위의 내용은
AWS -> VPC 사용 설명서 기준으로 작성
Neutron -> 오픈스택 네트워킹 서적 기준으로 작성
ㅁ amazon VPC
ㄴ aws를 사용하기위한 가상 네트워크
ㄴ 위의 네트워크는 물리적이 아닌 논리적으로 다른 네트워크와 분리되어 있음
ㄴ subnet은 VPC의 IP주소범위
ㄴ public subnet, private subnet 을 사용할수 있음
ㄴ network ACL을 사용할수 있음
VPC를 이해하려면 가상네트워크를 이해해야 한다. 하지만 가상네트워크를 이해하려면 너무 많은 내용들이 담겨 있기에 어렵다.
우선 가상네트워크는 제외하고 VPC라는 네트워크 단위로 가상네트워크를 aws에서 지원한다라고 이해하면 되겠다.
ㅁ openstack neutron - amazon VPC
스위칭 - vpc
ㄴ 가상 머신과 가상네트워크를 2계층에서 연결시켜주는 소프트웨어
ㄴ LinuxBridge, ovs (open vSwitch)등의 다양한 가상스위칭 플랫폼 지원
ㄴ OVS -> NetFlow, SPAN, RSPAN, LACP, 802.1q 등 다양한 표준관리 플랫폼 및 프로토콜을 지원, 해당 기능들은 오픈스택 API를 통해 가려저 있음
ㄴ VLAN 태깅, GRE, VXLAN등의 L2-in-L3 터널링 프로토콜을 통해 오버레이(overlay) 네트워크를 구성가능
ㄴ OVS는 오픈스택에 속하지 않은 하드웨어 스위치나 네트워크 방화벽, 저장장치, 전용서버등과 같은 인스턴스나 디바이스와 통신하는 기능 제공
라우팅 - vpc route table, internet gateway, Nat gateway, nat instance
ㄴ IP포워딩, iptables, network namespace등을 통해 라우팅과 nat기능을 제공
ㄴ network namespace는 네트워크의 chroot와 같은 역활을 함
ㄴ network namespace 마다 자체적인 route table과 iptables 프로세스를 지원, 이를통해 NAT와 필터링등을 처리
ㄴ network namespace -> cisco VRF, 주니퍼 junOS의 라우팅 인스턴스, F5 BIG-IP의 라우트 도메인 등과 유사함
ㄴ network namespace를 사용하게되면 테넌트마다 생성한 네트워크 서브넷이 서로 중첩되지 않게 해줄수 있음
ㄴ router를 설정하면 외부와 통신할수 있게됨
로드벨런싱 - ELB, Security Group, vpn acl, WAF
ㄴ security group, firewall 두가지 방법으로 instance 와 network의 보안을 제공
ㄴ security group은 nova-network에서 제공되다가 openstack network 으로 넘어온 기능
ㄴ security group을 이용하면 compute node의 iptable을 이용하여 instance의 트레픽을 제어
ㄴ 서비스형태의 방화벽 (FWaaS, Firewall-as-a-Service)가 도입되면서 compute node가 아닌 router에서 보안을 다루게됨
VPN - CGW, VGW, VPN connected
ㄴ 가상 사설 네트워크는 사설 네트워크를 인터넷과 같은 공용 네트워크로 확장하여 공용네트워크를 통해 데이터를 주고받을 때 사용
ㄴ 각 테넌트마다 ipsec기반 vpn 터널을 생성할 수 있도록 API를 제공함
ㄴ VPNaaS는 실험적으로 도입 (havana 버전)
ㅁ Openstack에서 사용하는 네트워크 종류
관리 네트워크 - 알수없음
ㄴ 메시징 서비스, 데이터베이스 서비스 같은 여러가가지 서비스를 구동하는 호스트끼리 내부적으로 통신할때 사용함
ㄴ 모든 호스트는 관리네트워크를 사용, 전용 인터페이스를 구현해도 되고, 다른네트워크와 결합된 형태로 설정 가능
API 네트워크 - aws vpc api
ㄴ 클라우드 사용자와 클라우드에서 제공되는 서비스에게 Openstack API를 제공하는 용도로 사용
ㄴ 키스톤, 뉴트론, 글랜스, 호라이즌 등과 같은 서비스의 주소는 API네트워크에서 제공
외부 네트워크 - public network
ㄴ 뉴트론 라우터를 통해 접근
ㄴ 라우터를 설정하였다면 인스턴스에 대한 유동 IP, 로드벨런서 VIP를 할당가능
ㄴ 이 네트워크에서 사용하는 IP 주소는 인터넷상의 모든 클라이언트에서 접근이 가능해야함
게스트 네트워크 - private network
ㄴ 인스턴스끼리 데이터를 주고받는 네트워크
ㄴ 특정 노드에 대해서만 설정된 로컬 네트워크로 구성할수도 있음
ㄴ flat, vlan 태깅된 네트워크로 구성가능, GRE나 VXLAN을 이용한 가상 오버레이 네트워크로 구성할수도 있음
'AWS > 응용' 카테고리의 다른 글
| ELB 를 통한 내부네트워크 EC2 FTP 접속 (0) | 2017.12.12 |
|---|---|
| ec2 user data tomcat start test (0) | 2017.12.05 |
| amazon linux redis install & cluster config (0) | 2017.02.28 |
| aws cross region openswan (0) | 2016.07.13 |