L4 ¿Í SSL ¿¡ ´ëÇÑ ¹®ÀÇ

   Á¶È¸ 21032   Ãßõ 0    

기존에 HTTP 프로토콜을 사용하는 서버 프로그램이 여러 대의 장비에서 운영중입니다.


여기에 SSL 인증서를 이용해서 HTTPS 로 서비스를 하고 싶습니다.


물론, 모든 장비에 SSL 을 설치할 경우 비용 문제도 크고 그래서 L4 에서 SSL 인증서를 처리하고 L4 와 장비 사이에서는 HTTP 로 통신하는 형태로 서비스(소프트웨어 적으로는 stunnel 이라는 놈이 https->http 로 변환해주기는 합니다만...)가 되면 좋겠다고 생각하는데요...


이게 가능할까요? 그리고 하드웨어에서 SSL 처리를 해서 일종의 가속(HTTP 와 거의 비슷한 속도를 제공)을 제공하는 것도 있다고 하는데, L4 차원에서 가능할까요?


장비를 별도로 운영하는 곳이 있어서 그런 장비가 보편적이라면 설정을 요청할 계획인데, 별도의 구입이 필요하거나 하다면...이론적인 것만 알고 넘어가야 할 수도 있어서요.


조언 부탁드립니다.

ªÀº±Û Àϼö·Ï ½ÅÁßÇÏ°Ô.
¼­ÁÖÇÐ 2016-06
SSL ÀÎÁõ¼­´Â µµ¸ÞÀÎ ±âÁØÀÔ´Ï´Ù.

Àåºñ°¡ ¿©·¯´ë¿©µµ SSLÀÎÁõ¼­ ¹ß±ÞµÈ µµ¸ÞÀÎ ±âÁØÀ¸·Î ¿©·¯´ë ¼³Ä¡ °¡´ÉÇÕ´Ï´Ù.

¹Ý´ë·Î µµ¸ÞÀÎÀÌ ¿©·¯°³¸é Àåºñ°¡ 1´ë¿©µµ µµ¸ÞÀκ°·Î SSLÀÎÁõ¼­°¡ µµ¸ÞÀΰ¹¼ö´ë·Î ÇÊ¿ä ÇÕ´Ï´Ù.
     
s±èÁ¾È­z 2016-06
Á¶¾ð °í¸¿½À´Ï´Ù.

SSL ÀÇ ¹®Á¦¶ó±â º¸´Ù´Â, ¿ö³« ¼ÒÇÁÆ®¿þ¾î¿¡¼­ÀÇ SSL ó¸® ¼Óµµ°¡ ÁÁÁö ¾Ê¾Æ¼­ Àåºñ°¡ ¸¹ÀÌ ´Ã¾î³¯ °Í °°¾Æ¼­...±× ºñ¿ëÀÌ ¹«¼·±âµµ Çϱ¸¿ä.
ÃÖ¼Ò 2¸¸DAU~ÃÖ´ë 10¸¸DAU ÀÌ»óÀÏ °Í °°½À´Ï´Ù.
L4 ¿¡¼­µµ ÇÒ ¼ö´Â ÀÖÁö¸¸... L4 ¸¦ ãÀ¸½Ç Á¤µµ¸é, RIP ¼­¹öÀÇ ´ñ¼öµµ ¾î´ÀÁ¤µµ µÉ°Çµ¥¿ä
À¥¼­¹ö¿¡¼­ SSLÀ» ó¸®ÇÏ´Â °ÍÀ» ¸ÕÀú »ý°¢ÇØ º¸¼Å¾ß ÇÒ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.

