kt cloud

Server

kt cloud에서 server는 AWS의 EC2 서비스와 같다. 차이점으로 인스턴스 타입이 없고 사양만 존재한다. 

 

Az

총 6개의 존(Zone)이 존재한다.

- 천안 : centrol A, B 가장 오래전에 생성된 DC이다.

- 목동 : M1, M2 M2의경우 CDC(Cloud Data Center)로 최신기술이 가장 많이 적용되는 존이다.

- 김포 : HA 고가용성으로 사용하나 사용률은 떨어진다. 

- US-WEST 트래픽 정책의 차이가 있다.

 

 

 

기업용 cloud

G-cloud

- 천안 : G1으로 구조가 없다. 방화벽으로 wins가 장비 앞단에서 동작한다. VR이 뒷단에서 동작한다. IPS(차단), IDS(탐지), F/W(방화벽)의 기능이 있다. 2 Tier구조로 (DNZ(internet), Provate(VPN))으로 분리된다.

- 목동 : DX Plastform은 2021년 시작되었다. 이에 안정성이 보장되지 안지만, 새로운 기능들은 다 이 플랫폼이다. Tier 구조로 여러 티어들을 분리한다.

 

Enterprise

-cloud : G1 기반으로 천안에 위치해있다. 즉, G-cloud와 wins, 2tier등의 특징이 동일하다. 

-Security : M2 기반으로 26Tier wins로 F/W나 보안과제 선택이 가능하다. VR이 생성된다.

 

cloud 환경요소

클라우드 환경의 운영 관리를 도와주는 도구인 플랫폼

- open stack : 시트릭스(Citrix)에서 오픈소스로 공개한 제품 -> 새기능이 다양하나, 전문 가술자가 필요하고 이에 안정성이 부족할 수있다

- cloud stack :  전형적인 오픈소스 커뮤니티 -> 기본적으로 많이 사용되는 제품으로 이때문에 G1, G2가 안정적이다. 

 

 

 

kt cloud service

 

VR(Virtual Router)

VM으로 서버를 만든 것이다. 방화벽 역할(F/W)도 하고 무상으로 제공된다. VM이기 때문에 부하를 조심해야 한다. VR에서 키페어를 받아서 VM에 접근한다. (Password damnom)에 문제가 있으면 암호가 불일치하는 오류가 생성된다.

기본적으로 500mbps를 보장하고 고급형은 1Gbps를 보장한다.

Cloudwatch 모니터링의 진행요소를 VR이 가지고 있다. 이에 VR데이터가 가득차면 cloudwatch에서 확인 불가하다.

 

IP 적용 방식

AWS와 달리 VR하나에 무료의 공인 IP만 받게 된다. 이에 포트포워딩 방식을 사용해 포트 번호를 통해서 트래픽을 분배한다. 외부로 나가는 IP의 변경을 원하면 Static NAT를 사용해야한다. 이를 사용시 포트포워딩 정책을 사용하지 못한다.

 

 

 

LB

Kt의 경우에는 Classic LB를 사용한다. 이에 포트별로 LB를 생성해야한다.

 

LB 알고리즘 종류

- round robin : 서버에 들어온 요청을 순서대로 돌아가면서 배정하는 방식이다. 동일한 스펙의 서버, 세션 연결이 길지 않을때 사용한다.

- least connection : 요청이 가장 적은 연결 상태의 서버에 트래픽 분배한다. 

- least response time : 서버의 연결 상태와 응답시간을 모두 고려해 트래픽 배분한다.

- source ip hash : 클라이언트의 ip주소를 특정 서버에 매핑하여 처리한다. 세션 유지가 중요할 때 사용한다.

- source ip port : 클라이언트의 더미 port 까지 기억한다. ip만으로 구분 안될때 사용한다.

LB의 기능이 영리해 질수록 LB에 부하가 걸리기 때문에, 간단한 방식인 round robin, least connection을 주로 사용한다.

 

 

HTTPS 암호화 방식

- HTTPS LB

LB가 인증서를 처리한다. Proxy 형태로 Client IP를 서버에서 확인이 불가능하다. X-Forwarded-for 해더 값(HTTP Header)으로 LB가 IP를 넣어준다.

Client -> (HTTPS) -> LB - (HTTP) -> 서버

 

- SSL Bridge

서버가 인증서를 처리한다. 암호화 되어있어서 X-Forwarded-for 불가능 하다. 공격 IP가 들어오면 차단 할 수 없다.

Client -> (HTTPS) -> LB - (HTTPS) -> 서버

 

-> TLS cipher suite등 보안 형식을 서버에서 준다. 이런 보안 값들이 변경 되면 HTTPS LB 방식의 경우에  KT 쪽에서 맞춰줘야한다. 이게 느리면 암호화가 안되니까 그럴때 서버에서 인증서 처리하는 방식을 사용한다.

 

 

CDN

kt는 3.0 버전을 많이 사용한다.

 

Storage

AWS의 S3와 같다. 데이터 저장소로 단일 용량이 5GB이다. aws S3의 정적호스팅 기능과, public, private을 선택 할 수 없다. 1.0(오래 됐으나 기능이 많아 주로 사용된다.), 2.0, 3.0(DX용)의 기능이 차이가 있다.

 

NAS (network attached storage) 

3가지 프로로토콜을 지원한다.

- NFS : network file system으로 네트워크를 통해 원격의 파일을 주고 받기 위해 개발된 분산 파일 시스템이다. linux등 범용성이 있다.

- CIFS : Common internet file system로 윈도우 계열 OS간 파일 공유에 특화 되어있다. unix

- iSCSI :  직열방식으로 단일 PC에 연결 가능하다. DB 같은 경우 NFS를 사용하면 Data 보존 문제가 있어서 지정을 못한다. Master DB에 문제가 있으면 Master DB에 연결된 스토리지가 standby로 연결 변경 가능하다.

 

WAF

Kt는 타사 웹 방화벽을 사용한다. 패턴 생성후 감지하고 차단, Blacklist IP 차단을 한다.

IPS는 허용하는 것만 허용하거나, 패턴생성 후 차단한다.

 

- WAF : 펜타 시큐리티 WAPPLES

- WAF pro : 모니터랩 AIWAF -> WAPPLES에 비해 log를 탐지해 자동으로 패턴을 생성한다. 비용이 더 비싸나 성능이 올라갈 수 록 차이가 적다.

 

RDS

kt는 RDS에 장애가 많아 VM으로 따로 만든다.