- Authors
- Name
- Youngju Kim
- @fjvbn20031
- 들어가며
- 컨피덴셜 컴퓨팅 (Confidential Computing)
- ARM 가상화
- GPU 디스어그리게이션
- NVIDIA BlueField DPU
- WebAssembly (Wasm) 가상화
- Kata Containers
- 유니커널 (Unikernels)
- 서버리스 GPU
- 엣지 컴퓨팅 가상화
- 그린 컴퓨팅과 가상화
- 시리즈 요약
- 마치며
들어가며
가상화 기술은 메인프레임 시대부터 현재의 클라우드 네이티브 시대까지 끊임없이 진화해 왔습니다. 이 글에서는 가상화의 미래를 형성할 핵심 기술들을 살펴보며 시리즈를 마무리합니다.
컨피덴셜 컴퓨팅 (Confidential Computing)
개요
컨피덴셜 컴퓨팅은 데이터를 사용 중(in-use)에도 암호화된 상태로 처리하는 기술입니다. 기존에는 저장(at-rest)과 전송(in-transit) 중에만 암호화가 가능했습니다.
기존 암호화:
+------------------+ +------------------+ +------------------+
| 저장 시 (at-rest)| | 전송 중 | | 사용 중 (in-use) |
| AES 암호화 | --> | TLS/SSL | --> | 평문 처리 |
| [보호됨] | | [보호됨] | | [취약] |
+------------------+ +------------------+ +------------------+
컨피덴셜 컴퓨팅:
+------------------+ +------------------+ +------------------+
| 저장 시 (at-rest)| | 전송 중 | | 사용 중 (in-use) |
| AES 암호화 | --> | TLS/SSL | --> | 메모리 암호화 |
| [보호됨] | | [보호됨] | | [보호됨] |
+------------------+ +------------------+ +------------------+
하드웨어 기술
AMD SEV (Secure Encrypted Virtualization)
+------------------------------------------+
| AMD SEV 아키텍처 |
| |
| +------------------+ +---------------+ |
| | VM 1 | | VM 2 | |
| | 고유 암호화 키 | | 고유 암호화 키 | |
| | [메모리 암호화됨] | | [메모리 암호화됨]| |
| +------------------+ +---------------+ |
| |
| +--------------------------------------+|
| | AMD Secure Processor (PSP) ||
| | - 키 관리 ||
| | - 메모리 암호화 엔진 (SME) ||
| | - SEV-ES: 레지스터 상태 암호화 ||
| | - SEV-SNP: 무결성 보호 추가 ||
| +--------------------------------------+|
+------------------------------------------+
- SEV: VM 메모리 암호화
- SEV-ES: CPU 레지스터 상태 암호화 추가
- SEV-SNP: 메모리 무결성 보호 추가 (하이퍼바이저 공격 방어)
Intel TDX (Trust Domain Extensions)
- Trust Domain (TD)라는 격리된 실행 환경 제공
- 하이퍼바이저로부터의 VM 보호
- 리모트 어테스테이션(remote attestation) 지원
ARM CCA (Confidential Compute Architecture)
- Realm이라는 새로운 실행 환경 도입
- ARM 기반 서버/엣지 디바이스에 적용
- 모바일부터 데이터센터까지 통합 보안 모델
클라우드 서비스
| 서비스 | 기반 기술 | 특징 |
|---|---|---|
| AWS Nitro Enclaves | AWS Nitro System | 격리된 컴퓨팅 환경, 네트워크 없음 |
| Azure Confidential VMs | AMD SEV-SNP / Intel TDX | 전체 VM 메모리 암호화 |
| GCP Confidential VMs | AMD SEV | 리프트 앤 시프트 마이그레이션 |
ARM 가상화
Apple Virtualization.framework
macOS에서 경량 VM을 실행하기 위한 네이티브 프레임워크입니다.
+------------------------------------------+
| macOS (Apple Silicon) |
| |
| +------------------------------------+ |
| | Virtualization.framework | |
| | | |
| | +----------+ +----------+ | |
| | | Linux VM | | macOS VM | | |
| | | (ARM64) | | (ARM64) | | |
| | +----------+ +----------+ | |
| | | |
| | - Rosetta 2 x86 에뮬레이션 지원 | |
| | - virtio 디바이스 모델 | |
| | - GPU 가속 (Metal) | |
| +------------------------------------+ |
+------------------------------------------+
Ampere Altra / AWS Graviton
ARM 기반 서버 프로세서가 데이터센터에서 급격히 확산되고 있습니다.
| 프로세서 | 코어 수 | 용도 | 가상화 지원 |
|---|---|---|---|
| Ampere Altra Max | 128 | 클라우드 네이티브 | KVM/QEMU |
| AWS Graviton 4 | 96 | AWS EC2 | Nitro |
| NVIDIA Grace | 72 | AI/HPC | KVM |
ARM 가상화의 장점은 다음과 같습니다.
