Embed Size (px)
Citation preview
가상 클라우드 네트워크 (VCN) 개요 및
배포 가이드
오라클 백서 | 2018년 11월 2일
2 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
목차
가상 클라우드 네트워크 (VCN) 개요 및 배포 가이드 3
본 백서의 목적 3
범위 및 전제 조건 3
가상 클라우드 네트워크 (VCN) 개요 4
기타 구성요소 5
프라이빗 IP 6
VCN 연결 11
VCN 사용 시나리오 12
VCN 보안 목록 17
참조 문서 18
개정 이력 19
3 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
가상 클라우드 네트워크 (VCN) 개요 및 배포 가이드
본 백서의 목적
본 문서는 오라클 클라우드 인프라스트럭처 네트워킹 (Oracle Cloud Infrastructure Networking)
서비스와 가상 클라우드 네트워크 (VCN) 관련 공통 배포 시나리오에 대한 기본적인 이해를 돕는
것을 목적으로 합니다. 본 문서를 이해하려면 네트워킹 및 인터넷 라우팅에 대한 기본 지식이
필요합니다. 이 문서는 프로덕션 배포 참조 아키텍처를 목적으로 사용하기에는 적합하지
않습니다.
범위 및 전제 조건
본 문서에서는 다양한 네트워킹 (Networking) 서비스 구성요소와 일반적인 기본 배포 시나리오를
설명합니다. 본 문서를 통해서 VCN이 무엇인지를 이해하고, VCN 사용에 관한 주요 시나리오에
대해 이해를 높일 수 있습니다.
먼저 알아야 할 내용:
• 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)에 대한 기본적 이해
o https://cloud.oracle.com/iaas
• 오라클 클라우드 인프라스트럭처 컴퓨트 (Oracle Cloud Infrastructure Compute)에 대한
기본적인 이해
o https://cloud.oracle.com/compute
• 오라클 클라우드 인프라스트럭처 네트워킹 (Oracle Cloud Infrastructure Networking)에
대한 기본적인 이해
o https://cloud.oracle.com/networking
• IPSec VPN 터널 기능에 대한 기본적인 이해
o https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/managingIPsec.htm
• 오라클 클라우드 인프라스트럭처 패스트커넥트 (Oracle Cloud Infrastructure
FastConnect)에 대한 기본적인 이해
o https://cloud.oracle.com/fastconnect
그 밖에도 IAM (Identity and Access Management)을 포함해 일반적인 VCN 배포에 사용되는 관련
제품이나 구성요소가 매우 많습니다. 이에 대한 세부 사항은 본 문서에서 다루지 않습니다.
4 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
가상 클라우드 네트워크 (VCN) 개요
VCN이란 오라클 데이터 센터에서 설정할 수 있는 가상 프라이빗 네트워크를 말합니다. 방화벽
규칙과 필요한 여러 유형의 통신 게이트웨이를 선택할 수 있다는 점에서 기존 네트워크와 매우
유사합니다. VCN은 오라클 클라우드 인프라스트럭처의 리전에 위치하며, 사용자가 지정하는 단일
인접 IPv4 CIDR 블록을 관리합니다. 허용되는 VCN 크기 범위는 /16~/30입니다. 예를 들어
10.0.0.0/16과 같습니다. 네트워킹 (Networking) 서비스가 각 서브넷의 CIDR에서 처음 IP 주소
2개와 마지막 IP 주소 1개를 사용합니다. VCN 또는 서브넷을 생성한 이후에는 크기를 변경할 수
없습니다. 따라서, 생성하기 전에 필요한 VCN 및 서브넷의 크기를 신중히 결정해야 합니다.
오라클은 VCN에 RFC 1918에 지정된 프라이빗 IP 주소 범위 (10.0.0.0/8, 172.16/12, 192.168/16)를
사용할 것을 권장합니다. 그러나 이 범위가 아닌 공개 라우팅 범위를 사용할 수 있습니다.
VCN를 만들면 다음과 같은 기본 구성요소가 기본적으로 포함됩니다.
• 기본 라우팅 테이블 (규칙 없음)
• 기본 보안 목록 (기본 규칙 적용)
• 기본 값이 지정된 기본 DHCP 옵션 세트
이 VCN 기본 구성요소를 삭제할 수 없습니다. 단, 구성요소의 내용은 변경 가능합니다 (예: 기본
보안 목록 규칙). 또한, 각 VCN 구성요소를 사용자 설정으로 만들 수 있습니다. 단, 생성 가능한
구성요소 수와 최대 규칙 수는 제한되어 있습니다.
다음의 다이어그램은 서브넷이 2개인 VCN을 묘사하는 다이어그램입니다. 서브넷 A는 기본
라우팅 테이블을 사용하고, 서브넷 B는 사용자 지정 라우트 테이블 (생성 가능)을 사용하고
있습니다. 또한, 두 서브넷 모두 기본 보안 목록과 사용자 지정 보안 목록을 사용합니다. 기본
DHCP 옵션 세트는 다이어그램에 표시되어 있지 않습니다. 그 밖에 기본 구성요소는 아니지만
동적 라우팅 게이트웨이 (DRG)와 인터넷 게이트웨이도 구성요소로 포함되어 있습니다. 이 모든
구성요소에 대해 앞으로 설명하겠습니다.
