Network - isolation guarantees amongst subnets.
SeungpilPark opened this issue · comments
서비스 제공에 있어서, 네트워크 격리 기술 도입 강제성.
문제:
- 퍼블릭 서비스 제공시,다음의 크리티컬한 문제
- 서비스간의 Internal 네트워크가 모두 뚫려있기 때문에, 테넌트간에 서비스가 강제 공유됨.
- 어플리케이션 레벨에서 문제를 해결하고자 하는경우, 유레카, Fegin,Zuul, Haproxy 등의 모든 서비스에 서비스 차단 로직이 들어가야 하고, 결과적으로 이런 시도는 사용자가 마음먹기에 따라 언제든지 뚫릴 수 있음.
- 테넌트의 서비스간의 중복되는 포트를 피하기 위해 서비스에 비표준 포트를 제공하거나 강제해야 하는 문제.
솔루션:
- MicroSoft Auzre 가 DC/OS 기반의 컨테이너 서비스를 제공함에 있어서 Per-tenant-subnet/Per-container-ip 을 통해 테넌트간 서브넷 격리하는 컨셉을 벤치마킹.
기술 요건:
- 테넌트 별로 별도의 서브넷을 제공함으로써, 테넌트끼리 원치 않는 서비스 공유를 원천 차단.
- 응용 프로그램에서 잠재적으로 중복되는 포트 또는 중복을 피하기 위해 서비스에 비표준 포트를 사용해야하는 필요성에 대해 걱정할 필요가 없도록 함.
- Cassandra, HDFS 및 Riak과 같은 클러스터 내 연결이 필요한 응용 프로그램을 실행할 수 있음.
- 여러 가상 네트워크를 만들어 조직의 여러 부분 (예 : 개발, 마케팅 및 생산)을 격리 할 수 있도록 지원.