SFC 기능과 Transit VPC를 결합하면 고객은 기존에 사용하던 네트워크 및 보안 어플라이언스와 유사한 방식으로 클라우드 네트워크 NFV를 구성할 수 있게 됩니다. 이제 클라우드 환경에서도 국가보안정책에 맞는 보안 계층 구성이 가능해집니다.
[주요 특징]
- Transit VPC에 SFC기능을 이용하여 3rd Party 네트워크/보안 어플라이언스를 사용할 수 있습니다.
- Endpoint Route Table을 이용하여 여러개의 일반 VPC를 하나의 Transit VPC로 연결 할 수 있습니다.
SFC(Service Function Chain) 개요
SFC는 네트워크 기능 가상화(NFV)를 활용하여 정해진 경로를 통해 네트워크 데이터가 전달되도록 하는 기술입니다. 이를 통해서 특정 보안 기능이 필요한 순서대로 데이터를 처리할 수 있게 됩니다. SFC는 단방향 구성만 가능하기에 네트워크 요청과 응답 시 적용 순서를 신중하게 고려해야 합니다.
Transit VPC의 역할
Transit VPC는 다양한 VPC 사이, 그리고 VPC와 인터넷 또는 온프레미스 시스템 간의 네트워크 상호 연결을 위한 허브 역할을 합니다. 이는 보안 솔루션 구성과 효율적인 트래픽 관리를 가능하게 하여, 기업이 더 안전하고 효율적인 네트워크 환경을 구축할 수 있게 돕습니다.
SFC 및 Transit VPC 구성을 위한 요소
Transit vpc
Transit VPC는 VPC와 VPC, VPC와 인터넷, VPC와 온프라미스 간 네트워크 상호 연결을 위한 네트워크 허브 역할을 하는 VPC 이며 Endpoint Route, Transit VPC와 연계하여 라우팅을 통해서 각 영역간 연결을 제어 할 수 있습니다.
SFC 서브넷
SFC Subnet은 Subnet 유형 중 하나이며 SFC 구성 요소 중 하나인 보안 VM에 적용하기 위한 Subnet 으로 패킷을 수신 후 변조 없이 전달해야 하는 Inline 방식의 Network Interface 적용이 가능합니다.
Transit VPC Connect
Transit VPC Connect는 일반 VPC (Service용 VPC)와 Transit VPC 간의 네트워크 연결성을 제공하며 Transit VPC와 일반 VPC는 1:1 로 연동됩니다.
Inline Loadbalancer
Inline Loadbalancer는 패킷을 변조 없이 전달해야 하는 Inline 방식으로 동작하는 Network Interface 들을 Cluster 형태로 묶을 때 사용하는 로드밸런서 입니다. 보안 VM들을 Active/Active 형태로 다중화 할 때 사용 가능합니다
SFC(Service Function Chain)
SFC 기능을 NCP의 VPC 상에서 설정할 수 있도록 하는 기능입니다. SFC는 네트워크 트래픽이 흐르는 경로 및 순서를 지정하는 설정입니다. 구성하고자 하는 트래픽의 최종 목적지 subnet을 기준으로 네트워크 경로를 지정합니다.
Endpoint Route Table
Endpoint Route는 VPC 밖에서 Endpoint(IGW, VGW, Transit VPC Connect)로 인입되는 네트워크 트래픽에 대해서 Ingress Routing 설정이 가능합니다. (기존 Route는 Egress Routing 적용)
SFC 구성 단계
SFC는 서비스 기능 체인으로, 여러 네트워크 기능을 순차적으로 연결하여 하나의 서비스를 제공하는 기술입니다. Transit VPC 상에서 동작하며, 다양한 네트워크 기능을 제공합니다. 예를 들어, 로드밸런싱, 방화벽, IPS 등의 기능을 사용할 수 있도록 제공합니다.
SFC를 사용하기 위해서는 NCP의 다양한 네트워크 상품 요소들이 필요합니다.
