OCI 인증서가 포함된 Oracle Cloud VMware Solution에서 호스팅되는 보안 웹 애플리케이션
Oracle Cloud VMware Solution을 Oracle Cloud Infrastructure Certificates 및 Oracle Cloud Infrastructure Load Balancing(LBaaS)과 통합하여 중요한 애플리케이션을 안전하게 게시할 수 있습니다.
끊임없이 변화하는 클라우드 컴퓨팅 환경에서 두 가지 핵심 구성 요소는 웹 애플리케이션의 성능, 보안 및 확장성을 최적화하는 핵심 요소인 로드 밸런서 및 SSL/TLS 인증서로 부상했습니다. 이러한 요소는 클라우드 환경에서 원활한 운영, 데이터 무결성 및 사용자 신뢰를 보장하는 데 중추적인 역할을 합니다.
로드 밸런서는 수신 네트워크 트래픽을 여러 서버 또는 인스턴스에 분산시켜 단일 서버의 과도한 사용을 방지함으로써 최적의 활용도와 응답성을 보장합니다.
데이터 순회 네트워크를 통해 기밀성과 무결성을 보장하는 것이 중요합니다. 여기서 SSL/TLS 인증서가 실행됩니다. 이러한 디지털 인증서는 암호화된 통신 채널을 협상하여 도청, 변조 또는 무단 액세스로부터 보호합니다.
클라우드 인프라 내에서 로드 밸런서와 SSL/TLS 인증서의 결합은 강력한 조합입니다. 로드 밸런서는 트래픽이 효율적으로 분산되도록 보장하고 성능을 최적화하며 과부하를 방지하며 SSL/TLS 인증서는 데이터 전송, 기밀성 유지 및 무결성을 보호합니다. 이 시너지 효과는 최종 사용자 경험을 향상시킬 뿐만 아니라 Oracle Cloud VMware Solution에서 호스팅되는 웹 서버의 전반적인 보안 태세에도 크게 기여합니다.
Oracle Cloud VMware Solution은 고객의 테넌시 내에 설치된 고객 관리형 네이티브 VMware 기반 클라우드 환경을 제공하고, 익숙한 VMware 도구를 사용하여 완벽한 제어를 제공합니다.
Oracle Cloud Infrastructure(OCI)는 보안 우선 설계 원칙에 맞게 설계된 차세대 서비스형 인프라(IaaS)입니다. 이러한 원칙에는 이전에는 공용 클라우드 설계를 통해 달성하기 어려운 격리된 네트워크 가상화 및 깨끗한 물리적 호스트 배치가 포함됩니다. 이러한 설계 원칙을 통해 OCI는 고급 영구 위협의 위험을 줄일 수 있습니다.
이 참조 아키텍처는 고객이 중요한 애플리케이션을 안전하게 게시할 수 있도록 Oracle Cloud VMware Solution과 OCI 인증서 및 Oracle Cloud Infrastructure Load Balancing(LBaaS)의 통합 옵션을 설명합니다. 그러나 인증서 서비스 없이도 LBaaS를 사용할 수 있습니다.
구조
이 논리적 참조 아키텍처는 Oracle Cloud VMware Solution 워크로드 내에서 실행되는 웹 서버 앞에 OCI 인증서를 사용하는 방법에 중점을 둡니다.
인증서는 고유 OCI 인증서를 사용하여 생성되며 SSL 오프로드를 위해 OCI Layer 7 로드 밸런서에서 활용됩니다. 웹 서버는 Oracle Cloud VMware Solution SDDC 내에서 VM(가상 머신) 형태로 실행됩니다.
이 논리적 다이어그램은 OCI 계층 7 로드 밸런서에서 SSL 오프로드를 나타내며 OCI 인증서에서 발행한 인증서로 신뢰되는 전체 트래픽 플로우를 나타냅니다.
ocvs-traffic-flow-diagram-oracle.zip
다음 다이어그램은 OCI 로드 밸런서에서 Oracle Cloud VMware Solution SDDC에 호스팅된 웹 서버로의 두 가지 유형의 네트워크 연결 옵션을 보여줍니다. 또한 OCI 로드 밸런서와 통합하여 웹 서버에 안전하게 액세스하기 위해 OCI에서 실행되는 CA(인증 기관)에서 SSL 인증서 발행을 보여줍니다.
주:
OCI Certificates에서 발행된 인증서는 OCI 로드 밸런서 내에서만 사용할 수 있으며 엔드투엔드 SSL을 위해 웹 서버까지 기능을 확장할 수 없습니다.Oracle Cloud VMware Solution에 호스팅된 웹 서버를 가상 클라우드 네트워크에 연결할 때는 두 가지 연결 옵션이 있습니다.