L4 ¿¡¼­ SSL À» ó¸®ÇÏ°Ô µÉ °æ¿ì, °á±¹ L4 ÀÇ CPU ¸¦ »ç¿ëÇؼ­ RIP ¼­¹ö±îÁöÀÇ ÇÁ·Ï½Ã ±¸¼ºÀ» ÇÏ°Ô µÇ´Âµ¥, 󸮸¦ À§ÇÑ 'ºñ¿ë' ÀÌ ½ò½òÇÕ´Ï´Ù.
(¹°·Ð, $ µµ $ ÀÌÁö¸¸, ¼º´ÉÀûÀÎ Ãø¸éÀ̸ç, ÀϹÝÀûÀÎ '»ó¿ë' À¥ ¼­¹öµéÀÇ SSL ¼º´ÉÀº 'Ç¥ÁØÀûÀÎ' VM À̳ª ¼­¹ö±Þ¿¡¼­ ÃæºÐÈ÷ ó¸®ÇÒ ¼º´É ³ª¿É´Ï´Ù)
     
s±èÁ¾È­z 2016-06
Á¶¾ð °í¸¿½À´Ï´Ù.

WAS ´Â undertow ¶ó°í, netty ±â¹Ý jboss ÀÇ °æ·® WAS ÀÔ´Ï´Ù.

±×¸®°í, ¿¹Àü¿¡ »ó¿ë ¼­ºñ½º ½Ã CPU ºÎÇÏÀ²ÀÌ 10¹è Á¤µµ Â÷ÀÌ°¡ ³ª¼­¿ä...ó¸® ¼Óµµµµ ¼ÓµµÁö¸¸ CPU ºÎÇÏÀ² µîÀ» ¸ø°ßµ®¼­ Àåºñ ´Ã¾î³ª´Â°Ô Àå³­ ¾Æ´Ï¾ú°Åµç¿ä. ÀÌ°Ô ¿Ö ¹Î°¨Çϳĸé...Àåºñ Ãß°¡ ½Ã ÃÖ¼Ò 2ÁÖ, ±æ¸é 1°³¿ù °É¸³´Ï´Ù. ¾÷ü°¡ Àåºñ ´Ã¸®´Âµ¥ ¾öû ÀÏ󸮸¦ ´Ê°Ô ÇÕ´Ï´Ù.

L4 ¿¡¼­ ÇÒ ¼ö ÀÖ´Ù¸é, ÀÏ´Ü L4 ÀÚü´Â ¾÷üÀÇ °üÇÒÀÌ°í ±× ÂÊ¿¡¼­ ´Ù ó¸®ÇÒ ºÎºÐÀ̶ó...L4 ¿¡¼­ ¾î¶² ¿É¼ÇÀ¸·Î ±×·±°Ô °¡´ÉÇÑÁö, ¾î¶² ±â´ÉÀ» Áö¿øÇÏ´Â L4 °¡ ÇÊ¿äÇÑÁö ¾Ë¸é ±×°É·Î ÁغñÇ϶ó°í ÇÒ ¼ö ÀÖ½À´Ï´Ù. ÀÌ ºÎºÐ¿¡ ´ëÇÑ Á¶¾ðÀ» ÇØÁÖ½Ã¸é °í¸¿°Ú½À´Ï´Ù.
          
L4 ¿¡¼­ ±ÄÀÌ Çؾ߰ڴٸé, "SSL Termination or SSL Offloading" À» ã¾Æº¸½Ã¸é µÉ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.
¿äÁò Çʼö ±¸¼º ¿ä¼ÒÀÎ SHA256 ¼­¸íÀÌ Áö¿øµÇ´Â ³à¼®À¸·Î ã¾Æ º¸½Ã¸é µÉ °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.

¶ÇÇÑ, L4 °¡ ÇÁ·Ï½Ã¸ðµå·Î µ¿ÀÛÇϱ⠶§¹®¿¡, WAS ¿¡¼­µµ Ŭ¶óÀ̾ðÆ®ÀÇ RIP ¸¦ ¾ò¾î¿À±â À§ÇÑ º°µµÀÇ Ã³¸® (X-Forwarded-For µîÀÇ Çì´õ ó¸®) °¡ ÇÊ¿ä ÇÕ´Ï´Ù.

