스하려면 VMware Solution Exchange에서 규정 준수 솔루션을 선택하십시오.

추가적인 VMware 제품과 서비스를 통합하여 vRealize Suite 환경을 개선할 수 있습니다. 해당 제품에는 클라우드, 소프트웨어 정의 스토리지 및 소프트웨어 정의 네트워킹에 대한 재해 복구 등의 기능이 있습니다.

vRealize Suite 환경의 개념적 설계vRealize Suite 배포를 시작하려면 적은 수의 물리적 호스트만 있으면 됩니다. 환경 크기를 조정하기 위한 가장 안전한 최고의 기준은 관리, Edge 및 페이로드 클러스터에 호스트를 분산하여 나중에 수많은VM으로 확장할 수 있는 배포의 기반을 마련하는 것입니다.

클러스터는 고객 워크로드를 포함하여 전체 vRealize Suite 인프라를 실행합니다.

vRealize Suite 배포 및 사용에는 기술적 변환과 작동 변환이 포함됩니다. 새로운 기술이 데이터 센터에배포됨에 따라, 해당 조직은 적절한 프로세스를 구현하고 필요한 역할을 할당해야 하기도 합니다. 예를 들어 수집된 새로운 정보를 처리하기 위한 프로세스가 필요할 수 있습니다. 각 관리 제품에는 한 명 이상의관리자가 필요하며, 이 중 일부는 다양한 수준의 액세스 권한을 가지고 있을 수 있습니다.

다이어그램에서는 기술적 기능과 조직적 구성체를 보여줍니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 15

그림 2‑2. vRealize Suite 환경의 개념적 설계

로드 밸런서

테넌트

조직

제공자

작업

포털 포털

가상화 관리

Edge 클러스터 계산 클러스터

IaaS, PaaS, ITaaS 엔진

성능 및

용량 관리

IT 비즈니스제어

서비스제어

작업제어

인프라제어

• 호스트 3개로 시작• 클러스터 2개로 시작

• 호스트 3개로 시작

관리 클러스터

• 호스트 3개로 시작

오케스트레이션

각각 최소 세 개의 호스트가 있는 클러스터가 vRealize Suite 구현의 기준입니다.

관리 클러스터 관리 클러스터의 호스트는 SDDC를 지원하는 데 필요한 관리 구성 요소를실행합니다. 물리적 위치 각각에 단일 관리 클러스터가 필요합니다. 관리클러스터를 실행하는 ESXi 호스트를 수동으로 설치하고 로컬 하드 드라이브를 사용하여 부팅하도록 이러한 호스트를 구성할 수 있습니다.

관리 클러스터는 리소스 분리를 제공합니다. 운영 애플리케이션, 테스트 애플리케이션 및 기타 유형의 애플리케이션은 관리, 모니터링 및 인프라 서비스를 위해 예약된 클러스터 리소스를 사용할 수 없습니다. 리소스 분리를통해 관리 및 인프라 서비스가 최적의 성능 수준에서 작동할 수 있습니다.별도의 클러스터는 관리 및 고객 페이로드 하드웨어 간 물리적 분리가 있도록 하기 위한 조직의 정책을 충족할 수 있습니다.

Edge 클러스터 Edge 클러스터는 환경 간의 상호 연결을 제공하는 네트워크 장치를 지원합니다. 이 클러스터는 내부 데이터 센터 네트워크가 게이트웨이를 통해 외부 네트워크에 연결할 수 있는 보호된 용량을 제공합니다. 네트워킹 Edge서비스 및 네트워크 트래픽 관리는 클러스터에서 수행됩니다. 외부를 대상으로 하는 모든 네트워크 연결이 이 클러스터에서 종료됩니다.

VMwareNSX와 쌍을 이루는 전용 vCenter Server 인스턴스는 Edge클러스터의 ESXi 호스트를 관리합니다. 동일한 vCenter Server 인스턴스는 외부 네트워크에 대한 액세스 권한을 필요로 하는 페이로드 클러스터를 관리합니다.

Edge 클러스터는 작을 수 있고 관리 및 페이로드 클러스터의 것보다 용량이 적은 ESXi 호스트로 구성될 수 있습니다.

페이로드 클러스터 페이로드 클러스터는 기타 모든 Edge 이외 클라이언트 워크로드 제공을지원합니다. 해당 클러스터는 환경의 소비자가 가상 시스템으로 이 클러스터를 채우기 시작할 때까지 비어 있는 상태로 유지됩니다. 페이로드 클러스터를 더 추가하면 스케일 업할 수 있습니다.

데이터 센터의 크기가 늘어남에 따라, 새로운 Edge 및 페이로드 클러스터를 생성하고, 리소스를 추가하여 스케일 업하거나 호스트를 추가하여 확장할 수 있습니다.

vRealize Suite 개요

16 VMware, Inc.

관리 클러스터의 vRealize Suite 제품기능을 추가하면 관리 클러스터의 vRealize Suite 제품 수가 늘어납니다. 관리 클러스터는 최소 제품 집합을 포함해야 합니다. 추가적인 기능이 필요한 경우 제품 집합을 확장할 수 있습니다.

그림 2‑3. 관리 클러스터의 VMware 제품

vRealizeBusinessfor Cloud

vRealizeInfrastructure

Navigator

관리 클러스터

관리

vCenter Server

오케스트레이션

vRealizeOrchestration

네트워크

VMwareNSX

성능 및 용량 관리

vRealizeOperationsManager

PaaS

vRealizeApplication

Service

무중단 업무 운영 및 재해 복구

vSphereReplication

vSphereData

Protection

SiteRecoveryManager

IaaS

vRealizeAutomation

보조 사이트로복제

관리 클러스터의 제품의 최소 집합

관리 클러스터는 항상 vCenter Server 인스턴스를 포함합니다. IaaS 및 PaaS 기능을 위한 환경을 준비하기 위해 초기 단계에서 vRealize Orchestrator 장치를 vRealize Suite 제품으로 배포할 수 있습니다.

vRealize Suite는 기본적으로 VMware 네트워킹 솔루션을 포함하지 않습니다. NSX for vSphere는vRealize Suite 관리 클러스터의 네트워킹 기능을 수행할 수 있습니다. NSX는 보다 빠른 네트워크 프로비저닝 및 관리를 위해 데이터 센터 전체에서 워크로드를 따르는 보안 정책과 함께 계층 2 - 계층 7 네트워크 가상화를 제공합니다. 저렴해진 추가 기능 가격으로 NSX for vSphere를 구입할 수 있습니다.

참고 vCloud Networking and Security는 이전 버전의 vRealize Suite에 포함되었으며, 관리 클러스터 네트워킹 기능을 수행했습니다. vCloud Networking and Security는 더 이상vRealize Suite의 일부가 아닙니다.

확장된 제품 집합

환경의 복잡성이 늘어남에 따라, 사용자는 추가적인 제품을 설치하고 구성합니다. 예를 들어vRealize Operations Manager 및 관련 제품은 고급 모니터링 기능을 제공합니다.vRealize Automation은 가상 및 물리적, 사설 및 공용 또는 하이브리드 클라우드 인프라에서 서버 및데스크톱의 신속한 모델링 및 프로비저닝을 가능하게 하므로 IaaS 솔루션의 핵심 요소입니다.vCenter Site Recovery Manager 인스턴스는 재해 복구를 위해 보조 사이트에 복제를 제공할 수 있습니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 17

SDDC 핵심 인프라SDDC 핵심 인프라는 모니터링을 위한 vRealize Operations Manager 및 vRealize Log Insight,워크플로 관리를 위한 vRealize Automation 및 vRealize Orchestrator, 비용 산정을 위한vRealize Business for Cloud 등 vSphere 및 vRealize Suite 제품으로 구성되어 있습니다.

핵심 인프라에는 물리적 계층, 가상 인프라 계층 및 클라우드 관리 계층이 포함되어 있습니다. 핵심 인프라는 가상 인프라 계층의 일부이며 서비스 카탈로그 및 오케스트레이션 서비스는 클라우드 관리 계층의일부입니다. 가상 인프라 계층은 기본 물리적 리소스의 통합 및 풀링을 사용하도록 설정합니다. 클라우드관리 계층은 오케스트레이션 기능을 제공하고 온프레미스 데이터 센터 운영과 관련된 비용을 줄입니다.서비스 관리 계층은 모니터링 기능을 제공하여 예측 분석 및 스마트 경고를 통해 발생할 수 있는 문제를사전에 식별하고 해결하며, 애플리케이션 및 인프라에 대한 최적의 성능과 가용성을 보장합니다.

SDDC 인프라의 vRealize Suite 제품은 가상 및 하이브리드 클라우드 환경에서 효과적으로 리소스의성능, 가용성 및 용량을 관리할 수 있게 도움을 줍니다. 핵심 인프라는 vSphere 또는 다른 타사 기술을기반으로, 온프레미스 또는 오프프레미스의 하이브리드 및 이기종 클라우드 환경에서 관리할 수 있게 도움을 줍니다.

SDDC 인프라가 올바르게 구성되어 있는 경우 이를 확장하여 조직 내부나 외부의 IT 리소스 소비자에게IaaS(Infrastructure as a Service) 및 PaaS(Platform as a Service)를 제공할 수 있습니다.IaaS 및 PaaS는 SDDC 플랫폼을 완성하고, 기능 확장을 위한 추가적인 기회를 제공합니다. IaaS 및PaaS를 통해, IT 및 개발자 작업의 민첩성을 높입니다.

그림 2‑4. SDDC 인프라 구축 단계

오케스트레이션가상화 모니터링 SDDC 인프라 지원

vRealize Suite 인프라의 가상화 및 관리

vRealize Suite에 포함된 다양한 VMware 제품은 vRealize Suite 기반에 필요한 가상화 및 관리 기능을 제공합니다. 데이터 센터에 대한 강력한 기반을 설정하려면 vCenter Server, ESXi 및 지원 구성요소를 설치하고 구성합니다.

하이브리드 클라우드 배포

vRealize Suite를 통해 엔터프라이즈는 사설 클라우드 워크로드를 공용 클라우드로 확장하고, 끝점의요청 시, 셀프 서비스 및 유연한 프로비저닝을 활용하면서 vRealize Suite 제공 사설 클라우드의 동일한관리 환경, 안정성 및 성능을 이용할 수 있습니다.

SDDC의 클라우드 관리 계층에서 vRealize Automation 및 vRealize Orchestrator를 사용하여 엔터프라이즈는 vSphere 환경을 넘어서서 vSphere를 기반으로 하지 않는 환경으로 확장하는 VM 및 끝점을 프로비저닝할 수 있습니다. vSphere를 기반으로 하지 않는 vSphere 이외 환경은 공용 클라우드의 서비스 제공자 또는 사설 데이터 센터에 있을 수 있습니다. SDDC의 서비스 관리 계층을 통해vSphere를 기반으로 하지 않는 끝점 및 vSphere 끝점을 모니터링할 수 있습니다.vRealize Operations Manager 및 vRealize Log Insight는 엔터프라이즈가 VM에서 분석을 제공하도록 도움을 주는 서비스 관리 계층의 주요 제품입니다.

