VMware Associate Solution Engineer가 신입의 입장에서 떠먹여주는 morning VMware 시리즈 1탄.
지난 8월 말에 VM Explore가 있었고, 그곳에서 릴리즈된 아주 다양한 주제들이 많았지만
나는 Core SE 팀이니깐, vSAN과 vSphere 업데이트 사항과 고객사에 어떤 영향을 미칠지에 대한 고민을 하고 있는 중이다.
시리즈는 대중에게도 공개된 Tech Blog의 내용을 가지고 꾸준하게 이어질 예정이다.
이 글은 vSAN8.0 중에서도, Cluster Level에서 이뤄지는 Encryption에 대한 dive를 조금 파봤다. 운영자의 입장에서 조금 도움되기를~
vSAN ESA Cluster Level Encryption
Author: @Ji Yoon Park
Reference: VMware Tech Blog
1. Overview
데이터 암호화는 보안 규제 요구사항을 맞추는 것에 있어서 반드시 필요한 단계인데도 불구하고 때로는 복잡성이나 엄청난 비용, 데이터 암호화로 인한 성능 영향을 고려해야 하는 때도 있음.
이번 VMware Explore 2022에서 릴리즈 된 VMware vSAN™ 8을 통해서 암호화 컴퓨팅 오버헤드가 상당히 줄어들었으며, 관리 및 유지보수는 더욱 더 쉬워졌음.
vSAN 8은 Express Storage Architecture (이하 ESA) 라는 형태로 변화했으며, ESA에 대한 자세한 내용은 따로 정리하고 이번에는 암호화 입장에서만
2. vSAN 8.0 암호화 Architecture
- VM을 위한 리소스 free up에 들어가는 오버헤드가 크게 감소됨
- CPU와 I/O를 최소화하기 위해서 write 작업이 일어나기 이전에 암호화 작업이 수행됨
- CPU 이용률 최대화와 네트워크 효율성 증가를 위해서 cache disk에 쓰여질 때 decrypt하고 / 다시 재 encrypt 하던 작업이 제거됨
- 압축 작업과 함께 일어나서 공간 효율 측면이 개선됨
3. Original Storage Architecture(이하 OSA)와의 비교
3-1. 달라진 점과 유지되는 점
- OSA에서는 vSAN Cluster의 데이터를 암호화하기 위해 별개의 encryption service를 제공했음
- Encryption에 있어서, Cluster 기준의 서비스라는 점은 동일하나, vSAN의 upper layer에서 incoming write요청을 받을 때 압축작업을 먼저 한다음에 암호화가 수행된다는 점이 차이점임
- 암호화 단계는 high stack에서 한번만 진행되며, high stack에서 발생하기 때문에 host간 전송되는 vSAN traffic은 모두 암호화된 상태로 전송되어 보안적인 측면을 개선함
💡 3-2. SAN의 upper layer(high stack)란?
Two tier에 Disk group (cache, data) 으로 구분되어있던 기존 아키텍처와 달리, NVMe 기반의 TLC 플래시 device로 통합된 Single-tier로 개선되었음.
New log-structured File System(LFS)라는 층이 중간에 도입되었고, 빠르고 효율적인 data processing을 필요로 하는 작업은 LFS를 기준으로 top에서 처리되도록 했는데, LFS 기준 top을 vSAN의 upper layer라고 부름
💡 3-3. LFS는 뭐하는 친구?
- Log Structured File System
- LFS는 data 쓰기 작업에 있어서 탄력적이고 공간 효율적으로 (그러나 이제 성능에는 영향도 받지 않고) write 하는 역할임
4. Efficiency(효율) 측면에서의 개선사항
- 효율적인 측면에서는 암호화 하나만 놓고 볼 수는 없고, compression(압축)과 지정 cache tier 디바이스에 대한 니즈가 없어지는 측면도 함께 봐야함.
- 기존 OSA 구조보다 I/O proces가 극적으로 개선되었는데, 예를 들면
- 데이터 block은 2:1로 압축되었고, 그렇기 때문에 암호화 작업에서 CPU 사이클의 절반만 사용함
- data를 읽거나 재동기화 작업을 하기 위해 data가 전송되는데, 그 전에 압축을 푸는 작업이 없어짐
- 읽기 작업과 쓰기 작업에 있어서 top stack에서 일어나는 압축 작업 때문에 network bandwidth 측면에서도 절반만 사용함
- 암호화 작업은 stack에서 한번만 발생하고, OSA와 비교했을 때 전체 복호화 / 재암호화하던 과정이 이제 사라짐! 이게 무슨 말이냐면, 이전에는 data를 압축 먼저 다음에, 캐시 티어에 write 작업을 위해 암호화 하기 전에 캐시 장치에서 data를 복호화했어야 했음
5. 운영 측면에서의 vSAN 암호화
- vSphere Native Key Provider 서비스가 있는데, 이와 연동하면 vSAN encryption 시 사용자는 외부 키매니저 서비스 같은 것들을 사용할 필요 없이 기존처럼 몇번의 클릭만으로 암호화를 진행할 수 있어 운영자 입장에서 도움됨
- 특정한 규정을 준수해야하는 요구사항이 있는 고객의 경우, 기존처럼 데이터 전송 과정에서 암호화를 하는 옵션도 여전히 선택할 수 있음. 이 경우에도 vSAN 8 ESA cluster를 생성할 때 encryption 옵션이 활성화 되어있어야함
End of docs