- 뛰어난 전력 효율성 (와트당 성능)
- 코어 수 대비 높은 VM 밀도
- 클라우드 비용 절감 (x86 대비 20-40%)
GPU 디스어그리게이션
개념
GPU를 컴퓨팅 노드에서 분리하여 네트워크를 통해 공유하는 아키텍처입니다.
기존 아키텍처:
+------------------+ +------------------+ +------------------+
| Server 1 | | Server 2 | | Server 3 |
| CPU + GPU x4 | | CPU + GPU x4 | | CPU (GPU 없음) |
| [GPU 낭비 가능] | | [GPU 부족 가능] | | [GPU 필요] |
+------------------+ +------------------+ +------------------+
디스어그리게이션:
+------------------+ +------------------+ +------------------+
| Server 1 | | Server 2 | | Server 3 |
| CPU | | CPU | | CPU |
+--------+---------+ +--------+---------+ +--------+---------+
| | |
+--------v---------------------v---------------------v---------+
| GPU Pool (네트워크 연결) |
| +------+ +------+ +------+ +------+ +------+ +------+ |
| | GPU | | GPU | | GPU | | GPU | | GPU | | GPU | |
| +------+ +------+ +------+ +------+ +------+ +------+ |
+--------------------------------------------------------------+
인터커넥트 기술
| 기술 | 대역폭 | 레이턴시 | 용도 |
|---|---|---|---|
| PCIe Gen5 | 128 GB/s (x16) | 매우 낮음 | 로컬 |
| CXL 3.0 | 128 GB/s | 낮음 | 랙 내 |
| NVLink 5.0 | 1.8 TB/s (GPU 간) | 매우 낮음 | GPU 클러스터 |
| InfiniBand NDR | 400 Gb/s | 중간 | 데이터센터 |
CXL (Compute Express Link)
CXL은 GPU 디스어그리게이션의 핵심 인터커넥트 기술입니다.
CXL 메모리 풀링:
+--------+ +--------+ +--------+
| CPU 1 | | CPU 2 | | GPU |
+---+----+ +---+----+ +---+----+
| | |
+---v------------v------------v---+
| CXL Switch |
+---+------------+------------+---+
| | |
+---v----+ +---v----+ +---v----+
| 메모리 | | 메모리 | | 메모리 |
| 풀 1 | | 풀 2 | | 풀 3 |
+--------+ +--------+ +--------+
NVIDIA BlueField DPU
SmartNIC에 가상화 오프로딩
BlueField DPU는 가상화, 네트워킹, 스토리지 처리를 호스트 CPU에서 분리하여 SmartNIC에서 처리합니다.
+------------------------------------------+
| Host Server |
| +------------------------------------+ |
| | CPU | |
| | - 애플리케이션 워크로드만 실행 | |
| | - 가상화 오버헤드 없음 | |
| +------------------------------------+ |
| | |
| +------------------------------------+ |
| | BlueField DPU | |
| | | |
| | - ARM 코어에서 하이퍼바이저 실행 | |
| | - OVS 가속 (네트워킹) | |
| | - SNAP 가속 (스토리지) | |
| | - IPsec/TLS 하드웨어 가속 | |
| | - Zero-trust 보안 | |
| +------------------------------------+ |
+------------------------------------------+
장점
- 호스트 CPU 사이클을 애플리케이션에 100% 활용
- 네트워크/스토리지 가상화 오버헤드 제거
- 인프라와 테넌트 간 하드웨어 수준 격리
- GPU Direct RDMA 가속
WebAssembly (Wasm) 가상화
경량 가상화 대안
WebAssembly는 컨테이너보다 가볍고, VM보다 빠른 새로운 실행 환경입니다.