ESXi 및 vCenter Server 설계 고려 사항

SDDC의 가상화에 대한 설계 결정에서는 ESXi 및 vCenter Server의 배포 및 지원 세부 사항에 대해다뤄야 합니다.

ESXi 호스트의 배포를 계획할 때 다음 설계 결정 사항을 고려하십시오.

ESXi

n VMware Capacity Planner와 같은 도구를 사용하여 기존 서버의 성능 및 사용을 분석합니다.

vRealize Suite 개요

18 VMware, Inc.

n VMware 호환성 가이드에 설명된 지원되는 서버 플랫폼을 사용합니다.

n 하드웨어가 ESXi 실행에 필요한 최소 시스템 요구 사항을 충족하는지 확인합니다.

n 가변성을 없애고 관리 가능하고 지원 가능한 인프라를 얻기 위해 ESXi 호스트의 물리적 구성을 표준화합니다

n vSphere Auto Deploy 등 자동화된 설치 방법을 사용하거나, 수동으로 ESXi 호스트를 배포할 수있습니다. 유효한 접근 방식 하나는 수동으로 관리 클러스터를 배포하고, 환경 규모가 늘어남에 따라vSphere Auto Deploy를 배포하는 것입니다.

vCenter Server

n 64비트 Windows 물리적 시스템이나 가상 시스템에서 또는 Linux 기반 가상 장치로vCenter Server를 배포할 수 있습니다.

참고 Windows의 vCenter Server는 최대 10,000대의 전원이 켜진 가상 시스템을 지원하도록스케일 업됩니다. vCenter Server Appliance는 배포 속도를 높이고 운영 체제 라이센싱 비용을줄일 수 있게 하고 사전 구성된 대체 선택 제품입니다. 외부 Oracle 데이터베이스를 사용하는 경우vCenter Server Appliance는 최대 10,000대의 가상 시스템을 지원할 수 있습니다.

n vCenter Server에 대한 충분한 가상 시스템 리소스를 제공합니다.

n 사용자 인터페이스에 대한 vSphere Web Client 및 vSphere Client를 환경에 배포합니다. 명령줄 및 스크립팅 관리를 위해 vSphere Command Line Interface(vCLI) 또는vSphere PowerCLI를 배포합니다. vCLI 및 vSphere SDK for Perl은vSphere Management Assistant에 포함되어 있습니다.

네트워크 설계 고려 사항

데이터 센터에서 가상화 및 클라우드 컴퓨팅이 급증하면서 기존 3계층 네트워킹 모델에서 변화가 일어나고 있습니다. 기존 코어 집계 액세스 모델은 리프 및 스파인 설계로 바뀌고 있습니다.

네트워크는 조직 내 여러 엔티티의 다양한 요구를 충족하도록 설계되어야 합니다. 이러한 엔티티에는 애플리케이션, 서비스, 스토리지, 관리자 및 사용자가 포함됩니다.

n 필요한 경우 제어된 액세스 및 분리를 사용하여 적절한 보안 수준을 제공합니다.

n 리프 및 스파인 설계를 사용하여 네트워크 아키텍처를 간소화합니다.

n 호스트 간에 공통 포트 그룹 이름을 구성하여 가상 시스템 마이그레이션 및 페일오버를 지원합니다.

n 키 서비스에 대한 네트워크를 서로 분리하여 보안 수준을 높이고 성능을 향상시킵니다.

데이터 센터에서는 모범 사례로 네트워크 분리가 자주 권장됩니다. vRealize Suite 환경에서 두 개 이상의 물리적 클러스터를 스패닝하는 여러 키 VLAN이 있을 수 있습니다.

다음 그림에서는 모든 호스트가 ESXi 관리, vSphere vMotion, VXLAN 및 NFS VLAN의 일부입니다. 또한 관리 호스트가 외부 VLAN에 연결되어 있고 각 Edge 호스트는 해당 고객별 VLAN에 연결됩니다.

이 경우 연결은 vSphere Distributed Switch에서 제공된 LACP(Link Aggregation ControlProtocol)를 사용하여 LACP 포트 채널에 연결된 ESXi 호스트의 물리적 NIC 대역폭을 집계합니다.Distributed Switch에서 여러 LAG(링크 집계 그룹)를 생성할 수 있습니다. LAG에는 두 개 이상의 포트가 포함되며 물리적 NIC를 포트에 연결합니다. LAG 포트는 이중화를 위해 LAG 내에서 팀으로 구성되며, 네트워크 트래픽은 LACP 알고리즘을 사용하여 포트 간에 로드 밸런싱됩니다.

vSphere Distributed Switch의 LACP 지원 항목을 참조하십시오.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 19

그림 2‑5. 여러 VLAN에 연결되는 여러 유형의 ESXi 호스트

VLAN ESXi 관리

VLAN vSphere vMotion

VLAN VTEP(VXLAN)

VLAN 고객 1(Edge 호스트)

VLAN 고객 2(Edge 호스트)

vSphere Distributed Switch

LAG 1-1LAG 1LAG 1-0

ESXi호스트 1

vmnic1vmnic0

LACP 포트채널

물리적 스위치

VLAN NFS

VLAN 외부 관리(관리 호스트)

ESXi호스트 2

vmnic1vmnic0

LACP 포트채널

공유 스토리지 설계 고려 사항

올바른 스토리지 설계는 원활하게 수행되는 가상 데이터 센터에 대한 기준을 제공합니다.

n 스토리지 설계는 애플리케이션, 서비스, 관리자 및 사용자의 다양한 요구를 충족하도록 최적화되어야합니다.

n 스토리지 계층마다 다른 성능, 용량 및 가용성 특성이 있습니다.

n 모든 애플리케이션에서 가격이 비싸고 고성능이며 고가용성인 스토리지가 필요하지는 않으므로 스토리지 계층을 설계하는 것이 비용 효율적입니다.

n 파이버 채널, NFS 및 iSCSI는 가상 시스템 요구를 지원하기에 완성도가 높고 적합한 사용 가능한옵션입니다.

다음 그림에서는 다른 유형의 호스트가 다른 스토리지 어레이를 활용하는 방법을 보여 줍니다. 관리 클러스터의 호스트에는 관리, 모니터링 및 포털을 위한 스토리지가 필요합니다. Edge 클러스터의 호스트에는고객이 액세스할 수 있는 스토리지가 필요합니다. 페이로드 클러스터의 호스트는 고객별 스토리지에 액세스할 수 있습니다. 다른 페이로드 클러스터 호스트는 다른 스토리지에 액세스할 수 있습니다.

스토리지 관리자는 모든 스토리지를 관리할 수 있지만 고객 데이터에는 액세스할 수 없습니다.

vRealize Suite 개요

20 VMware, Inc.

그림 2‑6. 다른 호스트를 지원하는 스토리지

가상 장치

가상 장치

가상 장치

가상 장치

가상 장치

가상 장치 APP

OSAPPOS

APPOS

테넌트 n

관리 클러스터 Edge 클러스터 계산 클러스터

테넌트 1

ESXi 호스트 ESXi 호스트 ESXi 호스트

공유 데이터스토어

관리 모니터링 포털

공유 데이터스토어

Edge그룹 1

Edge그룹 2

Edge그룹 N

공유 데이터스토어

페이로드SLA 1

페이로드SLA 2

페이로드SLA N

소프트웨어 정의 스토리지

정책 기반 스토리지 관리가상화된 데이터 서비스

하이퍼바이저 스토리지 추상화

SAN 또는 NAS 또는 DAS(타사 또는 VMware Virtual SAN)

물리적 디스크

SSD FC15K FC10K SATA SSD FC15K FC10K SATA

VMDK

스왑 파일 + 로그

샘플 LUN

계층0 계층1 계층2 계층3 계층0 계층1 계층2 계층3

스토리지관리자

vRealize Suite 핵심 인프라 관리

SDDC 관리에는 자주 반복되는 많은 작업이 포함됩니다. vRealize Suite에서vRealize Orchestrator를 사용하여 워크플로를 통해 복잡한 프로세스를 관리할 수 있습니다.

클라우드 관리 계층으로 수동 프로세스를 자동화하는 매크로 유사 워크플로를 구축할 수 있습니다. 오케스트레이션을 통해 반복 가능한 작업을 제공할 수 있습니다.

클라우드 관리 계층 내에서 자동 또는 수동으로 워크플로를 트리거할 수 있습니다.

n vRealize Automation이 vRealize Orchestrator 워크플로를 트리거할 수 있습니다.

n 서비스 카탈로그에서 워크플로를 게시하고 수동으로 트리거할 수도 있습니다.

프로세스 초기에 오케스트레이션 엔진을 설정하면 모든 수준의 고객 완성도에 이점이 있으며 나머지 솔루션 구축에 기초를 제공합니다. 배포 요구 사항에 따라 환경에서 각 vCenter Server 시스템에 대해 하나이상의 vCenter Server 인스턴스를 배포합니다.

오케스트레이션 계층에는 다음 주요 요소가 포함됩니다.

n vRealize Orchestrator

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 21

n vRealize Orchestrator 플러그인

그림 2‑7. vRealize Suite 오케스트레이션 계층 설계

vRO 플러그인

vRealize Orchestrator 장치

포함된 데이터베이스

AD, LDAP 또는 vCenter Single Sign-On

플러그인 사용하도록 설정됨

vCenter Server

다중 노드

AD

인증

vRealize Orchestrator 구성

vRealize Orchestrator 설계

표 2‑1. vRealize Suite 오케스트레이션 계층 구성 요소

구성 요소 설명

vRealize Orchestrator 장치 vRealize Orchestrator를 가상 장치로 배포합니다. 더작은 배포에는 HA가 아닌 독립형 모드에서 실행되는vRealize Orchestrator 장치가 권장 접근 방식입니다.

인증 Active Directory 또는 vCenter Single Sign-On에서 제공됩니다.

vRealize Orchestrator 구성 인터페이스 웹 기반 구성 인터페이스를 사용하여 장치 데이터베이스,TLS 인증서, 라이센스 등을 구성합니다.

vRealize Orchestrator Designer 인터페이스 웹 기반 Designer 인터페이스를 사용하여 워크플로를 생성 및 사용자 지정합니다.

vCenter Server 플러그인 vRealize Orchestrator 플러그인을 사용하여 여러vCenter Server 인스턴스를 관리합니다. 해당 플러그인은 vCenter Server 작업을 자동화하는 표준 워크플로라이브러리를 제공합니다.

