💡 왼쪽 원문을 읽으면서 오른쪽에 따라 써보세요. Tab 키로 힌트를 받을 수 있습니다.

원문 렌더가 준비되기 전까지 텍스트 가이드로 표시합니다.

들어가며

가상화 기술은 메인프레임 시대부터 현재의 클라우드 네이티브 시대까지 끊임없이 진화해 왔습니다. 이 글에서는 가상화의 미래를 형성할 핵심 기술들을 살펴보며 시리즈를 마무리합니다.

컨피덴셜 컴퓨팅 (Confidential Computing)

개요

컨피덴셜 컴퓨팅은 데이터를 사용 중(in-use)에도 암호화된 상태로 처리하는 기술입니다. 기존에는 저장(at-rest)과 전송(in-transit) 중에만 암호화가 가능했습니다.

기존 암호화:

+------------------+ +------------------+ +------------------+

| [보호됨] | | [보호됨] | | [취약] |

+------------------+ +------------------+ +------------------+

컨피덴셜 컴퓨팅:

+------------------+ +------------------+ +------------------+

| [보호됨] | | [보호됨] | | [보호됨] |

+------------------+ +------------------+ +------------------+

하드웨어 기술

AMD SEV (Secure Encrypted Virtualization)

+------------------------------------------+

| AMD SEV 아키텍처 |

| |

| +------------------+ +---------------+ |

| | VM 1 | | VM 2 | |

| +------------------+ +---------------+ |

| |

| +--------------------------------------+|

| | AMD Secure Processor (PSP) ||

| | - 키 관리 ||

| | - 메모리 암호화 엔진 (SME) ||

| | - SEV-ES: 레지스터 상태 암호화 ||

| | - SEV-SNP: 무결성 보호 추가 ||

| +--------------------------------------+|

+------------------------------------------+

- SEV: VM 메모리 암호화

- SEV-ES: CPU 레지스터 상태 암호화 추가

- SEV-SNP: 메모리 무결성 보호 추가 (하이퍼바이저 공격 방어)

Intel TDX (Trust Domain Extensions)

- Trust Domain (TD)라는 격리된 실행 환경 제공

- 하이퍼바이저로부터의 VM 보호

- 리모트 어테스테이션(remote attestation) 지원

ARM CCA (Confidential Compute Architecture)

- Realm이라는 새로운 실행 환경 도입

- ARM 기반 서버/엣지 디바이스에 적용

- 모바일부터 데이터센터까지 통합 보안 모델

클라우드 서비스

| 서비스 | 기반 기술 | 특징 |

| ---------------------- | ----------------------- | --------------------------------- |

| AWS Nitro Enclaves | AWS Nitro System | 격리된 컴퓨팅 환경, 네트워크 없음 |

| Azure Confidential VMs | AMD SEV-SNP / Intel TDX | 전체 VM 메모리 암호화 |

| GCP Confidential VMs | AMD SEV | 리프트 앤 시프트 마이그레이션 |

ARM 가상화

Apple Virtualization.framework

macOS에서 경량 VM을 실행하기 위한 네이티브 프레임워크입니다.

+------------------------------------------+

| macOS (Apple Silicon) |

| |

| +------------------------------------+ |

| | Virtualization.framework | |

| | | |

| | +----------+ +----------+ | |

| | | (ARM64) | | (ARM64) | | |

| | +----------+ +----------+ | |

| | | |

| | - Rosetta 2 x86 에뮬레이션 지원 | |

| | - virtio 디바이스 모델 | |

| | - GPU 가속 (Metal) | |

| +------------------------------------+ |

+------------------------------------------+

Ampere Altra / AWS Graviton

ARM 기반 서버 프로세서가 데이터센터에서 급격히 확산되고 있습니다.

| 프로세서 | 코어 수 | 용도 | 가상화 지원 |

| ---------------- | ------- | ----------------- | ----------- |

| NVIDIA Grace | 72 | AI/HPC | KVM |

ARM 가상화의 장점은 다음과 같습니다.