- NSX 세그먼트
- VLAN(가상 근거리 통신망) 지원 포트 그룹
NSX 세그먼트는 SDN(소프트웨어 정의 네트워킹)을 활용하여 격리되고 논리적으로 분할된 네트워크를 만듭니다. 이 접근 방식은 다음과 같은 이점을 제공합니다.
- 마이크로 세분화: NSX 세그먼트는 마이크로 세분화를 지원하여 개별 워크로드의 격리 및 보안을 지원합니다.
- 동적 확장: NSX 세그먼트는 확장성이 뛰어나며 필요에 따라 프로비저닝할 수 있으므로 네트워크 트래픽 및 워크로드 요구 사항의 변경 사항을 수용할 수 있습니다.
- 논리적 그룹화: VM은 응용 프로그램 계층 또는 보안 요구 사항에 따라 그룹화될 수 있으며 세그먼트 레벨에서 정책을 적용하여 네트워크에서 일관된 적용을 보장합니다.
- 향상된 관리: NSX는 네트워크 구성, 보안 정책 및 트래픽 흐름을 위한 중앙 집중식 관리를 제공합니다.
NSX 세그먼트의 동적 특성과 달리 VLAN 지원 포트 그룹은 기존 VLAN 기술을 활용하여 가상화된 환경 내에서 VM을 격리합니다. 다음은 이 접근 방식의 몇 가지 주요 특징입니다.
- 단순성 및 친숙성: VLAN에 이미 익숙한 조직의 경우 VLAN 지원 포트 그룹을 사용하는 것이 간단하고 친숙할 수 있으므로 최소한의 추가 교육이 필요합니다.
- 리소스 공유: VLAN은 네트워크 트래픽을 격리할 수 있지만 정책 적용 및 마이크로 세분화 측면에서 NSX 세그먼트와 동일한 수준의 세분성을 제공하지 못할 수 있습니다.
적합한 접근 방식 선택
NSX 세그먼트 또는 VLAN 지원 포트 그룹을 사용하는 결정은 조직의 특정 요구 사항, 기존 인프라 및 보안 요구 사항을 비롯한 다양한 요인에 따라 달라집니다.
NSX 세그먼트와 VLAN 지원 포트 그룹은 각각 가상화된 환경에서 가상 시스템을 관리할 때 뚜렷한 이점을 제공합니다. NSX 세그먼트는 마이크로 세분화, 동적 확장 및 중앙 집중식 관리를 제공하는 데 탁월하며, VLAN 지원 포트 그룹은 기존 VMware 네트워킹에 이미 익숙한 사용자에게 단순성과 친숙성을 제공합니다.
다음 섹션에서는 NSX 세그먼트 및 VLAN 지원 포트 그룹에 배포된 웹 서버에 대한 LBaaS 연결 측면을 보여 줍니다.
NSX 오버레이 세그먼트에 접속된 웹 서버
OCI 로드 밸런서의 측면을 OCVS의 NSX 오버레이 세그먼트에 연결된 웹 서버와 연결하고 OCI 인증서를 사용하여 OCVS에서 실행되는 웹 서버의 보안 게시를 위해 인증서를 발행합니다.
이 참조 아키텍처의 주요 목표는 다음과 같은 목표를 보여주는 것입니다.
- Oracle Cloud VMware Solution SDDC에서 NSX 오버레이 세그먼트에 연결된 웹 서버와 OCI 로드 밸런서의 연결성 측면.
- 인증서 관리자를 사용하여 Oracle Cloud VMware Solution SDDC에서 실행되는 웹 서버의 보안 게시를 위해 인증서를 발행합니다.
다음은 NSX 오버레이 네트워크 세그먼트에 연결된 웹 서버의 아키텍처입니다.
web-server-nsx-diagram-oracle.zip
아키텍처 구성요소
아키텍처에는 다음과 같은 구성 요소가 있습니다.
- Oracle Cloud VMware Solution: 웹 서버가 호스팅되는 고객 테넌시의 환경입니다.
- NSX 오버레이 세그먼트: NSX 오버레이 세그먼트는 웹 서버에 대한 네트워크 연결을 제공합니다.
- 계층 0 라우터: 논리적 네트워크와 물리적 네트워크(북남) 간에 게이트웨이 서비스를 제공하는 논리적 라우터입니다.
- 계층 1 라우터: NSX 오버레이 세그먼트는 계층 1 라우터에 연결되고 동서 트래픽을 제어합니다.
- NSX Edge 업링크 1 VLAN: 이 VLAN은 오버레이(NSX) 네트워크와 언더레이(VCN) 네트워크 간의 통신을 연결하기 위한 OCI 언더레이 네트워킹과 NSX 오버레이 네트워킹 간의 인터페이스입니다.
- 웹 서버: 웹 서버는 Oracle Cloud VMware Solution SDDC 내에 배포된 VM입니다.
- OCI 로드 밸런서(LBaaS): 트래픽의 균형을 웹 서버로 조정하는 OCI 계층 7 로드 밸런서입니다. OCI에서 제공하는 공용 IP 또는 IP를 로드 밸런서와 함께 사용할 수 있습니다.