다중 노드 플러그인 vRealize Orchestrator 다중노드 플러그인을 사용하여vRealize Orchestrator 및 워크플로 실행을 원격으로관리합니다.

vRealize Suite 핵심 인프라 모니터링

모니터링 기능은 SDDC의 필수 요소입니다. 모니터링 요소는 충족하는 요구 사항, 규격, 관리 및 해당 관계를 비롯하여 관련 인프라 구성 요소의 성능 및 용량 관리를 위한 기능을 제공합니다.

vRealize Suite 모니터링 제품에는 여러 VMware 제품이 포함됩니다.

vRealize Suite 개요

22 VMware, Inc.

표 2‑2. vRealize Suite 의 모니터링 제품

모니터링 제품 설명

vRealize Operations Manager 해당 인프라의 성능, 용량 및 상태에 대한 정보를 제공합니다. 사용자가 ESXi 호스트에서 배포할 수 있는 가상 장치로 배포됩니다. 가상 장치를 구성하고vCenter Server 시스템을 사용하여 이를 등록합니다. vRealize Operations Manager 정보 센터을 참조하십시오.

vRealize Infrastructure Navigator 애플리케이션 서비스를 검색하고, 관계를 시각화하고, 가상화된 계산, 스토리지 및 네트워크 리소스에서 애플리케이션의 종속성을 매핑합니다. vRealize InfrastructureNavigator 설명서 센터을 참조하십시오.

vRealize Log Insight 로그 데이터를 수집하고 분석하여 시스템, 서비스 및 애플리케이션 관련 문제에 대한 실시간 답변을 제공하고, 중요하고 의미 있는 정보를 도출합니다. VMware vRealizeLog Insight 설명서 센터을 참조하십시오.

솔루션 무결성을 손상시키지 않고 모든 모니터링 제품 또는 일부 제품만 배포할 수 있습니다.

인프라 서비스 제공

IaaS(Infrastructure as a Service)를 제공하는 기능은 기존의 데이터 센터 작업에서 클라우드로의기술적/조직적 변환을 나타냅니다. 사설, 공용 또는 하이브리드 클라우드 인프라에서 VM 및 서비스를 모델링하고 프로비저닝할 수 있습니다.

SDDC에서 제공자 그룹 또는 조직은 인프라 및 애플리케이션 서비스의 형태로 리소스를 분리 및 추상화하고, 테넌트 그룹 또는 조직에서 이를 사용할 수 있게 만들 수 있습니다.

클라우드 관리 계층은 인프라 서비스를 프로비저닝하기 위해 정책 사용을 통해 관리 오버헤드를 낮추는셀프 서비스 사용자 포털을 제공합니다. 관리자는 정책을 사용하여 상세하고 유연한 방식으로 서비스 소비를 제어합니다. 승인 요구 사항은 각 서비스의 일부일 수 있습니다.

여러 구성 요소를 사용하여 인프라 서비스를 구축할 수 있습니다.

표 2‑3. 인프라 서비스 구성 요소

인프라 서비스 섹션 구성 요소 설계

vRealize Automation 가상 장치 n vRealize Automation포털 웹 서버 또는 애플리케이션 서버

n vRealize Automation vPostgreSQL 데이터베이스

vRealize Automation IaaS n vRealize Automation IaaS Web 서버n vRealize Automation IaaS Manager 서비스

Distributed Execution Manager vRealize Automation Distributed ExecutionManager는 DEMOrchestrator 인스턴스 및 DEMWorker 인스턴스로 구성되어 있습니다.

통합 vRealize Automation Agent 시스템

비용 관리 vRealize Business for Cloud

인프라 프로비저닝 n vSphere 환경n vRealize Orchestrator 환경n 기타 지원되는 물리적, 가상 또는 클라우드 환경

인프라 지원 n Microsoft SQL 데이터베이스 환경n LDAP 또는 Active Directory 환경n SMTP 및 이메일 환경

인프라 서비스는 여러 단계로 배포됩니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 23

그림 2‑8. IaaS 배포의 단계

셀프 서비스포털

인프라구성 요소

서비스 및 테넌트 비용 관리

인프라서비스 준비

핵심 IaaS 개념에 대한 자세한 설명은 Infrastructure as a Service에 대한 vRealize Automation정보를 참조하십시오.

셀프 서비스 포털 vRealize Automation는 인증된 관리자, 개발자 또는 비즈니스 사용자가새로운 IT 서비스를 요청할 수 있는 안전한 포털을 제공합니다.

인프라 구성 요소 vRealize Automation을 배포하려면 vSphere 및 vCloud Air 등 몇가지 VMware 제품을 구성하고, 물리적 시스템 끝점, 패브릭 그룹 및Blueprint 등 vRealize Automation 구성 요소를 구성합니다.

서비스 및 테넌트 서비스 카탈로그는 IT 서비스를 사용하기 위한 통합 셀프 서비스 포털을 제공합니다. 사용자는 카탈로그를 탐색하여 항목을 요청하고, 요청을 추적하며, 프로비저닝된 항목을 관리할 수 있습니다.

비용 관리 vRealize Business for Cloud 등 vRealize Automation과 통합하는솔루션은 비용 조사 및 관리를 지원합니다.

PaaS(Platform as a Service) 제공

PaaS(Platform-as-a-Service)를 사용하여 사설, 공용 및 하이브리드 클라우드 인프라에서 애플리케이션을 모델링하고 프로비저닝합니다.

PaaS는 서비스로서 솔루션 스택 및 컴퓨팅 플랫폼을 제공하는 클라우드 컴퓨팅 서비스 유형입니다.SaaS(Software-as-a-Service) 및 IaaS(Infrastructure-as-Service)와 함께, PaaS는 사용자가제공자가 제공하는 도구 및 라이브러리를 사용하여 애플리케이션 및 서비스를 생성할 수 있는 클라우드컴퓨팅 서비스 모델입니다. 사용자는 소프트웨어 배포 및 구성 설정을 제어합니다. 제공자는 해당 애플리케이션을 호스팅하는 데 필요한 네트워크, 서버, 스토리지 및 기타 서비스를 제공합니다.

애플리케이션 프로비저닝 자동화

PaaS의 핵심적 측면은 애플리케이션 프로비저닝을 자동화하는 기능입니다. vRealize Automation은클라우드 인프라에서 애플리케이션 배포 토폴로지 생성 및 표준화를 간소화하는 모델 기반 애플리케이션프로비저닝 솔루션입니다. 애플리케이션 설계자는 애플리케이션 끌어서 놓기 기능을 사용하여 애플리케이션 Blueprint라는 애플리케이션 배포 토폴로지를 생성합니다. 이러한 애플리케이션 Blueprint는 애플리케이션의 구조를 정의하고, 표준화된 애플리케이션 인프라 구성 요소를 사용할 수 있게 해주며, 사용자 지정 및 패키징된 엔터프라이즈 애플리케이션에 사용할 수 있는 설치 종속성 및 기본 구성을 포함합니다. 사용자는 표준 논리 템플릿, 애플리케이션 인프라 서비스, 구성 요소 및 스크립트로 구성된 미리 채워지고확장 가능한 형태의 카탈로그를 사용하여 애플리케이션 Blueprint를 모델링할 수 있습니다. 애플리케이션 Blueprint는 vRealize Automation과 같은 IaaS 클라우드 및 Amazon EC2와 같은 공용 클라우드 간에 이동할 수 있는 논리적 배포 토폴로지입니다.

vRealize Automation을 사용하여, 사용자는 기본 클라우드 인프라가 필요한 계산, 네트워크 및 스토리지 요구 사항을 제공한다고 가정하고 애플리케이션 및 서비스 구조를 지정합니다. VMware vSphere를 기반으로 하는 모든 사설 또는 공용 클라우드에서 vRealize Automation Blueprint를 배포할 수있습니다. 이 애플리케이션 프로비저닝 모델을 통해 개발자와 애플리케이션 관리자는 인프라, OS 및 미들웨어 구성을 신경쓰지 않아도 되며, 기업에서는 해당 애플리케이션을 통해 비즈니스 가치를 제공하는데 역량을 집중할 수 있습니다.

vRealize Suite 개요

24 VMware, Inc.

엔터프라이즈 사용자는 동적 클라우드 환경에서 복잡한 애플리케이션을 표준화, 배포, 구성, 업데이트 및크기 조정할 수 있습니다. 이러한 애플리케이션은 간단한 웹 애플리케이션에서 복잡한 사용자 지정 애플리케이션 및 패키징된 애플리케이션에 이르기까지 다양합니다.vRealize Automation Application Services는 표준 구성 요소 또는 서비스로 구성된 카탈로그를통해 하이브리드 클라우드 환경에서 다중 계층 엔터프라이즈 애플리케이션의 배포 업데이트 수명 주기를자동화하고 관리합니다.

애플리케이션 성능 모니터링

모니터링은 애플리케이션과 관련된 성능 관리를 위한 기능을 제공합니다.

사전 구축된 애플리케이션 구성 요소

VMware Cloud Management Marketplace는 사용자가 고유한 애플리케이션 서비스를 개발하기위해 다운로드하고 사용할 수 있는 Blueprint, 서비스, 스크립트 및 플러그인을 제공합니다. 선도적 미들웨어, 네트워킹, 보안 및 애플리케이션 벤더들은 사용자가 다중 계층 애플리케이션 프로비저닝 계획에 삽입할 수 있는 재사용 가능하고 유연한 구성을 사용하는 사전 구축된 구성 요소를 제공합니다.

vRealize Suite 보안 고려 사항각 vRealize Suite 제품은 보안 요구 사항을 준수해야 합니다. 각 제품에 대한 인증 및 권한을 고려해야하고 인증서가 회사 요구 사항을 충족하는지 확인해야 하며 네트워크 분리를 구현해야 합니다.

제품군 또는 개별 제품에 대한 설명서는 환경을 보호하는 데 도움을 줄 수 있습니다. 이 문서는 제품군을보호하기 위한 추가 단계에 대해 초점을 둡니다.

표 2‑4. vRealize Suite 제품 보안 설명서

제품 설명서

vCenter ServerESXi 인증서 관리 ESXi 보안, vCenter Server 보안과 인증및 권한을 포함하는 많은 항목에 대한 내용은 vSphere보안 설명서를 참조하십시오.

ESXi 보안 정보에 대한 VMware 하이퍼바이저의 보안백서를 참조하십시오.

vSphere vSphere 제품에 대한 vSphere Security HardeningGuide를 참조하십시오.

vRealize Automation 및 관련 제품 인증서, 암호, 사용자 보안 및 보안 그룹 사용 등에 대한내용은 vRealize Automation 정보 센터의 설치 준비를참조하십시오.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 25

vRealize Suite 의 인증 및 권한 부여

vCenter Single Sign-On을 사용하는 인증은 지원되는 ID 소스의 사용자만이 vRealize Suite에 로그인할 수 있게 보장합니다. 권한 부여는 해당하는 권한을 가진 사용자만이 정보를 보거나 작업을 수행할수 있게 보장합니다. 권한 부여는 서비스 및 인간 사용자 모두에 적용됩니다.

vCenter Single Sign-On 으로 인증

vCenter Single Sign-On은 해당 관리 인프라에서 인증을 지원합니다. vCenter Single Sign-On에인증할 수 있는 사용자만이 인프라 구성 요소를 보고 관리할 수 있습니다. Active Directory 또는OpenLDAP 등의 ID 소스를 vCenter Single Sign-On에 추가할 수 있습니다.

vCenter Single Sign-On 개요

vCenter Single Sign-On은 VMware 서비스 집합인, 사용자 및 솔루션 사용자를 위한 인증 브로커및 보안 토큰 교환 인프라입니다. 사용자 또는 솔루션 사용자가 vCenter Single Sign-On에 인증하는경우 해당 사용자는 SAML 토큰을 받습니다. 앞으로 사용자는 SAML 토큰을 사용하여vCenter Server 서비스에 인증할 수 있습니다. 그런 다음 사용자는 정보를 보고, 권한을 가지고 있는작업을 수행할 수 있습니다.

