=======
Security
- ACL(Access Control List) : S.IP, D.IP, D.Port
- NAT(Network Address Translation)
- VPN(Virtual Private Network)
공용망을 사용함으로써 비용절감, 암호화로 인해 보안 수준이 높음
preshared 방식
- 대칭키로 자주 사용
받은내용 알고리즘과 키를 사용해 암호화
보낼땐 목적지 사설IP와 맵핑된 공인 IP로 전송
Tunneling
- VPN과 VPN장비 사이의 구간
- VPN과 VPN 통신의 연결통로
- 공용망에서 암호화해서 통신하는것 (안좋은)
- 다른쪽으로 라우팅이 될 수 없음(세팅상 출구(목적지)가 하나밖에 없기때문, 그래서 이름도 터널)
- VPN 구성을 하면 터널이 뚫린다 라고 생각하기.
- 장치와 인터넷 사이의 암호화 연결을 의미
- 밖에선 터널안쪽을 볼 수 없듯이, 마찬가지로 내용을 볼 수 없기 때문(암호화)
실습(미니프로젝트 처럼)
각각 다른 OS를 구분하기 위해 VMnet을 각각 다르게 준다
외부로 나가는 F 0/0 쪽에 10 대역을
내부 사설망쪽 F 1/0쪽에 192.168.230 대역을 줬다
내부에서 외부로 나가게하는 NAT-PAT 설정을 라우터에 설정
1번 설정을 하기위해 NAT-PAT을 설정하니 DMZ부분이 사설에서 공인대역으로 나가질 않음
-> NAT-PAT 설정으로 인해 출발지가 바뀌어 버리는 현상이 일어나서 NAT-PAT 설정 자체를 지움
-> 1번 대역이 인터넷이 안됨
UTM에서 IP 매핑을 잘 해줘야 한다는 생각이 든다.
=======
디스크 할당량
- 네이버를 회원가입 했을때 네이버 클라우드에서 무료로 주는, 할당 해주는것과 같은 의미
- 할당받은 만큼의 용량으로 제한시키는것, 제한 되는것
파티션과 볼륨의 차이점을 잘 알아야 한다.
볼륨 - 유연해진다.
파티션 - 칸막이 치면 끝
윈도우에서 할당량 세팅은 이정도가 끝이다.
경고 수준을 다음으로 설정
- 정해두면 정한만큼의 용량을 사용하면 경고표시를 띄운다.
할당량 한도를 넘은 사용자에게 디스크 공간 주지 않음
- 정해진 용량이 넘었을시 더 이상 사용안된다.
- 딱 정해진 용량만 사용하게 한다는것
- 네이버 클라우드 같은곳에서도 사용됨.
- 기본적으로 admin을 제외한 계정들은 할당량이 다 똑같아진다.
- Administrator는 제한 받지 않는다. 디스크 할당량에서 자유롭다.
- 하지만 할당량 항목에서 계정마다 다르게 할당 해줄 수 있다.
할당량 항목 - 할당량 - 새할당량 항목 - 계정 선택후 할당량 제한
기준은 C드라이브이다. D드라이브는 제한이 없다.
할당이 된걸 볼수 있다.
따로따로 다르게 할당 해주었다
=======
L4 Switch
- TCP/UDP Port번호를 이용해 트래픽을 서비스별로 분류하여 포워딩하는 장비
- SLB(Server Load Balancing) FLB(Firewall Load Balancing) 또한 가능하다.
- 번갈아 가면서 일을 시키기 위해 만들어짐, 부하를 줄이기 위해 밸런스를 맞춰주는것
- 장비 다중화 회선 이중화
- 주요 기능 : Load Balancing
Load Balancing
- 부하 분산
- 특정 시스템이 받게 되는 부하를 동일한 기능을 수행할 수 있는 여러 시스템으로 분산
Health Check
- Server Load Balancing 구성에서 L4 Switch가 서버의 서비스 가능여부를 확인하기 위해 사용
- 일반적으로 ICMP를 사용하지만 SLB의 경우 TCP를 사용해 실제 서버에서 제공하는 서비스의 사용 가능 여부를 체크
- 웹서버 로드 밸런싱때는 ICMP, HTTP로도 체크할 수 있다
- 간혹 웹서버가 죽었지만 ICMP로 핑을 주고 받는걸로 L4 스위치가 살아있다고 판단할때도 있다.
