탄력적인 쿠버네티스 Ingress Controller 및 Service 제공

소개

Kubernetes/Openshift/Tanzu/는 컨테이너 기반 워크로드를 위한 우수한 자동화된 애플리케이션 배포 플랫폼을 제공합니다. 그러나 최신 애플리케이션 인프라에서는 트래픽 관리, 클러스터 내부 및 클러스터/지역 간 로드 밸런싱, 서비스 검색, 모니터링/분석, 애플리케이션 보안과 같은 애플리케이션 서비스가 매우 중요합니다.

기업은 프로덕션 환경에 준비된 Kubernetes/Openshift/Tanzu 클러스터에 마이크로 서비스 애플리케이션을 구현하기 위해 확장 가능하고 실제 테스트를 거친 강력한 서비스 패브릭을 필요로 합니다. 이 백서에서는 이러한 애플리케이션 서비스에 대한 요구 사항을 개괄적으로 설명하고, VMware NSX™ Advanced Load Balancer™(Avi Networks)에서 Kubernetes/Openshift/Tanzu 클러스터를 사용하여 프로덕션 환경에 컨테이너 기반 워크로드를 배포하는 방법에 대해 설명합니다.

다음 사항에 대해 알아봅니다.

  • Ingress Controller
  • 다중 클러스터, 다중 사이트 컨테이너 지원
  • 동적 서비스 검색
  • 애플리케이션 성능 모니터링 및 분석
  • 트래픽 관리 로컬 및 글로벌 로드 밸런싱
  • 고급 네트워크 및 애플리케이션 보안
  • 통합 DNS 및 IPAM
  • 성능 기반 탄성 자동 스케일링

Kubernetes용 Application Services의 과제

기존 애플리케이션에서 사용할 수 있는 로드 밸런싱, 네트워크 성능 모니터링 및 애플리케이션 보안과 같은 공통 애플리케이션 서비스는 컨테이너 기반 애플리케이션에서 다르게 구현되거나 접근해야 하는 경우가 많습니다. 다음은 컨테이너 기반 애플리케이션 구현 시 발생하는 몇 가지 과제입니다.

여러 별개의 솔루션

마이크로 서비스를 기반으로 하는 최신 애플리케이션 아키텍처는 어플라이언스 기반 로드 밸런싱 솔루션을 더 이상 사용하지 않게 만들었습니다. 기존의 하드웨어/가상 로드 밸런싱 장치 또는 오픈 소스 툴은 남북 수신 서비스를 지원하거나, 애플리케이션 자동 확장을 지원하지 않으며, DNS, IPAM 및 웹 애플리케이션 방화벽(WAF)과 같은 주변 서비스와의 기본 통합이 부족합니다.

복잡한 작업

상이한 솔루션을 통해 IT 조직은 서로 다른 공급업체의 여러 독립 구성 요소를 관리하고 문제를 해결하는 데 있어 보다 복잡한 작업에 직면하게 됩니다.

관측성 결여

컨테이너 기반 애플리케이션의 경우 종단 간 가시성이 특히 중요합니다. 애플리케이션 개발자와 운영 팀은 모두 잘못된 상호 작용, 보안 위반 및 잠재적인 지연을 식별하기 위해 주변 서비스와 컨테이너 서비스 사이의 상호작용을 볼 수 있어야 합니다.

부분 자동화

애플리케이션 및 네트워킹 서비스는 하드웨어 어플라이언스의 제약 없이 API 기반 및 프로그래밍 가능해야 합니다. 멀티벤더 솔루션은 환경 전반에서 유연성과 휴대성을 제한할 수 있습니다. 또한 멀티벤더 솔루션은 여러 제품에 대한 심층적인 스크립팅 지식이 있어야만 부분적인 자동화만 제공할 수 있으므로 기능, 자동화 및 확장 간의 타협을 가져올 수 있습니다. 따라서 쿠베르네테스 서비스를 단일 플랫폼에서 통합할 필요가 있다.

컨테이너 기반 환경을 위한 애플리케이션 서비스 요구 사항

트래픽 관리 – 로컬 로드 밸런싱: 로컬 로드 밸런싱 장치 또는 ADC(Application Delivery Controller)는 로드 밸런싱, 상태 모니터링, TLS/SSL 오프로드, 세션 지속성, 콘텐츠/URL 전환 및 콘텐츠 수정과 같은 애플리케이션 네트워킹 서비스를 제공해야 합니다.