vCenter Single Sign-On을 사용하면 vRealize Suite 제품은 각 제품이 Microsoft ActiveDirectory와 같은 디렉토리 서비스로 사용자를 별도로 인증하도록 요구하는 대신 안전한 토큰 교환 메커니즘을 통해 서로 통신합니다. 설치 또는 업그레이드 중에 vCenter Single Sign-On은 내부 보안 도메인(예: vsphere.local, 여기에 vSphere 솔루션 및 제품이 등록됨)을 구성합니다. 회사별 인증 정보용으로 이 내부 보안 도메인을 사용하는 대신 Active Directory 도메인 등 ID 소스를 하나 이상vCenter Single Sign-On에 추가할 수 있습니다.

vCenter Single Sign-On 구성

vSphere Web Client에서 vCenter Single Sign-On을 구성할 수 있습니다.

vSphere 6.0부터 vCenter Single Sign-On은 Platform Services Controller의 일부입니다.Platform Services Controller에는 vCenter Server 및 vCenter Server 구성 요소를 지원하는 공유 서비스가 포함되어 있습니다. vCenter Single Sign-On을 관리하려면 해당 환경과 연결된Platform Services Controller에 연결합니다. 구성에 대한 배경 정보 및 자세한 내용은 vCenterSingle Sign-On으로 vSphere 인증의 내용을 참조하십시오.

vRealize Suite 의 권한 부여

권한 부여는 어떤 사용자 또는 프로세스가 vRealize Suite 배포에서 어느 구성 요소를 액세스하거나 수정할 수 있는지 결정합니다. vRealize Suite 내의 여러 제품이 다양한 세분성 수준에서 권한 부여를 처리합니다.

여러 유형의 관리자가 다양한 제품 또는 제품 구성 요소에 대해 여러 유형의 사용자에게 액세스 권한 부여를 담당합니다.

vCenter Server 권한 부여

vCenter Server 사용 권한 모델을 통해 관리자는 vCenter Server 개체 계층의 특정 개체에 대한 역할을 사용자 또는 그룹에 할당할 수 있습니다. 역할은 권한 집합입니다. vCenter Server에는 미리 정의된 역할이 포함되어 있지만, 사용자가 사용자 지정 역할을 생성할 수도 있습니다.

대부분의 경우 사용 권한은 소스 개체와 대상 개체 둘 다에서 정의해야 합니다. 예를 들어 가상 시스템을이동하는 경우 해당 가상 시스템에서 일부 권한이 필요하지만, 대상 데이터 센터에서도 권한이 필요합니다.

vRealize Suite 개요

26 VMware, Inc.

또한 글로벌 사용 권한을 통해 vCenter 개체 계층의 모든 개체에 대한 권한을 특정 사용자에게 부여할수 있습니다. 특히 개체 계층으로 글로벌 사용 권한을 전파하는 경우 주의하여 글로벌 사용 권한을 사용하십시오.

vCenter Server 사용 권한에 대한 지침 동영상 및 세부 정보는 vSphere 보안 설명서를 참조하십시오.

vRealize Automation 인증

vRealize Automation에서는 미리 정의된 역할을 사용하여 어떤 사용자나 그룹이 어느 작업을 수행할수 있는지 결정할 수 있습니다. vCenter Server와 다르게 사용자 지정 역할을 정의할 수 없지만, 광범위한 미리 정의된 역할 집합을 사용할 수 있습니다.

인증 및 권한 부여는 다음과 같이 진행됩니다.

1 시스템 관리자는 Single Sign-On 초기 구성과 기본 테넌트 설정을 수행하며 이 과정에서 각 테넌트에 하나 이상의 ID 저장소와 테넌트 관리자 한 명을 지정합니다.

2 그런 다음 테넌트 관리자는 추가 ID 저장소를 구성하고 해당 ID 저장소의 사용자나 그룹에게 역할을할당할 수 있습니다.

테넌트 관리자는 자신의 테넌트 내에 사용자 지정 그룹을 생성하고 ID 저장소에 정의되어 있는 사용자와 그룹을 사용자 지정 그룹에 추가할 수도 있습니다. ID 저장소 그룹 및 사용자와 같은 사용자 지정 그룹은 할당된 역할일 수 있습니다.

3 그런 다음 관리자는 사용자와 그룹이 속하는 역할에 따라 이러한 사용자와 그룹에 역할을 할당할 수있습니다.

n 시스템 관리자, IaaS 관리자 및 패브릭 관리자 등 시스템 차원 역할 집합이 미리 정의되어 있습니다.

n 테넌트 관리자 또는 애플리케이션 카탈로그 관리자 등 별도의 테넌트 역할 집합도 미리 정의되어있습니다.

vRealize Automation 설명서를 참조하십시오.

페더레이션된 ID 관리

페더레이션된 ID 관리를 통해 한 도메인의 전자 ID 및 특성을 수락하고 사용하여 다른 도메인의 리소스에액세스할 수 있습니다. vCenter Single Sign-On 및 VMware Identity Manager를 사용하여vRealize Automation, vRealize Operations Manager 및 vSphere Web Client 간 페더레이션된 ID 관리를 사용하도록 설정할 수 있습니다.

페더레이션된 ID 환경은 사용자가 페더레이션된 ID 시스템과 상호 작용하는 방식에 따라 개인 설정이라는 범주로 사용자를 나눕니다. 사용자는 해당 시스템을 사용하여 서비스를 받습니다. 관리자는 시스템 사이에 페더레이션을 구성하고 관리합니다. 개발자는 사용자가 소비하는 서비스를 생성하고 확장합니다. 다음 표에서는 이러한 개인 설정에서 활용하는 페더레이션된 ID 관리의 혜택에 대해 설명합니다.

표 2‑5. 개인 설정에 대한 혜택

사용자 유형 페더레이션된 ID 혜택

사용자 n 여러 애플리케이션에 대한 편리한 Single Sign-Onn 관리할 암호가 더 적음n 향상된 보안

관리자 n 애플리케이션 사용 권한 및 액세스에 대한 보다 효과적인 제어

n 컨텍스트 및 정책 기반 인증

개발자 n 간단한 통합n 다중 테넌시, 사용자 및 그룹 관리, 확장 가능한 인증,수고를 기울일 필요가 거의 없는 위임된 인증의 혜택

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 27

두 당사자 간에 SAML 연결을 생성하여 VMware Identity Manager 및 vCenter Single Sign-On사이에 페더레이션을 설정할 수 있습니다. vCenter Single Sign-On은 ID 제공자 역할을 하며VMware Identity Manager는 서비스 제공자 역할을 합니다. ID 제공자는 전자 ID를 제공합니다. 서비스 제공자는 전자 ID를 평가하고 수락한 후 리소스에 대한 액세스 권한을 부여합니다.

vCenter Single Sign-On이 사용자를 인증하려면 동일한 계정이 VMware Identity Manager 및vCenter Single Sign-On에 존재해야 합니다. 최소한, 사용자의 userPrinicpalName이 양쪽 끝에서 일치해야 합니다. 기타 특성은 SAML 제목을 식별하는 데 사용되지 않으므로 다를 수 있습니다.

admin@vsphere.local과 같은 vCenter Single Sign-On의 로컬 사용자인 경우, 해당하는 계정이VMware Identity Manager에서 생성되어야 합니다. 여기서 최소한 사용자의 userPrinicpalName이 일치해야 합니다. 해당 계정을 수동으로 생성하거나 VMware Identity Manager 로컬 사용자 생성API를 사용하는 스크립트를 통해 생성해야 합니다.

SSO2 및 vIDM 간 SAML 설정에는 다음 작업이 포함됩니다.

1 VMware Identity Manager 기본 인증을 업데이트하기 전에 vCenter Single Sign-On에서VMware Identity Manager로 SAML 토큰을 가져옵니다.

2 VMware Identity Manager에서 vCenter Single Sign-On을 VMware Identity Manager의 타사 ID 제공자로 구성하고 VMware Identity Manager 기본 인증을 업데이트합니다.

3 vCenter Single Sign-On에서 VMware Identity Manager sp.xml 파일을 가져와서VMware Identity Manager를 서비스 제공자로 구성합니다.

다음 제품 설명서를 참조하십시오.

n vRealize Automation의 ID 제공자로 SSO2 구성에 대한 자세한 내용은 VMware vCloudAutomation Center 6.1과 함께 VMware vCenter SSO 5.5 U2 사용의 내용을 참조하십시오.

n vRealize Automation VMware Identity Manager 설명서는 VMware Identity Manager에 대한 Single Sign-On 암호 업데이트의 내용을 참조하십시오.

n 디렉토리 관리 및 SSO2 간 페더레이션 구성 방법에 대한 자세한 내용은 디렉토리 관리 및 SSO2간 SAML 페더레이션 구성의 내용을 참조하십시오.

n vRealize Operations Manager SSO 설명서는 vRealize Operations Manager에서 SingleSign-On 소스 구성의 내용을 참조하십시오.

TLS 및 데이터 보호

다양한 vRealize Suite 제품이 TLS를 사용하여 제품 간 세션 정보를 암호화합니다. 기본적으로,Platform Services Controller의 일부인 VMware Certificate Authority(VMCA)는 일부 제품과서비스에 인증서를 제공합니다. 기타 구성 요소는 자체 서명된 인증서로 프로비저닝됩니다.

고유한 엔터프라이즈 인증서 또는 CA 서명된 인증서로 기본 인증서를 바꾸려는 경우, 해당 프로세스는여러 구성 요소에 대해 다릅니다.

인증서 확인은 기본적으로 사용하도록 설정되어 있으며, 네트워크 트래픽을 암호화하는 데 TLS 인증서가사용됩니다. vSphere 6.0부터, VMCA는 설치 프로세스의 일부로 ESXi 호스트 및 vCenter Server시스템에 인증서를 할당합니다. VMCA를 중간 CA로 사용하기 위해 이러한 인증서를 바꿀 수 있거나,해당 환경에서 사용자 지정 인증서를 사용할 수 있습니다. vSphere 버전 5.5 이하는 자체 서명된 인증서를 사용하며 사용자는 필요에 따라 이러한 인증서를 사용하고 바꿀 수 있습니다.

vSphere Certificate Manager 유틸리티 또는 인증서 관리 CLI를 사용하여 vSphere 6.0 인증서를바꿀 수 있습니다. Certificate Automation Tool을 사용하여 vSphere 5.5 이하 인증서를 바꿀 수있습니다.

vRealize Suite 개요

28 VMware, Inc.

VMCA를 사용하는 제품

여러 VMware 제품은 설치 중에 VMCA에서 인증서를 받습니다. 이러한 제품의 경우 여러 옵션이 있습니다.

n 내부 배포를 위해 인증서를 그대로 두거나, 외부를 대상으로 하는 인증서는 바꾸지만 내부를 대상으로 하는 VMCA 서명된 인증서는 그대로 두는 것을 고려하십시오.

n VMCA를 중간 인증서로 만드십시오. 앞으로 전체 체인을 사용하여 서명합니다.

n VMCA 서명된 인증서를 사용자 지정 인증서로 바꾸십시오.

vSphere 보안 인증서 항목을 참조하십시오.