- 뛰어난 전력 효율성 (와트당 성능)

- 코어 수 대비 높은 VM 밀도

- 클라우드 비용 절감 (x86 대비 20-40%)

GPU 디스어그리게이션

개념

GPU를 컴퓨팅 노드에서 분리하여 네트워크를 통해 공유하는 아키텍처입니다.

기존 아키텍처:

+------------------+ +------------------+ +------------------+

+------------------+ +------------------+ +------------------+

디스어그리게이션:

+------------------+ +------------------+ +------------------+

| CPU | | CPU | | CPU |

+--------+---------+ +--------+---------+ +--------+---------+

| | |

+--------v---------------------v---------------------v---------+

| GPU Pool (네트워크 연결) |

| +------+ +------+ +------+ +------+ +------+ +------+ |

| | GPU | | GPU | | GPU | | GPU | | GPU | | GPU | |

| +------+ +------+ +------+ +------+ +------+ +------+ |

+--------------------------------------------------------------+

인터커넥트 기술

| 기술 | 대역폭 | 레이턴시 | 용도 |

| -------------- | ----------------- | --------- | ------------ |

| CXL 3.0 | 128 GB/s | 낮음 | 랙 내 |

| InfiniBand NDR | 400 Gb/s | 중간 | 데이터센터 |

CXL (Compute Express Link)

CXL은 GPU 디스어그리게이션의 핵심 인터커넥트 기술입니다.

CXL 메모리 풀링:

+--------+ +--------+ +--------+

| CPU 1 | | CPU 2 | | GPU |

+---+----+ +---+----+ +---+----+

| | |

+---v------------v------------v---+

| CXL Switch |

+---+------------+------------+---+

| | |

+---v----+ +---v----+ +---v----+

| 메모리 | | 메모리 | | 메모리 |

| 풀 1 | | 풀 2 | | 풀 3 |

+--------+ +--------+ +--------+

NVIDIA BlueField DPU

SmartNIC에 가상화 오프로딩

BlueField DPU는 가상화, 네트워킹, 스토리지 처리를 호스트 CPU에서 분리하여 SmartNIC에서 처리합니다.

+------------------------------------------+

| Host Server |

| +------------------------------------+ |

| | CPU | |

| | - 애플리케이션 워크로드만 실행 | |

| | - 가상화 오버헤드 없음 | |

| +------------------------------------+ |

| | |

| +------------------------------------+ |

| | BlueField DPU | |

| | | |

| | - ARM 코어에서 하이퍼바이저 실행 | |

| | - OVS 가속 (네트워킹) | |

| | - SNAP 가속 (스토리지) | |

| | - IPsec/TLS 하드웨어 가속 | |

| | - Zero-trust 보안 | |

| +------------------------------------+ |

+------------------------------------------+

장점

- 호스트 CPU 사이클을 애플리케이션에 100% 활용

- 네트워크/스토리지 가상화 오버헤드 제거

- 인프라와 테넌트 간 하드웨어 수준 격리

- GPU Direct RDMA 가속

WebAssembly (Wasm) 가상화

경량 가상화 대안

WebAssembly는 컨테이너보다 가볍고, VM보다 빠른 새로운 실행 환경입니다.

비교:

VM Container Wasm

+--------+ +--------+ +--------+

| App | | App | | App |

+--------+ +--------+ +--------+

| OS | +--------+ | Runtime|

+--------+ | Container| +--------+

| Hypervisor| | Runtime |

+--------+ +--------+

+--------+ +--------+ +--------+

시작 시간: 초~분 밀리초 마이크로초

메모리: GB MB KB~MB

격리: 강함 중간 Sandbox

주요 Wasm 런타임

| 런타임 | 특징 | 용도 |

| -------- | ---------------------------- | -------------- |

| Wasmtime | Bytecode Alliance, 표준 준수 | 서버사이드 |

| WasmEdge | CNCF Sandbox, 경량 | 엣지/IoT |

| Spin | Fermyon, 서버리스 프레임워크 | 마이크로서비스 |

| WAMR | Intel, 초경량 | 임베디드 |

쿠버네티스 통합

SpinKube를 통한 Wasm 워크로드 예시

apiVersion: core.spinoperator.dev/v1alpha1

kind: SpinApp

metadata:

name: my-wasm-app

spec:

image: ghcr.io/my-org/my-wasm-app:latest

replicas: 3

executor: containerd-shim-spin

Kata Containers

VM 격리 컨테이너

Kata Containers는 각 컨테이너(또는 Pod)를 경량 VM 안에서 실행하여 하드웨어 수준의 격리를 제공합니다.

