NSX Edge를 ESG(Edge Services Gateway) 또는 DLR(논리적 분산 라우터)로 설치할 수 있습니다. 호스트 한 대에서 사용할 수 있는 Edge 장치의 수(ESG 및 DLR 포함)는 250개로 제한됩니다.

Edge Services Gateway

ESG는 방화벽, NAT, DHCP, VPN, 로드 밸런싱 및 고가용성 같은 모든 NSX Edge 서비스에 대해 액세스를 제공합니다. 데이터센터에 여러 ESG 가상 장치를 설치할 수 있습니다. 각 ESG 가상 장치는 총 10개의 업링크 및 내부 네트워크 인터페이스를 사용할 수 있습니다. 트렁크를 통해 ESG에는 최대 200개의 하위 인터페이스가 있을 수 있습니다. 내부 인터페이스는 보안 포트 그룹에 연결하여 포트 그룹에 있는 모든 보호된 가상 시스템의 게이트웨이 역할을 합니다. 내부 인터페이스에 할당된 서브넷은 라우팅된 공용 IP 공간이거나 NAT가 적용된/라우팅된 RFC 1918 전용 공간일 수 있습니다. 네트워크 인터페이스 간의 트래픽에는 방화벽 규칙 및 기타 NSX Edge 서비스가 적용됩니다.

ESG의 업링크 인터페이스는 업링크 포트 그룹에 연결하여 액세스 계층 네트워킹을 제공하는 서비스나 공유 회사 네트워크에 액세스할 수 있습니다. 로드 밸런서, 사이트 간 VPN 및 NAT 서비스에는 외부 IP 주소를 여러 개 구성할 수 있습니다.

논리적 분산 라우터

DLR은 테넌트 IP 주소 공간 및 데이터 경로 분리를 지원하는 동-서 분산 라우팅을 제공합니다. 서로 다른 서브넷의 동일한 호스트에 상주하는 가상 시스템 또는 워크로드는 기존 라우팅 인터페이스를 이동하지 않고도 서로 통신할 수 있습니다.

논리적 라우터에는 8개의 업링크 인터페이스와 최대 1,000개의 내부 인터페이스가 있을 수 있습니다. DLR의 업링크 인터페이스는 일반적으로 DLR과 ESG 사이에 개입하는 계층 2 논리적 전송 스위치를 통해, ESG와 피어 관계를 이룹니다. DLR의 내부 인터페이스는 가상 시스템과 DLR 사이에 개입하는 논리적 스위치를 통해, ESX 하이퍼바이저에 호스트되는 가상 시스템과 피어 관계를 이룹니다.

DLR에는 두 개의 기본 구성 요소가 있습니다.

  • DLR 제어부는 DLR 가상 장치에서 제공되며 제어 VM이라고도 합니다. 이 VM은 동적 라우팅 프로토콜(BGP 및 OSPF)을 지원하고 라우팅 업데이트를 다음 계층 3 홉 장치(대개 Edge Services Gateway)와 교환하며 NSX Manager 및 NSX Controller 클러스터와 통신합니다. DLR 가상 장치의 고가용성은 활성-대기 구성을 통해 제공됩니다. 즉, HA를 사용하도록 설정한 DLR을 생성할 경우 활성/대기 모드에서 작동하는 가상 시스템 쌍이 제공됩니다.

  • 데이터부 수준에서는 NSX 도메인의 일부인 ESXi 호스트에 설치되는 DLR 커널 모듈(VIB)이 있습니다. 커널 모듈은 계층 3 라우팅을 지원하는 모듈식 섀시의 라인 카드와 비슷합니다. 커널 모듈에는 컨트롤러 클러스터에서 푸시되고 라우팅 테이블이라고도 하는 RIB(Routing Information Base)가 있습니다. 경로 조회 및 ARP 항목 조회의 데이터부 기능은 커널 모듈에서 수행됩니다. 커널 모듈에는 다양한 논리적 스위치 및 VLAN 지원 포트 그룹에 연결하는 LIF라는 논리적 인터페이스가 장착되어 있습니다. 각 LIF에는 해당 LIF가 연결하는 논리적 L2 세그먼트의 기본 IP 게이트웨이를 나타내는 IP 주소와 vMAC 주소가 할당되어 있습니다. IP 주소는 LIF별로 고유하지만 모든 정의된 LIF에는 동일한 vMAC가 할당됩니다.

그림 1. 논리적 라우팅 구성 요소
  1. DLR 인스턴스는 NSX Manager UI 또는 API 호출을 통해 생성되고 OSPF 또는 BGP를 활용하여 라우팅이 사용되도록 설정됩니다.

  2. NSX Controller는 ESXi 호스트와 제어부를 활용하여 LIF 및 연결된 해당 IP 주소와 vMAC 주소를 비롯한 새로운 DLR 구성을 푸시합니다.

  3. 라우팅 프로토콜이 다음 홉 장치(이 예에서는 NSX Edge [ESG])에서도 사용되도록 설정된다고 가정하면 ESG와 DLR 제어 VM 사이에 OSPF 또는 BGP 피어링이 설정됩니다. 그러면 ESG와 DLR이 라우팅 정보를 교환할 수 있습니다.

    • 모든 연결된 논리적 네트워크(이 예에서는 172.16.10.0/24 및 172.16.20.0/24)에 대해 IP 접두사를 OSPF로 재배포하도록 DLR 제어 VM을구성할 수 있습니다. 그러면 이 VM이 이러한 경로 알림을 NSX Edge에 푸시합니다. 이와 같은 접두사의 다음 홉은 제어 VM에 할당된 IP 주소(192.168.10.3)가 아니지만 DLR의 데이터부 구성 요소를 식별하는 IP 주소(192.168.10.2)입니다. 전자를 DLR "프로토콜 주소"라고 하고 후자를 "전달 주소"라고 합니다.

    • NSX Edge는 제어 VM에 접두사를 푸시하여 외부 네트워크의 IP 네트워크에 연결합니다. 대부분의 경우 NSX Edge에서 단일 기본 경로가 전송되는데, 이 경로는 물리적 네트워크 인프라로의 단일 출구 지점을 나타내기 때문입니다.

  4. DLR 제어 VM은 NSX Edge에서 얻은 IP 경로를 컨트롤러 클러스터에 푸시합니다.

  5. 컨트롤러 클러스터는 DLR 제어 VM에서 얻은 경로를 하이퍼바이저로 배포합니다. 클러스터의 각 컨트롤러 노드는 특정 논리적 라우터 인스턴스에 대해 정보를 배포합니다. 여러 논리적 라우터 인스턴스가 배포된 배포 환경에서는 컨트롤러 노드 간에 로드가 분산됩니다. 일반적으로 별개의 논리적 라우터 인스턴스가 배포된 각 테넌트와 연결됩니다.

  6. 호스트의 DLR 라우팅 커널 모듈은 NSX Edge를 통한 외부 네트워크와의 통신에 대한 데이터-경로 트래픽을 처리합니다.