스토리지 혁신 키워드 ‘연속성’

Minding the Store

스토리지 혁신 키워드 '연속성'

SAN 효율적 활용 다각 검토 … 비즈니스 연속성 우선 고려


기업이 스토리지 네트워크를 구축하는 방식에 변화의 바람이 불고 있다. 스토리지 네트워크는 시스템 오류와 사이트 정지 사태가 발생하는 동안에도 비즈니스 연속성을 유지하는데 매우 중요한 역할을 한다. 데이터 백업의 경우 단일 데이터 센터에서 쉽게 컨트롤되고 보호되는 서버, 테이프 드라이버, 스위치 몇 대에만 국한되는 상황이다. 따라서 기업들은 최근 수많은 자연 재해나 긴급 사태로 인해 이런 기존 디자인을 재검토하고 있다.

점점 많은 기업들이 데이터를 보다 효율적으로 보호하기 위해 둘 이상의 지점에서 데이터를 백업하고 분산된 사이트로부터 신속한 다용도 액세스용으로 TCP/IP 프로토콜을 사용하고 있다. 주요 사이트에서 데이터에 접속할 수 없을 때 iSCSI(Internet Small Computer System Interface)와 FCIP(Fibre Channel over IP) 같은 IP 기반 스토리지 기술을 공통적으로 사용함으로써 사용자들은 다양한 장소에서 자원들을 백업하기 위해 자동적으로 방향을 재설정할 수 있다. 이러한 전략은 데이터 가용성에 도움을 준다. 하지만 백업 네트워크에 필요한 몇 가지 새로운 문제점도 배제할 수 없다.

이러한 문제에는 SAN 풋프린트(footprint) 확장성 및 이동 중인 데이터의 보안 문제, 장거리 연결을 통해 스토리지 데이터 실행을 보장하는 문제도 포함된다. 간단히 말해, IT 관리자들은 데이터 네트워크 때와 마찬가지로 스토리지 네트워크에서도 동일한 문제를 겪고 있다. 데이터 네트워크와 함께 스토리지 데이터의 증가량이 WAN을 이동하고 있으며, 이로써 거리 지체(distance-driven delay) 문제와 새로운 보안 노출 문제가 대두되고 있다.

IT 전문 인력들은 액세스를 시도하는 사이트에서 멀리 떨어져 있을 수 있는 SAN을 구축할 때 다음과 같은 사항들을 고려해야 한다.

• SAN 성능을 향상시키기 위해 거리 유도 지체 문제(distance-induced delay)를 어떻게 줄일 것인가?

• 데이터 센터에 남아서 일반 데이터 네트워크를 통과하는 스토리지 데이터를 도청이나 변경, 도용 사태로부터 지켜낼 방안이 있나?

• 사용자, 디바이스, IT 관리 인력의 강력한 인증 및 허가를 어떻게 단속할 것인가?

• 이더넷 VLAN이 확장성이나 오류 격리, 보안을 위해 논리적인 유저 그룹을 사용하면서 라이브 서버로 접근을 차단하는 것 같은 다양한 방식으로 SAN 자원에 접근하는 행위를 막을 방법은 있는가?

• 이질적인 SAN 환경을 어떻게 관리할 것인가?

장비의 특성들과 산업 표준 및 인터페이스를 결합하면 IT 관리자들이 비즈니스 연속성을 개선하기 위해 SAN의 성능 및 보안, 관리 작업을 향상해나가는데 도움이 된다.


스토리지 보안과 관리 사전
FC-FS-2 파이버 채널-프레이밍과 시그널링-2 : SCSI 이니시에이터와 SCSI 타깃 사이에서 SCSI 명령, 데이터, 상태 정보를 전송하기 위해 INCITS(InterNational Committee for Information Technology Standards)의 T11 기술 위원회 측이 규정한 설명서

FC-GS-3 파이버 채널-일반 서비스-3 : 파이버 채널 디바이스 중에서 VSAN 정보를 포함한 상태 및 설정 정보를 전송하기 위해 INCITS T11 기술 위원회 측이 규정한 인밴드 관리 표준

FC-SP 파이버 채널-보안 포로토콜 : 데이터 암호, 암호화된 형태로 안전하게 키 교체, 디바이스 인증을 사용해 이동중인 파이버 채널 데이터를 보호하기 위해 INCITS T11 기술 위원회 측이 규정한 표준안. FC-SP는 다양한 SAN 스위치 벤더 및 주요 호스트 버스 어댑터 벤더의 지원을 받는다.

