2021년 11월 30일 화요일

Cloud 에서의 Network Architecture

지난 글에서는 Cloud 환경으로의 전환에 있어 기본 바탕이 되는 Network 구성 요소에 대해 살펴보았다. 기존 On-prem 환경처럼 각각의 역할과 기능에 따라 라우터, 방화벽, 스위치 등의 Network 장비를 구비하고 설정하는 것이 아닌, 각각의 구성 요소가 Software Defined 기반 기술을 통해 논리적으로 구성되고 각 Cloud 서비스 마다 조금씩 기능이나 명칭 등이 상이한 부분이 있어 처음에는 혼란을 겪을 수 있지만 Network 본연의 원리를 이해하고 Cloud 에서의 Network 구성요소를 인지하면 어렵지 않게 Cloud 전환에 대응할 수 있을 것이다.

이번 글에서는 Cloud 환경에서 마주하게 되는 Network Architecture 관점에서의 구성 시나리오를 살펴보고자 한다. Cloud 환경에서 접하게 될 구성 시나리오를 살펴보면 크게 3가지로 구분이 가능하다.

  • Single Cloud 내 구성
    • Single Region 내 Single VCN
      일반적인 Web Service 를 위한 3 tier 을 기준으로 아래와 같은 구성을 생각해 볼 수 있다. Service Management 를 위한 Bastion VM 과 외부 사용자 (서비스 이용자) 에게 Service 를 노출 하기 위한 Load Balancer 와 Web Server VM 등을 Public Subnet 에 배치하고 Application VM, Database, Storage 등을 Private Subnet 에 배치하여 서로 연동함으로써 최소한의 요소만 외부에 노출시키면서 서비스 제공이 가능하다.
    • Single 혹은 Multi Region 내 Multi VPC (VCN)
      VPC (VCN) 간의 연동이 필요한 경우 Cloud 서비스에서 제공하는 Peering 기능을 이용한다. 동일 Region 내 VPC (VCN) 간 연동은 Local Peering, 서로 다른 Region 의 VPC (VCN) 간 연동은 Remote Peering 으로 명명된다. 1:1 Peering 은 크게 불편하지 않지만 1:N 혹은 N:N Peering 은 어떻게 해야할까. 이런 경우 예전에는 연동이 필요한 모든 VPC (VCN) 에 대해 Full Mesh 로 Peering 을 구성해줘야 했지만 현재는 Transit Hub (또는 Transit Gateway) 기능이 지원 되어 Hub – Spoke 구성을 가능하게 해 Network 연동 구성을 단순화 할 수 있다. Cloud 서비스 마다 Transit Hub (Transit Gateway) 의 제공 기능 범위가 상이하여 사용 전 제공 기능 범위 파악이 필요하다. Multi Region 간 연동 시 각 Region 에 배치된 Transit Hub (Transit Gateway) 간 연동 가능 여부 등이 이에 해당된다.
Microsoft Azure N-tier Architecture
Multi VPC Connection via AWS Transit Gateway
  • Multi Cloud 연동 구성
    • 서로 다른 Cloud 환경에 시스템이 분산되어 있는 경우 Cloud 환경 간 연동이 필요하다. 이러한 Multi Cloud 환경에서의 Network 연동을 손쉽게 해결할 수 있도록 Cloud 서비스 제공업체 간 파트너십 1 을 통해 연동 솔루션을 제공하는 경우 해당 솔루션을 이용할 수 있고 그렇지 않은 경우 IPSec VPN 나 Software Defined 기반 PoP (Points of Presence) 서비스 2 를 통해 연동이 가능하다.
Cloud 서비스 제공업체 간 파트너십 – Oracle OCI Fastconnect 와 Microsoft Azure ExpressRoute 간 연동
Software Defined PoPs 이용한 연동 – Google Cloud Platform과 MCR 서비스
  • On-prem 환경과 Hybrid 연동 구성
    • On-prem 환경과 같은 Private 환경과 Cloud 환경에 시스템이 분산되어 있는 경우 연동이 필요하다. 운영 환경이 아닌 Test 를 위한 환경 구성인 경우 IPSec VPN 를 구성하여 사용 가능하나 실 운영환경의 경우 대역폭과 보안 등을 보장하는 전용선 서비스를 이용한 연동을 권장한다.
Redundant AWS Direct Connect

위와 같은 Network Architecture 구성 시 IP 주소 대역에 대한 고려가 필요하다. 여러 네트워크를 연동하는 과정에서 네트워크 간 동일 IP 주소 대역을 쓰고 있는 경우 대역 중첩으로 인해 연동이 불가하기 때문이다. 더불어 가용성 등을 고려하여 Instance 등 구성요소를 Network 는 동일하게 하면서 서로 다른 Available Zone (Available Domain) 으로 분산 배치 하는 것도 가능하니 고려해볼 필요가 있다.

  1. Set up a direct interconnection between Azure and Oracle Cloud Infrastructure
  2. Connecting multi-cloud VPCs with Megaport Cloud Router

    Related Posts

    신속하고 편리한 개발, Lowcode
    Cloud 에서의 Network

    Leave a Reply