5 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
기타 구성요소
이번 단원에서는 기타 네트워킹 (Networking) 서비스 구성요소에 대해서 살펴보겠습니다.
서브넷
서브넷은 VCN에서 정의하는 하위 네트워크입니다 (예: 10.0.0.0/24, 10.0.1.0/24). 서브넷에는
인스턴스에 연결되는 가상 네트워크 인터페이스 카드 (VNIC)가 포함됩니다. 서브넷은 VCN의 다른
서브넷과 중첩되지 않는 연속된 IP 주소 범위로 구성됩니다. 서브넷은 한 AD (Availability
Domain)에 위치하거나 전체 리전에 걸쳐서 위치하도록 디자인할 수 있습니다. (리전 서브넷이
추천됩니다.) 서브넷은 VCN에서 하나의 구성 단위로서 역할을 합니다. 임의의 서브넷에 포함된
VNIC는 모두 동일한 라우팅 테이블, 보안 목록 및 DHCP 옵션을 사용합니다 (아래 정의 참조).
서브넷은 생성할 때 퍼블릭 또는 프라이빗 속성을 지정할 수 있습니다. 여기서 '프라이빗'이란
서브넷의 VNIC에 퍼블릭 IP 주소가 할당될 수 없다는 것을 의미합니다. 반대로 '퍼블릭'이란
사용자 재량에 따라 서브넷의 VNIC에 퍼블릭 IP 주소를 할당할 수 있음을 의미합니다.
가상 네트워크 인터페이스 카드(VNIC)
VNIC는 인스턴스에 연결되며, 서브넷의 VCN에 대한 연결이 가능하도록 서브넷에 위치합니다. 이
카드는 인스턴스와 VCN 내/외부 엔드포인트의 연결 방법을 결정합니다. 각 인스턴스마다 시작할
때 생성되는 기본 VNIC가 있으며, 이 VNIC는 제거할 수 없습니다. 또한, 보조 VNIC를 기존
인스턴스에 추가한 후 필요에 따라 나중에 제거할 수 있습니다. 이때, 인스턴스는 기본 VNIC과
동일한 AD에 위치해야 합니다. 보조 VNIC는 각각 기본 VNIC와 동일한 VCN에 속한 서브넷에,
혹은 동일한 VCN 또는 다른 VCN에 속하는 서브넷에 위치할 수 있습니다. 하지만 VNIC는 모두
인스턴스와 동일한 AD에 속하는 서브넷에 위치해야 합니다.
6 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
다음은 보조 VNIC를 사용하게 되는 몇 가지 이유입니다.
• 베어메탈 인스턴스에서 자체 하이퍼바이저 사용
• 인스턴스를 다수의 VCN 서브넷에 연결
• 인스턴스를 다수의 VCN에 연결
다음은 보조 VNIC에 대한 세부 정보입니다.
• 보조 VNIC는 다음과 같은 유형의 인스턴스에서 지원됩니다.
o Linux: VM 및 베어메탈 인스턴스
o Windows: VM 및 베어메탈 인스턴스. 단, X7/2세대 Shape에 한함 (VM.Standard
2.16, BM.Standard2.52처럼 이름에 '2'가 들어간 Shape). 베어메탈의 경우, 보조
VNIC는 두 번째 물리적 NIC에서만 지원됩니다.
• 인스턴스에 연결할 수 있는 VNIC 수에는 제한이 있으며, Shape에 따라 다릅니다.
• VNIC는 인스턴스가 시작되어야만 추가할 수 있습니다.
• VNIC는 항상 인스턴스에 연결되어야 하며, 다른 곳으로 이동할 수 없습니다. 보조 VNIC는
생성 프로세스에서 자동으로 인스턴스에 연결됩니다. 보조 VNIC는 분리 프로세스에서
자동으로 삭제됩니다.
• VNIC는 인스턴스를 종료하면 자동으로 분리 및 삭제됩니다.
• 인스턴스의 대역폭은 연결된 VNIC 수와 상관없이 고정됩니다. 인스턴스에서 특정 VNIC의
대역폭 제한을 지정할 수 없습니다.
• 동일한 서브넷 CIDR 블록에서 다수의 VNIC를 인스턴스에 연결할 경우, 특히 변형 Linux를
사용하는 인스턴스에서는 비대칭 라우팅을 구성할 수 있습니다. 이러한 유형의 구성이
필요하다면 오라클은 다수의 프라이빗 IP 주소를 단일 VNIC에 할당하거나, 혹은 정책
기반 라우팅을 사용하도록 권장합니다.
프라이빗 IP
프라이빗 IP는 프라이빗 IP 주소와 인스턴스에 주소를 지정하는 데 필요한 관련 정보 (예: DNS
호스트 이름)로 구성됩니다. 각 VNIC마다 기본 프라이빗 IP가 있으며, 사용자는 보조 프라이빗
IP를 추가하거나 제거할 수 있습니다. 인스턴스의 기본 프라이빗 IP 주소는 인스턴스가 종료될
때까지 바뀌지 않으며, 인스턴스에서 제거되지도 않습니다. 보조 프라이빗 IP는 인스턴스가 시작된
후에 추가할 수 있습니다. 인스턴스에서 기본 VNIC 또는 보조 VNIC에 추가하면 됩니다. 보조
프라이빗 IP 주소는 VNIC 서브넷의 CIDR에서 할당되어야 합니다. 또한, 보조 프라이빗 IP를 한
인스턴스의 VNIC에서 다른 인스턴스의 VNIC로 이동시킬 수 있습니다. 단, 두 VNIC가 동일한
7 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
서브넷에 속해야만 합니다.
