데이터 센터의 네트워크

데이터 센터에서 네트워크를 구성을 할 때는 다양한 구성 요소의 역할을 고려해야 한다.

 

하나의 큰 망안에서 다양한 역할을 모두 수행 하도록 할 수도 있긴 하지만, 보안이나 관리 등의 문제로 데이터 센터 내에서도 망을 분리해서 설계를 해야 한다.

 

 

---

데이터 센터 내에서 구성하는 망의 종류와 역할에 대해 알아보겠습니다.

 

 

 

• 인터넷 망

데이터 센터에서 제공하는 서비스를 사용자가 외부 인터넷을 통해 데이터 센터에 접근할 수 있도록 구성된 영역을 바로

인터넷망 이라고 한다.

 

인터넷망은 KT, LGU+, SKB와 같은 ISP(Internet Service Provider)에서 인터넷 회선을 받아 연동 되어 있다.

 

소규모 데이터 센터는 ISP에서 IP를 할당받아 인터넷에 쉽게 연결할 수 있지만, 규모가 있는 데이터 센터는 ISP와 연동 할 때, BGP 프로토콜을 이용하여 별도의 AS(Autonomous System) 번호를 가지고 있어야 한다.

 

• 공인망(DMZ)

데이터 센터에서 외부 사용자에게 직접 노출되는 웹 서비스 등의 서버들이 모인 망이다. 외부 접근을 위해 공인 IP가 사용되어 공인망 이라고 부르거나, 서비스를 외부로 제공하므로 서비스망 이라고도 부른다.

 

또한, 언트러스트(Untrust) 네트워크인 데이터 센터 외부의 인터넷 구간과 트러스트(Trust) 네트워크인 데이터 센터 내부망의 연결 지점 역할을 하므로 군사분계선을 의미하는 DMS 라고도 부른다.

 

• 내부망(사내망/사설망)

위에 설명한 공인망과 달리 내부망은 데이터 센터 내부나 사내에서만 접근 할 수 있는 네트워크를 내부망 이라고 부른다.

 

내부망은 일반적으로 사설 대역 IP로 구성하므로 인터넷을 통한 외부망에서는 직접 접근 할 수 없다.

 

외부망과 통신이 필요할 때는 사설 IP를 공인 IP로 변환해주는 NAT가 필요하다.

 

원격지에 있는 내부망간의 연결은 VPN이나 전용선으로 연결 할 수 있다.

 

• 데이터베이스망

데이터베이스는 개인정보를 취급하는 경우가 많아 보안을 강화하기 위해 내부망에 데이터베이스 망을 별도로 두는 경우도 있다.

 

위의 그림에서 보다시피 공인망과 내부망에 방화벽을 두듯이 내부망과 데이터베이스 망 사이에도 추가로 방화벽을 두어 보안을 더 강화할 수 있다.

 

• 대외망

회사 대 회사로 서비스 연동이 필요한 경우, 인터넷망을 통해 연동할 수도 있지만, 별도 전용선이나 VPN을 이용해 서비스를 연동 할 수 있다.

 

대외망을 사용하면 대외사와 연동된 지점에서 사내로 접근할 때 서비스에 필요한 최소한의 접근만 허용하기 위해서 이다. 

 

• 관리망

데이터 센터 내 서버나 네트워크 장비는 서비스를 위한 인터페이스도 있지만 장비 자체를 관리하는 관리용 인터페이스를 별도로 제공한다. 

 

네트워크 관리망은 장비 운용을 위해  CLI 접속 및 웹 접속을 위해 사용이 된다. 그런데 서비스망에서도 이러한 접근이 가능하여 네트워크 관리망은 서비스망과 크게 차이가 없다. 그렇다면 네트워크는 관리망이 필요 없는게 아닌가 하는 의문이 들 수 있다.

 

서비스망과 관리망의 분리는 서비스망에 문제가 발생하더라도 관리망을 통해 장비에 접근 하기 위해서 분리를 해놓는다.

 

서버 관리망은 일반적인 서비스망과는 조금 다른데, 서버 관리망은 하드웨어 자체를 관리하기 위해 만들어진 별도의 환경이다. 

 

(서버 관리용 포트)

ex)

DELL의 iDRAC

CISCO의 CIMC