- 인쇄
- PDF
SFC 구성
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
Service Function Chain과 보안 솔루션을 이용한 보안 계층 구성 시나리오를 소개합니다. 이 시나리오는 일반적인 시스템에 많은 기능을 가진 보안 솔루션을 적용해야 하는 상황에 권장합니다. 시나리오 구성도는 다음과 같습니다.
SFC 구성 시 Transit VPC, Endpoint Route Table, Service Function Chain, Transit VPC Connect, Inline Load Balancer, Public IP를 사용합니다. 시나리오 구현을 위한 순서 및 설명은 다음과 같습니다.
1. VPC 생성
2. Subnet 생성
3. 서버 생성
4. Target Group 생성
5. Load Balancer생성
6. Transit VPC Connect 생성
7. Service Function Chain 생성
8. Endpoint Route Table 생성 및 설정
9. Route Table 생성 및 설정
10. Public IP 연결 설정
여기에서 설명한 SFC 구성 시나리오를 참고하여 실제 SFC를 구성하는 예제(Use case)는 다음을 참조해 주십시오.
1. VPC 생성
가장 먼저 네이버 클라우드 플랫폼 콘솔에서 VPC를 생성합니다. 콘솔의 Services > Networking > VPC 메뉴에서 생성할 수 있습니다. 일반 VPC 1개와 Transit VPC 1개를 생성합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.
2. Subnet 생성
VPC 생성을 완료했다면 실제적으로 네트워크를 사용할 수 있도록 VPC 안에 서브넷을 구축합니다. 필요한 서브넷은 다음과 같습니다.
- 일반 VPC
- Public 일반 Subnet: 보안 어플라이언스 장비 접속 및 일반 서버 접속용 Bastion 서버
- Private 일반 Subnet: 서비스용 서버
- Public LB Subnet: 서비스용 로드밸런서
- Transit VPC
- Private 일반 Subnet: 보안 어플라이언스 MGMT
- Public SFC Subnet: 보안 어플라이언스 서비스 NIC
- Private LB Subnet: 인라인 로드밸런서
참조할 수 있는 사용 가이드는 다음과 같습니다.
3. 서버 생성
생성된 VPC 안에 배치할 서버를 생성합니다. 서버 생성 시 앞에서 생성한 Transit VPC와 일반 VPC를 선택한 후 ACG를 입력해 주십시오.
참조할 수 있는 사용 가이드는 다음과 같습니다.
일반 서버
일반 서버는 콘솔의 Compute > Server > 서버 생성에서 생성합니다.
보안 어플라이언스
보안 어플라이언스의 서버도 콘솔의 Compute > Server > 서버 생성에서 생성합니다. 생성 방법을 간단히 정리하면 다음과 같습니다.
- Compute > Server > 서버 생성 > 서버 이미지 선택의 [3rd party 이미지] 탭 메뉴에서 원하는 벤더사의 이미지를 클릭하여 선택
- Network Inferface 설정 시 서비스를 위해 External, Internal 2개의 추가 Network Interface를 생성하고 추가된 Network Interface는 SFC Subnet으로 할당
인라인 방식으로 동작하는 이미지의 추가 Network Interface만 SFC Subnet으로 할당할 수 있습니다. TMS는 인라인 방식으로 동작을 하지 않습니다.
- 스토리지 설정 시 권장 스토리지 용량은 벤더사마다 상이하기 때문에 벤더사에 별도 문의 필요
- Inline Load Balancer를 이용하는 경우, 헬스 체크를 위한 포트 오픈
- 생성 후 2개의 추가 Network Interface에 보안 VM 자체 라우팅 설정
4. Target Group 생성
Inline Load Balancer에서 사용할 Target Group을 생성합니다. Target 유형을 Transit VPC Server로 선택한 후 보안 어플라이언스에서 서비스용으로 추가된 2개의 Network Interface를 Target으로 추가해 주십시오.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer용 Target Group은 Ingress, Egress 용도로 각각 생성해야 합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.
생성 방법을 간단히 정리하면 다음과 같습니다.
- Application Load Balancer용 Target Group
- 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 원하는 이미지를 클릭하여 선택한 후 생성
- Inline Load Balancer용 Target Group (Ingress용)
- 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
- Target 추가 설정 시 보안 어플라이언스에 추가한 External Network Interface를 설정
- Inline Load Balancer용 Target Group (Egress용)
- 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
- Target 추가 설정 시 보안 어플라이언스에 추가한 Internal Network Interface를 설정
5. Load Balancer 생성
일반 VPC에서 동작할 Application Load Balancer와 Transit VPC에서 동작할 Inline Load Balancer를 생성합니다.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer는 Ingress, Egress용도로 각각 생성해야합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.