다음은 보조 프라이빗 IP를 사용하게 되는 몇 가지 이유입니다.
• 인스턴스 페일오버
• 단일 인스턴스에서 다수의 서비스 또는 엔드포인트 실행
다음은 보조 프라이빗 IP 주소에 대한 세부 정보입니다.
• 보조 프라이빗 IP 주소는 베어메탈 인스턴스와 VM 인스턴스에서 모든 Shape 및 OS
유형에 지원됩니다.
• VNIC는 보조 프라이빗 IP 주소를 최대 31개까지 가질 수 있습니다.
• 보조 프라이빗 IP 주소는 인스턴스가 시작된 후 (또는 보조 VNIC가 생성 및 연결된
후)에만 할당할 수 있습니다.
• 보조 프라이빗 IP 주소를 VNIC에서 삭제하면 해당 주소는 서브넷의 가용 주소 풀로
돌아갑니다.
• 보조 프라이빗 IP 주소는 인스턴스 종료 시 (또는 보조 VNIC 분리 및 삭제 시) 자동으로
삭제됩니다.
• 인스턴스의 대역폭은 연결된 프라이빗 IP 주소 수와 상관없이 고정됩니다.
• 인스턴스에서 특정 IP 주소의 대역폭 제한을 지정할 수 없습니다.
• 보조 프라이빗 IP는 사용자 재량에 따라 인스턴스에 할당하도록 예약된 퍼블릭 IP를 가질
수 있습니다.
인터넷 액세스: 인터넷 게이트웨이와 NAT 게이트웨이
다음과 같이 필요한 인터넷 액세스 유형에 따라 VCN에 추가할 수 있도록 두 가지 게이트웨이
옵션 (가상 라우터)이 제공됩니다.
• 인터넷 게이트웨이: 퍼블릭 IP 주소를 사용해 인터넷에서 접속하거나(예: 웹 서버), 인터넷
연결을 시작해야 하는 리소스의 경우
• NAT 게이트웨이: 퍼블릭 IP 주소 없이 인터넷 연결을 시작해야 하지만(예: 소프트웨어
업데이트) 인터넷에서 수신되는 인바운드 연결을 차단해야 하는 리소스의 경우
서브넷과 게이트웨이 사이의 트래픽은 서브넷의 라우팅 테이블과 보안 목록을 사용해 제어합니다.
본 문서 후반부 ('오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure) 기반 다중 계층
어플리케이션(Multi-Tier Application)')에서는 다음의 시나리오에서 두 게이트웨이가 모두 사용되는
8 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
것을 볼 수 있습니다.
인터넷 게이트웨이 하나만으로는 VCN 서브넷의 인스턴스가 인터넷에 바로 노출되지 않습니다.
다음 요건 역시 충족되어야 합니다.
• 인터넷 게이트웨이가 활성화되어야 합니다 (인터넷 게이트웨이는 기본적으로 생성 즉시
활성화됩니다).
• 퍼블릭 서브넷이어야 합니다.
• 트래픽을 인터넷 게이트웨이로 보내는 라우팅 규칙이 서브넷에 적용되어야 합니다.
• 트래픽을 허용하는 보안 목록 규칙이 서브넷에 적용되어야 합니다 (각 인스턴스의
방화벽이 트래픽을 허용해야 합니다).
• 인스턴스에 퍼블릭 IP 주소가 할당되어야 합니다.
동적 라우팅 게이트웨이(DRG)
DRG는 옵션으로 VCN에 추가할 수 있는 가상 라우터입니다. 이 가상 라우터는 VCN와 온프레미스
네트워크 사이에 프라이빗 네트워크 트래픽을 위한 경로를 제공합니다. 또한, 온프레미스
네트워크에서 다른 네트워킹 (Networking) 구성요소와 라우터를 함께 사용하여 IPSec VPN 또는
오라클 클라우드 인프라스트럭처 패스트커넥트 (Oracle Cloud Infrastructure FastConnect)를 통한
연결을 구성할 수도 있습니다. 그 밖에 VCN과 다른 지역의 VCN 사이에 프라이빗 네트워크
트래픽을 위한 경로를 제공하기도 합니다.
서비스 게이트웨이
서비스 게이트웨이는 옵션으로 VCN에 추가할 수 있는 또 하나의 가상 라우터입니다. 이 가상
라우터는 VCN과 퍼블릭 오라클 서비스 (예: 오라클 클라우드 인프라스트럭처 오브젝트 스토리지
(Oracle Cloud Infastructure Object Storage)) 사이에 프라이빗 네트워크 트래픽을 위한 경로를
제공합니다. 예를 들어, VCN 프라이빗 서브넷의 DB 시스템은 퍼블릭 IP 주소 없이 또는 인터넷에
액세스하지 않고도 데이터를 오브젝트 스토리지 (Object Storage)로 백업할 수 있습니다.