SMI-S 스토리지 관리 표준안 : SAN에서 다양한 벤더로부터 스토리지 디바이스 관리를 촉진시키기 위해 SNIA(Storage Network Industry Association)에 의해 개발된 표준. 이를 통해 단일 관리 애플리케이션은 다양한 애플리케이션에 필요한 복합적인 업무를 처리할 수 있다.


SAN 속도 향상


SAN에서 속도 향상은 개념적으로 데이터 네트워크에서 성능 향상과 유사하다. 그러나 SAN 컨트롤 프로토콜은 로컬 승인용 애플리케이션 프로토콜을 대체하는 대신, 지점 A에서 지점 B로 데이터 블록을 옮기는데 걸리는 시간과 라운드트립 횟수를 줄이기 위해 로컬로 승인된다. 예를 들어, SCSI 프로토콜은 매번 작성할 때마다 두 차례 라운드트립이 필요하다. 로컬 디바이스가 멀리 떨어진 SAN에서 데이터를 요청할 때, 이러한 디바이스는 WAN 유도(WAN-induced) 레이턴시를 줄이기 위해 논리적으로 승인 가능하다.

속도 향상에는 두 가지 유형 또는 로컬 승인이 있다. 주로 사용되는 유형으로는 기록 속도 향상(write acceleration)과 테이프 속도 향상(tape acceleration)이 있다. 이러한 유형은 어떤 스토리지 매체가 접속되느냐에 따라 그 사용법이 다르다. 두 가지 모두 멀티포인트 스토리지 스위치인 시스코 MDS 9000 제품군에서 지원된다. 이러한 시스코 제품들은 파이버 채널, FCIP, iSCSI, FICON 연결을 동시에 지원한다. 이어 포트 가운데에서 파이버 채널 데이터를 전환하고, IP에서 파이버 채널 데이터를 요약해 IP 이동용 이더넷 인터페이스로 보낸다.

두 가지 유형의 속도 향상 방법은 성능도 강화시켜준다.

기록 속도 향상. 디스크 투 디스크 및 호스트 투 디스크 전송에 사용되는 이러한 승인이 향상되면 SCSI 2차례 라운드트립이 한 번으로 줄게 되고, 속도 역시 대폭 개선된다. 이러한 경우 완전한 데이터 수신을 승인하는 작업은 핸드세이킹 과정의 두 번째 라운드트립 후에 이뤄진다.

테이프 속도 향상. 테이프 속도 향상은 미디어 서버에서 테이프 드라이브로 이동 중인 스토리지 데이터 속도를 높여주는 기록 속도 향상을 기반으로 이뤄진다. 라운드트립 WAN 승인을 절반으로 줄여주는 로컬 승인을 통해 가장 먼저 향상되는 것은 성능이다. 그러나 IT 관리자들은 테이프 시스템에서 설정 가능한 파일 마크 방식을 통해 장거리 승인 매커니즘을 설정할 수도 있다. 이러한 장거리 승인 매커니즘은 매회 필요한 승인 수를 대폭 줄이기보다는 원하는 만큼의 데이터 블록 수에 따라 발생한다. 테이프 미디어 성능이 굉장히 느리기 때문에, 매번 데이터 블록의 X 숫자에 필요한 승인 횟수를 줄이면 엄청난 속도 향상을 기대할 수 있다. 예를 들어, 시스코 고객 테스트에 의하면 100 밀리세컨드 승인이 성능에 불과 15% 정도 밖에 영향을 주지 않는 것으로 밝혀졌다.

완벽 해결. 데이터 센터 SAN들 간의 거리 및 지사와 SAN 간의 먼 거리는 로컬 SAN 프로토콜 승인을 사용해 SAN 성능 속도를 향상시켜야 한다. 전통적인 보안 방식은 WAN을 통해 전달되는 SAN 데이터에 추가 탑재 가능하다.


압축


데이터 네트워크에서 압축은 효율적인 WAN 대역을 확장시키고 혼잡을 피하며 성능을 향상하는데 사용될 수 있다. 시스코 스토리지 스위치는 환경 설정에 선별적으로 의존하는 서로 다른 데이터 압축 알고리즘을 지원한다. 이를 통해 데이터 블록의 데이터 압축에 따라 압축 비율이 최대 30:1을 기록한다. 반면 일반적인 데이터베이스 트래픽을 위한 압축율은 2:1에서 3:1에 불과하다.

