[NCP] classic platform 의 private subnet 에서의 ACG

2022.06.23 - [IT/Cloud Service] - [NCP 202] ACG 적용 대상

[NCP 202] ACG 적용 대상

ACG의 적용대상이 classic platform 에서는 서버이며, VPC platform에서는 NIC(eth) 라고 했다.

 

그런데 몇 가지 테스트를 해보았을 때 좀 묘한걸 알게 되었다.

 

VPC platform은 NIC 별로 ACG 를 관리하고 있기에 무적권 NIC를 통과하려는 패킷은 ACG의 방화벽 정책에 의해서 허용되어져야만 통신할 수 있다.

 

그런데 classic platform에서 서버를 단위로 적용이 되는 것 처럼 보여지는데, 이게 private subnet 을 설정하게 되면 서버 단위가 맞을까 하는 의구심이 든다.

 

private subnet 을 생성 하고 NIC를 추가한 서버 A와 B는 L2 구간으로 인해 routing 없이 서로 통신할 수 있게 된다.

 

이 점에서는 VPC도 마찬가지다, 같은 L2 구간이기에 routing 없이 통신이 가능하다. 

 

그런데 classic platform에서는 private subnet안에 있는 서로 다른 VM간에(같은 private subnet 이라는 의미는 같은 가용영역에 존재함을 의미하기도 한다) 앞에서 설명했듯이 추가한 NIC로 인해 L2 구간에 있는 VM 들은 ACG에 전혀 상관 없이 통신할 수 있다.

 

ACG가 서버 단위라면 서버를 지나는 eth0, eth1 모두에 대해서 정책에 영향을 받아야 할것 같은데 eth1 은 ACG 정책에 영향을 받지 않았다.

 

이거슨 마치 물리적인 장비 두대 사이에 고가용성을 위해 별도의 L2 스위치를 두고 서로 eth1 로 heartbeat 체크하던 legacy 와 같은 느낌이다.

 

classic platform에서 우연히 IP 대역이 같은 eth0 에서도 테스트를 해보았는데, ACG에 영향을 받는 것으로 테스트를 완료했다.

 

그래서 내가 내린 결론은 classic platform 에서는 eth0 만 ACG에 영향을 받고 private subnet을 추가한 eth1 는 ACG에 전혀 적용을 받지 않는 다는 것이다.

 

그리고 classic platform 에서 말하는 공유 네트워크라는 개념을 이번 테스트를 통해서 배울 수 있었다.

 

VPC는 진짜 말그대로 가상의 개인 네트워크 공간이고 완벽하게 분리되어있다. 그래서 같은 계정에서 서로 다른 VPC 라면 통신할 수 없다

 

이런 경우 통신을 위해서는 VPC peering 을 통해 독립된 두 네트워크 공간을 연결할 수 가 있다.

 

그런데 이 classic platform은 모든 classic platform의 사용자와 공유한다.

 

아 물론 민간존/공공존은 분리되어 있을 것이다.

 

*방금 테스트 해봤는데 민간존의 KR1/KR2 간에 네트워크 공유가 되어 있다.

 

같은 가용지역과 같은 민간/공공존 내에서는 어떤 계정의 소유자던 네트워크가 공유되어 있다.

 

이는 ACG설정을 할 때 0.0.0.0/0 이나, eth0 의 대역으로 접근 허용을 하게 되면, NCP 민간존 KR1/KR2의 어떠한 사용자라도 공유된 네트워크 환경을 통해 접근이 가능하게 된다.

 

그래서 시큐어 존이 나온건가? 

 

시큐어 존에 상품 끼워팔기나 KISA 인증 때문인지, 아니면 시큐어 존이라는 포장 때문인건지 SSLVPN 필수, DB관련 보안 내용이 있긴 한데, 결국엔 VM간에 좀더 명확한 방화벽 규칙을 세울 수 있는 기능이 주요 목적이 아닐까?

 

VPC에는 secure zone이라는 상품이 없는게 그 반증이 아닐까? 하는 뇌피셜이다.