로컬 피어링 게이트웨이 (LPG)
로컬 피어링 게이트웨이는 옵션으로 VCN에 추가할 수 있는 또 하나의 가상 라우터입니다. 이
가상 라우터를 사용하면 동일 지역에서 서로 다른 VCN 2개를 피어링할 수 있습니다. '피어링'이란
VCN이 인터넷 트래픽 통과나 온프레미스 네트워크를 통한 라우팅 없이 프라이빗 IP 주소를
사용해 통신하는 것을 의미합니다. 이때, VCN은 구성하는 피어링마다 별도의 LPG가 있어야
합니다.
라우팅 테이블
라우팅 테이블은 VCN의 가상 라우팅 테이블입니다. 이 테이블에는 서브넷에서 게이트웨이 또는
9 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
특별하게 구성된 인스턴스를 통해 VCN 외부 목적지까지 트래픽을 라우팅하기 위한 규칙이
존재합니다. VCN은 비어있는 기본 라우팅 테이블이 함께 제공되기 때문에 여기에 사용자 지정
라우팅 테이블을 추가할 수 있습니다.
DNS 유형
도메인 이름 시스템 (DNS)은 컴퓨터가 IP 주소가 아닌 호스트 이름을 사용해 서로 통신할 수
있는 서비스입니다. 아래는 VCN에서 인스턴스의 DNS 이름을 확인할 때 사용되는 유형입니다.
사용자는 서브넷의 DHCP 옵션 세트를 통해 VCN 서브넷마다 이 유형을 선택해야 합니다. 방법은
각 서브넷과 연결할 라우팅 테이블 및 보안 목록을 구성하는 것과 비슷합니다.
기본 유형: 인터넷 및 VCN 분석기
오라클에서 제공하는 옵션으로서 두 부분으로 나누어집니다.
• 인터넷 분석기: 인스턴스가 인터넷에 공개적으로 게시되는 호스트 이름을 확인할 수
있습니다. 이때, 인스턴스는 인터넷 게이트웨이 또는 온프레미스 네트워크 연결 (DRG를
통한 IPSec VPN 연결 등)을 통한 인터넷 액세스가 필요하지 않습니다.
• VCN 분석기: 인스턴스가 동일한 VCN에 속하지만 다른 인스턴스의 호스트 이름 (할당
가능함)을 확인할 수 있습니다.
사용자 지정 분석기
원하는 DNS 서버를 사용해 이름을 확인합니다 (최대 3개). 이때, DNS 서버는 다음과 같습니다.
• 인터넷을 통해 사용 가능합니다. 예를 들어, DNS 서비스 업체인 Dyn의 인터넷
가이드에서는 216.146.35.35입니다.
• VCN에 위치합니다.
• IPSec VPN 연결 또는 패스트커넥트 (FastConnect, DRG를 통함)를 통해 VCN에 연결되는
온프레미스 네트워크에 위치합니다.
인스턴스를 시작할 때 호스트 이름을 할당할 수 있습니다. 인스턴스를 시작할 때 자동으로
생성되는 VNIC (기본 VNIC)에 할당됩니다. 호스트 이름은 다음과 같이 서브넷 도메인 이름과 함께
인스턴스의 정규화된 이름 (FQDN)을 형성합니다.
• 인스턴스 FQDN: <호스트 이름>.<서브넷 DNS 라벨>.<VCN DNS 라벨>.oraclevcn.com
예: database1.privatesubnet1.abccorpvcn1.oraclevcn.com.
FQDN은 인스턴스의 프라이빗 IP 주소로 확인됩니다. 인터넷 및 VCN 분석기 역시 역방향 DNS
조회를 지원하기 때문에 프라이빗 IP 주소에 해당하는 호스트 이름을 확인할 수 있습니다.
10 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
DHCP 옵션
네트워킹 (Networking) 서비스는 인스턴스가 부팅될 때마다 DHCP를 사용해 구성 정보를
인스턴스에 자동으로 제공합니다. DHCP에서 일부 설정은 동적으로 변경 가능하지만 그 밖에 다른
설정은 고정되어 절대 바뀌지 않습니다. 예를 들어, 인스턴스를 시작하면 사용자 또는 오라클이
인스턴스의 프라이빗 IP 주소를 지정합니다. 이후 인스턴스가 부팅되거나, 혹은 사용자가
인스턴스의 DHCP 클라이언트를 다시 시작할 때마다 DHCP가 동일한 프라이빗 IP 주소를
인스턴스에 전달합니다. 주소는 인스턴스가 종료될 때까지 절대 바뀌지 않습니다.
네트워킹 (Networking) 서비스는 VCN의 인스턴스에서 일부 구성을 제어할 수 있는 DHCP 옵션을
제공합니다. DHCP가 인스턴스에 제공하는 정적 정보와 달리 이러한 옵션 값은 사용자 재량에
따라 바꿀 수 있습니다. 바뀐 옵션 값은 다음에 인스턴스의 DHCP 클라이언트를 재시작하거나,
혹은 인스턴스를 재부팅할 때 적용됩니다.