자체 서명된 인증서를 사용하는 제품

자체 서명된 인증서를 사용하는 제품을 그대로 사용할 수 있습니다. 브라우저에서는 최초 사용 시 자체 서명된 인증서를 수락하거나 거부하라는 메시지를 사용자에게 표시합니다. 사용자는 인증서를 수락하거나거부하기 전에 링크를 클릭하여 인증서를 열고 볼 수 있습니다. 브라우저는 수락된 인증서를 로컬로 저장하고 이후 사용 시 해당 인증서를 자동으로 수락합니다. 필요한 경우, 자체 서명된 인증서를 엔터프라이즈인증서 또는 CA 서명된 인증서로 바꾸면 수락 단계를 피할 수 있습니다. 제품 설명서에서는 자체 서명된인증서를 바꾸는 방법에 대해 설명합니다.

표 2‑6. 자체 서명된 인증서 대체

제품 설명서

vSphere Replication vSphere Replication 장치의 SSL 인증서 변경 항목을참조하십시오.

vRealize Automation vRealize Automation 인증서 업데이트 항목을 참조하십시오.

vRealize Log Insight 사용자 지정 SSL 인증서 설치 항목을 참조하십시오.

vRealize Orchestrator SSL 인증서 변경 항목을 참조하십시오.

vRealize Operations Manager vRealize Operations Manager에 사용자 지정 인증서 추가 항목을 참조하십시오.

vRealize Business for Cloud Standard vRealize Business for Cloud의 SSL 인증서 변경 또는 대체 항목을 참조하십시오.

물리적 계층 보호

물리적 계층 보호에는 하이퍼바이저 보호 또는 강화, 보안을 극대화하기 위한 물리적 네트워크 설정, 스토리지 솔루션 보호가 포함됩니다.

표준 스위치 포트 보안

물리적 네트워크 어댑터와 마찬가지로 가상 네트워크 어댑터는 다른 시스템에서 온 것으로 보이는 프레임을 보내거나 다른 시스템으로 가장할 수 있습니다. 또한 물리적 네트워크 어댑터와 마찬가지로 다른 시스템을 대상으로 하는 프레임을 받도록 가상 네트워크 어댑터를 구성할 수 있습니다.

표준 스위치가 생성되면 포트 그룹이 추가되어 스위치에 연결된 스토리지 시스템과 가상 시스템에 대한정책 구성을 적용할 수 있습니다. 가상 포트는 vSphere Web Client 또는 vSphere Client를 통해 생성됩니다.

표준 스위치에 포트 또는 표준 포트 그룹을 추가하는 작업의 일부로서 vSphere Client는 포트에 대한보안 프로파일을 구성합니다. 그러면 호스트는 가상 시스템이 네트워크에서 다른 시스템으로 가장하지 못하도록 방지할 수 있습니다. 가장을 초래한 게스트 운영 체제는 가장이 금지된 것을 감지하지 않습니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 29

보안 프로파일은 가상 시스템의 가장 및 가로채기 공격에 대한 호스트 보호 적용 강도를 결정합니다. 보안프로파일의 설정을 올바르게 사용하려면 가상 네트워크 어댑터가 전송을 제어하는 방식과 이 수준에서 공격이 이루어지는 방식에 대한 기본적인 이해가 필요합니다.

각 가상 네트워크 어댑터에는 어댑터가 생성될 때 할당된 MAC 주소가 있습니다. 이 주소를 초기 MAC주소라고 합니다. 초기 MAC 주소는 게스트 운영 체제 외부에서 다시 구성할 수 있지만 게스트 운영 체제가 변경할 수는 없습니다. 또한 각 어댑터에는 유효 MAC 주소가 있으며, 대상 MAC 주소가 이 유효MAC 주소와 일치하지 않는 들어오는 네트워크 트래픽은 필터링됩니다. 유효 MAC 주소를 설정하는 것은 게스트 운영 체제가 책임지며 대개 유효 MAC 주소는 초기 MAC 주소와 일치합니다.

패킷을 보낼 때 일반적으로 운영 체제는 고유한 네트워크 어댑터의 유효 MAC 주소를 이더넷 프레임의소스 MAC 주소 필드에 삽입합니다. 또한 대상 MAC 주소 필드에 수신 네트워크 어댑터의 MAC 주소를삽입합니다. 수신 어댑터는 패킷의 대상 MAC 주소가 자체 유효 MAC 주소와 일치하는 경우에만 패킷을수락합니다.

처음 생성할 때 네트워크 어댑터의 유효 MAC 주소와 초기 MAC 주소는 동일합니다. 가상 시스템의 운영 체제에서 언제라도 유효 MAC 주소를 다른 값으로 변경할 수 있습니다. 운영 체제가 유효 MAC 주소를 변경한 경우 네트워크 어댑터는 새 MAC 주소로 향하는 네트워크 트래픽을 수신합니다. 운영 체제는언제라도 가장된 소스 MAC 주소를 사용하여 프레임을 보낼 수 있습니다. 이것은 운영 체제가 수신 네트워크에 의해 인증된 네트워크 어댑터를 가장하여 네트워크의 디바이스에 악의적인 공격을 감행할 수 있다는 의미입니다.

호스트에 대한 표준 스위치 보안 프로파일을 사용하면 세 가지 옵션을 설정하여 이 유형의 공격을 방지할수 있습니다. 포트에 대한 기본 설정이 변경된 경우 vSphere Client에서 표준 스위치 설정을 편집하여보안 프로파일을 수정해야 합니다.

iSCSI 스토리지 보안

호스트에 대해 구성된 스토리지는 iSCSI를 사용하는 하나 이상의 SAN(Storage Area Network)을포함할 수 있습니다. 호스트에서 iSCSI가 구성되면 관리자가 보안 위험을 최소화하는 여러 수단을 사용할 수 있습니다.

iSCSI는 SCSI 디바이스에 액세스하는 방법이며, SCSI 디바이스에 대한 직접 연결하는 대신 네트워크포트를 통한 TCP/IP를 사용하여 데이터 레코드를 교환하는 방법입니다. iSCSI 트랜잭션에서 원시SCSI 데이터 블록은 iSCSI 레코드 내에 캡슐화되어 요청한 디바이스나 사용자에게 전송됩니다.

무단 침입으로부터 iSCSI 디바이스를 보호하는 한 가지 방법은 호스트(또는 이니시에이터)가 대상 LUN의 데이터에 액세스하려고 할 때마다 대상(iSCSI 디바이스)으로 하여금 호스트를 인증하도록 요구하는것입니다. 이니시에이터에게 대상에 액세스할 수 있는 권한이 있음을 인증에서 증명합니다.

ESXi및 iSCSI는 네트워크에서 대상에 액세스하는 이니시에이터의 적법성을 확인하는CHAP(Challenge Handshake Authentication Protocol)를 지원합니다. 인증을 수행할지 여부를결정하고 인증 방법을 구성하려면 vSphere Client 또는 vSphere Web Client를 사용하십시오.iSCSI를 위한 CHAP 구성에 대한 내용은 vSphere 설명서iSCSI 어댑터의 CHAP 매개 변수 구성를 참조하십시오.

ESXi 관리 인터페이스 보호

무단 침입과 오용으로부터 보호하려면 ESXi 관리 인터페이스의 보안이 중요합니다. 어떤 방식으로든 호스트가 손상된 경우 해당 호스트와 상호 작용하는 가상 시스템도 손상될 수 있습니다. 관리 인터페이스를통한 공격의 위험을 최소화하기 위해 ESXi는 기본 제공 방화벽으로 보호됩니다.

무단 침입과 오용으로부터 호스트를 보호하기 위해 VMware에서 여러 매개 변수, 설정 및 작업에 대해제약 조건을 적용합니다. 제약 조건은 구성 요구를 충족하기 위해 완화할 수 있지만 제약 조건을 완화하는경우 네트워크 전체와 호스트에 연결된 디바이스를 전반적으로 보호할 조치를 취해야 합니다.

호스트 보안 및 관리를 평가할 때는 다음 권장 사항을 고려하십시오.

n 보안을 강화하려면 관리 인터페이스에 대한 사용자 액세스를 제한하고 암호 제한 설정과 같은 액세스보안 정책을 적용하십시오.

vRealize Suite 개요

30 VMware, Inc.

n ESXi Shell 로그인 액세스는 신뢰할 수 있는 사용자에게만 제공하십시오. ESXi Shell에는 호스트의 특정 부분에 대한 액세스 권한이 있습니다.

n 가능하면 검사 프로그램이나 가상 시스템 백업과 같이 꼭 필요한 프로세스, 서비스 및 에이전트만 실행하십시오.

n 가능하면 루트 사용자로 로그인하여 명령줄 인터페이스를 사용하는 대신 vSphere Web Client 또는 타사 네트워크 관리 도구를 사용하여 ESXi 호스트를 관리하십시오. vSphere Web Client 사용 시 항상 vCenter Server 시스템을 통해 ESXi 호스트에 연결합니다.

호스트는 관리 인터페이스 또는 작업자가 수행해야 하는 작업을 지원하기 위해 여러 타사 패키지를 실행합니다. VMware는 VMware가 아닌 소스를 통한 이러한 패키지의 업그레이드를 지원하지 않습니다.다른 소스를 통한 다운로드 또는 패치가 사용된 경우 관리 인터페이스 보안 또는 기능이 손상될 수 있습니다. 타사 벤더 사이트 및 VMware 기술 자료에서 보안 경고를 정기적으로 확인하십시오.

방화벽 구현 이외에 다른 방법을 통해 ESXi 호스트에 대한 위험을 완화할 수 있습니다.

n 호스트에 대한 관리 액세스에 명시적으로 필요하지 않은 모든 방화벽 포트가 닫혀 있는지 확인하십시오. 추가 서비스가 필요한 경우에는 포트를 명시적으로 열어야 합니다.

n 기본 인증서를 바꾸고 보안에 취약한 암호화는 사용하지 않도록 설정하십시오. 기본적으로 보안에 취약한 암호화는 사용하지 않도록 설정되며 클라이언트로부터의 모든 통신에는 TLS 보안이 적용됩니다. 채널의 보안 유지에서 사용되는 정확한 알고리즘은 TLS 핸드셰이크에 따라 다릅니다. ESXi에서생성된 기본 인증서는 RSA 암호화가 적용된 SHA-1을 서명 알고리즘으로 사용합니다.

n 보안 패치를 설치하십시오. VMware는 ESXi 보안에 영향을 미칠 수 있는 모든 보안 경고를 모니터링하고 필요한 경우 보안 패치를 발표합니다.

n FTP 및 Telnet과 같은 안전하지 않은 서비스가 설치되지 않으며 이러한 서비스용 포트가 닫혀 있어야 합니다. SSH 및 SFTP와 같은 더 안전한 서비스를 쉽게 사용할 수 있으므로 안전한 서비스 대신이러한 안전하지 않은 서비스를 사용하지 마십시오. 안전하지 않은 서비스를 사용해야 하는 경우ESXi 호스트에 대해 충분한 보호를 구현하고 해당하는 포트를 여십시오.