일반 컨테이너:

+------------------+

| Container 1 | Container 2 |

| | |

| 같은 커널 공유 | 같은 커널 공유 |

+------------------+-------------------+

| Host Kernel |

+--------------------------------------+

Kata Containers:

+------------------+ +------------------+

| Container 1 | | Container 2 |

+------------------+ +------------------+

| Guest Kernel 1 | | Guest Kernel 2 |

+------------------+ +------------------+

| Lightweight VM 1 | | Lightweight VM 2 |

+------------------+ +------------------+

| Host Kernel + KVM |

+----------------------------------------+

장점

- 컨테이너 수준의 사용 편의성 + VM 수준의 격리

- OCI 호환, 기존 컨테이너 이미지 그대로 사용

- 멀티테넌트 환경에서 강력한 보안

- 쿠버네티스 런타임으로 직접 사용 가능

유니커널 (Unikernels)

목적별 최소 VM

유니커널은 애플리케이션에 필요한 OS 기능만 포함하는 초경량 VM입니다.

일반 VM:

+----------------------------------+

| Application |

+----------------------------------+

| 전체 OS (커널 + 사용자 공간) |

| - 파일시스템, 네트워킹, 프로세스 |

| - 불필요한 서비스, 데몬 |

| - 보안 취약 표면 넓음 |

+----------------------------------+

크기: 수백 MB ~ 수 GB

유니커널:

+----------------------------------+

| Application + 필요한 OS 기능만 |

| - 최소 네트워크 스택 |

| - 최소 메모리 관리 |

| - 단일 주소 공간 |

+----------------------------------+

크기: 수 MB ~ 수십 MB

주요 유니커널 프로젝트

| 프로젝트 | 언어 | 특징 |

| -------- | ------ | ------------------ |

| MirageOS | OCaml | 학술적, 타입 안전 |

| Unikraft | C/C++ | 모듈러, POSIX 호환 |

| Nanos | C | 범용, 실행 편의성 |

| OSv | Java/C | JVM 최적화 |

서버리스 GPU

온디맨드 GPU 할당

VM이나 컨테이너를 관리할 필요 없이 함수 수준에서 GPU를 사용하는 패러다임입니다.

기존 방식:

사용자 --> VM/컨테이너 프로비저닝 --> GPU 할당 --> 애플리케이션 실행

(수분 소요) (고정 할당)

서버리스 GPU:

사용자 --> API 호출 --> GPU 자동 할당 --> 함수 실행 --> GPU 자동 반환

(밀리초) (온디맨드) (비용 최소화)

주요 서비스

| 서비스 | 특징 |

| ----------------------- | ----------------------------- |

| AWS Lambda (GPU 미지원) | 서버리스 표준, GPU 지원 예정 |

| Modal | Python 네이티브, GPU 서버리스 |

| Banana | ML 추론 특화 |

| RunPod Serverless | GPU 서버리스 컨테이너 |

엣지 컴퓨팅 가상화

과제

엣지 환경에서의 가상화는 리소스 제약과 관리 복잡도라는 고유한 도전을 안고 있습니다.

클라우드 엣지

+------------------+ +------------------+

| 풍부한 리소스 | | 제한된 리소스 |

| 안정적 네트워크 | | 불안정한 연결 |

| 중앙 관리 | | 분산 관리 필요 |

| 물리 보안 우수 | | 물리 접근 위험 |

+------------------+ +------------------+

엣지에 적합한 가상화 기술

| 기술 | 리소스 요구 | 시작 시간 | 적합도 |

| ------------------ | ----------- | ---------- | --------- |

| QEMU/KVM (microVM) | 낮음 | 100ms 이하 | 높음 |

| Kata Containers | 낮음 | 100ms 이하 | 높음 |

| 유니커널 | 매우 낮음 | 밀리초 | 높음 |

| 일반 VM | 높음 | 초~분 | 낮음 |

그린 컴퓨팅과 가상화

에너지 효율성

가상화는 하드웨어 활용률을 높여 에너지 소비를 줄이는 핵심 기술입니다.

