소프트웨어 및 고성능: 왜 그들은 상호 배타적일 필요가 없는가
이 시점에서 하드웨어 중심 환경에서 클라우드와 소프트웨어 정의 아키텍처로 마이그레이션하는 데에는 확장성, 운영 민첩성, 경제적 유연성 향상 등 다양한 이점이 있다는 것은 잘 알려져 있습니다. 하지만 이러한 이점을 실현하려면 조직이 앱 성능과 관련하여 희생을 감수해야 한다는 잘못된 인식도 널리 퍼져 있습니다. 결국, 공유 가상화 인프라가 맞춤형 전용 하드웨어와 동일한 성능을 제공할 수 있을까요?
그리고 많은 새로운 상태 비저장 클라우드 네이티브 앱은 수요가 증가함에 따라 수평적으로 확장되도록 설계되었지만, 상태 저장 요구 사항이 있는 수천 개의 모놀리식 워크로드가 여전히 존재하여 수요 증가를 충족시키기 위해 수직적으로 확장해야 합니다. 이러한 앱의 경우 더 높은 소프트웨어 성능(및 확장성)이 중요합니다. 많은 앱은 클라우드로 이동하면서 재구성되지 않거나 재구성할 수 없기 때문입니다.
BIG-IP Virtual Edition(VE)을 입력하세요
10년 전 BIG-IP VE가 출시된 이래로 고객이 가장 자주 묻는 질문 중 하나는 " VE를 사용하면 귀사 하드웨어와 비교했을 때 어느 수준의 확장성과 트래픽 처리 성능을 경험할 수 있을까요? "와 같은 질문이었습니다. 수년 전만 해도 두 가지 VE 간의 격차는 상당했습니다. 초창기 VE는 트래픽이 적은 특정 앱을 담당하는 앱 전송 하드웨어를 대체하기 위한 목적으로만 만들어졌기 때문입니다. 당시, VE는 하드웨어에서 가능한 L4/L7 요청 및 연결의 일부만 처리하면서 약 1Gbps의 트래픽만 처리할 수 있었습니다.
하지만 현재로 와서 적절한 조건이 주어지면 VE는 이제 100Gbps 이상의 애플리케이션 트래픽을 처리할 수 있으며, 다른 트래픽 처리 지표에서 가장 성능이 높은 어플라이언스를 제외한 모든 어플라이언스와 맞먹는 성능을 낼 수 있습니다. 이 문서에서는 최근 VE 개선 사항과 지원되는 가속 기술을 살펴보겠습니다. 이러한 기술은 물리적 대응 제품과의 성능 격차를 거의 줄이는 데 도움이 되었으며, SmartNIC를 사용하여 진행 중인 다음 VE 최적화 프로젝트를 미리 살펴보기도 합니다.
- 단일 루트 I/O 가상화(SR-IOV)를 최적화하는 사용자 지정 VE 폴 모드 드라이버
가상화의 기본 사항을 잘 모르는 분들을 위해 설명드리자면, 핵심 개념은 기반 하드웨어의 기능을 에뮬레이션하고, 잠재적으로 서로 다른 운영 체제를 탑재한 여러 개의 가상 머신(예: BIG-IP VE)을 실행하기 위한 소프트웨어 계층(OS/하이퍼바이저)을 호스팅하는 실제 서버를 의미합니다. 물리적 서버의 리소스 활용을 최적화하고 앱 이동성을 활성화하는 데는 좋지만, 추가적인 하이퍼바이저 계층과 관련 가상 스위치가 필요하므로 대기 시간이 증가하고 요청이 모든 관련 사본 및 인터럽트와 함께 이를 통과해야 하므로 성능이 저하됩니다.
그러나 SR-IOV를 사용하면 VE가 물리적 서버의 네트워크 인터페이스(NIC)와 직접 상호 작용할 수 있으므로 가상 스위치 계층을 우회하고 지연 시간과 성능을 개선할 수 있습니다. 요즘에는 SR-IOV가 꽤 흔한 기술이지만(대부분 NIC 공급업체가 지원함), OS 커널에 포함된 게스트 드라이버나 NIC 공급업체가 제공하는 게스트 드라이버는 일반적이며 BIG-IP에 맞게 특별히 최적화되지 않았습니다. 이것이 F5가 다양한 주요 NIC 어댑터를 위한 VE 폴 모드 드라이버 개발에 많은 투자를 한 이유이며, SR-IOV를 사용할 때 VE 패킷 처리를 가속화하는 데 도움이 됩니다. 이러한 접근 방식을 통해 VE는 AWS에서 최대 20Gbps의 L4 처리량에 도달할 수 있었고(Gen5 인스턴스에서 AWS Elastic Network Adapter 사용), Azure에서 최대 10Gbps에 도달할 수 있었으며(Azure Accelerated Networking 사용), 프라이빗 클라우드 환경에서 85Gbps를 초과할 수 있었습니다(Mellanox CX5 100G NIC 사용).
또한 링크 집계를 수행하면 100Gbps 이상을 달성할 수 있습니다. 링크 집계는 기본적으로 여러 개의 개별 NIC 포트를 결합하여 단일 고처리량 데이터 경로를 생성합니다. 이 접근 방식을 사용하면 이 DevCentral 문서 에서 단일 VE가 3개의 40G Intel NIC를 사용하여 108Gbps를 달성한 방법을 알아볼 수 있습니다.