ESXi 호스트를 잠금 모드로 설정할 수 있습니다. 잠금 모드가 사용하도록 설정된 경우vCenter Server에서만 호스트를 관리할 수 있습니다. vpxuser 외 다른 사용자는 인증 권한이 없으며호스트에 대한 직접 연결이 거부됩니다.

vCenter Server 시스템 보안

vCenter Server 보안에는 vCenter Server가 실행 중인 시스템의 보안을 보장하고 권한 및 역할 할당을 위한 모범 사례를 따르고 vCenter Server에 연결하는 클라이언트의 무결성을 확인하는 작업이 포함됩니다.

vCenter Server 관리자 권한을 엄격하게 제어하여 시스템에 대한 보안을 향상시킵니다.

n 로컬 Windows 관리자 계정에서 vCenter Server에 대한 관리 권한을 제거하고 특수 용도의 로컬vCenter Server 관리자 계정에만 해당 권한을 부여합니다. 전체 vSphere 관리 권한은 필요한 관리자에게만 부여합니다. 구성원 자격이 엄격히 제어되지 않는 그룹에는 이 권한을 부여하지 마십시오.

n 사용자가 vCenter Server 시스템에 직접 로그인하도록 허용하지 마십시오. 수행할 정당한 작업이있는 사용자만 시스템에 액세스할 수 있도록 하고 사용자의 작업이 감사되도록 합니다.

n Windows 계정 대신 서비스 계정을 사용하여 vCenter Server를 설치합니다. 서비스 계정 또는Windows 계정을 사용하여 vCenter Server를 실행할 수 있습니다. 서비스 계정을 사용하면 SQLServer에 대해 Windows 인증을 사용할 수 있으므로 보안이 향상됩니다. 서비스 계정은 로컬 시스템의 관리자여야 합니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 31

n vCenter Server를 다시 시작할 때는 권한 재할당을 확인합니다. 서버의 루트 폴더에서 관리자 역할이 할당된 사용자 또는 사용자 그룹이 유효한 사용자 또는 그룹으로 확인되지 않는 경우에는 관리자 권한을 제거하여 로컬 Windows 관리자 그룹에 할당합니다.

vCenter Server 데이터베이스 사용자에게는 최소 권한을 부여합니다. 데이터베이스 사용자에게는 데이터베이스 액세스와 관련된 일부 권한만 필요합니다. 또한 일부 권한은 설치 및 업그레이드의 경우에만 필요합니다. 이러한 권한은 제품 설치 또는 업그레이드 후 제거할 수 있습니다.

가상 계층 보호

하드웨어, 스위치 등을 포함하는 물리적 계층 보안 외에도 가상 계층을 보호해야 합니다. 운영 체제 및 가상 네트워킹 계층을 포함하여 가상 시스템을 보호하십시오.

보안 및 가상 시스템

가상 시스템은 애플리케이션 및 게스트 운영 체제가 실행되는 논리적 컨테이너입니다. 설계에 따라 모든VMware 가상 시스템은 서로 분리됩니다. 이러한 분리를 통해 하드웨어를 공유하면서 여러 가상 시스템을 안전하게 실행할 수 있으며 하드웨어에 액세스하는 기능과 중단 없는 성능을 활용할 수 있습니다.

가상 시스템의 게스트 운영 체제에 대한 시스템 관리자 권한이 있는 사용자도 이 분리 계층을 침해하여 다른 가상 시스템에 액세스할 수 없습니다. 이러한 액세스에는 ESXi 시스템 관리자가 명시적으로 부여한권한이 필요합니다. 가상 시스템이 분리되어 있으므로 한 가상 시스템에서 실행되고 있는 게스트 운영 체제에 장애가 발생해도 동일한 호스트에 있는 다른 가상 시스템은 계속 실행됩니다. 사용자는 다른 가상 시스템에 계속해서 액세스할 수 있으며 다른 가상 시스템의 성능에는 영향이 없습니다.

각 가상 시스템은 동일한 하드웨어에서 실행되는 다른 가상 시스템과 분리됩니다. 가상 시스템이 CPU,메모리, I/O 디바이스 등과 같은 물리적 리소스를 공유하지만 개별 가상 시스템의 게스트 운영 체제는 사용하도록 지정된 가상 디바이스만 감지할 수 있습니다.

그림 2‑9. 가상 시스템 분리

CPU

SCSI컨트롤러

메모리

마우스

디스크

CD/DVD

네트워크 및 비디오 카드

키보드

운영 체제

가상 시스템 리소스

가상 시스템

VMkernel은 모든 물리적 리소스를 중재합니다. 모든 물리적 하드웨어 액세스가 VMkernel을 통해 발생하며 가상 시스템은 이 분리 수준을 무시할 수 없습니다.

물리적 시스템이 네트워크 카드를 통해 네트워크의 다른 시스템과 통신하는 것과 마찬가지로 가상 시스템은 가상 스위치를 통해 동일한 호스트에서 실행되고 있는 다른 가상 시스템과 통신합니다. 또한 가상 시스템은 물리적 네트워크 어댑터를 통해 다른 ESXi 호스트에 있는 가상 시스템을 비롯한 물리적 네트워크와통신합니다.

vRealize Suite 개요

32 VMware, Inc.

그림 2‑10. 가상 스위치를 통한 가상 네트워킹

가상 스위치 가상

시스템 연결

가상 시스템

가상네트워크어댑터

가상 시스템

가상네트워크어댑터

ESXi

VMkernel

가상네트워킹

계층

하드웨어 네트워크 어댑터 가상 시스템을 물리적 네트워크로 연결하는 어댑터

물리적 네트워크

가상 네트워킹도 가상 시스템 분리의 영향을 받습니다.

n 다른 가상 시스템과 가상 스위치를 공유하지 않는 가상 시스템은 호스트 내의 기타 가상 시스템과 완전히 분리됩니다.

n 가상 시스템에 물리적 네트워크 어댑터가 구성되어 있지 않으면 가상 시스템이 완전히 분리됩니다.즉 물리적 및 가상 네트워크 모두에서 분리됩니다.

n 방화벽, 백신 소프트웨어 등으로 네트워크를 보호하는 경우 가상 시스템이 물리적 시스템 수준으로보호됩니다.

또한 호스트에서 리소스 예약 및 제한을 설정하여 가상 시스템을 추가로 보호할 수 있습니다. 예를 들어리소스 할당을 사용하여 가상 시스템이 항상 호스트 CPU 리소스의 10% 이상, 20% 이하를 사용하도록구성할 수 있습니다.

리소스 예약 및 제한은 다른 가상 시스템이 공유 하드웨어 리소스를 과도하게 사용할 경우 발생할 수 있는성능 저하로부터 가상 시스템을 보호합니다. 예를 들어 호스트의 가상 시스템 중 하나가 서비스 거부(DoS) 공격으로 무력화되는 경우에도 해당 시스템에 적용된 리소스 제한으로 인해 서비스 거부 공격이하드웨어 리소스를 많이 점유할 수 없으며 다른 가상 시스템에도 영향이 없습니다. 마찬가지로, 각 가상시스템의 리소스 예약은 DoS 공격의 목표가 된 가상 시스템의 리소스 요구량이 높아진 경우에도 다른 모든 가상 시스템이 작동에 충분한 리소스를 사용할 수 있도록 보장합니다.

기본적으로 ESXi는 다른 시스템 구성 요소가 사용하는 특정 리소스 비율을 유지한 채 사용 가능한 호스트 리소스를 가상 시스템 간에서 동등하게 나누는 분배 알고리즘을 적용하여 리소스 예약을 처리합니다.이 기본 동작은 DoS 및 분산 서비스 거부(DDoS) 공격에 대한 자연스러운 보호 수준를 제공합니다. 가상 시스템 구성에서 동등한 분배를 사용하는 대신 개별 시스템 단위로 구체적인 리소스 예약 및 제한을 설정하여 기본 동작을 사용자 지정할 수 있습니다.

보안 및 가상 네트워크

vCenter Server를 통해 ESXi 호스트에 액세스하는 경우 방화벽을 사용하여 vCenter Server를 보호하는 것이 일반적입니다. 이 방화벽은 네트워크에 대한 기본적인 보호 기능을 제공합니다.

보통 시스템에 대한 진입점으로 고려하는 곳에 방화벽을 제공합니다. 방화벽은 클라이언트와 vCenterServer 사이에 있을 수 있습니다. 또는 배포에 대해 vCenter Server와 클라이언트가 방화벽 뒤에 있을 수도 있습니다.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 33

vCenter Server로 구성된 네트워크는 vSphere Client 또는 타사 네트워크 관리 클라이언트를 통해통신을 받을 수 있습니다. vCenter Server는 관리되는 호스트 및 클라이언트에서 대상 포트에 대한 데이터를 수신합니다. vCenter Server는 관리되는 서버가 vCenter Server에서 대상 포트에 대한 데이터를 수신하다고도 가정합니다. ESXi, vCenter Server 및 다른 vSphere 구성 요소 간 방화벽에는데이터 전송을 지원하기 위한 포트가 열려 있어야 합니다.

계획한 네트워크 사용 방법과 다양한 디바이스에 필요한 보안 수준에 따라 네트워크의 다른 여러 액세스지점에도 방화벽을 포함할 수 있습니다. 네트워크 구성에서 식별한 보안 위험을 기반으로 방화벽의 위치를 선택해야 합니다.

VMware NSX 를 사용하여 워크로드 보호

VMware NSX는 소프트웨어 정의 네트워킹, 논리적 방화벽의 가상 네트워킹 보안 서비스, 논리적 전환및 논리적 라우팅을 제공합니다. 가상 네트워크 설계자는 프로그래밍 방식으로 이러한 서비스를 임의 조합으로 구성하여 고유한 분리된 가상 네트워크를 생성합니다. 이 기술은 기존 하드웨어 장치보다 세부적인 보안을 제공합니다. 가상 환경에서는 이러한 서비스를 vNIC 수준에서 적용할 수 있습니다. 기존 서비스는 물리적 네트워크에서 구성됩니다.

선택된 VMware NSX 기능은 VMware NSX for vSphere(NSX) 네트워크 가상화 설계 가이드에자세히 설명되어 있습니다. 이러한 기능을 구현하기 위한 절차는 VMware NSX for vSphere 설명서를 참조하십시오.

NSX는 소프트웨어 정의 데이터 센터에 대한 보안 가상 네트워크 환경을 구성하는 데 사용할 수 있는VMware 네트워크 가상화 보안 플랫폼입니다. 소프트웨어 정의 방화벽, 라우터, 게이트웨이 및 해당 정책을 배포하고 관리하여 보안 가상화 네트워크를 구성하는 데 NSX를 사용합니다. VM이 기본 물리적 플랫폼과 관계가 없으며 VM을 통해 IT에서 물리적 호스트를 컴퓨팅 용량의 풀로 처리할 수 있는 경우, 가상 네트워크는 기본 IP 네트워크 하드웨어과 관계가 없습니다. IT에서는 요청 시 소비하고 용도를 변경할수 있는 전송 용량의 풀로 물리적 네트워크를 처리할 수 있습니다. NSX를 사용하여 네트워크에서 북-남Edge 트래픽 및 동-서 트래픽을 보호하고, 데이터 무결성을 유지 보수해야 하는 스택을 계산할 수 있습니다. 예를 들어 서로 다른 테넌트의 워크로드가 동일한 기본 물리적 네트워크를 공유하더라도 개별 분리된 가상 네트워크에서 안전하게 실행될 수 있습니다.