각 VCN 서브넷은 DHCP 옵션 세트가 하나씩 연결될 수 있습니다. 이 옵션 세트는 서브넷에 속한
모든 인스턴스에 적용됩니다. 각 VCN은 초기 값이 지정된 DHCP 옵션 세트가 기본적으로
제공되며, 지정된 초기 값은 변경할 수 있습니다. 옵션 값을 따로 지정하지 않으면 서브넷마다
모두 VCN의 기본 DHCP 옵션 세트를 사용합니다.
다음은 VCN에서 설정할 수 있는 DHCP 옵션입니다.
• 도메인 이름 서버: 원하는 DNS 유형 (인터넷 및 VCN 분석기, 또는 사용자 지정 분석기)을
지정합니다.
• 검색 도메인: 사용자가 선택하는 단일 검색 도메인입니다. DNS 쿼리를 확인할 때 OS가 이
검색 도메인을 쿼리할 값에 추가합니다.
보안 목록
보안 목록이란 VCN에 적용되는 가상 방화벽 규칙을 말합니다. 보안 목록에는 인스턴스
내부/외부에서 허용되는 트래픽 유형 (프로토콜 및 포트)을 지정한 수신 및 송신 규칙이 있습니다.
사용자는 적용되는 규칙이 상태 기반인지, 혹은 비상태 기반인지 선택할 수 있습니다. 예를 들어,
출발지 CIDR을 0.0.0.0/0으로 하고 목적지 TCP 포트를 22로 하여 상태 기반 수신 규칙을
설정하면 어디에서든 서브넷의 인스턴스로 수신되는 SSH 트래픽을 허용할 수 있습니다. VCN은
기본 규칙과 함께 기본 보안 목록을 제공하며, 사용자는 원하는 사용자 지정 보안 목록을 추가할
수 있습니다.
보안 목록 및 규칙 유형에 대한 자세한 내용은 본 백서 끝에 있는 VCN 보안 목록을
참조하십시오.
11 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
VCN 연결
이번 단원에서는 VCN 연결 옵션에 대해서 살펴보겠습니다.
온프레미스 네트워크에 대한 액세스
온프레미스 네트워크를 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)에 연결할
수 있는 방법은 다음과 같이 두 가지가 있습니다.
• IPSec VPN: 사용자가 생성하여 VCN에 연결하는 DRG를 통해 기존 네트워크의 에지
영역과 VCN사이에 다수의 IPSec 터널을 제공합니다.
• 오라클 클라우드 인프라스트럭처 패스트커넥트 (Oracle Cloud Infrastructure FastConnect):
기존 네트워크의 에지 영역과 오라클 클라우드 인프라스트럭처 (Oracle Cloud
Infrastructure) 사이에 프라이빗 연결을 제공합니다. 이때, 트래픽이 인터넷을 통과하지
않습니다. 또한, 프라이빗 피어링과 퍼블릭 피어링이 모두 지원됩니다. 이 말은 곧
온프레미스 호스트가 VCN의 프라이빗 IPv4 주소에 액세스할 뿐만 아니라 오라클
클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)의 지역 퍼블릭 IPv4 주소 (예:
오브젝트 스토리지 (Object Storage) 또는 VCN의 퍼블릭 로드 밸런서)에 액세스할 수
있다는 것을 의미합니다.
위에서 언급한 연결 유형 중 한 가지 또는 두 가지 모두 사용할 수 있습니다. 두 가지 모두
사용하는 경우에는 동시에, 혹은 이중화 구성으로 사용 가능합니다. 이 두 가지 연결은 사용자가
생성하여 VCN에 연결하는 단일 DRG를 통해 VCN까지 이릅니다. DRG 연결과 DRG에 적용되는
라우팅 규칙이 없다면 VCN과 온프레미스 네트워크 사이에 트래픽이 흐르지 않습니다. DRG는
언제든지 VCN에서 분리할 수 있지만 그 밖에 나머지 연결을 형성하는 구성요소는 모두 그대로
유지됩니다. 이후 DRG를 다시 연결하거나, 다른 VCN에 연결하는 것도 가능합니다.
IPSec VPN 및 패스트커넥트 (FastConnect)에 대한 자세한 내용은 '범위 및 전제 조건' 단원에 있는
링크를 참조하십시오.
인터넷 액세스
인터넷 게이트웨이 및 NAT 게이트웨이에 대한 자세한 내용은 이전 단원을 참조하십시오.
오라클 서비스 (예: 오브젝트 스토리지 (Object Storage))에 대한 프라이빗 액세스
아래 솔루션 중 하나 또는 두 가지 모두를 사용하면 오라클 클라우드 인프라스트럭처 오브젝트
스토리지 (Oracle Cloud Infrastructure Object Storage) 같은 오라클 서비스에 대한 프라이빗
액세스를 구성할 수 있습니다.
• 패스트커넥트 (FastConnect) 퍼블릭 피어링: 온프레미스 네트워크에 퍼블릭 오라클
서비스에 대한 프라이빗 액세스 권한을 부여합니다. 서비스 목록은
https://cloud.oracle.com/en_US/fastconnect/services를 참조하십시오.
12 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
• 서비스 게이트웨이: VCN에 오브젝트 스토리지 (Object Storage) (및 향후 추가되는
서비스)에 대한 프라이빗 액세스 권한을 부여합니다.
자세한 내용은 '오라클 서비스에 대한 프라이빗 액세스' 단원의 시나리오를 참조하십시오.
