보안 다중 계층 토폴로지 설정에 대해 알아보기
이 솔루션에서 제공된 Terraform 빌딩 블록을 사용하여 다중 계층 사용자 환경을 지원하는 보안 네트워크 토폴로지의 기본 구조를 구현합니다. 이 기본 토폴로지를 생성한 다음 비즈니스 요구 사항에 맞게 튜닝하면 상당한 시간 및 노력이 절약됩니다.
구조
이 솔루션의 구조는 리소스를 관리하는 사용자 그룹에 따라 리소스를 개별 구획으로 구성합니다.
그림 multitier-network-architecture.png에 대한 설명
다음은 이 구조의 리소스입니다. 특정 요구 사항에 대한 구조를 사용자정의합니다.
- VCN (가상 클라우드 네트워크) 및 게이트웨이는 네트워크 구획에 있습니다. 서브넷을 사용하는 리소스를 포함하는 구획에 서브넷을 생성할 수 있습니다.
- 공용 서브넷에 연결하는 리소스 (예: 기본 호스트) 는 인터넷 게이트웨이를 통해 공용 인터넷에서 액세스할 수 있습니다. DDoS (서비스 거부) 공격과 같은 네트워크 보안 문제가 발생할 경우 게이트웨이를 종료하여 VCN으로 모든 트래픽을 차단할 수 있습니다.
- 전용 서브넷의 리소스는 NAT 게이트웨이를 통해 공용 인터넷에 액세스할 수 있습니다. 예를 들어, 전용 서브넷의 컴퓨트 인스턴스는 NAT 게이트웨이를 통해 외부 사이트에서 패치를 가져올 수 있습니다.
- Shared Services 구획은 토폴로지에서 공유되는 리소스를 포함합니다.
- 기본 호스트는 관리 구획에 있습니다.
- 비즈니스 논리 구획은 웹 서버, 애플리케이션 서버 및 로드 밸런서를 보유합니다.
- 데이터베이스는 데이터베이스 구획에 있습니다.
사용자가 정의한 정책 (구조 다이어그램에 표시되지 않음) 은 각 사용자 그룹이 구획의 리소스에 대해 갖는 액세스 레벨을 제어합니다.
주:
- 이 아키텍처의 자원은 세 개의 AD (가용성 도메인) 에서 배포됩니다. 단일 AD가 있는 영역에서 고가용성을 위해 AD 내의 오류 도메인에 컴퓨트 인스턴스를 배포할 수 있습니다.
- 이 아키텍처의 모든 구획은 피어이지만 구획 계층을 설정할 수 있습니다.
- 간단히 하기 위해 구조 다이어그램은 한 영역만 표시합니다. 구획은 모든 영역에 걸쳐 있습니다.
필수 서비스 및 롤 정보
다음 서비스 및 권한이 필요합니다.
Oracle Cloud Infrastructure 가입이 필요합니다.
필요한 리소스를 생성하려면 다음 조건을 충족하는 인증서가 필요합니다.
-
구획 생성 권한이 있는 그룹 또는 그룹에 있어야 합니다. -
기존 구획에서 리소스를 생성하려면 해당 구획에 대한 정책을 정의하고 Vcn을 관리할 수 있는 권한이 있는 그룹에 속해야 합니다.
-
인증 토큰 및 API 키를 생성하려면 로컬 사용자, 즉 Oracle Cloud Infrastructure Identity and Access Management 의 관리자가 생성한 사용자여야 합니다. 또는 통합 Id 제공자가 자동으로 생성한 동기화된 사용자여야 합니다.
필요한 서비스를 얻을 수 있도록 Oracle 솔루션용 Oracle Cloud 서비스를 얻는 방법을 알아봅니다 .