Transit VPC는 VPC와 VPC, VPC와 인터넷, VPC와 온프라미스 간 네트워크 상호
연결을 위한 네트워크 허브 역할을 하는 VPC입니다. 보안 솔루션 구성을 위해서는
반드시 SFC 적용이 필요합니다. SFC는 단방향으로 구성 가능하며, 네트워크
요청/응답 시 적용 순서를 고려해야 합니다. 이를 위해 서비스 구성도를 작성하고,
각 구성 요소의 역할과 기능을 정의해야 합니다.
- 위와 같은 목표 구성도를 작성합니다.(네이밍 규칙 및 IP 대역 포함)
- 트래픽 플로우를 흐름 단위로 작성하고 구성 요소를 선택합니다.
- 설정 정보를 확인하고 생성 설정을 확인합니다.
- 보안 서비스 구성을 위한 Subnet 및 Route Table을 생성하고 Target VM들의 서비스가 가능하도록 구성합니다.
위의 단계를 따라 SFC를 구성하면, 안전하고 효율적인 네트워크 환경을 구축할 수 있습니다.
SFC 상세 구성
위의 시나리오를 구현하기 위한 절차는 다음과 같습니다.
1. VPC 생성
2. Subnet 생성
3. 서버 생성
4. Target Group 생성
5. Load Balancer생성
6. Transit VPC Connect 생성
7. Service Function Chain 생성
8. Endpoint Route Table 생성 및 설정
9. Route Table 생성 및 설정
10. Public IP 연결 설정
상세 구성 내역은 홈페이지의 가이드를 참고하여 순서대로 진행한다면 큰 어려움은 없습니다.
SFC 구성 시 고려 사항
- 네트워크 트래픽의 양과 종류를 고려해야 합니다.
- 보안 요구사항을 고려해야 합니다.
- 서비스의 성능과 안정성을 고려해야 합니다.
위의 방법을 따라 SFC를 구성하면, 안전하고 효율적인 네트워크 환경을 구축할 수 있습니다.
이러한 구성 요소들을 통해 기업은 보안성과 운영 효율성을 크게 향상시킬 수 있습니다. 보안이 항상 우선으로 여겨지는 현대의 디지털 환경에서 SFC & Transit VPC는 필수적인 도구로 자리잡을 것입니다.
SFC 구성 정리
1. Transit VPC
. 일반 subnet (Public / Private)
- 보안 장비 eth0이 배포되는 서브넷
. SFC subnet (Public)
- 보안 장비 NIC이 배포되는 서브넷 (inline subnet)
- Ingress (Internal 내부 라우팅용) / Egress (External 외부 라우팅용)
- SFC subnet은 TCP/UDP/ICMP all open 필요
. inline LoadBalancer subnet (Private - optional)
- 보안장비에 LB를 연결하여 클러스터 구성 할 경우 필요
2. inlineLB (optional)
. 보안장비 클러스터 구성 시 LB 배포
3.Transit VPC Connect
. VPC와 SFC-VPC간 피어링을 위한 오브젝트
4. Service Function Chain
. 통신 순서를 작성하기 위한 오브젝트
5. Endpoint Route Table
. Endpoint 라우팅을 위한 오브젝트
. Endpoint는 Transit VPC Connect(VPC 끼리 통신할 경우) / IGW / VGW 3가지 사용 가능
. VPC끼리 통신하는 경우 흐름은 보안장비(Server) → Transit VPC Connect
6.VPC
. 서비스 환경이 배포될 일반 VPC
7. Route Table
. 서비스 VPC (일반 VPC) → Transit VPC Connect로 라우팅 처리하기 위함
SFC 구성 시 고려 사항
- 네트워크 트래픽의 양과 종류를 고려해야 합니다.
- 보안 요구사항을 고려해야 합니다.
- 서비스의 성능과 안정성을 고려해야 합니다.
위의 방법을 따라 SFC를 구성하면, 안전하고 효율적인 네트워크 환경을 구축할 수 있습니다.
이러한 구성 요소들을 통해 기업은 보안성과 운영 효율성을 크게 향상시킬 수 있습니다. 보안이 항상 우선으로 여겨지는 현대의 디지털 환경에서 SFC & Transit VPC는 필수적인 도구로 자리잡을 것입니다.
댓글 없음:
댓글 쓰기