VPN
그렇다면 vpn을 만드는 이유는?
언더레이 네트워크를 통해 배워왔던 한계. 사설 네트워크끼리는 통신을 할 수 없어.
그런 한계를 극복하고 싶음. 터널링을 통해 마치 옆에 있는 것 처럼 여겨질 수 있게끔 해서 통신.
원래는 안 되어야 할 사설 네트워크 끼리의 통신이 가능해진 것.
이 vpn이라는 애는 물리적인 사설 네트워크들을 서로 연결시켜주는 기능. 원래는 안 되어야 하는게 맞음. 마치 목적지의 내부 네트워크에 실제로 존재하고 있는 것 같은 느낌
!!!중요!!!
터널링. -> over lay network
물리적인 네트워크 -> under lay network
server - client / site to site
이렇게 2가지 방식 있고, 터널링 방식은 뭐 여러개 있는데 GRE, L2TP정도만 기억하면 됨.
암호화는 ipsec, ssl 뭐 이런 것들 있는데 ipsec 사용해서 실습 진행했음.
site - to - site vpn
이론적으로 물리적으로 떨어져있는 사설 네트워크끼리는 통신이 안 된다. 하지만, 터널링을 통해서 over lay network가 형성이 된다면
'같은 지역에 있는 것 처럼' 간주 할 수 있다.
- 의문???
이론적으로 겹처도 된다고 하면, 같은 ip를 가진 호스트가 있을 수 있다는 건데, 그럼 통신 어떻게 가능한지? --> 가능은 해 근데 그렇게 안 쓴다.
KVM
늘 하던 것과 같은 느낌인데, 근데 이제 커널이 들어간... 하이퍼바이져 어쩌구..
ens32와 같은 인터페이스의 이름을 전부 eth0 으로 naming 할 것 -> eth0, eth1, eth2 ... 이런 식으로 될 것
사전설정)
ens32 와 같은 인터페이스의 이름을 전부 eth0 으로 네이밍 할 예정. 첫번째 eth0, 두번째 eth1 세번째는 eth2…
=> 장치명을 변경하려면 부트로더(GRUB)를 수정해야함.
1.ifcfg 파일 수정(장치명-NAME,DEVICE)
2.네이밍을 변경하는 설정.
3.’2’의 내용을 반영.
(여담으로, 어떤 os던 gui 사용하면 NetworkManager랑 내가 ifcfg-에서 직접 설정하는 이게 충돌을 잘 일으킴...그래서 실습은 NetworkManager 데몬을 비활성화하고 진행)
Virtualization
-
위치가 어디인지? - 수업 그림 참조
type1 - VMware ESXi(vSphere라는 제품군 안에 속한 하이퍼바이저), Xen, KVM
type2 - VMware Workstation
위치는 얘를 os위에 얹을거냐, 혹은 그 os에 자체적으로 위치시킬거냐가 문제
즉, 하이퍼바이저가 어디에 위치하느냐에 따라서 타입이 갈림 -
어떻게? - 수업 그림 참조
전 가상화
- 모든 명령에 domain0라는 최초의 가상 머신이 개입
- 효율 떨어짐
- but, guestos의 커널 수정이 불필요함
- 자신이 가상머신이라는 사실을 인지하지 못 함
- 호환성 좋겠지
반 가상화
- Domain-Zero 없이, 하이퍼바이저에 통로가 있는 느낌
- 어떤 명령은 하이퍼바이저를 거치지 않고, 거쳐가는 명령도 있음
- 하이퍼바이저 거치지 않는 직통 명령을 hyper-call 이라고 합니당.
- 얘는 본인이 가상 머신이라는 사실을 인지함
- 그래서 guetos의 커널 수정이 필요
- 호환성 떨어지겠지
- 그래서 호환이 되는 os만 설치 가능
Migration 전제 조건 (vmware 예시)
- 서로 통신이 되어야 함
- 하이퍼바이저가 연동
- 공유 스토리지에 vm 저장
서버 Failover 방식 (vmware 예시)
HA (High Availability) = 고가용성
장점: 높은 확률로 사용이 가능하다 -> srv1에서 vm이 동작하다가 문제 발생 시 vm이 srv2로 이동
단점: HA의 경우 vm이 중단 -> 넘어가기는 잘 넘어가는데 이주한 호스트에서 재부팅. 결론적으로, 아주 일시적으로나마 그 재부팅 시간 동안만이라도 서비스가 중단됨
FT (Fault Tolerance) = HA보다 고급. 무중단 서비스 제공
미리 똑같은 vm을 다른 호스트에 복제를 해놓고 대기. srv1에 vm이 문제가 생기면, 바로 srv2의 vm이 동작. 대신 많게는 2배까지 리소스를 더 잡아먹지. 그냥 HA보다 좀 좋다~ 정도로 알고, 그렇게까지 자세히는 몰라도 됨. 일종의 미러링 개념으로, 무중단 서비스 제공
IaC
IaC(Infrastructure as Code)
- 코드로 인프라를 정의.
- 테라폼, 앤서블
일반적으로 테라폼이나 앤서블 같이 인프라를 정의하고, 관리하는 언어를 IaC라고 부르기는 하나 넓은 의미에서, 특히 인프라를 정의한다는 측면에서 kvm의 xml이나 docker,kubernetes의 yaml파일들도 IaC의 범주에 속한다고 봐도 무방하다.
virsh(virtual shell) - kvm 의 cli 명령어.
uri는 url의 상위 개념?
etc
-
파일 내용 대체 or 변경 명령
sed -i s/<변경전>/<변경후>/g # -i : 파일의 내용일 직접 수정. 대체. -
ex) selinux 변경 시
sed -i s/SELINUX=disabled/SELINUX=disable/g /etc/selinux/config -
centos7은 50gb넘어가면 자동으로 디스크 파티션 나뉨.
다 쓰려면 그래서 직접 나눠줘야함 -
라우터 사이사이는 홉이라고 함. 그 홉 수 제한을 거는게 TTL
-
Overlay Network 추가 설명 : 기존의 레거시 네트워크 위에 존재하는 가상의 네트워크.
터널링을 통해 구성이 되며, 원래는 통신이 안되어야하는 사설, 혹은 가상의 네트워크들끼리 통신이 되게하는 원리. -
라우터 명령 중 commit 명령 <-> discard 명령. commit을 했다면 rollback을 해야함.
-
우선순위 개념 숙지 할 것. nat에서 pat걸어 줄 때, 우선순위 고려하지 않으면 vpn site-to-site 한 것 통신 끊겨버림. site-to-site는 nat되지 않도록 exclude 하는 rule 순위가, pat보다 더 높아야 한다. 그래야 외부, 내부 모두 통신 가능
-
IPsec
-- AH (Authentication Header)
-- ESP (Encapsulation Security Payload) -
사설 ip를 사용하는 이유는 가장 첫 번째 이유는 일단 ip주소가 부족해서임
