온라인국민참여포탈 클러스터 시스템 구성 제안 2004. 8. 23 ㈜ 클루닉스 기술부
목 차 시스템 구성 요소 시스템 구성 주요 기술 시스템 구성도 시스템 구성 설명 시스템 설계 주요 사안 시스템 보안 주요 사안 보안 서비스 구동 시나리오
시스템 구성 요소 Router L3 스위치 Firewall ( 방화벽 ) L2 스위치 ( Backbone Switch ) Load Balance server ( Software L4 Switch ) DNS Server SMTP/Mail Server
시스템 구성 요소 Image Server Web Server ( Static Contents – html, Scripts ) Was Server ( Dynamic Contents – Java, Cgi, ActiveX ) Data Base Server IDS, SMS, NMS ( 시스템 통제 관리 서버 ) File server, Backup Server, Log Server File, Contents 관리 호스트
시스템 구성 주요 기술 L3 스위치/ Timing ( 네트워크 이중화 ) Network Switch 이중화 기술 Server Ethernet 이중화 기술 Bridging Firewall 기술 ( 방화벽 구축 ) OSI 3 Layer 단계에서의 Netfilter 기능 – 대규모 시스템 설계 시 NAT 방식으로 전체 네크워크 구성은 비 효율적. Firewall Load Balancing 및 heartbeat 기술 – 과도한 네트워크 트래픽 집중에 의한 대처 방안 Worm Virus 및 Dos 공격 패턴 별 NetFilter 기능
시스템 구성 주요 기술 Load Balancing ( Linux Virtual Server ) 작업 부하 부산 기술 서버 오류 상태 파악 및 Fail Over 기술 Group별 Virtual Address 기술 Service, Node, Node Group 별 Virtual Addressing LB Server 간의 서비스 Heartbeat 기술 LB Server 와 App Server 간의 Symmetric Fail Over 기술 Multi Load Balancing technology 특화된 서비스에 대한 Load Balancing 기술 Cluster Node 에 대한 Management 기능 오류 발생 시 관리자 정의에 의한 자동 명령 실행 기능
시스템 구성 주요 기술 시스템 통제 관리 기술 SMS (Server Management System) Server 별 서비스 오류 시 통보 및 log 기능 NMS (Network Management System) Network System (route,Switch,Server) 현황 및 상태 파악 Network System별 Network Traffic 파악 Network Service 오류 시 통보 및 log 기능 IDS (intrusion detection system) 침입 탐지 시스템 비 정상 서비스 요청의 패턴 파악 비 정상 서비스 요청 주소에 대한 자동 제어 및 보고 기능 비 정상 서비스 요청 주소 역 추적 기능
시스템 구성도
시스템 구성 설명 L3 Switch 를 이용한 Backbone Switch 이중화 Ethernet Timing을 통한 Server Network 이중화 Firewall Load Balancing 을 통한 Network Traffic 분산 Resource and Service Group 별 가상 주소 지원 가능한 Load Balance Server 이용한 부하 분산
시스템 구성 설명 Network Channel 이중화로 Front Service( DNS, SMTP, Image, Web, Was )와 Backend Service ( DB, File, Log, Backup )의 네트워크 대역 분리 서비스 네트워크 성능 최대 보장 주요 데이터 보안 강화 데이터 서버 분류로 데이터 관리 효율 향상 SMS,NMS,IDS 는 두 네트워크에 모두 참여 가능 DNAT 기능을 통한 관리 터미널 서버 연결 관리 터미널 접속 루트의 최소화로 보안 강화 관리 접속 채널과 서비스 채널 분리로 통한 보안 강화
시스템 설계 주요 사안 서비스 분류 별 시스템 그룹화 DNS, SMTP, WEB, WAS, DB, Management .. System upgrade 및 오류 발생 시 장애 복구 시 효율 극대 Service 특성 별 요구 Resource 틀림으로 서버 별 서비스 통합 시엔 시스템 하드웨어 Resource 관리가 복잡해짐 서버 별 서비스 통합 관리 시엔 특정 서비스에 의한 문제로 시스템 문제 발생 시 전체 서비스에 영향을 줌
시스템 설계 주요 사안 Contents 별 시스템 그룹화 Contents 관리 효율 – 서버 별 Contents 통합 시 일부 Contents Update 시 모든 서버에 적용해야 함으로 관리 부담 증가 ( 다중 관리 시 더함 ) 오류 발생 시 오류 파악 및 오류 극복 시간 단축 – 서버 별 Contents 통합 시 일부 Contents의 오류로 전체 Contents에 영향을 줄 위험 큼. 오류 발생 시 해당 Contents 파악이 힘듬. Contents 별 관리자가 다를 경우 서버 관리자의 다중화로 시스템 관리 및 보안 측면에서 비 효율적 – 실제 보안 문제 발생 시 관리 책임 문제 복잡
시스템 보안 주요 사안 Firewall 을 통한 1차 보안 Network Channel 이중화를 통한 2차 보안 Firewall 을 통한 해당 서비스 별 NetFilter 기능으로 서버 별 Open Port 최소화 ( 이 구성은 서비스별 서버 그룹화가 형성 되었을 때 효율 최대 ) 공격 패턴이 정해진 Dos 공격이나 Worm 공격의 경우 1차 보안에서 원천 차단 함으로 서비스 성능 향상 보장 Network Channel 이중화를 통한 2차 보안 서비스 그룹과 데이터 그룹, 관리 그룹을 분리 함으로 데이터 보안 강화 DNAT 기능을 이용한 Private Network 에 존재한 관리 호스트 접근 방식으로 관리 권한 보안 강화 Log Server 분리를 통한 Log 보안 강화로 문제 발생 시 문제 추적 가능
서버 별 NetFilter 기능을 통한 4차 보안 시스템 보안 주요 사안 IDS를 통한 3차 보안 침입 탐지 시스템을 통한 서비스 그룹에 대한 유동적 보안 강화 신규 공격 패턴에 대한 지능적 보안 처리 가능함으로 보안 관리 부담 절감 문제 발생 시 추적 용이 서버 별 NetFilter 기능을 통한 4차 보안 서버 별 서비스 그룹 분리를 통해 Open Port 최소화로 서버 별 해당 Port 에 대한 Netfilter 기능 적용 시스템 구성이 정형화됨으로 서버 별 해당 보안 정책 수립이 용이
시스템 보안 주요 사안 설계 단계에서의 관리 정책을 통한 5차 보안 서버 별 서비스 그룹화를 통환 서버 그룹 별 Open Port 최소화와 서버 그룹 별 서비스 연계된 서버간의 필요 Port 만 Open 가능함으로 내부 시스템 보안 정책이 강화 Contents 분류를 통한 해당 Contents 관리자에 의한 해당 시스템 권한 분류가 용이함으로 내부 관리 보안 강화
Ssh,NFS, SAMBA,FTP,RSYNC,DBConnect… 보안 서비스 구동 시나리오 Dns,53 smtp. 25 www.80 www.80 80,8080,.. Ssh,NFS, SAMBA,FTP,RSYNC,DBConnect… Ssh,ftp
Supercomputing for Everyone Clunix, Inc. ㈜클루닉스 152-766 서울특별시 구로구 구로3동 197-22 에이스테크노타워 5차 1007호 Tel : + 82 2 3486 5896 Fax : + 82 2 3486 3959 www.clunix.com