트래픽 관리 – 글로벌 로드 밸런싱: 글로벌 로드 밸런싱은 가용성, 사용자의 사이트 위치, 사이트 지속성, 사이트 로드 등을 포함한 몇 가지 기준에 따라 클라이언트를 적절한 사이트/지역으로 안내합니다.

서비스 검색: 서비스 호스트/도메인 이름을 액세스할 수 있는 가상 IP 주소에 매핑합니다.
모니터링/분석: 운영 환경에 구축된 엔터프라이즈 애플리케이션은 애플리케이션 및 네트워크 성능, 상태 및 보안을 기반으로 지속적인 모니터링 및 경고를 필요로 합니다.

보안: 엔터프라이즈급 보안 애플리케이션에는 TLS/SSL 인증서 관리, 애플리케이션 액세스를 제어하는 마이크로 서비스 기반 네트워크 보안 정책, DDoS 보호/완화 및 WAF(Web Application Firewall)가 필요합니다.

쿠버네티스를 위한 Avi Consolidated Services

VMware NSX® Advanced Load Balancer™(Avi Networks)는 Kubernetes/OpenShift/Tanzu용 최신 분산 아키텍처를 통해 컨테이너 수신과 같은 애플리케이션 서비스를 단일 플랫폼을 통해 Kubernetes 및 OpenShift 환경의 애플리케이션으로 원활하게 확장합니다.

  • 통합 솔루션
    Avi Kubernetes 수신 서비스는 컨테이너 수신 서비스 외에도 GSLB(Global Server Load Balancing), DNS/IPAM, 애플리케이션 보안, WAF 및 분석을 포함한 고급 L4-L7 서비스를 제공합니다. 업계 유일의 완벽한 L2-L7 네트워킹 및 보안 스택을 갖춘 멀티 클라우드 환경에서 애플리케이션을 일관성 있게 제공할 수 있도록 지원합니다.
  • 운영 단순성
    중앙 집중식 정책과 전체 라이프사이클 자동화를 통해 관리자가 중앙 집중식 제어, 셀프 서비스 애플리케이션 제공 자동화 및 운영 일관성을 확보할 수 있는 수동 작업이 제거됩니다.
  • 풍부한 관찰 가능성
    폐쇄 루프 분석 및 딥 머신 러닝을 통해 모든 구성 요소에 걸쳐 애플리케이션 통찰력을 갖춘 실시간 원격 측정 기능을 통해 네트워크, 최종 사용자, 보안 및 실시간 애플리케이션 성능 모니터링 전반에 걸쳐 전체적인 통찰력을 제공합니다.
  • 탄력성을 갖춘 클라우드 네이티브 자동화
    VMware, OpenStack, AWS, Azure 및 Google Cloud Platform을 비롯한 사내 데이터 센터 및 퍼블릭 클라우드 전반에서 폐쇄 루프 분석 및 의사 결정 자동화를 기반으로 하는 탄력적 자동 확장

컨테이너 수신을 위한 통합 서비스 패브릭


VMware NSX Advanced Load Balancer는 가상 머신에서 Kubernetes/Openshift/Tanzu와 같은 컨테이너 조정 플랫폼과 통합되며, 온프레미스, 멀티 클라우드, 멀티 클러스터 및 멀티 지역 환경에 있는 베어 메탈 서버와 통합됩니다. Avi Kubernetes Services는 기존 애플리케이션과 클라우드 네이티브 애플리케이션 모두에 포괄적인 컨테이너 서비스를 제공하기 위해 GSLB(Local and Global Server Load Balancing), 성능 모니터링, 동적 서비스 검색, 웹 애플리케이션 방화벽과 같은 애플리케이션 보안 등 North-South(잉글레스 컨트롤러) 트래픽 관리에 최적화되어 있습니다. WAF 및 DNS/IPAM 관리. L4 ~ L7 로드 밸런싱, GSLB, DNS/IPAM 관리 및 보안 기능을 단일 솔루션에 결합한 Kubernetes 수신 서비스는 Kubernetes 클러스터가 실행 중인 온프리미엄, 프라이빗 클라우드 또는 퍼블릭 클라우드 환경에 관계없이 운영 일관성을 제공합니다.

Kubernetes Ingress Service는 다음과 같은 네 가지 주요 구성 요소를 갖춘 소프트웨어 정의 분산 아키텍처를 기반으로 합니다.

