[NCP] Private subnet 및 Network interface Operation, Secure zone

Private Subnet & Network Interface Operation

• 네이버 클라우드 플랫폼의 서버 네트워크 특징
  • 서버 생성 시, 초기에 Network Interface는 하나가 생성됨
  • IP Alias 허용하지 않음 (무작위로 할당), 해당 서버의 IP 대역을 특정지을수 없음 -> 문제 발생(서버의 subnet을 특정지을 수 없기 때문에, 외부와 IP Sec VPN 통신을 할려고 할때 여러가지 IP를 추가로 만들려고 할때, 하나의 Interface에 IP를 여러가지 만들어서 HA와 같은 이중화 솔루션을 적용(IP Alias) 이때 IP 대역을 특정짓지못하면 제약이 발생함 그래서 Private Subnet 과 Network interface를 만들은 것임
  • 추가 NIC 허용하지 않음
• 다양한 환경
  • HA 구성이 필요한 경우 VIP 가 필요
  • VPN으로 연결하는 경우 Peer 네트웍은 대역폭으로 선언되어야 함
• 네트워크 클라우드 플랫폼의 방안
  • 새로운 NIC를 생성할 수 있게 하되 해당 NIC들만의 네트웍을 구성
  • 해당 네트웍은 192.168.X.0/24 대역을 생성할 수 있도록 Private Subnet 기능 제공

Private Subnet의 특성

• 192.168.X.0/24 대역만 사용 가능하다. (Subnet Mask : 255.255.255.0)
  • 192.168대역을 인위적으로 만들음, 기존에 서버들은 eth0, windows 같은 경우는 network interface 1번 한가지만 가지고 있는데, 이 제약사항은 NCP에서는 Classic 환경에서 Interface를 1개이상 못만들고 IP도 IP Alias를 할 수 없는 제약사항이 있음
    그 때 IP를 더 만들지 못하고 Subnet을 만들수 없기 때문에 그래서 추가적으로 Private Subnet을 만들 수 있는 기능을 제공하고 있음.
• 각 존 당 하나의 Private Subnet을 만들 수 있다.
  • Private Subnet은 interface를 하나 추가적으로 만들 수 있는 기능, 그래서 linux는 eth1, windows는 device2
  • eth0 은 10.1.X.X대역, eth1 192.168.X.0/24 대역 사용 한다.
  • 192.168.X.0/24 대역은 외부 인터넷으로 연결이 되지 않는 대역, 각 존당 하나의 Private Subnet만 만들수 있음
    Private Sunet 안은 ACG가 적용되지 않는다.
• ACG가 적용되지 않는다.
• 사용 방법
  • Private Subnet에서 대역 설정
  • Network Interface에서 서버에 해당 대역의 IP 할당 (Network Interface에서 설정을 해야 NIC 추가가 가능)
  • 자동으로 eth1이 생기지는 않아서, Network Interface에서 서버마다 생성 시켜줘야함 (IP 부여)
    • virtual IP로 192.168.1.106도 DB1 DB2 서버 에 부여할 수 있음
    • 그래서 Subnet을 만들 수 있게 되면 IPSec VPN도 연결할 수 있고, 그리고 IP Alias를 통해서 서버의 이중화도 구성할 수 있게 됨

Network Interface Operation

• VPC 플랫폼에서의 서버 네트워크 구성
  • 서버 생성 시, 최대 3개의 Network Interface 생성이 가능
    • Subnet을 여러개의 Subnet에 걸쳐서 Interface를 만들수 있음
  • 각 NIC에는 Secondary IP 부여가 가능
    • 이중화도 가능하고 IPSec VPN도 가능(Subnet 단위로)
  • 하나의 Network Interface에는 최대 5개 까지 Secondary IP를 추가할 수 있음
    • 즉, 하나의 NIC이 가질 수 있는 IP의 개수는 최대 6개 (Primary IP 1개, Secondary IP 5개) - Secondary IP란 IP Alias를 줄 수 있다는 말
    • 멀티 IP 이용을 위해선 부가적인 network script 작성 및 적용이 필요
      

      

    • 기존의 Classic 환경에서 IP 추가하는 것과 동일함 (위 스크립트)

Secure Aone

• 금융정보, 개인정보와 같이 격리되어야 하고 모니터링이 되어야 하는 서버를 위치시키기 위한 존
• Secure Zone 특징
  • 인터넷 통신 불가
  • 네이버 클라우드 플랫폼 내부의 허용된 서버와의 통신만 가능
  • 서버 업데이트 및 어플리케이션 설치도 네이버 클라우드 플랫폼 내부에 허용된 서버를 통해서만 가능
    • 인터넷 통신이 안되기 때문
  • Secure Aone은 망 방화벽을 통해 Secure Zone 내의 서버를 외부로부터 보호
  • 방화벽은 Inbound 뿐만 아니라 Outbound 트래픽 까지 제어
  • 로그 저장 가능 (로그는 CLA에 저장)
    • 어떠한 트래픽이 얼마나 흘렀는지 어떠한 접속이 시도가 되었는지