NSX 기능

NSX는 가상 네트워크를 구성하고 관리하기 위한 논리적 네트워크 요소, 경계 프로토콜 및 보안 서비스의 전체 집합을 제공합니다. vCenter Server에서 NSX 플러그인을 설치하면 데이터 센터 전반에서NSX 구성 요소 및 서비스를 생성하고 관리하기 위한 중앙 집중식 제어를 이용할 수 있습니다.

NSX 특성 및 기능에 대한 설명은 NSX 관리 가이드를 참조하십시오.

VMware NSX Edge

NSX 도메인에서 배포된 물리적 네트워크와 외부 물리적 네트워크 인프라 간에 중앙 집중식 북-남 라우팅을 제공합니다. NSX Edge는 OSPF(Open Shortest Path First), iBGP(내부 BorderGateway Protocol) 및 eBGP(외부 Border Gateway Protocol) 등 동적 라우팅 프로토콜을 지원하며, 정적 라우팅을 사용할 수 있습니다. 라우팅 기능은 활성-대기 상태 저장 서비스 및 ECMP(equal-cost multipath) 라우팅을 지원합니다. 또한 NSX Edge는 NAT(네트워크 주소 변환), 로드 밸런싱,VPN(Virtual Private Network) 및 방화벽 서비스 등 표준 Edge 서비스를 제공합니다.

논리적 전환

NSX 논리적 스위치는 서로 다른 논리적 네트워크의 워크로드 간에 분리를 적용하는 L2 논리적 네트워크를 제공합니다. 가상 Distributed Switch는 VXLAN 기술을 사용하여 L3 패브릭을 통해 클러스터의여러 ESXi 호스트로 확장하므로, 중앙 집중식 관리의 이점을 추가적으로 제공합니다. vCenter Server를 사용하고 필요에 따라 논리적 스위치를 전송 영역에 할당하여 전송 영역을 생성하면 분리 범위를 제어할 수 있습니다.

vRealize Suite 개요

34 VMware, Inc.

분산 라우팅

분산 라우팅은 DLR(논리적 분산 라우터)이라는 논리적 요소에 의해 제공됩니다. DLR은 VM 연결이 필요한 모든 호스트에 대한 직접 연결된 인터페이스가 있는 라우터입니다. 논리적 스위치는 L3 연결을 제공하기 위해 논리적 라우터에 연결되어 있습니다. 전달을 제어하기 위한 제어부라는 감독 기능을 제어 VM에서 가져옵니다.

논리적 방화벽

NSX 플랫폼은 다중 계층 워크로드를 보호하기 위해 다음과 같은 중요한 기능을 지원합니다.

n 다중 계층 워크로드의 상태 저장 보호를 제공하는 논리적 방화벽 기능에 대한 네이티브 지원.

n 애플리케이션 워크로드 보호를 위한, 바이러스 백신 검사와 같은 다중 벤더 보안 서비스 및 ServiceInsertion에 대한 지원.

NSX 플랫폼에는 NSX Edge Services Gateway(ESG)에서 제공하는 중앙 집중식 방화벽 서비스 및지정된 NSX 도메인의 일부인 모든 ESXi 호스트에서 VIB 패키지로 커널에서 사용하도록 설정된 분산방화벽(DFW)이 포함됩니다. DFW는 니어라인급 성능, 가상화, ID 인식, Activity Monitoring, 로깅및 네트워크 가상화의 기본이 되는 기타 네트워크 보안 기능과 함께 방화벽 기능을 제공합니다. 사용자는각 VM의 vNIC 수준에서 트래픽을 필터링하도록 이러한 방화벽을 구성합니다. 이 유연성은 분리된 가상네트워크를 생성하는 데 필수적이며, 해당 수준의 세부 정보가 필요한 경우 개별 VM에 대해서도 그러합니다.

vCenter Server를 사용하여 방화벽 규칙을 관리합니다. 규칙 테이블은 특정 워크로드에 적용될 수 있는 구체적 보안 정책을 구성하는 각 섹션이 포함된 섹션으로 구성되어 있습니다.

보안 그룹

NSX는 다음 항목을 포함할 수 있는 그룹화 메커니즘 기준을 제공합니다.

n 가상 시스템, Distributed Switch 및 클러스터 등 vCenter Server 개체

n vNIC, 가상 시스템 이름 및 가상 시스템 운영 체제 등 가상 시스템 속성

n 논리적 스위치, 보안 태그 및 논리적 라우터를 비롯한 NSX 개체

그룹화 메커니즘은 정적 또는 동적일 수 있으며, 보안 그룹은 vCenter 개체, NSX 개체, VM 속성 또는AD 그룹과 같은 Identity Manager 개체의 조합을 비롯한 모든 개체의 조합일 수 있습니다. NSX의보안 그룹은 사용자가 정의한 정적 제외 기준과 함께 모든 정적 및 동적 기준을 기반으로 합니다. 동적 그룹은 구성원이 그룹에 들어오고 나감에 따라 늘어나고 줄어듭니다. 예를 들어 동적 그룹에는 web_ 이름으로 시작하는 모든 VM이 포함될 수 있습니다. 보안 그룹에는 여러 가지 유용한 특성이 있습니다.

n 사용자는 보안 그룹에 여러 보안 정책을 할당할 수 있습니다.

n 개체가 동시에 여러 보안 그룹에 속할 수 있습니다.

n 보안 그룹에는 다른 보안 그룹에 포함될 수 있습니다.

NSX Service Composer를 사용하여 보안 그룹을 생성하고 정책을 적용합니다. NSX ServiceComposer는 실시간으로 방화벽 정책 및 보안 서비스를 애플리케이션에 프로비저닝하고 할당합니다. 정책이 그룹에 추가됨에 따라 새 가상 시스템에 이 정책이 적용됩니다.

보안 태그

사용자는 가상 시스템에 보안 태그를 적용하고, 필요에 따라 워크로드에 대한 컨텍스트를 추가할 수 있습니다. 보안 태그를 기반으로 보안 그룹을 만들 수 있습니다. 보안 태그는 여러 가지 일반 분류를 나타냅니다.

n 보안 상태. 예: 취약성 식별됨.

n 부서별 분류.

n 데이터 유형 분류. 예: PCI 데이터.

n 환경 유형. 예: 운영 또는 devops.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 35

n VM 지역 또는 위치.

보안 정책

보안 정책 그룹 규칙은 데이터 센터에서 생성된 보안 그룹에 적용되는 보안 제어입니다. NSX를 사용하여 방화벽 규칙 테이블에서 섹션을 생성할 수 있습니다. 섹션을 통해 방화벽 규칙의 관리 및 그룹화를 개선할 수 있습니다. 단일 보안 정책은 방화벽 규칙 테이블의 섹션입니다. 이 정책은 방화벽 규칙 테이블의규칙 및 보안 정책을 통해 작성된 규칙 간 동기화를 유지 보수하며, 일관된 구현을 보장합니다. 보안 정책은 특정 애플리케이션 또는 워크로드에 대해 작성되므로, 이러한 규칙은 방화벽 규칙 테이블의 특정 섹션으로 구성됩니다. 사용자는 단일 애플리케이션에 여러 보안 정책을 적용할 수 있습니다. 여러 보안 정책을적용할 때 섹션의 순서는 규칙 애플리케이션의 우선 순위를 결정합니다.

VPN(Virtual Private Network) 서비스

NSX는 이름이 L2 VPN 및 L3 VPN인 VPN 서비스를 제공합니다. 별도의 데이터 센터 사이트에서 배포된 NSX Edge 장치의 쌍 간에 L2 VPN 터널을 생성합니다. L3 VPN을 생성하여 원격 위치에서 데이터 센터 네트워크로 보안 L3 연결을 제공합니다.

역할 기반 액세스 제어

NSX에는 엔터프라이즈 내 컴퓨터 또는 네트워크 리소스에 대한 액세스를 제어하는 기본 제공 사용자 역할이 있습니다. 사용자는 하나의 역할만 가질 수 있습니다.

표 2‑7. NSX Manager 사용자 역할

역할 사용 권한

엔터프라이즈 관리자 NSX 작업 및 보안.

NSX 관리자 NSX 작업 전용. 예: 가상 장치 설치, 포트 그룹 구성.

보안 관리자 NSX 보안 전용 예: 데이터 보안 정책 정의, 포트 그룹생성, NSX 모듈에 대한 보고서 생성.

감사자 읽기 전용.

파트너 통합

통합된 사용자 환경 및 모든 클라우드 관리 플랫폼과의 원활한 통합을 제공하기 위해 VMware 기술 파트너의 서비스가 관리, 제어 및 데이터 기능에서 NSX 플랫폼과 통합되어 있습니다. 자세한 내용은 https://www.vmware.com/products/nsx/technology-partners#security를 참조하십시오.

NSX 개념

SDDC 관리자는 NSX 기능을 구성하여 데이터 센터에서 네트워크 분리 및 세분화를 제공합니다.

네트워크 분리

분리는 대부분의 네트워크 보안, 규정 준수, 억제 또는 개발, 테스트 및 운영 환경 분리의 기초입니다. 일반적으로 분리 및 다중 테넌시를 설정하고 적용하는 데 ACL, 방화벽 규칙 및 라우팅 정책이 사용되었습니다. 네트워크 가상화를 통해 이러한 속성에 대한 지원이 기본 제공됩니다. VXLAN 기술을 사용하면 기본적으로 가상 시스템이 다른 가상 시스템 및 기본 물리적 인프라와 분리되어 최소 권한의 보안 원칙을 제공합니다. 가상 네트워크는 분리된 상태로 생성되며 명시적으로 연결되지 않는 한 분리된 상태로 유지됩니다. 분리를 사용하도록 설정하는 데 물리적 서브넷, VLAN, ACL 또는 방화벽 규칙이 필요하지 않습니다.

vRealize Suite 개요

36 VMware, Inc.

네트워크 세분화

네트워크 세분화는 분리와 관련이 있지만 다중 계층 가상 네트워크에서 적용됩니다. 일반적으로 네트워크세분화는 네트워크 세그먼트 또는 계층 간 트래픽을 허용하거나 거부하기 위해 설계된 물리적 방화벽 또는 라우터의 기능입니다. 웹, 애플리케이션 및 데이터베이스 계층 간 트래픽을 세분화할 때 기존 구성 프로세스에 시간이 소모되고 사용자의 실수에 매우 취약하여 보안 침해 비율이 높아지게 됩니다. 또한 구현하기 위해서는 디바이스 구성 구문, 네트워크 주소 지정, 애플리케이션 포트 및 프로토콜에 대한 전문 지식이 필요합니다.

네트워크 가상화는 네트워크 서비스 구성의 구현 및 테스트를 간소화함으로써 네트워크를 통해 프로그래밍 방식으로 배포되고 중복될 수 있는 입증된 구성을 생성하여 세분화를 적용합니다. 네트워크 세분화는분리와 마찬가지로 NSX 네트워크 가상화의 핵심 기능입니다.