  • Avi Controller: Avi 컨트롤러는 인프라 조정, 중앙 집중식 관리 및 분석 대시보드의 모든 제어 영역 기능을 제공하는 Avi 아키텍처의 중앙 관리 구성 요소입니다. 쿠베르네테스 환경에서 AVi 컨트롤러는 확장 가능한 방식으로 쿠베르네테스 프라이머리와 연동됩니다. 연결 및 지연 시간 요구사항이 충족되는 한 어디서나 구현할 수 있습니다.
  • Avi Service Engine: Kubernetes 환경에서는 SE가 클러스터 외부에 배포되고 로드 밸런싱, GSLB, 분석, DNS 및 WAF와 같은 서비스를 데이터 영역에 제공합니다.
  • Avi Kubernetes Operator: AKO는 Kubernetes 클러스터 내에서 실행되는 포드로서, Kubernetes primary와 통신을 제공하여 구성을 제공합니다. AKO는 필수 Kubernetes 개체와 동기화 상태를 유지하고 Avi Controller APIs를 호출하여 Avi Service Engine을 통해 수신 서비스를 배포합니다. AKO는 HELM을 통해 전개됩니다.
  • Avi Multi-Kubernetes Operator: AMKO는 다중 클러스터 애플리케이션 구축을 촉진하여 여러 클러스터로 애플리케이션 수신 컨트롤러를 확장합니다. AMKO는 Avi APIs for Avi Controller를 호출하여 모든 팔로워 클러스터와 동기화하는 리더 클러스터에 GSLB 서비스를 생성한다.

Kubernetes 수신 서비스는 Kubernetes 클러스터가 실행 중인 온프리미엄, 프라이빗 클라우드 또는 퍼블릭 클라우드 환경에 관계없이 운영 일관성을 제공합니다(그림 2 참조).

Avi Kubernetes Operator를 이용한 Kubernetes/Openshift/Tanzu 다중 클러스터 통합

Avi Kubernetes 수신 서비스는 여러 Kubernetes 클러스터와의 통합에 사용할 수 있으며, 각 클러스터는 자체 AKO 인스턴스를 실행할 수 있습니다. AKO는 쿠베르네테스 클러스터에서 실행되는 포드로, 쿠베르네테스 기본 구성과의 통신을 제공한다. 다중 지역 및 다중 가용성 영역 배포에 걸쳐 애플리케이션을 확장하려면 AMKO가 필요합니다.

AKO는 필수 Kubernetes 개체를 동기화하고 Avi Controller API를 호출하여 Avi Service Engine을 통해 수신 서비스를 배포 및 구성합니다. 클러스터는 SE에서 분리되며, VRF 컨텍스트를 사용하여 데이터 평면의 클러스터 외부에 배포됩니다. 자동화된 IPAM 및 DNS 기능은 Avi 컨트롤러에 의해 처리됩니다.

AKO는 필수 Kubernetes 개체를 동기화하고 Avi 컨트롤러 API를 호출하여 Avi 서비스 엔진을 통해 수신 서비스를 배포 및 구성합니다.

Avi Kubernetes Operator

  • 수신 제어기 및 AVI 구성 기능 제공
  • Kubernetes 개체를 AviController API로 변환 및 동기화
  • Kubernetes/Openshift/Tanzu 클러스터에서 포드로서 실행

Avi Controller

  • 서비스 엔진의 배포 및 관리 자동화
  • 중앙 집중식 분석 및 관찰 기능 제공

Avi Service Engines (external)

  • Kubernetes/Openshift/TanzuIngresses/Route에 대한 가상 서비스 호스팅
  • 가상 서비스 데이터 평면 트래픽 처리

AKO 배포 워크플로우

AMKO는 Avi Controller APIs를 호출하여 GSLB 서비스와 DNS/IPAM 설정을 배포하고 구성합니다. 이 서비스는 AKO가 리더와 추종자인 Kubernetes/Openshift/Tanzu 클러스터 사이트에 통합됩니다.

인프라 구축 워크플로우

  1. Avi 컨트롤러는 기본 인프라(예: VMware vCenter)에 구축되어 있습니다.
  2. 기본 인프라 파라미터는 Avi 컨트롤러의 Avi ‘Cloud Object’를 통해 구성됩니다.
  3. Avi 컨트롤러는 기본 인프라와 통신하여 서비스 엔진의 라이프사이클을 조정합니다.

