SFC 구성

VPC 환경에서 이용 가능합니다.

Service Function Chain과 보안 솔루션을 이용한 보안 계층 구성 시나리오를 소개합니다. 이 시나리오는 일반적인 시스템에 많은 기능을 가진 보안 솔루션을 적용해야 하는 상황에 권장합니다. 시나리오 구성도는 다음과 같습니다.

SFC 구성 시 Transit VPC, Endpoint Route Table, Service Function Chain, Transit VPC Connect, Inline Load Balancer, Public IP를 사용합니다. 시나리오 구현을 위한 순서 및 설명은 다음과 같습니다.

1. VPC 생성
2. Subnet 생성
3. 서버 생성
4. Target Group 생성
5. Load Balancer생성
6. Transit VPC Connect 생성
7. Service Function Chain 생성
8. Endpoint Route Table 생성 및 설정
9. Route Table 생성 및 설정
10. Public IP 연결 설정

1. VPC 생성

가장 먼저 네이버 클라우드 플랫폼 콘솔에서 VPC를 생성합니다. 콘솔의 Services > Networking > VPC 메뉴에서 생성할 수 있습니다. 일반 VPC 1개와 Transit VPC 1개를 생성합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.

• VPC Management

2. Subnet 생성

VPC 생성을 완료했다면 실제적으로 네트워크를 사용할 수 있도록 VPC 안에 서브넷을 구축합니다. 필요한 서브넷은 다음과 같습니다.

• 일반 VPC
  • Public 일반 Subnet: 보안 어플라이언스 장비 접속 및 일반 서버 접속용 Bastion 서버
  • Private 일반 Subnet: 서비스용 서버
  • Public LB Subnet: 서비스용 로드밸런서
• Transit VPC
  • Private 일반 Subnet: 보안 어플라이언스 MGMT
  • Public SFC Subnet: 보안 어플라이언스 서비스 NIC
  • Private LB Subnet: 인라인 로드밸런서

참조할 수 있는 사용 가이드는 다음과 같습니다.

• Subnet Management

3. 서버 생성

생성된 VPC 안에 배치할 서버를 생성합니다. 서버 생성 시 앞에서 생성한 Transit VPC와 일반 VPC를 선택한 후 ACG를 입력해 주십시오.
참조할 수 있는 사용 가이드는 다음과 같습니다.

• 서버 생성
• ACG

일반 서버

일반 서버는 콘솔의 Compute > Server > 서버 생성에서 생성합니다.

보안 어플라이언스

보안 어플라이언스의 서버도 콘솔의 Compute > Server > 서버 생성에서 생성합니다. 생성 방법을 간단히 정리하면 다음과 같습니다.

1. Compute > Server > 서버 생성 > 서버 이미지 선택의 [3rd party 이미지] 탭 메뉴에서 원하는 벤더사의 이미지를 클릭하여 선택
2. Network Inferface 설정 시 서비스를 위해 External, Internal 2개의 추가 Network Interface를 생성하고 추가된 Network Interface는 SFC Subnet으로 할당

3. 스토리지 설정 시 권장 스토리지 용량은 벤더사마다 상이하기 때문에 벤더사에 별도 문의 필요
4. Inline Load Balancer를 이용하는 경우, 헬스 체크를 위한 포트 오픈
5. 생성 후 2개의 추가 Network Interface에 보안 VM 자체 라우팅 설정

4. Target Group 생성

Inline Load Balancer에서 사용할 Target Group을 생성합니다. Target 유형을 Transit VPC Server로 선택한 후 보안 어플라이언스에서 서비스용으로 추가된 2개의 Network Interface를 Target으로 추가해 주십시오.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer용 Target Group은 Ingress, Egress 용도로 각각 생성해야 합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.

• Target Group 생성

생성 방법을 간단히 정리하면 다음과 같습니다.

• Application Load Balancer용 Target Group
  • 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 원하는 이미지를 클릭하여 선택한 후 생성
• Inline Load Balancer용 Target Group (Ingress용)
  1. 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
  2. Target 추가 설정 시 보안 어플라이언스에 추가한 External Network Interface를 설정
• Inline Load Balancer용 Target Group (Egress용)
  1. 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
  2. Target 추가 설정 시 보안 어플라이언스에 추가한 Internal Network Interface를 설정

5. Load Balancer 생성

일반 VPC에서 동작할 Application Load Balancer와 Transit VPC에서 동작할 Inline Load Balancer를 생성합니다.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer는 Ingress, Egress용도로 각각 생성해야합니다.
참조할 수 있는 사용 가이드는 다음과 같습니다.

• Inline Load Balancer 생성

생성 방법을 간단히 정리하면 다음과 같습니다.

