KT uCloud 1일 기본교육 내용 정리

I.  ucloud biz 서비스의 이해

1. ucloud biz infra

• 변전소 이중화, UPS N+1 with 발전기, 분전반 이중화, 랙 케이블 power strip 이중화, 내진설계 
• 데이터센터 이중화, 데이터센터 간 10G 전용선
• 철저한 출입통제, 외부 침입자 탐지 등 철저한 보안

• Multi Zone - 천안 CDC, 목동 ICC, 분당 IDC, 김해 GDC, US West 등
• POD - 이중화/다중화/단순 구성으로 안정성 확보, 서버, 네트워크, 스토리지 이중화 구성
• certified 운용체계 및 프로세스 - SOC-1,SOC-2, ISO 27001, ISMS, 클라우드서비스 우수 SLA
• 고객계정별 VLAN 분리 및 Virtual Router 방화벽 제공
• public 환경에서도 default FW/NAT 활용, WAF 추가 활용 가능
• 대기업/정부공공기관을 위한 Enterprise Cloud/G-Cloud 보안수준

2. ucloud biz 기반의 시스템 구조 설계

• 고객계정별 VLAN 분리
• Active-Standby로 구성된 VR을 통해 NAT, 방화벽, DHCP 등의 역할 담당
• 고객 VM에 사설 IP 주소 부여
• 기본적으로 계정별로 이용가능한 자원한도 제함 (예, VM 100개 이하, 디스크 300개 이하 등)
• 공인망에서 고객 VM 접근하려면, NAT를 통해 port forwarding 필요
• 방화벽 관리
• CPU와 메모리 사양 선택, 단위는 vCore와 GB. 보통 물리서버와 동일 수준 사이징
• Socket 서버용은 저사양 VM 수를 늘리고, DB 서버는 SSD VM또는 SSD 볼륨 선택 권장
• 데이터 저장 공간은 VM 디스크, NAS, Zadara, ucloud storage 로 지원
• Image를 활용한 VM 복제 및 증설
• 시스템 부하 변동에 따른 Scaling 정책 - Scale up/down은 VM을 중단시켜야 함
• Autoscaling -자동화된 Scale In/Out
• DB 서버의 이중화 - I-SCSI 공유 스토리지 기반, VM Disk로 mirroring/replication 구성
• LB 사용 - 웹서버 로그, Session stickyness 등 고려
• Tomcat/JBoss의 Session Clustering 기능 활용, Redis Session Manager를 통해 Session 관리할 수도 있음
• 웹방화벽(WAF)는 펜타시큐리티 또는 모니터랩 제품 선택 가능
• 대형 시스템에서 VR 한계를 극복하기 위해 CIP(Cloud in Path)를 활용 필요
• GSLB를 활용한 Multi-AZ
• Migration - 대용량 데이터 import/export 서비스, 센터에서 HDD 장착하여 작업, rsync, deltacopy와 같은 데이터 동기화 솔루션 활용, 전문협력사+마이그레이션 서비스 

II. ucloud biz 첫걸음 떼기

1. ucloud biz 포탈 및 주요서비스 소개

 

• 포탈 주소 - https://ucloudbiz.olleh.com
• 상품소개, 개발지원센터, 고객센터 등 가능
• 개인정보 휴대 전화는 반드시 업데이트 해야하고, 로그인방식은 OTP 방식 권장
• 요금계산기로 요금 시뮬레이션 할 수 있음

2. 로드밸런서로 이중화된 웹서비스 시스템 구성

사용절차 : 서버생성(Zone, OS, 사양선택) -> 네트워크설정(IP, P/F, F/W 등) -> (option)추가 디스크 설정 -> (option) CIP 설정 -> OS 접속 및 어플리케이션 설정

1) 서버 생성

Zone 선택, 상품종류 선택, 이미지 선택, 생성할 서버수, 분산 배치 대상 선택, CIP 연결, Private IP 지정(172.27.x.x), SSH Key pair, 데이터 디스크 제공 여부 선택, userdata 

2) 서버 리스트 화면에서 작업

서비스 HA 신청, 상품변경(Scale Up/Down), 비밀번호 변경, OS 초기화, 필요 경우 내부주소 변경, Disk 추가, VM HA, 

3) 네트워크 작업

공인 IP - 사용하고 있는 zone의 수만큼 기본 IP가 부여됨

Source NAT - default mode, Inbound 패킷이 어떤 IP로 들어오더라도 outbound 패킷은 항상 기본 IP로 나감

Static NAT, 포트포워딩과 방화벽

4) 로드밸런서 설정

로드밸런서 타입 설정(Round Robin, Hash 등), SSL 서비스 설정, 인증서 입력

기타. 실습 진행 방법

포탈 회원가입 -> ucloud server 상품 신청 -> VM1/VM2 생성 -> VM1/VM2 포트 포워딩 -> LB 생성 -> 확인

III. 시연과 실습

1. 본격적인 시스템 구성

ucloud 서비스 소개 - Disk, NAS, CIP 특징 소개

실습/시연 - Disk 추가/삭제, Root Volume Resize, 여러 VM에서 NAS 스토리지 사용, CIP 설정, 웹방화벽 구성

2. 대형 분산 시스템 구성을 위한 기능

ucloud 서비스 소개 및 시연 - 그룹 계정 생성 및 계정 추가, 스냅샷/이미지 생성, Zone 분리를 통한 HA 시스템 구성, CIP Inter-AZ, GSLB

3. 미디어 시스템 구성

ucloud encoder와 ucloud CDN 서비스를 이용하여 고객의 미디어 서비스를 위한 인코딩

ucloud 서비스 소개 및 실습 - Media Cloud, ucloud CDN

IV. 시스템 관리와 보안

1. 시스템 관리

* ucloud 이용 자원  사용 이력/로그

* 네트워크 트래픽 통계

* ucloud watch

* Sycros 서비스 - Agent 방식, 성능/장애 관리, 운영 관리 기능, 보고서 기능, ucloud biz 포탈에서 사용 신청

2. 사용자 시스템의 보안 강화 방안

* VR/VM 레벨에서의 보안 강화 방안 - 포트포워드 설정 시 주의, VR 방화벽 기능 이용, SSH Key를 통한 로그인, 보안성 검사 수행 등

* 시스템 레벨에서 보안 강화 방안 - DB 서버 등 백엔드 서버는 포트포워딩 지양, 관리용 OpenVPN 사용, 개발계정과 상용계정 분리, 트래픽 수시점검, 보안관련 ucloud biz 상용제품 활용 등

* 망분리를 통한 보안 강화