Kubernetes/Openshift/Tanzu 클러스터별 워크플로우

  1. 기본 AKO 파라미터는 헬름 차트(컨트롤러 IP, 인증, VRF 등)를 통해 구성됩니다.
  2. AKO는 Helm 장치를 사용하여 클러스터에 배포됩니다.
  3. AKO가 Avi 컨트롤러와 연결 설정

애플리케이션 배포 워크플로우

  1. Admin이 수신/경로 및 CRD를 구성합니다.
  2. AKO는 Kubernetes/Openshift/Tanzu 예비선거에서 이러한 개체를 가져옵니다.
  3. AKO는 수신/라우트를 변환하고 Avi API를 호출합니다.
  4. Avi 컨트롤러는 IPAM에서 IP 주소를 할당하고 FQDN을 DNS에 게시합니다.
  5. Avi 서비스 엔진 호스트 수신/경로용 가상 서비스

포괄적인 다중 클러스터 트래픽 관리

컨테이너 수신은 GSLB(Local and Global Server Load Balancing), WAF(Web Application Firewall), 성능 모니터링 등 다중 클러스터, 다중 지역 및 다중 클라우드 환경에서 엔터프라이즈급 Kubernets/Openshift/Tanzu 수신 트래픽 관리를 제공합니다. Avi는 컨테이너 및 마이크로서비를 위해 Kubernet과 원활하게 통합됩니다.오케스트레이션 및 보안을 설정합니다.

Avi Multi-Cluster Kubernetes Operator를 이용한 Kubernetes/Openshift/Tanzu GSLB 통합


Avi Multi-Cluster Kubernetes Operator(AMKO)

  • 다중 클러스터 애플리케이션 구축 촉진
  • Kubernetes/Openshift/Tanzu 클러스터에서 포드로서 실행
  • 애플리케이션 구축을 위해 여러 클러스터 간에 애플리케이션 수신 확장

AMKO는 Kubernetes/Openshift/Tanzu GSLB 리더 클러스터에서 실행되는 AviPod이며, AKO와 함께 다중 클러스터에 배포된 동일한 애플리케이션을 단일 GSLB 서비스에 매핑하여 다중 영역 및 다중 영역 배포로 애플리케이션 수신을 확장합니다.

AMKO는 Avi Controller APIs를 호출하여 GSLB 서비스와 DNS/IPAM 설정을 배포하고 구성하며, 이는 AKO에 의해 생성된 가상 서비스를 리더와 추종자 쿠베르네츠/오픈시프트/탄주 클러스터 사이트에 결합한다.

글로벌 서비스 로드 밸런싱(GSLB)

엔터프라이즈 애플리케이션을 여러 데이터 센터 및/또는 프라이빗/퍼블릭 클라우드 영역에 걸쳐 배포할 때 Avi는 DNS 쿼리에 따라 애플리케이션에 해당하는 가상 IP 주소를 반환하여 GSLB 서비스를 제공합니다. 최고의 성능과 최적의 사용자 환경을 위해 Avi의 GSLB 서비스는 지리적 위치, 사이트 지속성 및 가용성을 결합하여 사용자를 해당 사이트/지역 VIP로 안내합니다.

다중 가용성 영역

다중 가용성 영역은 여러 클러스터에 걸친 애플리케이션 인식과 함께 여러 가용성 영역에 분산된 애플리케이션(가상 서비스)의 로드 밸런싱을 제공합니다. 여러 가용성 영역에 걸쳐 애플리케이션을 확장하려면Avi는 계층형 로드 밸런싱 배포 방법을 사용합니다. 단일 가상 서비스는 SE의 첫 번째 계층이 선택한 클러스터 내의 노드 간에 L7 로드 밸런싱을 제공하는 SE의 두 번째 계층 간에 L4 TCP 연결을 밸런싱하는 경우에 확장됩니다. 최고의 성능과 최적의 사용자 환경을 위해 Avi는 애플리케이션별 가용성을 기반으로 여러 AZ 간에 트래픽을 동적으로 라우팅합니다. Avi 컨트롤러는 SE의 라이프사이클을 중앙에서 관리하고, 동일한 가상 서비스의 VIP에 걸쳐 모든 분석 및 로그를 애플리케이션에 대한 단일 통합 뷰로 결합합니다.

