1. Security VPC 구성

VPC 환경에서 이용 가능합니다.

VPC의 Transit VPC와 SFC를 이용하여 Security VPC를 구성합니다. 전체 구성 순서와 각 순서별 방법은 다음과 같습니다.

1. Transit VPC 생성
2. Service VPC 생성
3. Subnet 생성
4. 보안 VM 생성
5. Inline Load balancer의 Target Group 생성
6. Inline Load balancer 생성
7. Transit VPC Connecdt 생성
8. Service Function Chain 생성
9. Endpoint Route Table 설정

1. Transit VPC 생성

사용자가 원하는 보안 솔루션을 통신 경로에 추가하기 위해 Transit VPC를 생성합니다. Transit VPC는 계정당 1개씩만 생성할 수 있습니다. 예제에서 Transit VPC 이름은 security-vpc로 입력했습니다.

2. Service VPC 생성

사용자의 서비스 운영에 사용할 VPC를 생성합니다. 위에서 설명한 구성도를 참고하여 2개를 생성합니다. 예제에서 Service VPC 이름은 service-vpc001, service-vpc002로 입력했습니다.

3. Subnet 생성

1.에서 생성한 Transit VPC(security-vpc) 내부에서 보안 서비스를 구성하기 위해 Subnet을 생성합니다. Transit VPC도 하나의 VPC이기 때문에 역할에 따라 IP 대역별 서브넷을 3개 생성합니다. 예제에서는 위에서 설명한 구성도를 참고하여 다음과 같이 생성했습니다.

위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다.

4. 보안 VM 생성

Transit VPC(security vpc) 내의 SFC에 적용하기 위한 보안 VM을 생성합니다. Firewall을 적용하는 것이 목표 구성이기 때문에 Firewall VM으로 생성합니다. Firewall VM은 IDS VM과 더불어 보안 VM 중 인라인 방식으로 동작하는 서버입니다. 네이버 클라우드 플랫폼의 제공 환경에서 최적화된 구조는 다음과 같습니다.

• eth0: 보안 VM 관리용
  • 할당할 서브넷: mgmt-subnet
• eth1: 인터넷 또는 온 프레미스 연동용
  • 할당할 서브넷: firewall-subnet
• eth2: 서비스 VPC 연동용
  • 할당할 서브넷: firewall-subnet

보안 VM의 네트워크 인터페이스에는 3.에서 만든 이 서브넷을 각각 할당합니다. 최초 생성되는 eth0에는 3.에서 생성한 보안 VM 관리 접속용 서브넷(mgmt-subnet)을 할당합니다. eth0을 통해 VM을 접근하고 콘솔을 제어할 수 있으며, 인라인 방식의 로드밸런서에 대한 헬스 체크도 수행합니다. eth1, eth2는 인라인 방식으로 동작하기 위해 firewall-subnet을 할당합니다. 사용자의 혼선을 최소화하기 위해 이와 같은 네트워크 인터페이스 할당 방식을 권고합니다.
위 내용을 참고하여 네이버 클라우드 플랫폼 콘솔의 Compute > Server 메뉴로 이동하여 보안 VM을 생성합니다. 생성하는 방법을 간략하게 정리하면 다음과 같습니다.

1. Server 화면에서 [서버 생성] 버튼 클릭
2. 서버 이미지 선택
   
   • 3rd party 이미지 탭 메뉴를 클릭하면 생성 가능한 보안 VM 이미지 목록이 나타나면 원하는 보안 솔루션 이미지를 클릭하여 생성 과정을 진행합니다.
3. 서버 설정
   
4. 스토리지 설정
   • 보안 VM은 기본 스토리지 100GB, 추가 스토리지 500GB가 기본으로 필요합니다.
   • 화면에서 기본 노출되는 정보를 그대로 사용해서 구성해야 서비스가 정상 동작합니다.
     • 권장 스토리지 용량은 벤더사마다 상이하기 때문에 벤더사에 별도 문의가 필요합니다.
5. 인증키 설정
6. 네트워크 접근 설정
7. 최종 확인

위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다. 보안 VM은 접속 후 Hostname 등의 추가적인 설정을 진행해야 하며 eth1, eth2는 8950MTU로 설정합니다.

5. Inline Load balancer의 Target Group 생성

Inline Load Balancer에서 사용할 Target Group을 생성합니다. 로드밸런서는 SFC 구성 요소인 보안 VM들을 클러스터로 만들어서 운영하기 위해 반드시 필요하며, 트래픽이 인입되는 영역에 따른 보안 VM 인터페이스별로 연동이 필요합니다.
Internet/VPC 연동 인터페이스에 대한 로드밸런싱이 필요하기 때문에 예제에서는 위에서 설명한 구성도를 참고하여 Target Group을 2개 생성합니다. 예제에서 Target Group 이름은 internet-to-firewall, vpc-to-firewall로 입력했습니다.
생성하는 방법을 간략하게 정리하면 다음과 같습니다.

1. Target Group 생성
   
   • Transit VPC 내에 있는 보안 VM들만 Target으로 지정할 수 있기 때문에 Target 유형은 Transit VPC Server를, 프로토콜은 IP를 클릭하여 선택해 주십시오.
2. Health Check 설정
   
   • Health Check 주기는 최소 주기인 5초로 설정합니다. Inline 방식으로 보안 VM 동작하기 때문에 문제가 생기면 바로 감지 후 제외시켜줘야 통신 장애 시간이 줄어들게 됩니다.
3. Target 추가
   
   • 인터넷을 통해 인입된 트래픽을 수신해야 되는 경우에는 보안 VM의 eth1을 연동하고 VPC에서 생성된 트래픽을 수신해야 되는 경우는 보안 VM의 eth2에 연동하도록 Target 추가 설정을 진행합니다.
4. Health Check Interface 설정
   
   • Health Check Interface 설정에서 포트는 보안 VM의 eth0 관리용 포트를 기준으로 설정하며 보안 VM 종류별로 정보가 다르기 때문에 제공 업체의 가이드를 준수합니다.
5. 설정 정보 보기

위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다.