기타 VCN에 대한 액세스: VCN 피어링
VCN 피어링은 다수의 VCN을 연결하는 프로세스입니다. VCN 피어링은 다음과 같이 두 가지
유형이 있습니다.
• 로컬 VCN 피어링 (지역 내)
• 원격 VCN 피어링 (지역 간)
VCN 피어링은 네트워크를 다수의 VCN (예: 부서 또는 LoB 기준)으로 세분화하는 데 사용됩니다.
이때, 각 VCN은 나머지 VCN에 대해 직접적인 프라이빗 액세스 권한을 갖습니다. 트래픽이
인터넷을 통과할 필요도 없고, 혹은 온프레미스 네트워크로 전송될 때 IPSec VPN 또는
패스트커넥트 (FastConnect)를 경유할 필요도 없습니다. 또한, 나머지 모든 VCN이 비공개로
액세스할 수 있는 공유 리소스를 단일 VCN에 할당하는 것도 가능합니다.
원격 VCN 피어링은 지역 간에 이루어지기 때문에, 예를 들어 한 지역의 데이터베이스를 다른
지역으로 미러링하거나 백업하는 데 사용할 수 있습니다. 자세한 내용은 '지역 간 재해 복구'
단원에 있는 시나리오를 참조하십시오.
참고로, 피어링 관계의 두 VCN은 서로 CIDR이 중첩될 수 없습니다.
VCN 사용 시나리오
이번 단원에서는 공통적인 VCN 사용 패턴을 나타내는 몇 가지 시나리오를 살펴보겠습니다.
오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure) 기반 다중 계층
어플리케이션 (Multi-Tier Application)
이번 시나리오는 다중 계층 고가용성 어플리케이션에 대한 내용입니다. 예를 들어, 단일 오라클
클라우드 인프라스트럭처 (Oracle Cloud Infrastructure) 지역의 여러 AD에서 실행되는 오라클 E-
비즈니스 스위트 (Oracle E-Business Suite)가 여기에 해당합니다. 고가용성을 위해 서브넷 집합을
AD 두 곳에 복제하여 단일 VCN을 설정합니다. 다음은 일반적인 아키텍처를 나타낸
다이어그램입니다.
13 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
아래는 일반적인 구성요소 목록입니다.
• DMZ 계층에 사용되는 퍼블릭 서브넷 (배스천 호스트 역할을 하는 인스턴스 포함).
• 어플리케이션 계층에 사용되는 프라이빗 서브넷 (어플리케이션 로직을 실행하는 인스턴스
포함).
• 데이터베이스 계층에 사용되는 프라이빗 서브넷 (어플리케이션의 DB 시스템 포함).
14 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
• VCN부터 온프레미스 네트워크까지의 연결. 이러한 연결은 일반적으로 개념 증명 (PoC)
과정의 IPSec VPN과 프로덕션 과정의 패스트커넥트 (FastConnect)입니다.
• VCN에 사용되는 게이트웨이:
o DRG: 온프레미스 네트워크에 연결하는 게이트웨이로서, 관리자 액세스와 내부
클라이언트의 인바운드 어플리케이션 연결이 여기에 포함됩니다.
o 인터넷 게이트웨이: 인터넷에 연결하는 게이트웨이로서, 인터넷을 통한 외부
클라이언트의 인바운드 어플리케이션 연결이 여기에 포함됩니다.
o NAT 게이트웨이: 인터넷에 간접적으로 연결하는 게이트웨이이기 때문에, 프라이빗
서브넷의 리소스가 소프트웨어 업데이트를 목적으로 인터넷에 대한 아웃바운드
연결을 시작할 수 있습니다.
• 서브넷부터 게이트웨이까지의 트래픽을 제어하는 사용자 지정 라우팅 테이블.
• 각 서브넷에서 리소스로 송/수신되는 트래픽 유형을 제어하는 사용자 지정 보안 목록.
예를 들어, DB 시스템의 트래픽은 배스천 인스턴스에서 수신되는 SSH 트래픽으로, 그리고
필요에 따라 어플리케이션 계층 인스턴스와 주고받는 송/수신 트래픽으로 제한됩니다.
• 수신되는 어플리케이션의 트래픽 균형을 유지하는 로드 밸런서.
지역 간 재해 복구
이번 시나리오는 시나리오 1과 유사하지만 재해 복구 (DR)를 위해 두 번째 지역이 추가됩니다.
여기에서는 VCN 2개를 각 지역마다 하나씩 설정합니다. VCN은 서로 피어링되며, 이 말은 곧
인터넷이 아닌 오라클 네트워크 패브릭을 통해 흐르는 트래픽을 사용해 프라이빗 연결을
구성한다는 것을 의미합니다.
각 VCN마다 DRG가 있습니다. DRG는 VCN부터 온프레미스 네트워크까지 IPSec VPN 또는
패스트커넥트 (FastConnect)를 통한 프라이빗 연결을 비롯해 나머지 VCN에 대한 프라이빗
연결까지 지원합니다. 피어링에서는 두 VCN의 리소스만 서로 통신할 수 있습니다. 온프레미스
네트워크의 호스트는 VCN 사이에 트래픽을 전송할 때 피어링 연결을 사용하지 못합니다.
