가정에서 가상화를 통해 사용하는 서버에서 DB와 웹서버 등을 분리하는게 의미가 있을런지요?

쓰기

가정에서 가상화를 통해 사용하는 서버에서 DB와 웹서버 등을 분리하는게 의미가 있을런지요?

아름드리소…

2017-07

2017-07-14 20:48:02

조회 4124 추천 1

어떤 서버는 MySQL과 Redis 가 필요하고 어떤 서버는 MySQL과 PostgreSQL, RabbitMQ가 필요한데

모두 도커 컨테이너를 사용하지만 DB서버를 따로 지정할 수 있습니다. 이때 DB 서버에 MySQL, Redis, PostgreSQL, RabbitMQ를 모두

설치하고 도커 컨테이너에서는 DB서버를 가동하지 않게하여 서버를 분리하는게 보안에 이익이 있을런지요?

서버 구조는 다음과 같습니다.

Hypervisor - VM (PVHVM) -> Docker Container (WAS) - Router (I/O) - Public Internet

| | (10.0.0.0/24, 255.255.255.0)

└ VM (PVHVM) -> DB Server - Router (Outbound Only) - Public Internet

VM 간의 통신은 모두 vSwitch를 통한 내부 가상네트워크를 연결하여 이루어지고 개별 VM에 Firewalld를 설치하여 인터페이스마다 다른 Zone을 할당하였고 내부 네트워크의 통신에 필요한 포트와 소스 주소를Rich rule로 할당하고 그 외에는 모두 Drop 되도록 설정했습니다.

도커 컨테이너에서 외부로 통하는 연결은 OPNsense(pfSense 포크)의 IPS/IDS 룰을 거쳐 바깥으로 나가거나 들어오도록 되어있습니다.

이런 구조가 과연 효과가 있을지는 의문이라 이렇게 글 올려봅니다.

이 쪽 전공자도 아니고 취미로 하는 일이지만 정말 열심히 하고 있고 재미도 있습니다.

언제나 좋은 답변 감사합니다 ^-^

짧은글 일수록 신중하게.



딸기대장 2017-07 취미시라면 이것도 해보고 저것도 해보고 해야 될 듯 한데요. ^^ 둘 다 해보세요. 취미시라면 이것도 해보고 저것도 해보고 해야 될 듯 한데요. ^^ 둘 다 해보세요.



Smile 2017-07 와...실력이 대단하시네요;; (저는 본문의 내용중 조금만 이해되는 관계로..) 분리를 해놓으시면 물리적 기기를 두대로 분리할 때 훨씬 간편하지 않을까 싶은데.. 다른 회원님들의 의견이 궁금하네요 와...실력이 대단하시네요;; (저는 본문의 내용중 조금만 이해되는 관계로..) 분리를 해놓으시면 물리적 기기를 두대로 분리할 때 훨씬 간편하지 않을까 싶은데.. 다른 회원님들의 의견이 궁금하네요



깡통이 2017-07 가상화 개념을 걷어내고 구조도를 간단히 표현하자면, 웹서버는 공인망에 물려있고, 웹서버와 DB서버 간에는 사설망으로 연결하는 형태네요. 방화벽을 이용해서 방화벽을 이용해서 DB 서비스의 외부 접근을 차단했다면 DB서버를 분리하든, 웹서버 안에 DB서비스를 올리든 보안 측면에서는 큰 차이가 없습니다. 외부에서는 웹서버에 DB 서비스가 있는지 없는지 알 수 없기 때문입니다. 관리나 성능 측면에서는 차이가 있을 수 있어요. 한 서버에 모두 몰아 넣으면 네트워크 I/O에 대한 비용이 줄어듭니다, 근데 하나의 서비스 장애가 다른 서비스에 영향을 줄 수도 있습니다. 근데 항상 통하는 명확한 정답은 없고요, 상황에 따라 판단할 수 밖에 없습니다. 가상화 개념을 걷어내고 구조도를 간단히 표현하자면, 웹서버는 공인망에 물려있고, 웹서버와 DB서버 간에는 사설망으로 연결하는 형태네요. 방화벽을 이용해서 방화벽을 이용해서 DB 서비스의 외부 접근을 차단했다면 DB서버를 분리하든, 웹서버 안에 DB서비스를 올리든 보안 측면에서는 큰 차이가 없습니다. 외부에서는 웹서버에 DB 서비스가 있는지 없는지 알 수 없기 때문입니다. 관리나 성능 측면에서는 차이가 있을 수 있어요. 한 서버에 모두 몰아 넣으면 네트워크 I/O에 대한 비용이 줄어듭니다, 근데 하나의 서비스 장애가 다른 서비스에 영향을 줄 수도 있습니다. 근데 항상 통하는 명확한 정답은 없고요, 상황에 따라 판단할 수 밖에 없습니다.



