1. 클라우드 컴퓨팅 기술 2.
1-1. 네트워크 가상화.
- `클라우드를 구현하기 위해 네트워크 수준에서도 물리적 구성에 고정되지 않는 유연성이 요구됨.
1-1-1. 네트워크 가상화의 개념.
- 온프레미스 기반 시스템 구축 과정에서는 보통 네트워크는 스위치와 같은 물리적 네트워크 장비를 통해 제공되고 네트워크 엔지니어가 이를 설정 및 관리함.
왼쪽의 경우 일반적인 물리적 네트워크 구성을 보여줌.- 다수의 시스템이 물리적으로 같은 공간에 있다 하더라도
오른쪽과 같이 시스템의 목적과 보안상의 이유로 네트워크 분할이 요청되면 네트워크 라인, 건물 내부 매립선 공사 등의 네트워크 인프라 공사와 여러 네트워크 카드(NIC)를 마련하여 VM을 각각 다른 네트워크에 연결시키고, 네트워크 구축 및 성능 향상을 위해 여러 네트워크 장비를 새롭게 추가해야 하는 어려움이 발생함.
-
어러한 비효율적인 문제를 해결하기 위해 네트워크상의 물리적 동질성을 논리적으로 분할하고 동일한 목적을 갖는 시스템을 여러 네트워크로 분할하여 네트워크 관리 및 보안 문제를 해결하기 위한
네트워크 가상화(network virtualization)기술이 개발 되었음. -
네트워크 가상화의 장점네트워크 리소스 보안 향상- 실제 네트워크 그룹의 이동 없이 네트워크가 분할되어 네트워크 보안상 발생할 수 있는 문제를 차단함.
비용절감- 네트워크 분할 시 스위치, 라우터 등의 네트워크 장비가 추가적으로 요구 되는 반면,
네트워크 가상화 기술을 통해 네트워크를 분할할 때는 라우터, 스위치 등 네트워크 장치를 별도로 추가할 필요가 없어 비용을 절감할 수 있음.
- 네트워크 분할 시 스위치, 라우터 등의 네트워크 장비가 추가적으로 요구 되는 반면,
네트워크 설정 작업의 편의성- 간단한 설정만으로 네트워크 엔지니어가 쉽게 네트워크를 구성 및 관리할 수 있음.
-
서버 가상화를 통해 데이터 센터내 여러 조직의 인프라 or 시스템이 하나의 데이터 센터에 통합되어클라우드 환경에서의 물리적 네트워크와 논리적 네트워크와 같이 집약되며, 모든 시스템이 하나의 네트워크에 연결됨.- 하지만 이러한 네트워크 구성은 네트워크 구축 및 구성 측면에서 편리함이 있을 수 있으나, 한 조직 내에서 네트워크 모니터링, 스니핑(sniffing) 등의 분석을 통해 다른 조직의 패킷을 볼 수 있는 보안 문제 등의 네트워크 보안 정책과 IP 논리주소 충돌 등의 기술적 문제가 발생할 수 있음.
클라우드 환경에서의 물리적 네트워크와 논리적 네트워크
-
네트워크 가상화는 하나의 네트워크 케이블에 연결되어 있어도 마치 여러 개의 네트워크가 있는 것처럼 처리할 수 있어VM의 네트워크 통신을 하나의 물리 네트워크로 집약할 때 발생하는 문제를 해결할 수 있음.- 네트워크 구성 후 그 위에
VM을 배치하면CSP가 관리하고 있는 데이터 센터 내 물리적으로 동일한 네트워크를 이용하고 있음에도 불구하고 사용자가 직접 네트워크 기기를 나열하여 연결한 것처럼 사용자만의 독자적인 네트워크를 가질 수 있게 됨.
- 네트워크 구성 후 그 위에
-
네트워크 가상화는 데이터의 흐름 수준에서 제어를 통해 네트워크를 논리적으로 나누어 기존 네트워크에 논리적 영역을 만듦.- 저장장치에서 특정 저장매체에 목적에 맞는 파티션으로 분할하는 것과 동일함.
- 이러한 논리적 분할은 추상적으로 같은 도메인 내에 있는 지정된 호스트만 연결하는
터널링(tunneling)을 통해 오버레이 네트워크를 구성하는 것과 같음.
-
네트워크 가상화를 위해 아래와 같은 기술이 사용됨.VLAN(Virtual LAN)VPN(Virtual Private Network)NFV(Network Functions Virtualization)SDN(Software Defined Network)
1-1-2. VLAN.
VLAN(Virtual LAN)은가상 LAN이라고도 하고, 이름의 사전적 의미 그대로 LAN을 가상화하는 기술.VLAN을 통해 하나의 물리적인 네트워크를 여러 개의 논리적인 네트워크로 분할할 수 있는 환경을 제공함.VLAN의 구현 방법은 서버로부터 발신되는 모든 패킷에 서버에 부여된 고유 번호가 적힌태그(tag)를 붙임으로써 이태그를 통해 하나의 물리적 네트워크 안에서 네트워크를 여러 그룹으로 나누는 방법을 사용함.