비교:
VM Container Wasm
+--------+ +--------+ +--------+
| App | | App | | App |
+--------+ +--------+ +--------+
| Guest | | Libs | | Wasm |
| OS | +--------+ | Runtime|
+--------+ | Container| +--------+
| Hypervisor| | Runtime |
+--------+ +--------+
| Host OS| | Host OS| | Host OS|
+--------+ +--------+ +--------+
시작 시간: 초~분 밀리초 마이크로초
메모리: GB MB KB~MB
격리: 강함 중간 Sandbox
주요 Wasm 런타임
| 런타임 | 특징 | 용도 |
|---|---|---|
| Wasmtime | Bytecode Alliance, 표준 준수 | 서버사이드 |
| WasmEdge | CNCF Sandbox, 경량 | 엣지/IoT |
| Spin | Fermyon, 서버리스 프레임워크 | 마이크로서비스 |
| WAMR | Intel, 초경량 | 임베디드 |
쿠버네티스 통합
# SpinKube를 통한 Wasm 워크로드 예시
apiVersion: core.spinoperator.dev/v1alpha1
kind: SpinApp
metadata:
name: my-wasm-app
spec:
image: ghcr.io/my-org/my-wasm-app:latest
replicas: 3
executor: containerd-shim-spin
Kata Containers
VM 격리 컨테이너
Kata Containers는 각 컨테이너(또는 Pod)를 경량 VM 안에서 실행하여 하드웨어 수준의 격리를 제공합니다.
일반 컨테이너:
+------------------+
| Container 1 | Container 2 |
| | |
| 같은 커널 공유 | 같은 커널 공유 |
+------------------+-------------------+
| Host Kernel |
+--------------------------------------+
Kata Containers:
+------------------+ +------------------+
| Container 1 | | Container 2 |
+------------------+ +------------------+
| Guest Kernel 1 | | Guest Kernel 2 |
+------------------+ +------------------+
| Lightweight VM 1 | | Lightweight VM 2 |
+------------------+ +------------------+
| Host Kernel + KVM |
+----------------------------------------+
장점
- 컨테이너 수준의 사용 편의성 + VM 수준의 격리
- OCI 호환, 기존 컨테이너 이미지 그대로 사용
- 멀티테넌트 환경에서 강력한 보안
- 쿠버네티스 런타임으로 직접 사용 가능
유니커널 (Unikernels)
목적별 최소 VM
유니커널은 애플리케이션에 필요한 OS 기능만 포함하는 초경량 VM입니다.
일반 VM:
+----------------------------------+
| Application |
+----------------------------------+
| 전체 OS (커널 + 사용자 공간) |
| - 파일시스템, 네트워킹, 프로세스 |
| - 불필요한 서비스, 데몬 |
| - 보안 취약 표면 넓음 |
+----------------------------------+
크기: 수백 MB ~ 수 GB
유니커널:
+----------------------------------+
| Application + 필요한 OS 기능만 |
| - 최소 네트워크 스택 |
| - 최소 메모리 관리 |
| - 단일 주소 공간 |
+----------------------------------+
크기: 수 MB ~ 수십 MB
주요 유니커널 프로젝트
| 프로젝트 | 언어 | 특징 |
|---|---|---|
| MirageOS | OCaml | 학술적, 타입 안전 |
| Unikraft | C/C++ | 모듈러, POSIX 호환 |
| Nanos | C | 범용, 실행 편의성 |
| OSv | Java/C | JVM 최적화 |
서버리스 GPU
온디맨드 GPU 할당
VM이나 컨테이너를 관리할 필요 없이 함수 수준에서 GPU를 사용하는 패러다임입니다.
기존 방식:
사용자 --> VM/컨테이너 프로비저닝 --> GPU 할당 --> 애플리케이션 실행
(수분 소요) (고정 할당)
서버리스 GPU:
사용자 --> API 호출 --> GPU 자동 할당 --> 함수 실행 --> GPU 자동 반환
(밀리초) (온디맨드) (비용 최소화)
주요 서비스
| 서비스 | 특징 |
|---|---|
| AWS Lambda (GPU 미지원) | 서버리스 표준, GPU 지원 예정 |
| Modal | Python 네이티브, GPU 서버리스 |
| Banana | ML 추론 특화 |
| RunPod Serverless | GPU 서버리스 컨테이너 |
엣지 컴퓨팅 가상화
과제
엣지 환경에서의 가상화는 리소스 제약과 관리 복잡도라는 고유한 도전을 안고 있습니다.
