SFC(Service Function Chain) 시나리오

VPC 환경에서 이용 가능합니다.

네이버 클라우드 플랫폼의 VPC(Virtual Private Cloud)를 이용한 Service Function Chain(이하 SFC)은 고객에 따라 다양한 방식으로 구축할 수 있습니다.
SFC의 구성을 위해 Transit VPC, Endpoint Route Table, Service Function Chain, Transit VPC Connect, Inline Load Balancer, Public IP 가 사용됩니다.
사용 시나리오는 다음과 같습니다.

SFC와 보안 어플라이언스를 이용한 보안 계층 구성

SFC와 보안 어플라이언스를 이용한 보안 계층 구성 시나리오는 일반적인 시스템에 많은 기능을 가진 보안 어플라이언스를 적용할 때 권장됩니다.

이 시나리오를 구현하기 위한 절차는 다음과 같습니다.

1. VPC 생성
2. Subnet 생성
3. 서버 생성
4. Target Group 생성
5. Load Balancer생성
6. Transit VPC Connect 생성
7. Service Function Chain 생성
8. Endpoint Route Table 생성 및 설정
9. Route Table 생성 및 설정
10. Public IP 연결 설정

1. VPC 생성

가장 먼저 네이버 클라우드 플랫폼 콘솔에서 VPC를 생성합니다. 콘솔의 Services > Networking > VPC 메뉴에서 생성할 수 있습니다.
일반 VPC 1개와 Transit VPC 1개를 생성합니다.

2. Subnet 생성

VPC 생성을 완료했다면 실제적으로 네트워크를 사용할 수 있도록 VPC 안에 Subnet을 구축합니다. 필요한 Subnet은 아래와 같습니다.

• 일반 VPC
  • Public 일반 Subnet: 보안 어플라이언스 장비 접속 및 일반 서버 접속용 Bastion서버
  • Private 일반 Subnet: 서비스용 서버
  • Public LB Subnet: 서비스용 Load Balancer
• Transit VPC
  • Private 일반 Subnet: 보안 어플라이언스 MGMT
  • Public SFC Subnet: 보안 어플라이언스 서비스 NIC
  • Private LB Subnet: Inline Load Balancer

3. 서버 생성

생성된 VPC 안에 배치할 서버를 생성합니다. 서버 생성 시 앞서 생성한 Transit VPC와 일반 VPC를 선택한 후 ACG를 입력해 주십시오.
자세한 사항은 서버 생성 방법 가이드를 참조해 주십시오.

일반 서버

1. 콘솔의 Compute > Server > 서버 생성에서 원하는 이미지를 선택 한 후 생성

보안 어플라이언스

1. 콘솔의 Compute > Server > 서버 생성 > 서버 이미지 선택에서 [3rd party 이미지]탭에서 원하는 벤더사의 이미지 선택
2. Network Inferface 설정시 서비스를 위해 External, Internal 2개의 추가 Network Interface를 생성하고 추가된 Network Interface는 SFC Subnet으로 할당

3. 권장 스토리지 용량은 벤더사마다 상이하며 벤더사에 별도 문의
4. Inline Load Balancer를 이용하는 경우, Health Check를 위한 포트 오픈 필요
5. 생성 후 2개의 추가 Network Interface에 보안 어플라이언스 자체 라우팅 설정 필요

4. Target Group 생성

Inline Load Balancer에서 사용할 Target Group을 생성합니다.
Target 유형을 Transit VPC Server로 선택한 후 보안 어플라이언스에서 서비스용으로 추가된 2개의 Network Interface를 Target으로 추가해 주십시오.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer용 Target Group은 Ingress, Egress용도로 각각 만들어 주십시오.

자세한 생성방법은 Target Group 생성 방법 가이드를 참조해 주십시오.

Application Load Balancer용 Target Group

1. 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 원하는 이미지를 선택 한 후 생성

Inline Load Balancer용 Target Group (Ingress용)

1. 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
2. Target 추가 설정시 보안 어플라이언스에 추가한 External Network Interface를 설정

Inline Load Balancer용 Target Group (Egress용)

1. 콘솔의 Networking > Load Balancer > Target Group > Target Group 생성에서 Target 유형을 Transit VPC Server, 프로토콜을 IP로 선택
2. Target 추가 설정시 보안 어플라이언스에 추가한 Internal Network Interface를 설정

5. Load Balancer 생성

일반 VPC에서 동작할 Application Load Balancer와 Transit VPC에서 동작할 Inline Load Balancer를 생성합니다.
SFC는 단방향으로 동작하므로 양방향 통신을 위해 Inline Load Balancer는 Ingress, Egress용도로 각각 만들어 주십시오. 자세한 생성방법은 Inline Load Balancer 가이드를 참조해 주십시오.