VCN 관리자는 피어링 연결을 설정하는 과정에서 각 VCN마다 원하는 IAM 정책, 라우팅 규칙 및
보안 목록을 설정합니다. 이 세 가지가 없으면 VCN 사이에 트래픽이 흐르지 않습니다.
다음은 일반적인 아키텍처를 나타낸 다이어그램입니다.
15 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
오라클 서비스에 대한 프라이빗 액세스
이번 시나리오에서는 온프레미스 네트워크와 VCN에서 퍼블릭 오라클 서비스 (예: 오라클
클라우드 인프라스트럭처 오브젝트 스토리지 (Oracle Cloud Infrastructure Object Storage))에 대해
이루어지는 프라이빗 액세스에 대해서 살펴보겠습니다. 아래 구성요소를 사용하면 트래픽이
인터넷이 아닌 프라이빗 오라클 네트워크 패브릭을 통해 흐르도록 할 수 있습니다.
• 패스트커넥트 (FastConnect) 퍼블릭 피어링: 온프레미스 네트워크에 퍼블릭 오라클
서비스에 대한 프라이빗 액세스 권한을 부여합니다. 서비스 목록은
https://cloud.oracle.com/en_US/fastconnect/services를 참조하십시오.
• 서비스 게이트웨이: VCN에 오브젝트 스토리지 (Object Storage) (및 향후 추가되는
서비스)에 대한 프라이빗 액세스 권한을 부여합니다.
16 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
다음은 일반적인 아키텍처를 나타낸 다이어그램입니다. 온프레미스 네트워크와 오라클 클라우드
인프라스트럭처 (Oracle Cloud Infrastructure) 사이의 패스트커넥트 (FastConnect)는 VCN의 DRG를
통한 프라이빗 피어링 연결과 오라클 서비스 네트워크에 대한 퍼블릭 피어링 연결을 모두
지원합니다.
VCN에 속한 서비스 게이트웨이는 VCN의 리소스가 인터넷을 통한 트래픽 흐름 없이 오브젝트
스토리지 (Object Storage) (및 향후 추가되는 서비스)에 대한 아웃바운드 연결을 시작할 수
있도록 지원합니다. VCN의 인스턴스가 프라이빗 서브넷에 속할 수는 있지만 (따라서 퍼블릭 IP
주소는 없음), 그렇더라도 지원되는 오라클 서비스의 퍼블릭 엔드포인트와 통신은 가능합니다.
17 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
VCN 보안 목록
네트워킹 (Networking) 서비스 보안 목록은 VCN을 안전하게 유지하는 데 효과적입니다. 보안
목록은 송신 및 수신 규칙으로 송/수신이 허용되는 트래픽 유형을 지정하여 가상 방화벽을
인스턴스에 제공합니다. 각 보안 목록은 인스턴스 수준에서 적용됩니다. 하지만 서브넷
수준에서도 보안 목록을 구성할 수 있습니다. 이 말은 곧 모든 서브넷 인스턴스에 동일한 규칙
집합이 지정된다는 것을 의미합니다. 보안 목록은 VCN 내부의 다른 인스턴스와 통신하든, 혹은
VCN 외부의 호스트와 통신하든 상관없이 지정된 인스턴스에 적용됩니다.
또한, 지정되는 규칙이 상태 기반인지, 혹은 비상태 기반인지 선택할 수도 있습니다.
• 상태 기반 규칙: 보안 목록 규칙을 상태 기반으로 표시할 경우, 해당 규칙과 일치하는
모든 트래픽에 대해 연결 추적을 사용하겠다는 것을 나타냅니다 (보안 목록이 연결된
서브넷의 인스턴스일 때). 이 말은 곧 상태 기반 수신 규칙과 일치하는 트래픽이
인스턴스에 수신되면 인스턴스에 적용되는 송신 규칙과 상관없이 응답을 추적하여
자동으로 발신 호스트로 보냅니다. 또한, 인스턴스가 상태 기반 송신 규칙과 일치하는
트래픽을 전송하면 수신 규칙과 상관없이 수신되는 응답을 자동으로 허용합니다.
• 비상태 기반 규칙: 보안 목록 규칙을 비상태 기반으로 표시할 경우, 해당 규칙과 일치하는
모든 트래픽에 대해 연결 추적을 사용하지 않겠다는 것을 나타냅니다 (보안 목록이
연결된 서브넷의 인스턴스일 때). 이 말은 곧 응답 트래픽이 자동으로 허용되지 않는다는
것을 의미합니다. 비상태 기반 수신 규칙이 적용될 때 응답 트래픽을 허용하려면 해당하는
비상태 기반 송신 규칙을 생성해야 합니다.
기본 보안 목록
각 클라우드 네트워크는 기본 보안 목록이 있습니다. 서브넷 생성 과정에서 다른 보안 목록을
하나 이상 지정하지 않으면 기본 보안 목록이 서브넷에 자동으로 연결됩니다. 서브넷을 생성한
후에도 언제든지 연결되어 있는 보안 목록을 변경할 수 있습니다. 또한, 목록에 적용되는 규칙도
바꿀 수 있습니다.
기본 보안 목록은 다른 보안 목록과 달리 상태 기반 규칙 집합이 함께 제공되며, 이 규칙은 변경
가능합니다.
