Service Function Chain

VPC 환경에서 이용 가능합니다.

Service Function Chain(SFC)은 네트워크 가상화가 적용된 클라우드 상에서 특정 서비스를 위해 필요한 NFV를 선택하고 이들 간의 적용 순서를 추상화하여 네트워크 데이터들이 정해진 경로를 경유하여 전달되도록 만들어진 네크워크 구성 방식입니다.
기존에는 VPC 환경에서 NFV들을 정해진 통신 경로를 통해서만 구성이 가능했지만, SFC는 사용자의 네트워크 환경을 고려하여 자유롭게 통신 경로를 구성할 수 있습니다. 예컨대 사용자는 인입된 트래픽이 네이버 클라우드 플랫폼에서 이미지로 제공하고 있는 서드 파티의 보안 솔루션이나 침입 탐지 솔루션을 지나가게 하거나 방화벽을 지나도록 원하는 형태로 통신 경로를 직접 구성 제어할 수 있습니다.
이렇듯 SFC는 기본적으로 네트워크에서 패킷이 흘러가는 경로를 정해주는 원리이기 때문에 방향성이 정해져 있습니다.

위에서 확인할 수 있듯이 SFC는 단방향으로만 구성이 가능합니다. 따라서 네트워크 요청 및 응답 시 적용 순서를 반드시 고려하여 구성해야 합니다.
Service Function Chain 구성을 하려면 네이버 클라우드 플랫폼 콘솔에서 제공 중인 다음의 7가지 구성 요소가 필요합니다. 각 구성 요소를 이해한 후 설정을 마쳐야 전체적인 통신 경로를 완성할 수 있습니다.

Transit VPC

VPC와 VPC, VPC와 인터넷, VPC와 온 프레미스(On-Premise) 간 네트워크 상호 연결을 위해 네트워크 허브 역할을 하는 VPC입니다. Endpoint Route, Transit VPC Connect와 연계하여 라우팅을 통한 각 영역 간 연결을 제어합니다. 보안 솔루션 연동 구성 시 반드시 적용이 필요하며, 보안 솔루션 구성 용도가 아닌 라우팅을 통한 허브 역할만으로도 사용이 가능합니다.

SFC Subnet

VPC 서비스의 다양한 Subnet 유형 중 SFC의 보안 VM에 적용하기위한 서브넷으로, 패킷을 수신한 후 변조 없이 전달해야 하는 인라인 방식의 네트워크 인터페이스에 적용이 가능합니다. 생성 시 자동으로 별도의 SFC 전용 Route Table이 생성되어 연동됩니다. 해당 Route Table은 조회만 가능하며, 사용자 오조작으로 인한 트래픽 무한 동작 등으로 인해 불필요한 과금이 발생하는 것을 방지하기 위해 수정은 불가능합니다.

Transit VPC Connect

일반 VPC(Service VPC)와 Transit VPC 간 네트워크 연결을 제공하는 구성 요소로, Transit VPC와 일반 VPC는 일대일로 연동합니다. 일종의 연결 통로인 측면에서 VPC Peering과 유사한 형태로 동작하는 것 같지만 기능에 분명한 차이가 있습니다. VPC Peering은 VPC와 VPC 간 연결로만 사용할 수 있으며, 통신을 구성하려면 각 방향에 대해 각각 피어링을 생성해야 합니다. 반면 Transit VPC Connect는 VPC와 VPC 뿐만 아니라 VPC와 Virtual Private Gateway와의 연결도 가능합니다. 또한 1개를 생성하여 Transit VPC와 일반 VPC 간 양쪽에서 공유하여 쓸 수 있도록 동작합니다.

Inline Load Balancer

패킷을 변조 없이 전달해야 하는 인라인 방식의 네트워크 인터페이스들을 클러스터 형태로 묶을 때 사용하는 로드밸런서입니다.
SFC와 Transit VPC로 구성할 때 Inline Load Balancer는 필수 구성 요소는 아니지만 SFC의 보안 VM들을 다중화하는 경우에 사용을 권장하고 있습니다. 보통의 서드 파티 보안 솔루션은 서버 이중화(HA)를 위해 이중화 형태로 제공하는 경우가 많습니다. 하지만 클라우드 환경에서 이러한 이중화 형태를 완벽하게 호환하는 것에는 한계가 있으며, 이중화 구성을 포기하고 VM 한 대로 운영한다면 성능에 한계가 있기 때문에 대량 트래픽을 처리해야 하는 사용자의 요구 사항을 충족시키기 어렵습니다. 이러한 어려움과 한계를 해소하기 위해 네이버 클라우드 플랫폼에서는 Inline Load Balancer를 통해 보안 솔루션들을 다중화 형태로 구성할 수 있도록 지원하고 있습니다. VM들을 싱글로드로 구성한 다음 로드밸런서로 묶어 동기화를 지원하는 방식이기 때문에 원하는 대역폭만큼 all Active 형태로 서비스를 운영할 수 있습니다.
Inline Load Balancer 역시 방향성을 갖고 있기 때문에 이를 주의하여 설정이 필요합니다.

Service Function Chain

Service Function Chain을 구현하기 위해 네이버 클라우드 플랫폼 내 VPC 서비스의 기능으로 제공하고 있습니다.

Endpoint Route

기존에 VPC 서비스에서 제공하던 Route 기능은 Egress Routing 설정이 가능했던 반면, Endpoint Route는 VPC 밖에서 엔드포인트(IGW, VGW, Transit VPC Connect)로 인입되는 네트워크 트래픽에 대한 Ingress Routing을 설정할 수 있는 기능입니다.
Endpoint Route는 Endpoint 종류별로 생성해서 사용해야 하기 때문에 보안 솔루션을 연동하여 구성하려면 타깃으로 SFC를 선택해야 합니다. 하지만 보안 솔루션 연동 없이 단순 허브 역할로만 구성한다면 직접 개별 엔드포인트를 타깃으로 선택하면 됩니다.

Public IP와 Transit VPC 연결

Public IP를 통해서 인입되는 네트워크 트래픽에 대해서 SFC를 적용하려는 경우, 해당 Public IP는 Transit VPC로 우회하도록 설정합니다. 콘솔의 Public IP 메뉴에서 Transit VPC 연결 설정 기능을 통해서 우회 설정이 가능합니다.

다음 단계

Service Function Chain 구성을 위해 사용 방법을 학습해 보십시오.

• 네이버 클라우드 플랫폼 콘솔에서 Service Function Chain 설정 방법
• SFC 구성 시나리오
• SFC 구성 예제(Use case)
• Service Function Chain 관련 용어 해설