클라우드 엣지
+------------------+ +------------------+
| 풍부한 리소스 | | 제한된 리소스 |
| 안정적 네트워크 | | 불안정한 연결 |
| 중앙 관리 | | 분산 관리 필요 |
| 물리 보안 우수 | | 물리 접근 위험 |
+------------------+ +------------------+
엣지에 적합한 가상화 기술
| 기술 | 리소스 요구 | 시작 시간 | 적합도 |
|---|---|---|---|
| QEMU/KVM (microVM) | 낮음 | 100ms 이하 | 높음 |
| Kata Containers | 낮음 | 100ms 이하 | 높음 |
| WebAssembly | 매우 낮음 | 마이크로초 | 매우 높음 |
| 유니커널 | 매우 낮음 | 밀리초 | 높음 |
| 일반 VM | 높음 | 초~분 | 낮음 |
그린 컴퓨팅과 가상화
에너지 효율성
가상화는 하드웨어 활용률을 높여 에너지 소비를 줄이는 핵심 기술입니다.
가상화 없이:
+--------+ +--------+ +--------+ +--------+
|Server 1| |Server 2| |Server 3| |Server 4|
| 사용률 | | 사용률 | | 사용률 | | 사용률 |
| 15% | | 10% | | 20% | | 5% |
+--------+ +--------+ +--------+ +--------+
총 서버: 4대, 평균 사용률: 12.5%
가상화 적용:
+--------+
|Server 1|
| 사용률 |
| 70% | <-- 4대의 워크로드 통합
+--------+
총 서버: 1대, 전력 절감: 60-75%
미래 기술
- 워크로드 인식 GPU 전력 관리
- 카본 인식(carbon-aware) 스케줄링
- 재생 에너지 가용 시간에 맞춘 배치 작업
- AI 기반 VM 배치 최적화
시리즈 요약
이 시리즈에서 다룬 내용을 정리하겠습니다.
| 회차 | 주제 | 핵심 내용 |
|---|---|---|
| 06 | KubeVirt | K8s 네이티브 VM 실행, CRD, CDI, 라이브 마이그레이션 |
| 07 | GPU Operator | GPU 소프트웨어 스택 자동화, ClusterPolicy, MIG |
| 08 | KubeVirt + GPU | VM GPU 패스스루/vGPU, VFIO, Sandbox Plugin |
| 09 | 플랫폼 비교 | QEMU/VBox/VMware/KubeVirt 종합 비교 |
| 10 | 미래 기술 | 컨피덴셜 컴퓨팅, GPU 디스어그리게이션, Wasm |
마치며
가상화 기술은 단순한 하드웨어 추상화를 넘어, 보안(컨피덴셜 컴퓨팅), 효율성(GPU 디스어그리게이션), 경량화(Wasm/유니커널), 자동화(KubeVirt/GPU Operator) 등 다양한 방향으로 진화하고 있습니다.
특히 AI/ML 워크로드의 폭발적 증가로 인해 GPU 가상화와 디스어그리게이션 기술은 앞으로 더욱 중요해질 것입니다. 쿠버네티스 생태계에서 KubeVirt와 GPU Operator의 결합은 이러한 미래를 준비하는 핵심 기술 스택이 될 것입니다.
퀴즈: 가상화 미래 기술 이해도 점검
Q1. 컨피덴셜 컴퓨팅이 보호하는 데이터 상태는?
A) 저장 시 (at-rest) B) 전송 중 (in-transit) C) 사용 중 (in-use) D) 삭제 시 (at-deletion)
정답: C) 컨피덴셜 컴퓨팅은 기존에 보호가 어려웠던 사용 중(in-use) 데이터를 하드웨어 수준에서 암호화합니다.
Q2. GPU 디스어그리게이션의 핵심 인터커넥트 기술은?
A) USB 4.0 B) CXL (Compute Express Link) C) Thunderbolt 5 D) SATA Express
정답: B) CXL은 CPU, GPU, 메모리 간의 저지연 고대역폭 연결을 제공하는 GPU 디스어그리게이션의 핵심 기술입니다.
Q3. Kata Containers의 핵심 특징은?
A) GPU를 네트워크로 공유 B) WebAssembly 런타임 제공 C) 각 컨테이너를 경량 VM에서 실행하여 격리 D) 유니커널 기반 초경량 OS
정답: C) Kata Containers는 컨테이너를 경량 VM 안에서 실행하여 컨테이너의 편의성과 VM의 격리를 모두 제공합니다.
Q4. 엣지 컴퓨팅에 가장 적합한 가상화 기술은?
A) 일반 VM (전체 OS) B) VMware ESXi C) WebAssembly D) VirtualBox
정답: C) WebAssembly는 마이크로초 단위의 시작 시간과 KB 수준의 메모리 사용으로 리소스가 제한된 엣지 환경에 가장 적합합니다.