VPC를 활용한 Virtual Server 기반 DMZ 웹 서비스

개요

기존 레거시 환경에서는 높은 수준의 가용성과 확장성을 제공하는 웹 호스팅 인프라를 구축하기 위해서 복잡한 솔루션 설치가 필요하였습니다. 또한 안정성 확보를 위해 Peak time을 대비한 용량 산정 또한 불가피하였고 이는 리드 타임과 운영비의 증가로 서비스와 비용에 좋지 않은 영향을 주었습니다.

Samsung Cloud Platform은 구성 즉시 인터넷 통신이 가능한 고객 전용 네트워크 구성과 함께 확장성과 안정성이 뛰어난 컴퓨팅 상품 웹 서비스를 바탕으로 필요한 만큼의 웹 서비스 인프라를 빠르게 제공합니다.

이 문서에서는 Samsung Cloud Platform 에서 VPC를 활용한 Virtual Server 기반 DMZ 웹 서비스 아키텍처에 대해 자세히 설명하고자 합니다.

아키텍처 다이어그램

1. DNS 서비스에서 외부에 오픈할 Domain Name 을 설정하고 Load Balancer 의 서비스 IP와 연결합니다.
   • Load Balancer 서비스 IP 는 인터넷을 통한 접속이 가능한 VPC 에서 할당 받습니다.
2. Load Balancer 는 웹 요청 트래픽을 다중 VM Auto Scaling 그룹으로 분배하여 서비스 안정성을 높일 수 있습니다.
3. 관계형 데이터베이스는 가용성을 높이기 위해 이중화 구성을 하거나 DBaaS를 활용하여 이중화 옵션을 킬 수 있습니다.
   • DBaaS에서 여러 종류의 관계형 데이터베이스 엔진을 선택 할 수 있습니다.
4. NoSQL 데이터베이스 서비스를 함께 활용하여 관계형 데이터베이스의 캐시로 활용하여 빈번한 요청의 응답시간을 줄일 수 있습니다.
5. WAF 서비스를 통해 XSS 나 SQL 인젝션과 같은 공격 트래픽으로부터 웹서버를 보호할 수 있습니다.
6. 또한 DDoS Protection 서비스 를 이용하면 외부의 DDoS 공격에 자동 대응합니다.
7. Object Storage 에 이미지나 비디오와 같은 정적 콘텐트를 저장하거나 데이터베이스 백업 용도로 활용 할 수 있습니다.

사용 사례

VPC를 통한 퍼블릭 웹 서비스 제공

VPC에서 제공되는 기능인 Public IP를 이용해 인터넷과 연결이 가능한 퍼블릭 웹 서비스를 구성할 수 있습니다.

• 공인IP는 DNS서비스에서 손쉽게 Domain name을 등록하여 활용할 수 있습니다.

서비스형 보안솔루션과 보안그룹 적용을 통한 웹 보안성 확보

인터넷에 열려있는 웹 서버의 보안성을 확보하기 위해 WAF, DDoS Protection 등 서비스형 보안솔루션을 구성 할 수 있습니다.

• WAF 서비스에서는 웹사이트 트래픽을 모니터링 하여 공격을 탐지하고 차단합니다.
• DDoS Protection 서비스에서는 웹 서버에 집중적으로 트래픽을 유발하여 서비스를 무력화 시키는 DDoS 공격을 탐지하고 차단합니다. 이와 함께 최소한의 허용 정책 관리를 통해 보안 그룹을 설정하여 외부 공격으로부터 인프라를 보호 할 수 있습니다.
  
  

선결사항

없음

제약 사항

DDoS Protection - 서비스의 신청과 정책 요청 시 별도 서비스 요청이 필요합니다

고려 사항

보안

보안 정책 구성 시 외부에서 직접 접속이 필요한 Load Balancer 와 직접 접속이 필요하지 않은 내부 인프라용 보안그룹을 구분하여 별도의 보안 정책을 적용 할 수 있습니다.

Firewall 서비스에서 서브넷 별 허용 규칙을 설정하거나 Security Group 서비스에서 Virtual Server 별 허용 규칙을 설정하여 불필요한 호스트의 네트워크 접근을 제어 합니다.

서버리스

향후 Cloud Functions 서비스와 API Gateway 서비스 등을 이용하여 서버리스 웹 애플리케이션으로의 변화를 고려 할 수 있습니다.

관련 서비스

본 가이드에서 설명하는 기능 또는 구성과 연결되는 Samsung Cloud Platform의 서비스 목록입니다. 서비스 선택 및 설계 시에 참고하세요.

참고 문서