스토리지 데이터 보호하기


일반적인 네트워크 보안 관심사는 현재 SAN에 적용되기 시작한 단계다. SAN은 단일 데이터 센터 내부에 소규모로 로컬화돼 있다. 그러나 지금 다양한 통신사업자 인프라를 포함한 장거리 네트워크는 중요한 스토리지 데이터를 옮기는데 사용 가능하다. 이는 트럭에서 물리적인 미디어를 제외하고 데이터 센터를 떠나기 전에는 불가능한 일이다.

스토리지 데이터를 취급할 때 생기는 이러한 이동은 IP 네트워크 요소에서 파이버 채널 환경에 맞는 보안 기능들을 사용하기 위해서다. 여기에는 이동 중인 데이터 보호, 무허가 사용자 및 디바이스 액세스 거부 및 악의적인 관리 연산 오류 보호 기능이 포함된다. 스토리지 패브릭(storage fabric)이라고 불리는 시스코 MDS 9000 같은 스토리지 스위치에서는 암호화, 인증, SAN 관리 인프라 보호 등이 포함된다.

암호화. 데이터 암호화는 침입자가 기밀 정보를 보거나 수정하는 것을 방지할 때 유용한 기능이다. 시스코 스토리지 스위치는 IPSec 프로토콜을 사용해 기밀성과 이동 중인 스토리지 데이터의 데이터 보전을 안전하게 처리해준다. 예를 들어 시스코 MDS 9000 멀티프로토콜 SAN 스위치에는 iSCSI 및 FCIP 스토리지 트래픽용 AES(Advanced Encryption Standard), DES(Data Encryption Standard), 3DES(Triple Date Encryption Standard) 알고리즘을 지원하는 통합 하드웨어 기반 IPSec 암호화/복호화 기능이 포함된다.

인증 및 허가. 현재 인증 및 허가 기능은 SAN 데이터 상에서 발생하는 우발적인 손상과 악의적 공격에 필수다. 이 기능으로 인증된 사용자와 디바이스만이 저장된 데이터와 연결될 수 있다. 다른 스위치가 시스코 스토리지 패브릭과 연결될 때 스토리지 스위치 투 스위치 인증 및 허가는 암호화된 형태로 안전하게 키를 교체하고 디바이스를 인증하는 컴포넌트를 사용한다. 이는 미국 국립 표준 위원회 INCITS(InterNational Committee for Information Technology Standards) T11 기술 위원회의 FC-SP(Fibre Channel-Security Protocols) 표준안 중 하나(박스 기사 참조)이다. 기업은 중앙 AAA(Authentication, Authorization, and Accounting) 서버를 통해 원격으로 레이턴시를 줄여주면서 스토리지 스위치에서 로컬로 사용자와 디바이스를 인증할 수 있다.

Talk About It
스토리지 기술에 대한 경험을 함께 나누고 싶으십니까? 시스코 전문가들의 조언이 필요하신가요? 그렇다면 cisco.com/discuss/storage에서 온라인 토론에 참여하세요.

보안 관리 인프라. 네트워크와 스토리지 디바이스의 데이터 센터 관리 기능은 무허가 액세스를 없애야 한다. 네트워크 스토리지 디바이스 콘솔로 액세스하는 악의적인 사용자는 설정을 쉽게 변경할 수 있다. SSL(Secure Sockets Layer), SSH(Secure Shell) 프로토콜 v2를 포함한 시스코 네트워크 제품과 시스코 MDS 9000 스위치는 보안 기능이 탑재된 관리 기능을 제공하며, 인증과 암호화를 이용해 원격 액세스를 유지시켜준다. SSHv2는 기업에 이미 적절하게 구축된 TACACS+와 래디우스(RADIUS) 같은 백엔드 사용자 인증 프로토콜과 연결해서 사용 가능하다. 이러한 경우, 스토리지 스위치는 이러한 프로토콜을 실행시키는 클라이언트 투 더 백엔드 AAA 서버로 작동한다.

마지막으로 SNMPv3(Simple Network Management Protocol version 3) 지원은 SNMP MIBs(management information bases)에 액세스하기 위해 인증 및 허가 서비스를 제공한다.

