본문 바로가기
CSP (Cloud Service Provider)/KT Cloud

[KT Cloud] Enterprise Security 이용 방법

by BTC_이지현 2022. 12. 27.
Server 이용 방법
VM 생성
상품 신청이 완료되면 다음과 같은 KT Cloud 서비스 포탈의 클라우드 콘솔 화면을 보실 수 있습니다.
KT Cloud server 메뉴에서 ‘서버 신청’을 이용하여 필요한 VM을 생성합니다.
  • VM을 생성할 tier를 선택하여 VM을 생성합니다. tier는 계정 전용의 가상 네트워크입니다.
  • 포탈상으로는 기본적으로 두 개의 tier(DMZ, private)를 제공하며, 2개 이상의 tier 생성을 원할 때에는 컨설팅 담당자에게 별도의 요청을 주시기 바랍니다.
  • DMZ tier의 IP 대역은 172.16.0.0/24, Private tier는 172.16.1.0/24 입니다.
  • 실제 VM에 할당되는 IP 범위는 .6~.180 입니다.(나머지 대역은 관리용, 로드밸런서 등의 IP 대역으로 할당)
  • VM을 생성한 후, 서버리스트에서 생성된 VM의 상세 정보를 확인하면, 내부주소 항목에 선택한 tier 대역의 IP가 설정 된 것을 확인 할 수 있습니다.(고정 IP)
VM의 외부 DNS 사용을 위한 방화벽 설정
VM을 생성한 후, 외부 DNS를 사용하기 위해서는 방화벽 설정이 필요합니다. 네트워크 메뉴에서 방화벽 정책을 추가할 수 있습니다. 외부 DNS IP는 /etc/resolv.conf 에서 확인 가능합니다.
 
Source Network에 원하는 tier 네트워크를 선택하고, UDP프로토콜과 Destination Network에는 DNS IP 대역(168.126.63.0/24)을 입력합니다. 해당 방화벽 정책을 추가하면 외부 DNS 사용이 가능해집니다.
VM의 인터넷 접속
Enterprise의 VM들은 기본적으로 인바운드, 아웃바운드 트래픽이 차단되어 있습니다.
따라서 같은 tier내에 있는 VM들은 서로 통신할 수는 있지만, 기본적으로 외부와의 연결이 차단되어 인터넷에 접속할 수는 없습니다. 또한 tier간 통신도 차단되어 있습니다.(최초 생성 시, 모든 정책 deny)
 
네트워크 리스트에서 보여지는 SRCNAT type의 IP가 VM에서 인터넷 접근을 위하여 사용되는 source NAT IP이며, 최초 생성시에 주어지는 기본 공인IP 입니다.
IP 추가 신청
최초 IP를 생성하면 'Type' 부분에 아래와 같이 상태 표시가 되어 있습니다.
 
순서 Type Description
1 SRCNAT 최초 생성시
2 STATIC 해당되는 VM에 대하여 전체 포트에 대한 방화벽 해제시
3 ASSOCIATE 최초 IP에서 추가 IP 생성시
4 PORTFORWARD Port Forwarding Rule이 하나 이상 적용시
 
VM에서 인터넷 접근을 위한 SRCNAT type의 공인 IP외에, 추가적인 공인 IP를 할당 받아 사용할 수 있습니다. 기본적으로 공인 IP는 15개를 제공하며, 기본 SRCNAT용 1개를 제외하고 고객이 추가로 14개를 사용할 수 있습니다.
 
네트워크 메뉴에서 ‘IP 추가 신청’이라는 빨간 버튼을 클릭하면 뜨는 팝업 창에서 확인을 클릭합니다. 생성된 공인 IP는 목록에서 조회 가능하며, 아직 사용 중이지 않은 상태로 type은 ACCOCIATE 상태 입니다.
외부에서 VM 접속 방법
 
포트포워딩 생성
외부 -> DMZ/Private tier 연결 구성
  • 'Server-Networking' 탭 클릭 후, 네트워크 리스트 중에 VM 접속을 위해 사용할 공인 IP를 선택하고 ‘접속설정’ 탭을 조회 합니다.
  • 기존 할당 받은 SRCNAT IP 주소를 사용하거나, 또는 IP 추가 신청을 통해 공인 IP를 받을 수 있습니다.
  • 해당 공인IP에 맵핑되는 사설 VM 선택 및 공인/사설 포트에 대한 설정을 하여 포트포워딩을 만들 수 있습니다.
포트포워딩 적용 방화벽 정책 생성
  • 'Server-Networking' 탭 클릭 후, 설정하고자 하는 포트포워딩에 사용할 IP를 선택 - 방화벽 버튼을 선택 합니다.
  • 방화벽 화면에서, 외부->내부로의 접근을 허용하는 방화벽 정책을 생성해야 하며, 외부로부터 접속하려는 서버를 선택하고, 접속 정보를 입력합니다.
  • [중요] 포트포워딩 추가 시, 해당 포트포워딩에 대한 방화벽 정책이 자동으로 설정되지 않기 때문에(모두 DENY 상태) 별도의 방화벽 허용(ALLOW) 정책을 추가해야 합니다.
  • [중요] 방화벽 정책 설정은, 기타 가이드를 참고 부탁 드립니다.
VM에서 외부 접속 방법
 