Application Load Balancer용 Target Group

1. 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 애플리케이션 로드밸런서 생성

Inline Load Balancer용 Target Group (Ingress용)

1. 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
2. Inline Load Balancer용 Target Group (Ingress용) 추가

Inline Load Balancer용 Target Group (Egress용)

1. 콘솔의 Networking > Load Balancer > 로드밸런서 생성에서 인라인 로드밸런서 생성
2. Inline Load Balancer용 Target Group (Egress용) 추가

6. Transit VPC Connect 생성

일반 VPC와 Transit VPC를 연결해줄 Transit VPC Connect를 생성합니다.
자세한 생성방법은 Transit VPC Connect 가이드를 참조해 주십시오.

7. Service Function Chain 생성

Transit VPC 내에서 네트워크 흐름을 정의할 Service Function Chain을 생성합니다. SFC는 단방향으로 동작하므로 양방향 통신을 위해 Ingress, Egress용도로 각각 만들어 주십시오. 자세한 생성방법은 Service Function Chain(SFC) 생성 방법 가이드를 참조해 주십시오.

Ingress용 Service Function Chain

1. Transit VPC와 Zone을 선택
2. 목적지 Subnet에 일반VPC CIDR대역 추가
3. Chain에 아래와 같이 설정

   순서	유형	인스턴스	서브넷	Ingress NIC
   1	LoadBalancer	Ingress용 Inline LB	자동입력	-
   2	TransitVpcConnect	생성한 TransitVpcConnect	-	-

Egress용 Service Function Chain

1. Transit VPC와 Zone을 선택
2. 목적지 Subnet에 0.0.0.0/0 대역 추가
3. Chain에 아래와 같이 설정

   순서	유형	인스턴스	서브넷	Ingress NIC
   1	LoadBalancer	Egress용 Inline LB	자동입력	-
   2	InternetGateway	-	-	-

8. Endpoint Route Table 생성 및 설정

Internet Gateway와 Transit VPC Connect에 Ingress Route를 설정할 수 있는 Endpoint Route Table을 생성 및 설정합니다. 자세한 생성 및 설정방법은 Endpoint Route Table 가이드를 참조해 주십시오.

Internet Gateway용 Endpoint Route Table

1. 연관 Endpoint유형을 IGW로 선택하고 생성
2. 생성된 Endpoint Route Table에 Route Table 설정

   목적지	Target
   일반VPC CIDR 대역	Ingress용 SFC

3. 연관 Endpoint 설정으로 IGW를 선택

Transit VPC Connect용 Endpoint Route Table

1. 연관 Endpoint유형을 Transit VPC Connect로 선택하고 생성
2. 생성된 Endpoint Route Table에 Route Table 설정

   목적지	Target
   0.0.0.0/0	Egress용 SFC

3. 연관 Endpoint 설정으로 Transit VPC Connect를 선택

9. Route Table 생성 및 설정

서버접속용 Bastion서버를 제외한 일반 VPC의 네트워크 흐름을 Transit VPC로 변경하기위해 Route Table을 생성하고 설정합니다. 자세한 생성방법은 Route Table 생성 방법 가이드를 참조해 주십시오.

일반 VPC

• Public 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 IGW로 설정, Transit VPC대역만 Transit VPC Connect로 설정

  목적지	Target 유형	Target 이름
  Transit VPC CIDR 대역	TRANSITVPCCONNECT	생성한 TransitVpcConnect
  0.0.0.0/0	IGW	INTERNET GATEWAY
  일반 VPC CIDR 대역	LOCAL	LOCAL

• Private 일반 Subnet Route Table: 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정

  목적지	Target 유형	Target 이름
  0.0.0.0/0	TRANSITVPCCONNECT	생성한 TransitVpcConnect
  일반 VPC CIDR 대역	LOCAL	LOCAL

• Public LB Subnet Route Table: 추후 모든 대역(0.0.0.0/0)을 Transit VPC Connect로 설정

• 목적지	Target 유형	Target 이름
  0.0.0.0/0	TRANSITVPCCONNECT	생성한 TransitVpcConnect
  일반 VPC CIDR 대역	LOCAL	LOCAL

Transit VPC

• Private 일반 Subnet Route Table: 일반 VPC의 서버 접속용 Subnet 대역만 Transit VPC Connect로 설정

  목적지	Target 유형	Target 이름
  일반 VPC의 서버 접속용 Subnet 대역	TRANSITVPCCONNECT	생성한 TransitVpcConnect
  Transit VPC CIDR 대역	LOCAL	LOCAL

10. Public IP 연결 설정

Application Load Balancer가 가지고 있는 공인 IP를 Public IP 연결 설정을 통해 Transit VPC로 연결합니다. 자세한 연결방법은 Transit VPC 연결 설정 가이드를 참조해 주십시오.