- 건전성 검사: 백엔드 웹 서버가 HTTP 건전성 검사로 구성되었습니다.
- 리스너: 리스너가 SSL 오프로드를 위해 HTTPS로 구성됩니다.
- OCI 인증서 관리자 서비스: OCI 인증서 관리자 서비스는 서버, 웹 애플리케이션 등에 대한 SSL/TLS 보안 액세스를 제공하는 데 도움이 됩니다. 관리자는 OCI 로드 밸런싱과 통합되는 전용 CA(인증 기관) 계층 및 TLS 인증서를 만들고 관리할 수 있습니다.
- CA(인증 기관): 개인 인증 기관이 인증서를 발행하도록 구성되었습니다.
- Vault: Vault는 확장 가능한 키 스토리지로 증가하는 데이터 및 애플리케이션 암호화를 제공합니다.
- Key: 인증서에 대해 지원되는 키는 HSM 모드가 있는 RSA(비대칭 키)뿐입니다.
VLAN 네트워크에 연결된 웹 서버
VLAN 네트워크에서 지원하는 vSphere DvPortGroup에 연결된 웹 서버와 OCI 로드 밸런서를 연결하고 OCI 인증서를 사용하여 OCVS SDDC에서 실행되는 웹 서버를 안전하게 게시하기 위한 인증서를 발행합니다.
이 참조 아키텍처의 주요 목표는 다음과 같은 목표를 보여주는 것입니다.
- VLAN 네트워크에서 지원하는 vSphere DvPortGroup에 연결된 웹 서버와 OCI 로드 밸런서의 연결 측면입니다.
- OCI Certificate Manager를 사용하여 Oracle Cloud VMware Solution SDDC에서 실행되는 웹 서버의 보안 게시를 위해 인증서를 발행합니다.
다음은 VLAN 지원 네트워크에 연결된 웹 서버의 아키텍처입니다.
web-server-vlan-diagram-oracle.zip
아키텍처 구성요소
아키텍처에는 다음과 같은 구성 요소가 있습니다.
- Oracle Cloud VMware Solution: 웹 서버가 호스팅되는 고객 테넌시의 환경입니다.
- VLAN 네트워크: 웹 서버용 Oracle Cloud VMware Solution VCN에 생성된 전용 VLAN입니다. 이 네트워크는 언더레이 네트워크로 간주됩니다.
- vSphere VDS(분산 스위치): Oracle Cloud VMware Solution 워크로드에 가상 네트워킹 기능을 제공하는 vCenter의 가상 스위치입니다.
- vSphere 분산 포트 그룹: 각 멤버 포트에 대한 포트 구성 옵션입니다. Oracle Cloud VMware Solution 워크로드에 대한 언더레이를 나타내는 VLAN 지원 네트워크입니다.
- 웹 서버: 웹 서버는 Oracle Cloud VMware Solution SDDC 내에 배포된 VM입니다.
- OCI 로드 밸런서(LBaaS): 트래픽의 균형을 웹 서버로 조정하는 OCI 계층 7 로드 밸런서입니다. OCI에서 제공하는 공용 IP 또는 IP를 로드 밸런서와 함께 사용할 수 있습니다.
- 건전성 검사: 백엔드 웹 서버가 HTTP 건전성 검사로 구성되었습니다.
- 리스너: 리스너가 SSL 오프로드를 위해 HTTPS로 구성됩니다.
- OCI 인증서: OCI 인증서는 서버, 웹 애플리케이션 등에 대한 SSL/TLS 보안 액세스를 제공하는 데 도움이 됩니다. 관리자는 OCI 로드 밸런싱과 통합되는 전용 CA(인증 기관) 계층 및 TLS 인증서를 만들고 관리할 수 있습니다.
- CA(인증 기관): 인증서를 발행하도록 구성된 개인 인증 기관입니다.
- Vault: Vault는 확장 가능한 키 스토리지로 증가하는 데이터 및 애플리케이션 암호화를 제공합니다.
- Key: 인증서에 대해 지원되는 키는 HSM 모드가 있는 RSA(비대칭 키)뿐입니다.
필수 서비스 정보
이 솔루션을 사용하려면 다음 서비스가 필요합니다.
- Oracle Cloud VMware Solution
- OCI 로드 밸런싱
- OCI 인증서
각 서비스에 필요한 역할은 다음과 같습니다.
| 서비스 이름 | 필수... |
|---|---|
| Oracle Cloud VMware Solution | VMware vSphere를 사용하여 워크로드를 실행합니다. |
| OCI 로드 밸런싱 | 트래픽을 로드 밸런싱합니다. |
| OCI 인증서 | 인증서를 발행하고 관리합니다. |
필요한 내용은 Oracle 제품, 솔루션 및 서비스를 참조하십시오.