Region & Zone
- Region 은 Zone 으로 이루어져 있다
- 서로 다른 ZONE 에 나뉘서 인프라를 구축하면 비용 문제가 있다. 예를 들어 ZONE A 의 WEB 과 ZONE B 의 DB 는 서로 통신간에 ISP 를 거쳐야 하므로 망사용료가 나온다. 같은 ZONE 에서 통신시 비용은 나오지 않는다
- 같은 ZONE 에서의 통신은 Private Network 를 통한 통신이므로 비용이 발생하지 않는다. 허나, 다른 ZONE 간의 통신은 Public Network 를 통한 통신이므로 ISP 를 거쳐야 하므로 망 사용료가 나와 비용이 발생한다
- 비용이 나오지 않게 같은 ZONE 에 인프라를 구축한다. 이때, DB 는 백업이 필요하므로 다른 ZONE 에 Secondary DB 를 두어 두 DB 간애 클러스터를 구성한다. 이때, 두 DB 는 서로 HeartBeat 를 주고 받으며 Primary DB 에 문제가 생긴다면 Secondary DB 를 Primary 로 사용한다
VPN
- VPN 은 Virtual Private Network. 주로 IPsec VPN 을 사용한다. VPN 을 통해 인터넷을 거치더라도 안전하게 통신이 가능하다. IPsec VPN 의 경우 지역에 고정된 경우가 많다
- GRE 방식은 터널링을 통해 Private Network 간 통신이 가능하게 하지만, 인터넷을 거쳐야 하므로 데이터 노출의 위험이 있다. GRE 는 통신간에 외부로 나갈 때 앞에 공인 IP 가 붙어서 인터넷을 거쳐서 목적지 Private Network 까지 가기 때문이다. 이를 보안하기 위해 GRE 에 IPsec 을 더해서 데이터를 보안한다. GRE + IPsec 을 gre over IPsec 이라고 한다
- GRE 는 private Network 간 통신시 터널을 통해 목적지 Private Network 까지 가기 위해 앞에 지정된 공인 Ip 가 붙어서 인터넷을 거쳐서 간다
- IPsec 에는 Authentication, Hash, Encryption 이 있다
Region 을 나눠서 인프라를 구축할 때는 VPN 을 사용하는 것이 좋다
허나 이 VPN 은 일반 인터넷 ( 일반 공중망 ) 을 사용하므로 속도가 저하될 수 있으며 보안상 신뢰가 낮다
MPLS VPN
Multi Protocol Label Switching 의 약자로 데이터 패킷에 Ip 주소가 아닌 별도의 Label 을 붙여 스위칭하고 라우팅하는 기술이다
- MPLS VPN 은 일반 공중망이 아닌, 별도의 독립 라인인 기업망을 사용한다
- ISP 와 별도로 계약하여 별도의 독립 라인을 사용한다
- 사실 MPLS 는 VPN 은 아니지만, 별도의 독립적인 라인을 사용하기에 MPLS VPN 이라고 한다. MPLS 는 별도의 암호화는 없다. 따라서 IPsec 을 추가하여 구성할 수 있다
- 기업별 독립 라인을 사용하려면 각 라인당 별도의 물리적인 라우터가 존재해야 한다. 허나, 이는 수많은 기업별로 각각의 라우터를 준비할 수는 없기에 VRF 기술을 이용한다
- VRF 는 가상의 라우터를 만드는 기술이다. VLAN 은 가상의 스위치를 만드는 기술이다
- 각 라우터의 끝을 Provider Edge 라고 한다
- 만약, PE 에 연결된 기업들의 Private Network 가 같은 대역을 사용한다면, 해당 네트워크 대역에 대한 트래픽이 왔을 때, 서로 다른 기업이 같은 대역을 사용하므로 트래픽을 잘못 보내어 통신에 문제가 생길 수 있다. 서로 다른 곳에서 같은 Private Network 대역을 사용하는 경우 ISP 입장에서는 어디가 목적지인지 모르기 때문이다. 이러한 문제는 IP 를 읽어보기에 발생한다. 따라서 IP 앞에 label 을 붙여서 통신을 한다
- L2 HEADER 와 IP PACKER 사이에 MPLS HEADER 를 붙인다. 이를 통해 IP 를 해석하지 않고, Label 을 통해 통신이 가능한 것이다. MPLS VPN 을 이용한 통신간 IP 는 사용하지 않는다
- 3 계층까지 올라가지 않으므로, 패킷 처리 속도가 빠르다
멋진 엔지니어가 될 때까지
글 잘 봤습니다, 감사합니다.