1. 미러링된 네트워크 트래픽을 OCI Object Storage로 아카이브
  2. 미러링된 네트워크 트래픽을 OCI Object Storage에 아카이브

미러링된 네트워크 트래픽을 OCI Object Storage에 아카이브

Oracle Cloud Infrastructure VTAP(Virtual Test Access Point)는 지정된 소스에서 네트워크 트래픽 복사본을 캡처하고, 필터를 적용하여 관련 데이터에 초점을 맞추고, 분석을 위해 대상으로 전송하는 네트워크 트래픽 미러링 서비스입니다. 이를 통해 네트워크 문제 해결, 보안 모니터링, 네트워크 성능 분석 및 준수 감사를 향상시킬 수 있습니다.

구조

이 아키텍처는 Oracle Cloud Infrastructure(OCI)를 사용하여 미러링된 트래픽을 VTAP에서 OCI Object Storage로 아카이브하는 방법을 보여줍니다.

규정 준수를 위해 네트워크 트래픽을 아카이브해야 할 수 있습니다. 또한 네트워크 트래픽을 아카이빙하면 네트워크 문제나 간헐적인 문제를 해결할 때 이점이 있습니다. 필요에 따라 과거 운용 트래픽의 네트워크 캡처를 선택적으로 분석할 수 있습니다.

다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.

다음은 oci-vtap-archiver.png에 대한 설명입니다.
그림 oci-vtap-archiver.png에 대한 설명

oci-vtap-archiver-oracle.zip

설명을 위해 단순 HTTP 웹 서버는 첫번째 전용 서브넷에 클라이언트가 있는 공용 서브넷에 있습니다. 클라이언트는 HTTP GET curl 명령을 사용하여 HTTP 파일 서버에서 파일을 다운로드합니다. 이러한 클라이언트는 이 그림에서 VTAP 소스로 설정됩니다. VTAP를 사용하여 HTTP 트래픽만 미러링합니다. OCI 네트워크 로드 밸런서는 VTAP로부터 미러링된 트래픽을 수신하고 이를 백엔드 서버 노드 간에 로드 밸런싱합니다. 그런 다음 이러한 백엔드 노드는 네트워크 캡처를 OCI Object Storage에 업로드합니다. 사용자 환경에서 VTAP 설정의 소스로 웹 서버 또는 데이터베이스 인스턴스를 가질 수 있습니다. 일반적으로 나머지 설계는 사용자의 구현에서 동일하게 유지됩니다.

다음 구성 요소 사이의 세로 점선은 추가 VTAP 플로우를 구성할 수 있음을 나타냅니다. 클라이언트 1 - 클라이언트 #n, VTAP 소스로 작동, VTAP 싱크 1 - VTAP 싱크 #m, OCI Object Storage에 아카이브를 수행하는 노드.

Terraform 구성은 다음 세 개의 서브넷이 포함된 VCN을 생성합니다.
  • 공용(public) 서브넷: 두 개의 전용(private) 서브넷의 노드에 액세스하기 위한 HTTP 파일 서버와 점프 박스 역할을 하는 단일 호스트를 포함합니다. 문제 해결 또는 기타 유지보수를 위해 프라이빗 서브넷의 노드에 액세스하려면 운용 환경의 퍼블릭 서브넷에 점프박스 또는 배스천 서버가 필요할 수 있습니다.
  • 프라이빗 서브넷: HTTP 파일 서버에서 더미 파일을 다운로드하여 HTTP 트래픽을 생성하는 노드를 호스트합니다. 이러한 노드는 VTAP에 대한 소스로 작동하며 해당 트래픽은 VTAP에 의해 적절한 캡처 필터와 미러링됩니다. 이러한 노드를 VTAP Source 노드라고 합니다. 각 VTAP 소스 노드에는 별도의 VTAP가 있습니다.
  • 전용 서브넷: VTAP에 대한 대상 역할을 하는 NLB(네트워크 로드 밸런서)를 포함합니다. OCI Flexible Network Load Balancer에는 VTAP 트래픽의 네트워크 캡처를 pcap 파일로 수행하고 이를 버킷에 아카이브하는 백엔드 노드가 있습니다. 이러한 노드를 VTAP Sink 노드라고 합니다. VTAP 싱크 노드와 NLB는 동일한 개인 서브넷에 상주합니다.

VTAP는 이러한 VTAP 소스에서 발생하는 HTTP GET 요청의 네트워크 트래픽만 공용 서브넷의 HTTP 파일 서버로 캡처하도록 캡처 필터로 구성됩니다. VTAP는 VTAP 소스 노드의 기본 VNIC에 설정됩니다.

배치할 영역 및 컴파트먼트를 선택할 수 있습니다. 모든 리소스는 지정된 영역 및 컴파트먼트에 생성됩니다. pcap 파일을 아카이브할 OCI Object Storage 버킷도 생성됩니다.

구조에는 다음과 같은 구성 요소가 있습니다.

  • 지역

    Oracle Cloud Infrastructure 리전은 가용성 도메인이라고 하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 먼 거리가 그들을 분리 할 수 있습니다 (국가 또는 대륙에 걸쳐).