확장 및 결함 분리용 VSAN


잘 기획된 VSAN(virtual SAN) 아키텍처는 SAN(이나 패브릭) 구축 수를 감소시킨다. 이로 인해 회사는 백업과 복구, 원격 데이터 미러링 도메인을 특수 용도의 SAN과 격리시킬 수 있다.

작년 INCITS T11 기술 위원회 측은 시스코 기술을 VSAN용 표준으로 선정했다. VSAN을 통해 네트워크 관리자들은 물리적인 단일 SAN 패브릭을 논리적이고 독립된 SANs으로 분리할 수 있다. 이더넷 데이터 네트워크에서 VLAN 방식을 통해 개별적이고 값비싼 물리적 인프라를 증축하지 않고 개별적인 SAN 도메인을 만들어낼 수 있다.

시스코 MDS 9000 디바이스는 256개의 분리된 VSAN 토폴로지를 만들 수 있다. 하드웨어의 경우 같은 물리적 인프라 내에서 4096개까지 확대 지원한다. 이를 통해 관리자들은 에지에서 액세스를 보호하면서 간단한 조닝(zoning) 기능을 사용해 디바이스 간의 액세스와 트래픽 흐름을 제한할 수 있다. 기업은 스토리지 스위치 하나를 복합적인 가상 환경이나 도메인으로 분리할 수 있다. 이어 단일 VSAN 내부에서 패브릭 불안정성이나 디바이스 결함이 발생하거나 패브릭이 붕괴되지 않게끔 서로 다른 VSAN을 완전하게 분리할 수 있다.

다양한 제품 관리


스토리지 네트워크 환경이 지속적으로 성장함에 따라 기업들은 다양한 벤더 제품을 사용해 스토리지 솔루션을 구축하고 있으며, 이들은 각각 개별적인 SAN 관리 프로그램을 제공하고 있다. 관리자들은 최대한의 성능과 비용효율성을 보장하는 방식으로 이질적인 스토리지 환경을 관리해야 한다.

시스코 SAN용 패브릭 매니저만 있으면 관리자들은 디바이스 수집으로 이질적인 패브릭을 체크하고 관리할 수 있다. 전체 토폴로지를 다시 만들어 주문 가능한 도식으로 제공하면서 말이다.

인밴드 관리용 INCITS T11 FC-GS-3(Fibre Channel-Generic Services-3) 표준을 지원하는 패브릭 내부 디바이스가 토폴로지의 일부로 감지되어 도식으로 표현 가능하다. 재고 창이 나무 모양으로 물리적 요소와 가상 요소를 디스플레이하는 반면 토폴로지 창은 대량 맞춤과 네비게이션을 위해 감지된 디바이스를 디스플레이한다. 이어 관리자가 디바이스를 설정ㆍ모니터링하고 트러블슈팅할 때 사용된 툴을 디스플레이하는 창이 또 하나 있다.

시스코 패브릭 매니저는 서드파티 관리 애플리케이션이 사용할 수 있는 스위치 내부에서 순수한 실행 및 설정 정보로 액세스하는 기능과 공개 인터페이스도 지원한다. 예를 들어, 스토리지 네트워킹 산업 협회의 SMI-S(Storage Management Initiative Specification)를 위한 지원은 다양한 벤더의 SAN을 제품별로 관리할 수 있다.

비즈니스 연속성과 경쟁하는 회사들이 SAN을 증축하고 있다. 이들은 데이터 네트워크의 WAN 중심적 실행, 보안, 관리와 같은 다양한 문제들로 인해 골머리를 앓고 있다.

WAN을 이동하는 스토리지 데이터양이 증가함에 따라 거리 주도 지체 문제 및 새로운 보안 노출 사태가 번번이 발생하고 있다. 기업들은 SAN 속도 향상 기술 지원 및 다방면에 걸친 보안 지원, 산업 표준 관리 인터페이스와 성능 지원에 주목해야 한다. 이를 통해 SAN의 실행력과, 보안 능력, 비용 효율성, 관리 효율성이 보장되기 때문이다.


TOM NOSELLA,
톰 노셀라(TOM NOSELLA)는 시스코 데이터 센터, 스위칭, 보안 기술 그룹 부문 엔지니어링 이사다. 이메일 주소는 tnosella@cisco.com이다.


추가자료

■ 시스코 MDS 9000 제품 패브릭 관리 솔루션 가이드
    cisco.com/packet/181_6c1
■ 스토리지 네트워킹 산업 협회
    snia.org/home




Packet 지난 호 보기