AMKO 인프라 구축 워크플로우

인프라 구축 워크플로우

  1. Avi 컨트롤러는 기본 인프라(예: VMware vCenter)에 구축됩니다.
  2. Avi 컨트롤러는 기본 인프라와 통신하여 서비스 엔진의 라이프사이클을 조정합니다.
  3. Kubernetes/Openshift/Tanzu 클러스터는 AKO를 통해 해당 사이트의 Avi 컨트롤러에 추가됩니다.
  4. 하나의 컨트롤러 사이트가 리더 사이트로 지정됨
  5. 리더 및 모든 팔로워 사이트에서 GSLB가 활성화됩니다.
  6. AMKO는 헬름 차트(컨트롤러 IP, 클러스터 API 끝점, 클러스터 및 컨트롤러 인증, VRF 등)를 통해 Avi 컨트롤러 GSLB 리더, Kubernetes/Openshift/Tanzu 리더 및 추종자 클러스터 매개 변수로 구성되며, Kubernet/Opensanz 설계/Shift에 배포됩니다.
  7. AMKO가 리더 클러스터에 대한 Avi 컨트롤러와의 연결을 설정합니다.
  8. AMKO는 Kubernetes/Openshift/Tanzu 리더 및 추종자와 연결됨
  9. GSLB 리더 Avi 컨트롤러는 모든 팔로워 클러스터의 Avi 컨트롤러와 설정을 동기화합니다.

애플리케이션 배포 워크플로우

  1. 관리자가 수신/경로 및 GSLB 사용자 지정 리소스 정의(CRD)를 구성합니다.
  2. AMKO는 Kubernetes/Openshift/Tanzu로부터 수신/경로 및 GSLB CRD를 수신합니다.
  3. AMKO는 GSLB CRD를 번역하고 Avi APIs를 호출하여 GSLB 서비스를 구성합니다.
  4. Avi 컨트롤러에서 전역 FQDN을 DNS에 게시합니다.
  5. Avi 서비스 엔진 호스트 DNS 가상 서비스

데이터 경로

Avi 컨트롤러는 트래픽 패턴에 따라 Avi 서비스 엔진의 사용 가능한 용량을 자동으로 관리합니다.

남북 또는 외부 서비스: 이러한 서비스는 서비스당 VIP(가상 IP 주소)를 통해 사용자가 액세스하는 외부 서비스입니다. AvISE는 라우터 및 라우트 앞의 기본 로드 밸런서를 대체합니다. Avi는 Kubernetes/Openshift/Tanzu 클러스터로의 수신 트래픽을 위한 단일 프록시 계층을 제공합니다. Avi 컨트롤러 및 SE는 기본적으로 IaaS 계층(AWS/GCP/Azure/vSphere/OpenStack)과 통합되고 수신 VIP의 네트워크 도달 가능성을 자동화합니다.

이러한 가상 서비스는 하나 이상의 Avi Service Engine에 의해 프록시 처리됩니다. Avi 컨트롤러는 로드와 연결의 조합을 사용하여 적절한 서비스 엔진을 찾고 이러한 가상 서비스를 서비스 엔진에 “배치”합니다.

Avi는 경로 제공자이기 때문에 Avi 컨트롤러에는 Route 개체에 대한 생성/수정/삭제 메시지를 수신하고 해당하는 Avi Virtual Service 및 풀 개체를 자동으로 생성/수정/삭제하는 기본 Route Controller가 있습니다. 필요한 경우, 표준 경로 기능에 포함되지 않은 추가 기능 및 기능은 Avi 특정 CRD를 사용하여 구성할 수 있습니다.

  1. DNS를 통한 서비스/애플리케이션에 대한 클라이언트 DNS 조회
  2. 서비스/애플리케이션 FQDN이 Avi VIP로 확인
  3. 클라이언트가 Avi VIP에게 요청을 보냅니다.
  4. Avi Service Engine은 로드 밸런싱을 위해 백엔드 포드를 선택합니다.
  5. 요청이 백엔드 포드 IP로 전송됨
  6. 앱이 Avi 서비스 엔진을 통해 클라이언트에 다시 응답합니다.

Kubernetes/OpenShift/Tanzu에 대한 엔터프라이즈급 보안


Avi는 iWAF(Intelligent Web Application Firewall)와 분산 애플리케이션 보안 패브릭을 갖추고 있어 폐쇄 루프 분석 및 애플리케이션 학습 모드를 통해 보안을 적용합니다. iWAF는 OWASP CRS 보호, PCI DSS, HIPAA, GDPR, 포지티브 보안 모델 및 서명과 같은 규정 준수에 대한 지원을 포함합니다. 내장된 솔루션은 DDoS, 속도 제한, SSL/TLS 오프로드 및 암호화, 정책 사용자 지정을 단순화하고 모든 환경에서 온디맨드 방식으로 자동으로 확장되는 ACL을 포함한 포괄적인 보안 스택을 보안 및 네트워킹 팀에 제공합니다.