- Intel Quick Assist Technology(QAT)를 사용한 암호화 처리 오프로드
현재 웹 트래픽의 절반 이상이 암호화되어 있으며, IoT 기기의 폭발적인 성장과 전 세계적으로 5G로의 전환에 따라 암호화해야 할 데이터 양도 기하급수적으로 늘어날 것으로 예상됩니다. 클라이언트와 서버 간의 풀 프록시 아키텍처에서 작동하는 BIG-IP VE는 암호화된 모든 트래픽을 복호화하여 악성으로 보이는 페이로드를 검사, 분석, 차단한 후, 데이터를 다시 암호화하여 원하는 목적지로 라우팅합니다. VE는 고성능 소프트웨어 기반 암호화를 제공하도록 최적화되었지만 이 프로세스는 여전히 CPU 리소스에 부담을 줄 수 있으며, 다른 L7 작업, iRules 또는 정책 시행에 사용할 수 있는 처리 주기 수가 줄어듭니다.
상당한 암호화 처리 요구 사항이 있는 작업 부하에 대한 이러한 효과를 완화하기 위해 VE는 암호화 처리 및 압축을 위해 특별히 제작된 하드웨어 가속기인 Intel QAT로 암호화를 오프로드합니다. 이를 통해 VE는 CPU를 많이 소모하는 작업의 부담을 덜고, 컴퓨팅 주기를 확보하며, 전반적인 성능을 향상시킬 수 있습니다. 이에 대한 증거는 VE와 함께 QAT를 사용하는 영향에 대한 최근 연구 에서 찾을 수 있습니다. 이 연구는 다음을 보여주었습니다.
- 최대 45%까지 CPU 사용률 감소
- 대량 처리량 최대 200% 증가
- 초당 거래량(TPS)이 최대 500% 증가
- 무제한 고성능 VE 소개
- 미래 - Intel의 SmartNIC를 사용한 하이퍼스케일 DDoS 완화
F5의 고성능 VE가 출시되기 전에는 모든 VE가 처리량 속도 제한 라이선스 모델을 사용했는데, 이 라이선스는 처리량 수준과 CPU 수량(예: 200Mbps 및 2vCPU)을 설정하도록 정렬되었습니다. 작은 앱의 경우 25Mbps 인스턴스로 충분할 가능성이 크며, 반대로 수요가 많은 앱의 경우 가장 큰 10Gbps 인스턴스가 더 적합할 수 있습니다.
하지만 더 큰 요구 사항이 있는 앱은 어떨까요? 아니면 예측할 수 없는 요구 사항을 가진 사람들이 있나요? F5가 더 높은 대역폭의 NIC를 지원하고 10Gbps를 초과하는 속도로 전환함에 따라, 우리는 허용된 vCPU 수에 따라 라이선스가 부여되는 고성능 VE를 도입했습니다. 고성능 VE로 달성할 수 있는 최대 성능은 할당된 vCPU 수에 따라 달라집니다. 4vCPU 단위로 8vCPU에서 24vCPU까지 가능합니다. 이 접근 방식은 VE가 각 CPU에서 '초당 모든 패킷'을 압축할 수 있도록 하는 것 외에도 DDoS 완화 및 SSL/TLS 암호화를 포함한 CPU 집약적 사용 사례를 더 많이 지원합니다.
BIG-IP VE 데이터시트 에서 고성능 VE의 기능에 대해 자세히 알아보세요.
분산 서비스 거부(DDoS) 공격은 여전히 가장 효과적이고 널리 사용되는 사이버 공격 형태 중 하나로, 좌절한 온라인 게이머부터 국가 단위의 사이버 팀에 이르기까지 모든 사람이 이를 활용해 타깃 앱과 서비스를 오프라인으로 전환합니다. 이러한 공격은 전 세계에 분산된 컴퓨터에서 수천 개의 분산된 연결을 잠재적으로 사용하며, 특히 이를 완화할 용량이 부족한 보안 솔루션의 경우 보안 솔루션이 빠르게 무력화될 수 있습니다. 그리고 전 세계가 5G로 전환함에 따라 더 적은 장치로 대규모 리소스를 소모하는 봇넷을 형성하기가 더 쉬워지면서 DDoS 공격은 규모, 심각성, 복잡성 면에서만 증가할 것입니다.
하지만 다행히도 DDoS 완화를 포함한 특정 CPU 집약적 기능을 BIG-IP VE에서 Intel(N3000 프로그래밍 가능 가속 카드)로 오프로드할 수 있는 기능을 곧 사용할 수 있게 됩니다. 이 카드는 내장형 FPGA(Field Programmable Gate Array)가 있는 SmartNIC입니다. F5가 10년 이상 FPGA를 사용하여 축적한 광범위한 경험을 활용하여 올바르게 프로그래밍하면 이 SmartNIC은 VE의 DDoS 완화 기능을 기하급수적으로 증가시킬 수 있습니다. 실제로 F5의 초기 테스트 결과, 이러한 결합 솔루션은 CPU만을 사용하는 VE보다 규모가 70배 더 큰 DDoS 공격을 견딜 수 있는 것으로 나타났으며, 이를 통해 앱과 네트워크의 보안을 유지하는 데 도움이 됩니다.
이 통합은 올해 말에 일반적으로 제공될 예정이며, 추가 정보는 이 솔루션 간략 설명서 에서 확인할 수 있습니다.