• 상태 기반 수신: 출발지 0.0.0.0/0을 비롯한 모든 출발지 포트에서 목적지 포트 22(SSH)로
전송되는 TCP 트래픽을 허용합니다. 이러한 규칙을 지정하면 손쉽게 새로운 클라우드
네트워크와 퍼블릭 서브넷을 생성하여 Linux 인스턴스를 시작한 후 보안 목록 규칙을
직접 작성하지 않고 SSH를 통해 해당 인스턴스에 바로 연결할 수 있습니다.
18 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
• 상태 기반 수신: 출발지 0.0.0.0/0을 비롯한 모든 출발지 포트에서 전송되는 ICMP 트래픽
유형 3 코드 4를 허용합니다. 이러한 규칙을 지정하면 인스턴스가 Path MTU Discovery
조각화 메시지를 수신할 수 있습니다.
• 상태 기반 수신: 출발지 VCN의 CIDR을 비롯한 모든 출발지 포트에서 전송되는 ICMP
트래픽 유형 3 (모든 코드)을 허용합니다. 이러한 규칙을 지정하면 인스턴스가 VCN에
속한 다른 인스턴스서 연결 오류 메시지를 쉽게 수신할 수 있습니다.
• 상태 기반 송신: 모든 트래픽을 허용합니다. 이러한 규칙을 지정하면 인스턴스가 유형에
상관없이 모든 목적지로 트래픽을 시작할 수 있습니다. 이 말은 곧 퍼블릭 IP 주소가
할당된 인스턴스는 VCN에 인터넷 게이트웨이가 구성되어 있을 경우 모든 인터넷 IP
주소와 통신할 수 있다는 것을 의미합니다. 또한, 상태 기반 보안 규칙은 연결 추적을
사용하기 때문에 응답 트래픽이 수신 규칙에 상관없이 자동으로 허용됩니다.
기본 보안 목록은 비상태 기반 규칙 없이 제공됩니다. 하지만 원할 경우 기본 보안 목록에 규칙을
추가하거나, 혹은 기본 보안 목록에서 규칙을 제거할 수도 있습니다.
참조 문서
• 네트워킹 (Networking) 서비스 설명서
o https://docs.cloud.oracle.com/iaas/Content/Network/Concepts/overview.htm
• 네트워킹 (Networking) 서비스 FAQ
o https://cloud.oracle.com/networking/vcn/faq
• 네트워킹 (Networking) 서비스 동영상
o https://www.youtube.com/embed/319ltOVoFHQ
• 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure) IPSec VPN 배포 가이드
o https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/managingIPsec.htm
• 패스트커넥트 (FastConnect) 설명서
o https://docs.cloud.oracle.com/iaas/Content/Network/Concepts/fastconnect.htm
• VCN 피어링 설명서
o https://docs.cloud.oracle.com/iaas/Content/Network/Tasks/VCNpeering.htm
• 로드 밸런싱 (Load Balancing) 서비스 설명서
o https://docs.cloud.oracle.com/iaas/Content/Balance/Concepts/balanceoverview.htm
19 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
개정 이력
다음은 본 백서 최초 발간 이후 지금까지 개정된 이력을 나타낸 것입니다.
날짜 개정
2018년 11월 2일 새로운 배포 시나리오
2018년 10월 14일 편집 관련 변경 및 소규모 업데이트
2018년 1월 최초 발간
20 | 오라클 클라우드 인프라스트럭처 (Oracle Cloud Infrastructure)
오라클 본사
500 Oracle Parkway
Redwood Shores, CA 94065, USA
문의처
전화: +1.650.506.7000
팩스: +1.650.506.7200
소셜 계정
blogs.oracle.com/oracle
facebook.com/oracle
twitter.com/oracle
oracle.com
COPYRIGHT © 2018, ORACLE AND/OR ITS AFFILIATES. ALL RIGHTS RESERVED. 본 문서는 정보의 목적으로만 제공되며 일체의 내용은 고지 없이 변경될 수 있습니다. 본 문서는 오류에 대해 책임지지 않으며 특정
목적에 대한 적격성 및 적합성과 관련된 묵시적 보증 및 계약 조건을 포함해서 명시적, 묵시적 기타 모든 보증 또는 계약 조건에
의해 구속 받지 않습니다. 오라클은 본 문서와 관련해 어떠한 법적 책임도 지지 않으며, 본 문서로 인해 직간접적인 어떠한 계약
구속력도 발생하지 않습니다. 본 문서는 오라클의 사전 서면 승인 없이는 어떠한 형식이나 수단 (전자적 또는 기계적) 또는
목적으로도 복제하거나 배포할 수 없습니다.
오라클 (Oracle) 및 자바 (Java)는 오라클 및 그 계열사의 등록 상표입니다. 기타 명칭은 해당 소유업체의 상표입니다.
Intel 및 Intel Xeon은 Intel Corporation의 등록 상표 또는 상표입니다. 모든 SPARC 상표는 사용 허가를 받아 사용해야 하며 SPARC
International, Inc.의 등록 상표 또는 상표입니다. AMD, Opteron, AMD 로고 및 AMD Opteron 로고는 Advanced Micro Devices의 등록
상표 또는 상표입니다. UNIX는 The Open Group의 등록 상표입니다.