Avi의 iWAF는 관리자에게 성능, 최종 사용자 상호 작용 및 보안 이벤트에 대한 엔드 투 엔드 보안 통찰력과 분석을 단일 대시보드(Avi App Insights)로 제공하여 보안 인텔리전스 및 실행에 대한 실행 가능한 통찰력을 제공합니다. Avi PULSE Services를 통해 업계 최고의 위협 분석 회사에서 IP 평판, 서명 등을 포함한 실시간 위협 업데이트를 제공하고 Avi PULS를 통해 치료됩니다. SQLI(SQL Injection) 및 XSS(사이트 간 스크립팅)와 같은 일반적인 취약점으로부터 웹 애플리케이션을 보호하는 동시에 각 애플리케이션에 대해 규칙 집합을 사용자 지정할 수 있는 기능을 제공합니다. iWAF는 승인 목록 엔진을 통해 검증되지 않은 트래픽을 분석합니다. 응용프로그램과 공격 패턴이 학습될 때 알려진 양호한 동작을 검증하는 긍정적인 보안 모델을 마지막으로 서명 엔진이 특정 트랜잭션과 일치하는 보안 규칙을 처리합니다. 이 모든 것을 실시간으로 분석합니다. 최적화된 보안 파이프라인은 효율성을 극대화하고, 거짓 양성 반응을 대폭 줄이며, 제로 데이 공격을 차단합니다.

확장 및 성능

응용 프로그램 전송 태스크를 수행하는 동안 SE는 리소스 소모를 겪을 수 있습니다. CPU, 메모리 또는 트래픽 패턴 때문일 수 있습니다. 여러 애플리케이션 및 네트워크 원격 측정 기능을 SE에서 실시간으로 모니터링하여 가상 서비스를 사용하지 않는 SE로 자동 마이그레이션하거나 여러 SE에서 가상 서비스를 스케일아웃하여 용량을 늘릴 수 있습니다. 따라서 여러 활성 SE가 단일 가상 서비스의 워크로드를 동시에 공유할 수 있습니다. 또한 Avi는 애플리케이션 액세스 패턴을 학습하고 학습된 트래픽 패턴과 애플리케이션 사용량에 따라 지능적이고 예측적인 자동 스케일링을 수행할 수 있으므로 수요가 서비스 소진 또는 중단을 유발하기 전에 서비스 가용성을 높입니다.

지속적인 통합 및 제공(CI/CD)


애플리케이션은 Blue-Green 또는 Canary 배포 패턴을 사용하여 업그레이드할 수 있습니다. Avi는 즉시 중단 없이 원활하게 애플리케이션을 업그레이드할 수 있는 기능을 제공합니다. 새 애플리케이션 버전을 사용할 수 있는 경우 SE는 새 사용자를 새 애플리케이션 버전으로 안내할 수 있으며 기존 사용자는 이전 버전에서 계속 서비스를 받을 수 있습니다. 새 애플리케이션 버전에 대한 모든 배포 기준이 충족되면 모든 트래픽이 새 애플리케이션 버전으로 이동합니다. 충분한 시간이 지난 후 모든 기존 사용자의 연결이 끊어지면 이전 버전은 안전하게 삭제됩니다. 관리자가 전체 프로세스를 제어하거나 Avi가 전체 프로세스를 자동화하는 정책 기반 Blue-Green 오케스트레이션을 제공할 수 있습니다.

모니터링 및 분석

애플리케이션 소유자는 애플리케이션의 성능을 실시간으로 파악해야 하며, 과거에는 서비스가 저하되거나 중단될 때 알림이 필요했으며, 인프라, 애플리케이션 또는 사용자 오류로 인해 운영 중단이 발생하는지 파악해야 합니다. 모든 애플리케이션에 대한 메트릭과 로그를 수집, 집계, 축적, 저장 및 롤업하려면 확장성이 뛰어나고 강력한 모니터링/분석 시스템이 필요합니다.

Avi Service Engine은 수백 개의 개별 메트릭을 수집하고 모든 HTTP 또는 TCP/UDP 트랜잭션을 기록합니다.

이 실시간 원격 측정 기능은 Avi 컨트롤러에 의해 지속적으로 처리되며 대시보드 및 REST API를 통해 사용할 수 있어 관리자가 신속하게 활용할 수 있는 탁월한 가시성과 애플리케이션 통찰력을 제공합니다. 이를 통해 네트워크 엔지니어와 개발자는 애플리케이션 성능, 보안 및 최종 사용자 환경에 대한 실행 가능한 통찰력을 얻어 문제 해결을 몇 분으로 단축할 수 있습니다.

Analytics Dashboard

모든 애플리케이션에 대해 Avi 통찰력은 요청/트랜잭션/연결률, 처리량 등과 같은 중요 메트릭의 현재 및 과거 뷰를 포함하여 모든 트랜잭션에 대한 엔드 투 엔드 뷰를 제공합니다.