천외천oo노… 2017-07 다른 질문입니다. OPNsense 괜찮은지요? 집에 pfSense 쓰는데...IPS/IDS 때문에 한번 바꿔볼까...했다가...(기억이 잘 안나는데...) 필요한 기능 중 하나가 안되어서...포기했었습니다. ㅠㅠ;; 현재는 pfSense + snort 해서...snort 룰은 유료구매해서 사용 중입니다. (이것도 참...국내 active x 는 거의 전부 차단해서...예외처리 하느라 엄청 힘들었습니다. ㅠㅠ;;) 다른 질문입니다. OPNsense 괜찮은지요? 집에 pfSense 쓰는데...IPS/IDS 때문에 한번 바꿔볼까...했다가...(기억이 잘 안나는데...) 필요한 기능 중 하나가 안되어서...포기했었습니다. ㅠㅠ;; 현재는 pfSense + snort 해서...snort 룰은 유료구매해서 사용 중입니다. (이것도 참...국내 active x 는 거의 전부 차단해서...예외처리 하느라 엄청 힘들었습니다. ㅠㅠ;;)



아름드리소… 2017-07 UI, 설치, IDS/IPS 성능 어느 하나도 빠지지 않습니다. 개인적으로는 suricata가 snort 보다 나은걸로 보이네요 UI, 설치, IDS/IPS 성능 어느 하나도 빠지지 않습니다. 개인적으로는 suricata가 snort 보다 나은걸로 보이네요



천외천oo노… 2017-07 도움말씀 감사드립니다. 덧) snort 룰이 suricata 에 100% 호환되지는 않는다고 해서...일단 snort 로 구동중입니다. 가정이라서 굳이 suricata 까지 필요치는 않을것으로 생각하기도 했구요. 현재까지는 문제없이 잘 돌아가고 있습니다. ^^ 도움말씀 감사드립니다. 덧) snort 룰이 suricata 에 100% 호환되지는 않는다고 해서...일단 snort 로 구동중입니다. 가정이라서 굳이 suricata 까지 필요치는 않을것으로 생각하기도 했구요. 현재까지는 문제없이 잘 돌아가고 있습니다. ^^