- 프로토콜 지정 가능
- 살아 있는지, 잘 돌아가고 있는지 체크하는것
Load Balancing 정책
- LeastConns
> 새로운 Connection 요구가 들어오는 경우 현재 활동중인 Connectin수가 가장 적은 Real서버로 Session 연결
- RoundRobin
> 서버가 갖고 있는 Session 수와 상관없이 RoundRobin방식에 의해 Connection 분배
실무에선 대부분 라운드로빈을 사용한다.
L4 실습
- Alteon L4 Switch 설정
* L4 Switch 이미지 vmware program으로 import
* NIC 1개 추가 후
1st Network Adapter : vmnet 2
2nd Network Adapter : vmnet 0
3rd Network Adapter : vmnet 3
4th Network Adapter : vmnet 4
* 부팅 후 패스워드 : admin
* 기본 사용법
. : 현재 메뉴 보기
.. : 상위 메뉴 이동
/ : 최상위 메뉴로 이동, 또는 명령어 구분자 역할
1. L4스위치 모든 포트를 VLAN 1로 설정
- 초기 값 : 모든 포트는 별도의 VLAN으로 구성되어 있음
# /info/l2/vlan --> 초기 정보 확인
- Port 2, Port 3번을 VLAN 1번으로 설정
# /cfg/l2/vlan 1
# add 2
y
# add 3
y
# apply --> 적용
# /info/l2/vlan --> 변경 정보 확인(vlan 1에 1-3번 port 확인)
2. L4스위치 IP주소 설정
- VLAN 별 가상인터페이스 생성(if 1) 후 설정
# /cfg/l3/if 1
# addr 10.X.140.50/mask 255.0.0.0/ena
# apply
# cur --> 확인
3. 웹서버 2개 구축 후 각 VMnet 마다 다른 웹사이트가 뜨는지 확인
- Rocky Linux로 웹사이트 두개 구축
VMnet 3번 웹사이트
VMnet 4번 웹사이트
다르게 나오는것 확인
4. L4 스위치 Load Balancing 설정
- slb 설정(Server Load Balancing)
# /cfg/slb --> 로드밸런싱 설정 진입
- Real 서버 설정
# real 1/rip 10.X.140.1/ena
# ../real 2/rip 10.X.140.2/ena
# apply
- Real 서버 그룹 설정
# /cfg/slb
# group 1/add 1/add 2
# metric roundrobin --> 로드밸런싱 방식 지정
# health http --> 헬스 체크 방식 지정
# apply
- 가상 IP주소 설정
# /cfg/slb
# virt 1/vip 10.X.140.100/ena --> 외부에서 접속할 Web서버 IP주소 역할
# apply
- 서비스 종류 및 적용 그룹 설정(https 접속 시 group 2 추가 필요, 상단 Real 서버 그룹 설정에도 group 2 추가)
# service http/group 1
# apply
- 클라이언트 / 서버 포트 지정(실습 시 하단 내용 생략할 것)
==> 실장비에서만 구성
> 클라이언트 포트 : 라우터와 연결된 포트(요청 받을 포트)
> 서버 포트 : Real Server와 연결된 포트
==> 각 포트 별 별도 역할을 지정해주어야 안정적으로 작동
# /cfg/slb
# port 1/client enable/server disable
# ../port 2/client disable/server enable
# ../port 3/client disable/server enable
# apply
결과
같은 IP(VIP)를 적어 웹 접속을 해도 다르게 나오는걸 볼 수 있다.
=======
'공부? > 국비 지원 일기장' 카테고리의 다른 글
| 프로젝트 진행중 (1) | 2024.09.28 |
|---|---|
| 52일차 - 프로젝트 시작 (0) | 2024.09.24 |
| 50일차 - UTM , VPN (0) | 2024.09.13 |
| 49일차 (0) | 2024.09.12 |
| 48일차 - MariaDB DML (0) | 2024.09.11 |