애플리케이션 성능 분석

Avi Service Engines는 각 네트워크 홉 사이에 대기 시간이 있는 종단 간 왕복 시간 등 모든 중요한 트랜잭션을 기록하고 이러한 로그를 인덱싱하고 풀 멤버, 응답 시간, 장치 유형 등과 같은 몇 가지 차원에 기반한 분석을 제공합니다. 또한 Log Analytics는 장치, 위치, 오류 등을 기반으로 한 검색 필터 트랜잭션을 통해 Google과 유사한 검색을 제공합니다. Avi Service Engines에서 Splunk와 같은 외부 로그 분석 플랫폼으로 애플리케이션 로그를 직접 전달할 수도 있습니다. 또한 특정 트랜잭션의 기록 및 재생 기능과 같은 “Network DVR”과 함께 관리자는 1분 이내에 애플리케이션 문제를 해결할 수 있습니다.

최종 사용자 환경 분석

클라이언트 Analytics는 탐색, 리소스 타이밍 및 서버 응답을 실시간으로 Avi 컨트롤러에 보고하는 응답에 JavaScript 리소스를 삽입합니다. 이를 통해 총 페이지 로드 시간, 장치 유형, 국가, 데이터 센터, 서버, 애플리케이션 풀 등에 따른 차원 분석, 애플리케이션의 각 페이지에 대한 리소스 타이밍 정보를 상세하게 파악하여 최종 사용자 환경에 대한 세부적인 가시성을 제공하고 애플리케이션 소유자가 애플리케이션을 최적화 및 개선할 수 있습니다.

애플리케이션 상태 점수

Avi는 전체 애플리케이션의 빠른 스냅샷을 제공하는 상태 점수로 분석 정보를 요약합니다. 응용 프로그램 상태 점수는 서버 응답 시간, 리소스 사용량, 비정상적인 트래픽 및 보안 상태에 따라 결정됩니다.

보안 분석

Avi는 TLS/SSL 버전 및 트랜잭션 속도에 대한 통찰력을 제공하는 각 가상 서비스의 상태를 지속적으로 평가합니다. SSL 점수는 PFS 지원, SSL/TLS 버전, 사용된 암호화 알고리즘, 암호 강도, 서명 알고리즘, 사용된 신뢰할 수 있는/신뢰할 수 없는 인증서, 사용된 SSL 인증서 또는 TLS 버전으로 잠재적인 위험을 강조하여 구성된 SSL 보안 프로파일을 기반으로 합니다.

DDoS 공격 분석은 가상 서비스에 대한 분산 서비스 거부 데이터를 공격 기간, 차단된 연결, 공격 횟수, 초당 네트워크 공격 수(예: IP 단편화 공격 또는 TCP SYN 플러드 및 애플리케이션 공격)와 같은 가장 관련성이 높은 계층 4 및 계층 7 공격 데이터로 세분화합니다. 예: HTTP SlowLoris 공격 또는 리퀘스트 플러드(request floods).

분석 경고 및 알림

Avi는 시스템 이벤트 또는 Avi가 추적하는 500개 이상의 메트릭에 따라 경고를 트리거할 수 있습니다. 경고가 트리거되면 하나 이상의 통지 작업을 통해 관리자에게 알릴 수 있습니다. 또한 알림은 자동화된 작업에 대한 ControlScript를 트리거할 수 있습니다.
다음 통지 양식을 사용할 수 있습니다.

로컬 알림:

  • 알림이 기록되고 Analytics Dashboard에 표시됩니다. 로컬 알림은 알림 우선 순위를 가진 알림 작업으로 표시되어 알림을 분류하는 데 유용한 메커니즘을 제공합니다.

이메일:

  • 이메일을 통해 관리자에게 경고를 보내도록 경고 조치를 구성할 수 있습니다. 이러한 전자 메일은 관리자 또는 전자 메일을 수신하는 보고 시스템으로 직접 보낼 수 있습니다.

Syslog:

  • Syslog 메시지가 하나 이상의 Syslog 서버로 전송될 수 있습니다. 통신은 사용자 지정 가능한 포트를 사용하여 UDP를 통해 암호화되지 않습니다. RFC 5426에 따르면 syslog 수신기는 잘 알려진 포트 514의 syslog 데이터그램 수신을 지원해야 하지만 다른 포트에서 수신하도록 구성할 수 있습니다.