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1868/5677

번호	제목Page 1868/5677	글쓴이	날짜	조회	추천
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1474491	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1474491 1 백메가
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4937520	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4937520 1 정은준1
76183	UPS질문입니다 (7)	통신보안	2017-07	3433	1
UPS질문입니다 (7) 2017-07 3433 1 통신보안
76182	Fujitsu RX 계열 서버 css불 들어오면 무슨 오류인가요? (2)	prasha	2017-07	14035	1
Fujitsu RX 계열 서버 css불 들어오면 무… (2) 2017-07 14035 1 prasha
76181	소형 녹음기 하나 추천 부탁드립니다 (1)	송주환	2017-07	3397	1
소형 녹음기 하나 추천 부탁드립니다 (1) 2017-07 3397 1 송주환
76180	l5460 실사용 전력소모가 어느정도될까요? (4)	cmwr	2017-07	3824	1
l5460 실사용 전력소모가 어느정도될까요? (4) 2017-07 3824 1 cmwr
76179	미국에서 판매하는 해바라기 샤워헤드의 규격? (5)	수필처럼	2017-07	6428	1
미국에서 판매하는 해바라기 샤워헤드의 … (5) 2017-07 6428 1 수필처럼
76178	[국내 구매처] 스위치에 쓰이는 랜잭을 찾고있습니다. (8)	김영기대전	2017-07	3443	1
[국내 구매처] 스위치에 쓰이는 랜잭을 찾… (8) 2017-07 3443 1 김영기대전
76177	해외에서 구매한 물품을 한국으로 보낼때 (8)	수필처럼	2017-07	3052	1
해외에서 구매한 물품을 한국으로 보낼때 (8) 2017-07 3052 1 수필처럼
76176	ESXI 랜드라이버는 어떻게 설치하나요?? (8)	bigmaster	2017-07	3121	1
ESXI 랜드라이버는 어떻게 설치하나요?? (8) 2017-07 3121 1 bigmaster
76175	무선공유기.. (3)	Won낙연	2017-07	3345	1
무선공유기.. (3) 2017-07 3345 1 Won낙연
76174	이런 요구조건을 만족하는 노트북이 있을까요? ^^ (22)	싱국날강도	2017-07	3333	1
이런 요구조건을 만족하는 노트북이 있을… (22) 2017-07 3333 1 싱국날강도
76173	IBM OEM 구형 SCSI카드인데요 MR SCSI320-2E 드라이버 찾아주세요 (3)	김은목	2017-07	3208	1
IBM OEM 구형 SCSI카드인데요 MR SCSI320-… (3) 2017-07 3208 1 김은목
76172	[웹플랫폼] PHP 와 PHP for IIS Express 차이점이 무엇인가요? (2)	Smile	2017-07	4232	1
[웹플랫폼] PHP 와 PHP for IIS Express … (2) 2017-07 4232 1 Smile
76171	인바운드가 막힌 곳에 서버를 구성하려면 (2)	솔리스	2017-07	3242	1
인바운드가 막힌 곳에 서버를 구성하려면 (2) 2017-07 3242 1 솔리스
76170	바퀴벌레 퇴치 기계.. 효과가 있을까요?? (7)	블루영상	2017-07	5657	1
바퀴벌레 퇴치 기계.. 효과가 있을까요?? (7) 2017-07 5657 1 블루영상
76169	전체 전기 생산의 %가 일반인들이 사용 할까요?. (23)	황진우	2017-07	4119	2
전체 전기 생산의 %가 일반인들이 사용 할… (23) 2017-07 4119 1 황진우
76168	[비컴] 군에서 작전중 보초가 근무중 잠이 들어서.... (6)	하셀호프	2017-07	3686	1
[비컴] 군에서 작전중 보초가 근무중 잠이… (6) 2017-07 3686 1 하셀호프
76167	가정에서 가상화를 통해 사용하는 서버에서 DB와 웹서버 등을 분리하는게 의미가 있… (6)	아름드리소…	2017-07	4125	1
가정에서 가상화를 통해 사용하는 서버에… (6) 2017-07 4125 1 아름드리소…
76166	링크시스 EA8500 vs EA9200 어떤제품이 좋은건가요? (1)	song05	2017-07	3636	1
링크시스 EA8500 vs EA9200 어떤제품이 … (1) 2017-07 3636 1 song05
76165	냉납으로 gtx670 오븐으로 구워보려 합니다. 조언 부탁드립니다. (8)	병맛폰	2017-07	4665	1
냉납으로 gtx670 오븐으로 구워보려 합니… (8) 2017-07 4665 1 병맛폰
76164	eslim26베이 bios 설정과 레이드 구성 문의드립니다. (7)	행복집	2017-07	3452	1
eslim26베이 bios 설정과 레이드 구성 문… (7) 2017-07 3452 1 행복집