  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 Oracle Cloud Infrastructure 지역에서 설정한 맞춤형 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN을 통해 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있습니다. 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷 생성 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • VTAP

    VTAP(Virtual Test Access Point)는 문제 해결, 보안 분석 및 데이터 모니터링을 위해 지정된 소스에서 선택한 대상으로 트래픽을 미러링하는 방법을 제공합니다.

  • NLB(Network Load Balancer)

    OCI Flexible Network Load Balancer는 한 시작점에서 백엔드 세트 내 여러 서버로의 자동 트래픽 분배를 제공합니다. 네트워크 로드 밸런서는 Layer 3/Layer 4(IP 프로토콜) 데이터를 기반으로 정상 서버로만 트래픽을 전달하여 서비스를 계속 사용할 수 있도록 합니다. 여기서는 OCI Flexible Network Load Balancer를 사용하여 VXLAN UDP 트래픽을 VTAP 싱크 노드로 로드 밸런싱합니다.

  • 오브젝트 스토리지

    Oracle Cloud Infrastructure Object Storage를 사용하면 데이터베이스 백업, 분석 데이터, 이미지 및 비디오와 같은 리치 콘텐츠 등 모든 콘텐츠 유형의 대량의 구조적 및 비구조적 데이터에 빠르게 액세스할 수 있습니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 안전하고 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않고 스토리지를 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스하는 데 필요한 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 또는 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.

  • 서비스 게이트웨이

    서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.

  • 인터넷 게이트웨이

    인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.

권장사항

다음 권장 사항을 시작점으로 사용합니다. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.
  • VCN

    VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수에 따라 필요한 CIDR 블록 수와 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.

    프라이빗 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.

    VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.

    서브넷을 설계할 때는 트래픽 플로우 및 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결합니다. 이 서브넷은 보안 경계 역할을 할 수 있습니다.

    지역 서브넷을 사용합니다.

  • 네트워크 로드 밸런서 접속 제한

    OCI L3/L4 네트워크 로드 밸런서는 무료 서비스이며 트래픽에 따라 동적으로 자동 확장됩니다. 네트워크 로드 밸런서의 기본 동시 연결 제한은 AD(가용성 도메인)당 330,000개의 연결입니다. 3개의 AD 리전에서 네트워크 로드 밸런서는 기본적으로 1백만 개의 동시 연결 제한을 가집니다.

  • 보안 목록

    보안 목록을 사용하여 전체 서브넷에 적용되는 수신 및 송신 규칙을 정의합니다.

  • NSG(네트워크 보안 그룹)

    NSG를 사용하여 특정 VNIC에 적용되는 수신 및 송신 규칙 세트를 정의할 수 있습니다. NSG를 사용하면 애플리케이션의 보안 요구사항과 VCN의 서브넷 아키텍처를 분리할 수 있으므로 보안 목록이 아닌 NSG를 사용하는 것이 좋습니다.

  • 캡처 필터에 대한 자세한 내용은 GitHub의 vtap.tf 파일을 참조하십시오.
  • tcpdump 구성 방법 및 VXLAN 캡슐화된 미러링 트래픽의 캡슐화 해제에 대한 자세한 내용은 cloud_init/vtap_sink.yml 파일을 참조하십시오.

고려사항

이 솔루션을 구현할 때 다음 사항을 고려하십시오.

  • 인터넷 프로토콜 트래픽

    이 솔루션은 IPv4 트래픽에 대해서만 개발 및 테스트됩니다.

  • 권한 설정

    이 배치에 필요한 OCI 리소스를 모두 생성하려면 선택한 컴파트먼트 및 영역에 대해 필요한 Oracle Cloud Infrastructure Identity and Access Management 권한이 있어야 합니다.

  • 구성 가능한 매개변수

    구성 가능한 모든 매개변수를 보려면 variables.tf 파일을 참조하십시오.

  • VTAP 소스 및 규칙
    • VTAP에는 항상 소스, 대상 및 연관된 캡처 필터가 있어야 합니다.
    • 캡처 필터에는 항상 하나 이상의 연관된 규칙이 있어야 합니다.
    • VNIC는 둘 이상의 VTAP에 대한 소스가 될 수 없습니다.

배치

GitHub에서 코드를 다운로드하여 커스터마이즈하고 배치합니다. Terraform은 OCI 테넌시 내에 필요한 모든 리소스를 설정합니다.

OCI Resource Manager를 사용하여 한 번의 클릭으로 배포하거나 코드를 다운로드하여 로컬 개발 시스템에서 배포할 수 있습니다.

링크는 GitHub에서 사용할 수 있습니다.

  1. GitHub로 이동합니다.
  2. README 문서의 Deploy 섹션이 표시됩니다.
  3. README 문서의 지침을 따릅니다.

추가 탐색

Oracle Cloud Infrastructure 및 네트워크 미러링에 대해 자세히 알아보십시오.

다음 추가 리소스를 검토하십시오.

확인

  • 작성자: Mayur Raleraskar