방화벽 정책 설정
생성한 VM 에서 인터넷 접근을 하기 위해서는 방화벽 정책을 허용해 주어야합니다.
DMZ/Private tier → 외부 연결 설정
아래 KT Cloud server의 메뉴 중 네트워크 항목을 조회하면, 특정 IP의 TYPE이 SRCNAT로 설정되어 있는 것을 확인할 수 있습니다.
  • 네트워크 리스트에서 방화벽 탭을 선택합니다.
  • 인터넷 접근을 가능하게 할 tier대역을 선택하고 Destination Network를 external(외부)로 선택하고 ‘추가하기’를 클릭합니다.
  • 해당 방화벽 설정을 통해 해당 tier의 VM은 인터넷에 접근할 수 있습니다.
  • 아래의 예제는 프로토콜-TCP만 허용한 예제이며, 필요에 따라 ICMP, UDP, TCP, ALL 로 지정 가능합니다.
Tier 이용 방법
Tier 추가 생성
Tier는 L2 가상 네트워크로 기본으로 제공하는 2개의 Tier 네트워크를 포함하여 총 15개의 Tier를 생성할 수 있습니다.
KT Cloud server – Tier 탭에서 Tier를 관리할 수 있습니다.
  • Tier 생성을 클릭하면 Tier를 생성하기 위한 팝업창에 이름과 설정할 IP를 입력할 수 있습니다.
  • 확인을 누르면 Tier가 생성됩니다.
서로 다른 Tier 간 통신
DMZ ← → Private tier 연결 설정
 
tier간의 통신은 간단한 방화벽 정책 설정으로 가능합니다.
아래와 같이 source network와 destination network로 원하는 tier의 네트워크를 선택합니다.
그 밖의 항목은 역시 공란으로 둘 경우 ANY로 입력 됩니다.
방화벽 정책 우선순위 설정
방화벽 정책들의 우선순위를 설정하여 보다 효율적으로 네트워크 자원들을 관리할 수 있습니다.
포탈 콘솔에서 방화벽 탭을 조회하면, 방화벽 정책들을 우선순위 순으로 조회 가능합니다.
방화벽 정책은 기본적으로 DENY로 설정 됩니다.(이동 버튼을 클릭)
  • 방화벽 정책을 보다 효율적으로 설정하기 위해서는, 구체적이고 범위가 좁은 rule을 우선순위가 높게 설정하고,
  • 더 넓은 범위의 allow/deny 정책 rule을 우선순위가 낮게 설정하는 것을 권고합니다.
로드밸런서 이용 방법
Enterprise Security 로드밸런서 서비스 구조
로드밸런서는 트래픽에 대한 분산처리를 합니다. Enterprise Security의 로드밸런서는 일반형과 다른 구조를 가지고 있습니다.
로드밸런서는 서버와 같은 사설 네트워크(L2)에 위치하고, IPS와 NAT/FW내부인 Trust구간에 위치한 보안 강화 구조입니다.
서비스 설정
서버 구성 후 로드밸런서 메뉴에서 부하분산을 위한 설정을 할 수 있습니다.
 
1) 로드밸런서 신청 (메뉴 : 로드밸런서 - 로드밸런서 리스트)
 
로드밸런서 구성에 필요한 IP(신규/기존)/포트, 로드밸런서 타입(프로토콜), 로드밸런서 옵션(메소드), Health Check, 그리고 적용 서버를 등록할 수 있습니다.
(상세 설정값 구성은 일반 로드밸런서와 동일하며, '네트워크-Load Balancer 사용자 가이드'에서 확인 하실 수 있습니다.)
2) Static NAT 설정 : 외부 통신이 필요한 경우에만 설정 (메뉴 : ucloudserver - 네트워크)
 
로드밸런서 신청 후 VIP(로드밸런서 IP)는 해당 Tier 사설 네트워크에서 정해진 범위에서 할당됩니다.
Tier네트워크내에서의 부하분산과 Tier네트워크간 부하분산에서는 Static NAT는 불필요하며(이경우 방화벽 허용 정책은 필요합니다),
 
웹서버와 같이 외부에서 접속을 위한 공인 구간 접속을 위해서 Static NAT작업이 필요합니다.
네트워크 메뉴에서 'IP 추가 신청'을 통해 <ASSOCIATE: IP추가 후 미사용 상태> 상태 인 공인IP만 가능합니다.
<ASSOCIATE>상태의 공인IP 선택 후 'Action'버튼으로 로드밸런서를 외부 연동이 되도록 설정할 수 있습니다.
  • 이후 일반 서버와 같이 방화벽에서 'Static NAT'를 설정한 IP에 대한 허용 정책을 설정하면 서비스를 위한 준비가 완료됩니다.

 

출처 : https://cloud.kt.com/portal/user-guide/enterprise-enterprise_security-howto

댓글