6. Inline Load balancer 생성

Inline Load balancer를 생성합니다. 예제에서는 위에서 설명한 구성도를 참고하여 Inline Load balancer를 2개 생성합니다. 예제에서 로드밸런서 이름은 internet-firewall-lb, vpc-firewall-lb로 입력했습니다.
생성하는 방법을 간략하게 정리하면 다음과 같습니다.

1. 로드밸런서 생성
   
   • Inline Load balancer는 Private 유형으로만 생성 가능하며 Transit VPC 내에서만 생성할 수 있기 때문에 반드시 Transit VPC가 필요합니다. 따라서 Network는 Private IP를 클릭하여 선택하고 대상 VPC에서는 1.에서 생성한 security-vpc를 클릭하여 선택합니다.
2. Target Group 선택
   
   • 트래픽 발생지와 수신 인터페이스를 고려하여 용도에 맞게 클릭하여 선택합니다.
3. 설정 정보 보기

위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다.

7. Transit VPC Connect 생성

사용자의 서비스가 구성되어 있는 일반 VPC와 보안 영역이 구성된 Transit VPC(security-vpc)의 네트워크 연동을 위해 Transit VPC Connect를 생성합니다. VPC Peering과 다르게 Transit VPC Connect는 하나만 생성을 하면 Transit VPC와 생성 대상이 되는 일반 VPC의 라우팅에서 모두 사용할 수 있습니다.
예제에서는 위에서 설명한 구성도를 참고하여 Transit VPC Connect를 2개 생성합니다. 예제에서 Transit VPC Connect 이름은 vpc001-securityvpc-tvc, vpc002-securityvpc-tvc로 입력했습니다.
vpc001-securityvpc-tvc는 사용자가 보유한 일반 VPC(Service 1)와 Transit VPC를 연결하는 역할이며, vpc002-securityvpc-tvc는 사용자가 보유한 일반 VPC(Service 2)와 다른 사용자가 보유한 Transit VPC를 연결하는 역할입니다.
위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다.

8. Service Function Chain 생성

목적지 대역을 지정해서 트래픽의 방향성을 설정하고 NFV 순서를 지정해서 네트워크 트래픽 흐름을 제어할 수 있도록 Service Function Chain을 생성합니다. 예제에서는 역할에 따라 위에서 설명한 구성도를 참고하여 SFC를 5개 생성합니다. 예제에서 SFC 이름은 다음과 같이 입력했습니다.

Chain 생성 시 다음을 주의해 주십시오.

• Inline Load balancer는 방향에 맞게 선택해야 합니다. 위에서 설명한 구성도를 기준으로 Internet에서 인입되는 트래픽은 internet-firewall-lb, VPC에서 인입되는 트래픽은 vpc-firewall-lb를 선택해 주십시오.
• Chain의 마지막은 반드시 엔드포인트(VGW, IGW, Transit VPC Connect)여야 합니다. 엔드포인트를 용도에 맞게 지정해서 트래픽이 최종적으로 원하는 목적지에 도달할 수 있도록 설정해 주십시오.
  

위와 같은 설정 과정을 거쳐 다음과 같이 생성했습니다.

9. Endpoint Route Table 설정

8.에서 설정한 엔드포인트(IGW, Transit VPC Connect)에 대한 Endpoint Route Table을 설정합니다. Endpoint Route Table은 개별 Endpoint를 통해서 Transit VPC(security vpc)로 인입되는 트래픽에 대해서 Ingress Routing 설정을 위해서 필요하며 용도별 개별 Endpoint 단위로 생성해야 합니다. 예제에서 Endpoint Route Table 이름은 igw-route, vpc001-tvc-route, vpc002-tvc-route로 입력했습니다. 위와 같은 설정 과정을 거쳐 예제에서는 다음과 같은 Endpoint Route Table을 생성했습니다.

Endpoint Route Table 생성 후 해당 Endpoint를 통해서 인입되는 트래픽에 대해 Route를 적용하기 위해 Route Table에 연동할 연관 Endpoint를 설정합니다. Endpoint가 Transit VPC Connect인 경우, 개별로 Endpoint Route Table을 생성하여 연동해야 합니다. 위와 같은 설정 과정을 거쳐 예제에서는 다음과 같은 연관 Endpoint을 설정했습니다.

마지막으로, 목적하는 타깃의 대역 기준으로 Route 설정을 진행해야 하며, 용도에 맞는 타깃을 설정하면 됩니다. 만약 SFC로 네트워크 트래픽을 전달하고 싶다면 Target Type을 SFC로 지정합니다. 보안 VM 장애 상황 등에서 SFC를 거치지 않고 트래픽을 바이패스하고 싶은 경우에는 Target을 Endpoint (VGW, IGW, Transit VPC Connect ) 중 하나로 선택하여 변경하면 됩니다. 위와 같은 설정 과정을 거쳐 예제에서는 다음과 같은 Routes를 설정했습니다.

다음 단계

구성을 완료한 Security VPC에 대해 연동할 Service VPC(service-vpc001, service-vpc002)의 상세 구성 및 연동 방법을 학습합니다.

• 2. Service VPC 구성 및 연동