미세 세분화

미세 세분화는 Distributed Router 및 Distributed Firewall을 사용하여 vNIC 수준에서 트래픽을 분리합니다. vNIC에서 적용된 액세스 제어는 물리적 네트워크에서 적용된 규칙의 효율성을 향상시킵니다.NSX Distributed Firewall 및 Implementation Distributed Firewall과 함께 미세 세분화를 사용하여 동일한 논리적 네트워크 토폴로지를 공유하는 여러 조직의 3계층 애플리케이션(예: 웹 서버, 애플리케이션 서버 및 데이터베이스)에 대한 미세 세분화를 구현할 수 있습니다.

Zero-Trust 모델

가장 엄격한 보안 설정을 달성하려면 보안 정책 구성 시 Zero-Trust 모델을 적용합니다. Zero-Trust모델은 정책에서 명시적으로 허용하지 않는 한 리소스 및 워크로드에 대한 모든 액세스를 거부합니다. 이모델에서는 트래픽을 허용하려면 화이트리스트에 추가해야 합니다. 필수 인프라 트래픽을 허용하십시오.기본적으로 NSX Manager, NSX Controller 및 NSX Edge 서비스 게이트웨이는 DistributedFirewall 기능에서 제외되어 있습니다. vCenter Server 시스템은 제외되어 있지 않으며 잠금을 방지하려면 해당 정책을 적용하기 전에 명시적으로 허용해야 합니다.

관리 클러스터 및 테넌트 워크로드 보호

SDDC 관리자인 경우 NSX 기능을 사용하여 데이터 센터에서 vRealize Suite 관리 클러스터 및 테넌트 워크로드를 분리하고 보호할 수 있습니다.

관리 클러스터에는 도메인에 대한 vCenter Server, NSX Manager 및 vRealize Suite 제품과 다른관리 제품 및 구성 요소가 포함됩니다. 무단 액세스로부터 이러한 시스템을 보호하려면 TLS(전송 계층보안) 및 인증을 사용합니다. NSX 기능을 사용하여 Edge 클러스터 및 워크로드 시스템과 클러스터에서관리 클러스터 가상 네트워크 시스템의 분리 및 세분화를 강화합니다. 배포된 관리 시스템에 대한 설치 및구성 문서의 설명에 따라 필요한 관리 시스템 포트에 대해 적합한 액세스를 허용합니다.

데이터 센터의 테넌트 워크로드는 웹, 애플리케이션 및 데이터베이스 서버로 구성된 3계층 애플리케이션으로 구현될 수 있습니다. 무단 액세스로부터 이러한 시스템을 보호하려면 TLS 및 인증을 사용합니다.연결 및 SSH를 보호하기 위한 데이터베이스 연결 문자열과 같은 제공된 보안 서비스를 사용하여 호스트액세스를 보호합니다. 테넌트 워크로드를 서로 분리 및 미세 세분화할 수 있는 vNic 수준에서 NSX 기능을 적용합니다.

NSX 기능 사용에 대한 자세한 내용은 VMware NSX for vSphere(NSX) 네트워크 가상화 설계 가이드를 참조하십시오. NSX 기능 구성에 대한 절차는 VMware NSX for vSphere 설명서를 참조하십시오.

2장 vRealize Suite 아키텍처 개요

VMware, Inc. 37

vRealize Suite 개요

38 VMware, Inc.

vRealize Suite 설치의 검사 목록 3vRealize Suite 제품을 특정 순서에 따라 별도로 다운로드, 설치 및 구성합니다. vRealize Suite의 개별 제품은 Windows 또는 Linux 기반 시스템용 설치 패키지로 제공되거나, ESXi 호스트에서 실행 중인 가상 시스템에 배포할 수 있는 가상 장치로 제공됩니다. 설치하는 제품은 vRealize Suite 버전에 따라 달라집니다.

상호 운용성을 보장하려면 vRealize Suite 제품이 올바른 버전인지 확인하십시오. VMware 인증을 받은 호환성에 대한 추가 정보는 VMware 호환성 가이드를 참조하십시오.

그림 3‑1. vRealize Suite 의 배포 흐름

vRealize Infrastructure Navigator를 설치합니다.

vRealize Suite Standard Edition을

사용하십니까?

예

아니요

vRealize Business Cloud를 설치합니다.

vRealize Automation을 설치합니다.

vRealize Log Insight를 설치합니다.

vRealize Operations Manager를 설치합니다.

VMware, Inc. 39

표 3‑1. vRealize Suite 설치의 검사 목록

vRealize Suite 제품 추가 정보

vRealize Operations Manager를 가상 장치로 설치하거나 Windows 또는 Linux 서버에 설치합니다.

해당 vRealize Operations Manager 버전의 설치 설명서를 참조하십시오.n vRealize Operations Manager 6.6 설치n vRealize Operations Manager 6.5 설치n vRealize Operations Manager 6.4 설치n vRealize Operations Manager 6.3 설치n vRealize Operations Manager 6.2 설치

vRealize Log Insight 를 가상 장치로 설치합니다. 해당 vRealize Log Insight 버전의 설치 설명서를 참조하십시오.n vRealize Log Insight 4.5 설치n vRealize Log Insight 4.3 설치n VMware vRealize Log Insight 4.0 시작하기n VMware vRealize Log Insight 3.6 시작 가이드n VMware vRealize Log Insight 3.3.1 시작 가이드

vRealize Infrastructure Navigator 를 가상 장치로 설치합니다.

vRealize Infrastructure Navigator 설치 및 구성 가이드 를 참조하십시오.

vRealize Suite Advanced 또는 Enterprise 버전을 구매한 경우 vRealize Automation을 설치합니다.관리 및 셀프 서비스 기능을 제공하는vRealize Automation 장치를 설치하고, 제품 간 인프라 기능을 지원하는 IaaS(Infrastructure as aService) Windows Server를 설치합니다.

1 설치를 계획합니다. 해당 vRealize Automation 버전의 참조 아키텍처 설명서를 참조하십시오.n vRealize Automation 7.3 참조 아키텍처n vRealize Automation 7.2 참조 아키텍처n vRealize Automation 7.1 참조 아키텍처n vRealize Automation 7.0.1 참조 아키텍처

2 vRealize Automation을 설치합니다. 해당vRealize Automation 버전의 설치 설명서를 참조하십시오.n vRealize Automation 7.3 설치n vRealize Automation 7.2 설치 또는 업그레이드

n vRealize Automation 7.1 설치 또는 업그레이드

n vRealize Automation 7.0.1 설치 또는 업그레이드

vRealize Business for Cloud 를 가상 장치로 설치합니다.

해당 vRealize Business for Cloud 버전의 설치 설명서를 참조하십시오.n vRealize Business for Cloud 7.3 설치 및 관리n vRealize Business for Cloud 7.2 설치 및 관리n vRealize Business for Cloud 7.1 설치 가이드n vRealize Business for Cloud 7.0.1 설치 가이드

vRealize Suite 개요

40 VMware, Inc.

vRealize Suite 이전 버전 또는vCloud Suite에서 업그레이드 4

개별 제품을 현재 버전으로 업그레이드하여 vRealize Suite를 vCloud Suite 또는 vRealize Suite이전 버전에서 업그레이드할 수 있습니다. vRealize Suite 업그레이드가 문제 없이 업그레이드되도록권장 업데이트 순서를 따르십시오.

참고 vCloud Suite 라이센스, 활성 구독 및 지원 서비스가 있는 고객은 vRealize Suite 7.0 및vCloud Suite 7.0에서 모든 새 제품에 대한 권한이 부여됩니다.

업그레이드하기 전에 업그레이드하려는 각 제품에 대한 VMware 제품 상호 운용성 매트릭스를 검토하여지원되고 호환되는 제품 버전이 있는지 확인하십시오. VMware 제품 상호 운용성 매트릭스 웹 사이트를참조하십시오.

표 4‑1. vRealize Suite 제품 업그레이드

제품 추가 정보

VMware vRealize Operations Manager vCenter Operations Manager의 데이터를VMware vRealize Operations Manager 새 설치로마이그레이션할 수 있습니다. 현재 버전으로 vCenterOperations Manager 배포 마이그레이션 항목을 참조하십시오.

vRealize Infrastructure Navigator vCenter Infrastructure Navigator 업그레이드

vRealize Log Insight vRealize Log Insight 업그레이드

vRealize Automation vRealize Automation 업그레이드

vRealize Business for Cloud vRealize Business for Cloud로 업그레이드

VMware, Inc. 41

vRealize Suite 개요

42 VMware, Inc.

색인

EEdge 클러스터 15ESXi 및 ESX 관리 인터페이스 30ESXi 설계 18ESXi 호스트 잠금 모드 30

IIaaS 23Infrastructure as a service 23iSCSI 스토리지 30iSCSI 스토리지 보안 30

NNSX 34

OOrchestration 계층 21

PPaaS 24platform-as-a-service 24PLU, 참조 이동식 라이센스 단위

SSAML 27SDDC 관리 21SDDC 인프라 18SDDC(소프트웨어 정의 데이터 센터) 13SDDC의 가상화 및 관리 18Single Sign-On 27

VvCenter Server 및 보안 31vCenter Server 시스템 31vCenter Single Sign-On 26VPN(Virtual Private Network) 34vRealize Suite라이센싱 12배포 개요 39

vRealize Suite 구성 요소, 제품 업그레이드 41

vRealize Suite 아키텍처 13vRealize Suite, 버전 9vRealize Suite, 제품 10

ㄱ가상 네트워크 33가상 네트워킹 서비스 34가상 시스템리소스 예약 및 제한 32보안 32가상 인프라 계층 13개념적 설계 15공유 스토리지 20공통 서비스 26관리 클러스터 15관리 클러스터 제품 17권한 부여 26

ㄴ네트워크 19네트워크 분리 36, 37논리적 방화벽 34논리적 설계 17논리적 전환 34

ㄷ대상 사용자 5

ㄹ라이센싱, vRealize Suite 12리소스 제한 및 보장, 보안 32

ㅁ모니터링 22무중단 업무 운영 13물리적 계층 13미세 세분화 36, 37

ㅂ방화벽 34배포 개요, vRealize Suite 39버전, vRealize Suite 9보안

layers 32가상 시스템 32리소스 보장 및 제한 32물리적 계층 29보안 고려 사항 25보안 그룹 34

VMware, Inc. 43

보안 설명서 25보안 정책 34보안 태그 34분리, 가상 시스템 32분산 라우팅 34

ㅅ서비스 관리 13설계 고려 사항 18설치, vRealize Suite의 배포 개요 39세분화 36, 37소프트웨어 정의 데이터 센터 13스토리지 관리 20

ㅇ암호화 및 보안 인증서 28업데이트된 정보 7역할 기반 액세스 제어 34용어집 5워크플로 21이동식 라이센스 단위 12인증 26

ㅈ제품 업그레이드, vRealize Suite 구성 요

소 41제품, vRealize Suite 10

ㅊ클라우드 관리 계층 13

ㅍ페더레이션된 ID 관리 27페이로드 클러스터 15표준 스위치 포트 29

vRealize Suite 개요

44 VMware, Inc.