클라우드 컴퓨팅 기술 (2) 네트워크 가상화

출처: 픽사베이

 

 

  저번 포스팅에서는 클라우드 컴퓨팅 기반 기술 중  가상화 기술, 인프라 구성, 서버 가상화에 대해 살펴보았다. 이번 포스팅에서는 저번에 이어서 클라우드 컴퓨팅 기반 기술 중 네트워크 가상화에 대해 살펴본다. 

  네트워크 가상화 기술은 네트워크상의 물리적 동질성을 논리적으로 분할하고 동일한 목적을 갖는 시스템을 여러 네트워크로 분할하여 네트워크 관리 및 보안 문제를 해결하기 위해 개발되었다. 네트워크 가상화는 하나의 네트워크 케이블에 연결되어 있는 경우에도, 하나의 네트워크가 아니라 여러 개의 네트워크가 있는 것처럼 처리할 수 있다. 이에 따라 가상 머신의 네트워크 통신을 하나의 물리 네트워크로 집약할 때 발생하는 문제를 해결할 수 있게 되었다. 즉, 네트워크를 구성한 후에 가상 머신을 그 위에 배치하면 클라우드 서비스 제공자가 관리하는 데이터 센터 내 물리적으로 동일한 네트워크를 이용하고 있음에도, 사용자가 직접 네트워크 기기를 나열하여 연결한 것처럼 사용자가 독자적인 네트워크를 가질 수 있게 된다는 것이다. 네트워크 가상화는 우리가 일반적으로 사용하는 저장장치를 목적에 맡는 파티션으로 분할하는 것이랑 유사하다. 

  네트워크 가상화의 장점은 총 세 가지가 있다. 첫 번째로는 네트워크 리소스 보안 향상이다. 이는 실제적인 네트워크 그룹이 이동하지 않음에도 네트워크가 분할되기 때문에 물리적으로 네트워크 그룹이 이동할 때 네트워크 보안상 발생할 수 있는 문제를 차단할 수 있기 때문이다. 두 번째 장점은 비용 절감이다. 네트워크 분할 시에는 각 네트워크에 연결하기 위한 스위치, 라우터 등의 네트워크 장비가 추가로 요구되는 반면, 네트워크 가상화 기술을 통해 네트워크를 분할하는 경우에는 이러한 추가적인 네트워크 장치가 필요 없기 때문에 이를 구매하기 위한 비용이 추가로 들지 않아 비용이 절감되는 것이다. 세 번째로는 네트워크 설정 작업의 편의성이다. 간단한 설정만으로 네트워크 엔지니어가 쉽게 네트워크를 구성 및 관리할 수 있기 때문이다. 

  네트워크 가상화를 위해 사용되는 기술은 크게 4가지로 VLAN, VPN, NFV, SDN이 있다. 각각에 대해 살펴본다. 먼저 VLAN이다. VLAN은 Virtual LAN, 즉 가상 LAN이라고도 불린다. 가상의 LAN을 통해 하나의 물리적인 네트워크를 여러 개의 논리적인 네트워크로 분할할 수 있는 환경을 제공한다. VLAN은 서버로부터 발생하는 모든 패킷에 서버에 부여된 고유 번호가 적힌 태그를 붙임으로써 이 태그를 통해 하나의 물리적 네트워크 안에서 네트워크를 여러 그룹으로 나누는 방법을 통해 구현된다. VLAN은 스위치 또는 라우터의 포트에 태그 정보를 설정해 분할 네트워크를 구성하고, 태그 번호와 지정된 호스트를 확인해서 지정되지 않은 태그를 갖는 패킷은 차단하는 구조이다. 단점으로는 네트워크 분할 구조를 변경하면 전체 데이터의 태그를 재부여야 하며 그동안에는 데이터 전송이 중단된다. 

 두 번째로는 VPN이다. Virtual Private Network의 줄임말인 VPN은 불특정 다수가 이용하는 공용 네트워크에 가상으로 전용선과 같은 사설 네트워크의 효과를 제공하여 비용 절감과 보안성을 동시에 얻을 수 있는 기술이다. 참고로 사설 네트워크는 가정, 사무실 등이 독점적으로 사용하는 사설 IP 대역 주소를 이용하는 네트워크를 의미하고, 공용 네트워크는 국제 인터넷주소 관리기구가 공인한 IP를 사용하여 지정되지 않는 다수의 사용자에게 서비스를 제공하는 네트워크를 의미한다. 대표적인 VPN 터널링 프로토콜로는 PPTP(Point-to-Point Tunneling Protocol)과 IPSec(IP Security)이 있다. VPN은 TCP/IP 기반 프로토콜을 사용하여 터널링 프로토콜을 수행한다. 

  세 번째로는 NFV(Network Functions Virtualization)이다. NFV는 네트워크 장비의 도입 없이 네트워크 기능을 소프트웨어적으로 가상화로 구현하여 서버 위에 구축하는 기술을 말한다. 일반적으로는 네트워크 구축을 위해 고가의 전용 네트워크 장비(예를 들면 라우터, 게이트웨이 등)를 사용하였으나, NFV 덕택에 네트워크 장비뿐만 아니라 네트워크 보안장비까지 소프트웨어로 구현할 수 있게 되었다. NFV의 가장 큰 특징은 전용 하드웨어 장치에서 네트워크 기능을 분리해서, 하드웨어 없이 네트워크 기능을 제공하므로 가상의 장비가 전용 네트워크 장비를 소프트웨어로 대체한다는 것이다. 따라서 유지보수 필요성도 최소화되고, 탄력적 확장 및 구성 변경에도 유연하게 대처할 수 있게 된다. 

  마지막으로는 SDN이다. SDN이란 Software -Defined Networking으로 하드웨어 중심의 네트워크 인프라를 소프트웨어의 형태로 진화시켜 네트워크 서비스의 유연성과 민첩성을 향상한 새로운 기술이다. VLAN과 NFV는 물리적 네트워크에 가상 터널과 기능을 추가하여 오버레이 네트워크를 구성하지만, SDN은 네트워크 스위치에 구현되어 물리적으로 네트워크의 구조를 변경하고 데이터 흐름을 변경한다는 특징이 있다. SDN은 전통적 네트워크와 달리 제어 층을 소프트웨어 기반 기술로 전환하고, 가상화 영역에서 개별 서버 하드웨어를 일괄적으로 관리해서, 서버 가상화와 같이 물리적 네트워크를 추상화해서 하나의 물리적 네트워크 위에 여러 개의 가상 네트워크 구축이 가능해지게 구축했다.