블로그

디지털 변환에 대한 놀라운 진실: 컨테이너 혼란

로리 맥비티 썸네일
로리 맥비티
2018년 6월 25일 게시

이 글은 디지털 혁신으로 인해 발생하는 과제를 다루는 시리즈의 마지막 블로그입니다.

 

컨테이너 혼동.

컨테이너와 그것을 관리하는 오케스트레이션의 주요 목적 중 하나는 (수고 없이, 우리가 들은 바에 따르면) 효율적인 확장입니다. 컨테이너를 채택하도록 하는 데에는 개발 지향적인 다른 이점도 있지만 NetOps의 관점에서 보면 규모와 (보안의) 부족이 중요합니다.

기존의 전달 아키텍처는 컨테이너 환경에서는 작동하지 않습니다. 의사소통은 불규칙하고, 역동적이며, 예측 불가능합니다. 의사소통이 급증하고 환경은 매우 불안정해졌습니다. 지금의 모습은 2분 후는커녕 10분 후의 모습과도 다릅니다.

하지만 컨테이너 환경 내의 '앱'에 대한 핵심 네트워크 및 보안 서비스를 제공해야 합니다. 내부에 ID 및 액세스 제어를 삽입할 수 없으며, 다양한 인스턴스 간에 인증서를 관리할 수도 없습니다. 앱에서 SSL을 종료하면 사용자와 앱 모두에게 악몽이 됩니다. 봇 방어 및 OWASP 상위 10대 보호와 같은 앱 보안도 문제가 됩니다. 이런 불안정한 환경에 앱을 어디에 밀어 넣을까요? 게다가 컨테이너 환경의 모든 서비스를 공용 IP에 매핑할 수는 없습니다. 환경 내부의 작업을 방해하지 않고 애플리케이션 서비스를 제공하려면 안전한 인바운드 경로가 필요합니다.

다행히도 컨테이너 환경 내에 여러 개의 마이크로서비스로 배포된 앱은 여전히 앱(API 포함)이며 컨테이너 환경을 손상시키지 않고도 안전한 인바운드 경로를 설정할 수 있는 기회를 제공하는 "앱별" 엔드포인트가 있습니다. 이를 통해 컨테이너의 소프트웨어 기반 확장에 대한 최신 접근 방식을 수용하는 동시에 안정성과 확장성에 대한 기존 원칙을 기반으로 하는 분기화된 네트워크 아키텍처가 가능해집니다. 이 2계층 아키텍처는 컨테이너 환경 내에서 N-S 백본에서 E-W 경로로 전환하는 안정적이고 보안이 강화된 엔드포인트를 제공합니다.

2계층 아키텍처

2계층 아키텍처는 컨테이너화된 앱에 필요한 속도와 확장성을 지원하는 동시에 필요한 안정성과 보안을 제공합니다. 컨테이너의 혼란을 제한함으로써 건전한 정신을 유지하고 컨테이너화된 앱에 내재된 엔트로피로부터 공유 인프라를 분리할 수 있습니다. 이는 다양한 변경 사항이 있는 프로덕션 파이프라인을 지원한다는 의도치 않은 이점이 있습니다. 컨테이너화된 환경에서는 앱이 더 자주 변경되는 반면, ID 및 액세스 제어와 기타 보안 관련 서비스는 변경 빈도가 낮을 가능성이 높습니다. 업데이트는 서로 독립적으로 수행할 수 있으므로 DevOps가 '하우스'의 N-S 측에서 NetOps에 부담을 주지 않고 더 빠른 속도로 진행할 수 있습니다.

유입 지점은 앱별 정책(성능 및 일부 보안)을 관리하는 반면, 나머지 보안 유입 네트워크는 나머지 작업을 처리합니다. 이를 통해 기존 앱을 제공하는 프로덕션 환경에 컨테이너를 포함하는 과정이 가장 중단이 적기 때문에 더 원활하고 덜 고통스러운 프로세스가 됩니다. 

2계층 아키텍처가 작동하려면 유입이 효과적으로 앱이 된다는 것을 기억하는 것이 중요합니다. 아니면 최소한 가상 동등물이 됩니다.

컨테이너 "벽"의 반대편에 수백 개의 마이크로서비스가 있더라도 유입은 확장성과 접근성을 가능하게 하고 외부 위협으로부터 애플리케이션을 보호하는 전략적 제어 지점입니다. 유입을 사용하여 트래픽이 불안정하고 불확실한 컨테이너 세계에 진입하기 전에 처리하는 것이 가장 좋은 서비스를 적용합니다.

... 이것으로 디지털 혁신에 대한 놀라운 진실에 대한 우리의 탐구를 마무리합니다. 해결해야 할 문제와 장애물은 그 외에도 많지만, 이 시리즈에서 다루는 네 가지 문제, 즉 클라우드 혼란, 보안 생략, 규모의 비경제성, 컨테이너 혼란이 반드시 해결해야 할 가장 중요한 문제일 것입니다.

변화의 영향을 알고 있다면 자동화, 소프트웨어 기반 보안 및 확장성, 새로운 아키텍처의 힘을 활용하여 새로운 데이터 센터로의 성공적인 이동을 이룰 수 있을 것입니다.