• Application Load Balancer용 Target Group
  • 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 애플리케이션 로드밸런서 생성
• Ingress용 Inline Load Balancer용 Target Group
  1. 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
  2. Inline Load Balancer용 Target Group (Ingress용) 추가
• Egress용 Inline Load Balancer용 Target Group
  1. 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
  2. Inline Load Balancer용 Target Group (Egress용) 추가

6. Transit VPC Connect 생성

일반 VPC와 Transit VPC를 연결해줄 Transit VPC Connect를 생성합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.

• Transit VPC Connect

7. Service Function Chain 생성

Transit VPC 내에서 네트워크 흐름을 정의할 Service Function Chain을 생성합니다. SFC는 단방향으로 동작하므로 양방향 통신을 위해 Ingress, Egress용도로 각각 생성해야 합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.

• Service Function Chain(SFC)

생성 방법을 간단히 정리하면 다음과 같습니다.

• Ingress용 Service Function Chain
  1. Transit VPC와 Zone을 선택
  2. 목적지 Subnet에 일반 VPC CIDR 대역 추가
  3. Service Function Chain을 다음과 같이 설정

     순서	유형	인스턴스	서브넷	Ingress NIC
     1	Load Balancer	Ingress용 Inline Load Balancer	자동 입력	-
     2	TransitVpcConnect	생성한 TransitVpcConnect	-	-

• Egress용 Service Function Chain
  1. Transit VPC와 Zone을 선택
  2. 목적지 Subnet에 0.0.0.0/0 대역 추가
  3. Service Function Chain을 다음과 같이 설정

     순서	유형	인스턴스	서브넷	Ingress NIC
     1	Load Balancer	Egress용 Inline Load Balancer	자동 입력	-
     2	InternetGateway	-	-	-

8. Endpoint Route Table 생성 및 설정

Internet Gateway와 Transit VPC Connect에 Ingress Route를 설정할 수 있는 Endpoint Route Table을 생성하고 설정합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.

• Endpoint Route Table

생성 방법을 간단히 정리하면 다음과 같습니다.

• Internet Gateway용 Endpoint Route Table
  1. 연관 Endpoint유형을 IGW로 선택하고 생성
  2. 생성된 Endpoint Route Table에 Route Table 설정

     목적지	Target
     일반VPC CIDR 대역	Ingress용 SFC

  3. 연관 Endpoint 설정으로 IGW를 선택
• Transit VPC Connect용 Endpoint Route Table
  1. 연관 Endpoint유형을 Transit VPC Connect로 선택하고 생성
  2. 생성된 Endpoint Route Table에 Route Table 설정

     목적지	Target
     0.0.0.0/0	Egress용 SFC

  3. 연관 Endpoint 설정으로 Transit VPC Connect를 선택

9. Route Table 생성 및 설정

서버 접속용 Bastion 서버를 제외한 일반 VPC의 네트워크 흐름을 Transit VPC로 변경하기 위해 Route Table을 생성하고 설정합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.

• Route Table

생성 및 설정 방법을 간단히 정리하면 다음과 같습니다.

• 일반 VPC
  • Public 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 IGW로 설정하고 Transit VPC 대역만 Transit VPC Connect로 설정

    목적지	Target 유형	Target 이름
    Transit VPC CIDR 대역	TRANSITVPCCONNECT	생성한 TransitVpcConnect
    0.0.0.0/0	IGW	INTERNET GATEWAY
    일반 VPC CIDR 대역	LOCAL	LOCAL

  • Private 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정

    목적지	Target 유형	Target 이름
    0.0.0.0/0	TRANSITVPCCONNECT	생성한 TransitVpcConnect
    일반 VPC CIDR 대역	LOCAL	LOCAL

  • Public LB Subnet Route Table: 추후 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정

    목적지	Target 유형	Target 이름
    0.0.0.0/0	TRANSITVPCCONNECT	생성한 TransitVpcConnect
    일반 VPC CIDR 대역	LOCAL	LOCAL

• Transit VPC
  • Private 일반 Subnet Route Table: 일반 VPC의 서버 접속용 Subnet 대역만 Transit VPC Connect로 설정

    목적지	Target 유형	Target 이름
    일반 VPC의 서버 접속용 Subnet 대역	TRANSITVPCCONNECT	생성한 TransitVpcConnect
    Transit VPC CIDR 대역	LOCAL	LOCAL

10. Public IP 연결 설정

Application Load Balancer가 가지고 있는 공인 IP를 Public IP 연결 설정을 통해 Transit VPC로 연결합니다. 참조할 수 있는 사용 가이드는 다음과 같습니다.

• Transit VPC 연결 설정