(±Ùµ¥, Àü¹æ Reverse Proxy µîÀÇ ±¸Á¶ ¾øÀÌ ¹Ù·Î WS °¡ ¿ÜºÎ¿¡ ³ëÃâµÇ³ª º¸³×¿ä)
               
s±èÁ¾È­z 2016-06
Á¶¾ð °í¸¿½À´Ï´Ù.

SSL À» L4 ¿¡¼­ ó¸®Çϸé, ÀÌ¿¡ ´ëÇÑ °ü¸® Ã¥ÀÓÀÌ Àú¿¡°Ô ¿ÀÁö ¾Ê´Â´Ù´Â°Ô Å« °Í °°³×¿ä. SSL Termination À̳ª SSL Offloading ·Î ÇÑ ¹ø Á¶»çÇغ¸°Ú½À´Ï´Ù. --> AWS °ü·ÃÇÑ ¹®¼­¿¡¼­ ³»¿ëÀ» ã¾Æ¼­ Àо´Ï ÀÌ ³»¿ëÀÌ ¸Â³×¿ä. °í¸¿½À´Ï´Ù.

±×¸®°í, X-Forwarded-For °¡ Á¦´ë·Î Áö¿øµÇ¾î¾ß ÀÌ°Ô µÇ´Â °ÇÁöµµ ÇÑ ¹ø Á¶»çÇغ¸°Ú½À´Ï´Ù. undertow ¿¡¼­ server.use-forward-headers ·Î »ç¿ë À¯¹«¸¦ üũÇÏ´Â °Í¸¸ ÀÖÀ» »Ó Áö¿øÀÌ µÇ´ÂÁö È®ÀÎÇÏ´Â ¹ýÀ» ¸ô¶ó¼­ Àß µÇ´ÂÁö¸¦ ¸ð¸£°Ú³×¿ä. --> Ŭ¶óÀ̾ðÆ®ÀÇ IP À» Á¦´ë·Î ¹Þ¾Æ¿À±â À§ÇÔÀÎ °Í °°³×¿ä. ÇÁ·Î±×·¥¿¡¼­ Ŭ¶óÀ̾ðÆ®ÀÇ IP À» ƯÁ¤ ºÎºÐ¿¡¼­ È®ÀÎÇؼ­ IP ¸¦ ÀúÀåÇسõ´Âµ¥, ½ÇÁ¦ Àåºñ¿¡ ³Ö¾îºÁ¾ß Ŭ¶óÀ̾ðÆ®ÀÇ IP À» Á¦´ë·Î ¹Þ¾Æ¿À´ÂÁö È®ÀÎ °¡´ÉÇϰڳ׿ä.


QnA
Á¦¸ñPage 5648/5698
2014-05   5088426   Á¤ÀºÁØ1
2015-12   1625639   ¹é¸Þ°¡
2011-08   20844   Á¤ÀºÁØ1
2013-04   20848   ¿À¼º±â
2011-01   20857   ³ª³Ê¿ì¸®
2013-11   20871   ¸·ÆÇ´ëÀå
2014-08   20872   ȸ¿øK
2018-03   20879   Æ丣¼¼¿ì½º
2014-05   20881   °Å´Ï³×
2017-05   20884   ȸ¿øK
2014-07   20895   °³¹é¼ö28È£
2013-08   20899   À嵿°Ç2014
2013-11   20901   ºü½Ã¿Â
2014-02   20901   »ßµ¹À̽½ÇÄÀÌ
2009-05   20908   MemDB
2002-05   20921   ±èÀç½Ä
2017-01   20929   AplPEC
2014-07   20931   Á¤»ó¹é
2013-09   20935   hatson
2011-06   20940   yummy
2011-02   20955   ·¹Àκ¸¿ì7
2011-12   20958   ÃÖ¿ø½ÃÀÍ