SNMP 트랩:

  • SNMP v2c를 사용하여 SNMP 트랩을 통해 알림을 보낼 수 있습니다. 여러 트랩 서버를 정의할 수 있습니다.
  • SNMP 트랩 구성은 SNMP 트랩 서버에 알림을 보내기 위한 것이지, SNMP가 Avi SNMP OID를 폴링하는 방법을 구성하기 위한 것이 아닙니다.
  • 컨트롤러 클러스터 리더로부터 트랩이 전송되지만, 장애가 발생한 경우 리더 역할이 추종 컨트롤러로 이동할 수 있습니다. 따라서 클러스터의 세 컨트롤러 중 하나에서 트래픽을 허용하도록 외부 SNMP 서버를 구성해야 합니다.

서비스 검색

서비스 검색은 네트워크에서 장치 및 서비스를 자동으로 검색하는 프로세스입니다. 쿠베르네테스 서비스 검색과 마찬가지로, 네트워크 상의 공통 언어를 통해 연결되는 장치로 작동하여 장치 및/또는 서비스가 수동 개입 없이 연결될 수 있도록 합니다.

서비스 검색에는 서버 측과 클라이언트 측 두 가지 유형이 있습니다. 서버측 서비스 검색을 사용하면 클라이언트 응용 프로그램이 라우터 또는 로드 밸런서를 통해 서비스를 찾을 수 있습니다. 클라이언트측 서비스 검색을 통해 클라이언트 애플리케이션은 서비스 레지스트리를 조회하거나 쿼리하여 서비스를 찾을 수 있습니다. 이 레지스트리는 서비스 인스턴스 및 엔드포인트가 모두 서비스 레지스트리 내에 있습니다.

서비스 레지스트리는 서비스 인스턴스의 네트워크 위치를 포함하는 데이터베이스입니다. 클라이언트가 서비스 레지스트리에서 얻은 네트워크 위치를 통과할 수 있도록 서비스 레지스트리는 고가용성 최신 상태여야 합니다. 마이크로서비스 서비스 검색은 애플리케이션과 마이크로서비스가 네트워크에서 서로를 찾을 수 있는 방법입니다. 마이크로 서비스 아키텍처 검색 내의 서비스 검색 구현에는 중앙 서버에 연결하여 주소를 업데이트하고 검색하는 클라이언트의 주소 보기를 관리하는 중앙 서버(또는 서버)가 포함됩니다. 사이트 및 지역에 걸쳐 애플리케이션의 “글로벌 상태”(사용 가능한 서비스 IP 주소)도 서비스 검색 데이터베이스에 있으며 DNS를 통해 액세스할 수 있습니다. 모든 서비스 사용자(브라우저 또는 앱 또는 기타 서비스를 사용하는 사용자)는 잘 알려진 DNS 메커니즘을 사용하여 서비스 IP 주소를 가져옵니다.

Avi 서비스 검색은 서비스 호스트/도메인 이름을 여러 클러스터 및 가용성 영역에 걸쳐 있는 가상 IP 주소에 자동으로 매핑하고 서비스가 생성 및 해제되면 서비스 검색 데이터베이스를 업데이트합니다. Avi는 다양한 DNS 구성 옵션과 Infoblox와 같은 타사 DNS 및 IPAM 서비스와의 통합을 비롯하여 사용자의 장치 및 기타 서비스에 대한 권한 있는 DNS 서버를 제공합니다.

예를 들어 애플리케이션 app1.acme.com이 생성되고 서로 다른 구역/구역의 2개 클러스터에 속하는 2개의 VIP와 자동으로 연결됩니다. 데이터 센터-1에는 VIP-1이 있고 데이터 센터-2에는 VIP-2가 있습니다. 사용자가 app1.acme.com에 대해 DNS를 조회할 때 다음 기준에 따라 사용자에게 VIP-1 또는 VIP-2가 포함된 A 레코드가 반환됩니다.

  • 서비스가 액티브/액티브 또는 액티브/패시브입니까?
  • 두 VIP 모두 응답성이 뛰어나거나 사용할 수리가 가능합니까?
  • 사용자가 Datacenter-1 또는 Datacenter-2에 지리적으로 더 가깝습니까?
  • 사용자에게 특정 데이터 센터로 안내하는 사이트 지속성 쿠키가 있습니까?
  • 사용자에게 VIP-1이 반환되면 사용자는 데이터 센터-1의 애플리케이션에 액세스합니다. 사용자가 VIP-2로 반환되는 경우 사용자는 데이터 센터-2의 애플리케이션에 액세스합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다

You May Also Like