가상화 없이:

+--------+ +--------+ +--------+ +--------+

| 사용률 | | 사용률 | | 사용률 | | 사용률 |

| 15% | | 10% | | 20% | | 5% |

+--------+ +--------+ +--------+ +--------+

총 서버: 4대, 평균 사용률: 12.5%

가상화 적용:

+--------+

|Server 1|

| 사용률 |

| 70% | <-- 4대의 워크로드 통합

+--------+

총 서버: 1대, 전력 절감: 60-75%

미래 기술

- 워크로드 인식 GPU 전력 관리

- 카본 인식(carbon-aware) 스케줄링

- 재생 에너지 가용 시간에 맞춘 배치 작업

- AI 기반 VM 배치 최적화

시리즈 요약

이 시리즈에서 다룬 내용을 정리하겠습니다.

| 회차 | 주제 | 핵심 내용 |

| ---- | -------------- | --------------------------------------------------- |

| 06 | KubeVirt | K8s 네이티브 VM 실행, CRD, CDI, 라이브 마이그레이션 |

| 07 | GPU Operator | GPU 소프트웨어 스택 자동화, ClusterPolicy, MIG |

| 08 | KubeVirt + GPU | VM GPU 패스스루/vGPU, VFIO, Sandbox Plugin |

| 09 | 플랫폼 비교 | QEMU/VBox/VMware/KubeVirt 종합 비교 |

| 10 | 미래 기술 | 컨피덴셜 컴퓨팅, GPU 디스어그리게이션, Wasm |

마치며

가상화 기술은 단순한 하드웨어 추상화를 넘어, 보안(컨피덴셜 컴퓨팅), 효율성(GPU 디스어그리게이션), 경량화(Wasm/유니커널), 자동화(KubeVirt/GPU Operator) 등 다양한 방향으로 진화하고 있습니다.

특히 AI/ML 워크로드의 폭발적 증가로 인해 GPU 가상화와 디스어그리게이션 기술은 앞으로 더욱 중요해질 것입니다. 쿠버네티스 생태계에서 KubeVirt와 GPU Operator의 결합은 이러한 미래를 준비하는 핵심 기술 스택이 될 것입니다.

**Q1. 컨피덴셜 컴퓨팅이 보호하는 데이터 상태는?**

A) 저장 시 (at-rest)

B) 전송 중 (in-transit)

C) 사용 중 (in-use)

D) 삭제 시 (at-deletion)

정답: C) 컨피덴셜 컴퓨팅은 기존에 보호가 어려웠던 사용 중(in-use) 데이터를 하드웨어 수준에서 암호화합니다.

**Q2. GPU 디스어그리게이션의 핵심 인터커넥트 기술은?**

A) USB 4.0

B) CXL (Compute Express Link)

C) Thunderbolt 5

D) SATA Express

정답: B) CXL은 CPU, GPU, 메모리 간의 저지연 고대역폭 연결을 제공하는 GPU 디스어그리게이션의 핵심 기술입니다.

**Q3. Kata Containers의 핵심 특징은?**

A) GPU를 네트워크로 공유

B) WebAssembly 런타임 제공

C) 각 컨테이너를 경량 VM에서 실행하여 격리

D) 유니커널 기반 초경량 OS

정답: C) Kata Containers는 컨테이너를 경량 VM 안에서 실행하여 컨테이너의 편의성과 VM의 격리를 모두 제공합니다.

**Q4. 엣지 컴퓨팅에 가장 적합한 가상화 기술은?**

A) 일반 VM (전체 OS)

B) VMware ESXi

C) WebAssembly

D) VirtualBox

정답: C) WebAssembly는 마이크로초 단위의 시작 시간과 KB 수준의 메모리 사용으로 리소스가 제한된 엣지 환경에 가장 적합합니다.