VLAN의 스위치 포트 구성
- 스위치는 태그 번호와 지정된 호스트를 확인하여 전송하기 때문에 지정되지 않은 태그를 갖는 패킷이 전송되는 것이 차단됨.
1-1-3. VPN.
-
VPN(Virtual Private Network, 가상 사설 네트워크)은 인터넷과 같이 불특정 다수가 이용하는 공용 네트워크에 가상으로 전용선과 같은 사설 네트워크의 효과를 제공하여 비용절감과 보안성을 동시에 얻을 수 있는 기술. -
사설 네트워크(private network)- 특정 조직 or 회사가 소유하고 독점적으로 사용하는 사설 IP 대역 주소를 이용하는 네트워크를 의미함.
-
공용 네트워크(public network)- 국제인터넷주소관리기구(ICANN)가 공인한 IP(전 세계에서 유일)을 사용하여 지정되지 않은 다수의 사용자에게 서비스를 제공하는 네트워크.
- 우리하 흔히 쓰고 있는 일반 인터넷이 대표적인 공용 네트워크.
- 국제인터넷주소관리기구(ICANN)가 공인한 IP(전 세계에서 유일)을 사용하여 지정되지 않은 다수의 사용자에게 서비스를 제공하는 네트워크.
-
조직에서 사용하는 거점과 거점을 연결하는 사설 네트워크를 구축하기 위해 통신사업자에게서 전용 네트워크(전용망)을 할당받고 해당 거점을 연결하기 위한 전용 네트워크 장비를 도입하려면 막대한 비용이 필요함.
PN과 VPN의 개념
- 대표적인
VPN터널링 프로토콜로는PPTP,IPsec등.PPTP(Point-to-Point Tunneling Protocol)- 원격 사용자와 사설 네트워크 사이의 보안 접속을 제공하는
2계층(L2, data link layer) 터널링 프로토콜. - 가장 큰 장점은 현재 사용 중인 인터넷 프로토콜
TCP/IP를 그대로 사용하면서 외부인 접근을 차단하는 별도의VPN을 구축할 수 있다는 것.
- 원격 사용자와 사설 네트워크 사이의 보안 접속을 제공하는
IPsec(IP security)VPN터널링의 표준 프로토콜로 보안이 강력한 사용자 인증단계 절차와 암호화를 제공하는3계층(L3, network layer) 프로토콜임.- 클라우드 서비스와 사용자가 보유한 터미널이 인터넷을 통해 연결될 때 주로 사용되는 프로토콜.
1-1-4. NFV.
NFV(Network Functions Virtualization)는 네트워크 장비의 도입 없이 네트워크 기능을 S/W적으로 구현하여 서버 위에 구축하는 기술.
NFV가 다른 네트워크 기술에 비해 갖는 장점.- 신규 S/W 적용 시 새롭게 H/W 장비의 구축 불 필요.
- 서비스 대응 및 트래픽 변화에 대한 신속한 대응.
- 네트워크 유지보수 비용 절감.
- 빠른 네트워크 업그레이드.
1-1-5. SDN.
- 네트워크의 유연한 변경을 가능하게 하고 사용자의 서비스 요청 및 트래픽 변화에 신속하게 대응할 수 있는 기술에 대한 요구로
S/W 정의 네트워킹(SDN : Software-Defined Networking)이 제안되었음.SDN은 전통적으로 라우터, 스위치 등 H/W 중심의 네트워크 인프라를 S/W의 형태로 진화시켜 네트워크 서비스의 유연성과 비즈니스 민첩성을 향상시킬 수 있는 새로운 네트워크 기술.SDN은 기본적으로 기존 네트워크 시스템의 서버 H/W 영역에 개별적으로 탑재되어 있던 라우터와 스위치의 역할을 S/W가 대체함.
- 전통적 네트워크는 각 서버마다 데이터를 관리하는 포워드 H/W층(forward hardware layer)과 OS 및 라우터, 스위치 등이 포함된 제어층(control layer), 네트워크 서비스를 제공하는 애플리케이션층(application layer)으로 구성됨.
SDN은 이 중 제어층을 S/W 기반 기술로 전환하고, 가상화 영역에서 개별 서버 H/W를 일괄적으로 관리함.
SDN 구조 (왼쪽 : 전통 HW 기반 네트워크 구조, 오른쪽 : SDN 네트워크 구조)
2. 실습.(사용자 지정 데이터 및 Cloud-init, 웹 사이트 구현)
- 실습 기록 (개인정보 및 기타 민감한 데이터들로 인해 비공개)
- 사용자 지정 데이터 및 Cloud-init, 웹 사이트 구현해보기.