생성 방법을 간단히 정리하면 다음과 같습니다.
- Application Load Balancer용 Target Group
- 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 애플리케이션 로드밸런서 생성
- Ingress용 Inline Load Balancer용 Target Group
- 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
- Inline Load Balancer용 Target Group (Ingress용) 추가
- Egress용 Inline Load Balancer용 Target Group
- 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
- Inline Load Balancer용 Target Group (Egress용) 추가
6. Transit VPC Connect 생성
일반 VPC와 Transit VPC를 연결해줄 Transit VPC Connect를 생성합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.
7. Service Function Chain 생성
Transit VPC 내에서 네트워크 흐름을 정의할 Service Function Chain을 생성합니다. SFC는 단방향으로 동작하므로 양방향 통신을 위해 Ingress, Egress용도로 각각 생성해야 합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.
생성 방법을 간단히 정리하면 다음과 같습니다.
- Ingress용 Service Function Chain
- Transit VPC와 Zone을 선택
- 목적지 Subnet에 일반 VPC CIDR 대역 추가
- Service Function Chain을 다음과 같이 설정
순서 유형 인스턴스 서브넷 Ingress NIC 1 Load Balancer Ingress용 Inline Load Balancer 자동 입력 - 2 TransitVpcConnect 생성한 TransitVpcConnect - -
- Egress용 Service Function Chain
- Transit VPC와 Zone을 선택
- 목적지 Subnet에 0.0.0.0/0 대역 추가
- Service Function Chain을 다음과 같이 설정
순서 유형 인스턴스 서브넷 Ingress NIC 1 Load Balancer Egress용 Inline Load Balancer 자동 입력 - 2 InternetGateway - - -
8. Endpoint Route Table 생성 및 설정
Internet Gateway와 Transit VPC Connect에 Ingress Route를 설정할 수 있는 Endpoint Route Table을 생성하고 설정합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.
생성 방법을 간단히 정리하면 다음과 같습니다.
- Internet Gateway용 Endpoint Route Table
- 연관 Endpoint유형을 IGW로 선택하고 생성
- 생성된 Endpoint Route Table에 Route Table 설정
목적지 Target 일반VPC CIDR 대역 Ingress용 SFC - 연관 Endpoint 설정으로 IGW를 선택
- Transit VPC Connect용 Endpoint Route Table
- 연관 Endpoint유형을 Transit VPC Connect로 선택하고 생성
- 생성된 Endpoint Route Table에 Route Table 설정
목적지 Target 0.0.0.0/0 Egress용 SFC - 연관 Endpoint 설정으로 Transit VPC Connect를 선택
9.부터는 Transit VPC로 네트워크 흐름이 변경됩니다. 일반 VPC에서 서비스가 정상 동작하는지 확인한 후 SFC 설정을 계속 진행해 주십시오.
9. Route Table 생성 및 설정
서버 접속용 Bastion 서버를 제외한 일반 VPC의 네트워크 흐름을 Transit VPC로 변경하기 위해 Route Table을 생성하고 설정합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.
생성 및 설정 방법을 간단히 정리하면 다음과 같습니다.
- 일반 VPC
- Public 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 IGW로 설정하고 Transit VPC 대역만 Transit VPC Connect로 설정
목적지 Target 유형 Target 이름 Transit VPC CIDR 대역 TRANSITVPCCONNECT 생성한 TransitVpcConnect 0.0.0.0/0 IGW INTERNET GATEWAY 일반 VPC CIDR 대역 LOCAL LOCAL - Private 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정
목적지 Target 유형 Target 이름 0.0.0.0/0 TRANSITVPCCONNECT 생성한 TransitVpcConnect 일반 VPC CIDR 대역 LOCAL LOCAL - Public LB Subnet Route Table: 추후 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정
목적지 Target 유형 Target 이름 0.0.0.0/0 TRANSITVPCCONNECT 생성한 TransitVpcConnect 일반 VPC CIDR 대역 LOCAL LOCAL
- Public 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 IGW로 설정하고 Transit VPC 대역만 Transit VPC Connect로 설정
- Transit VPC
- Private 일반 Subnet Route Table: 일반 VPC의 서버 접속용 Subnet 대역만 Transit VPC Connect로 설정
목적지 Target 유형 Target 이름 일반 VPC의 서버 접속용 Subnet 대역 TRANSITVPCCONNECT 생성한 TransitVpcConnect Transit VPC CIDR 대역 LOCAL LOCAL
- Private 일반 Subnet Route Table: 일반 VPC의 서버 접속용 Subnet 대역만 Transit VPC Connect로 설정
10. Public IP 연결 설정
Application Load Balancer가 가지고 있는 공인 IP를 Public IP 연결 설정을 통해 Transit VPC로 연결합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.