StorageGRID 네트워크에 대한 강화 지침
StorageGRID 시스템은 그리드 노드당 최대 3개의 네트워크 인터페이스를 지원하므로 각 개별 그리드 노드에 대한 네트워킹을 보안 및 액세스 요구 사항에 맞게 구성할 수 있습니다.
그리드 네트워크 지침
모든 내부 StorageGRID 트래픽에 대해 그리드 네트워크를 구성해야 합니다. 모든 그리드 노드는 그리드 네트워크에 있으며 다른 모든 노드와 통신할 수 있어야 합니다.
그리드 네트워크를 구성할 때 다음 지침을 따르십시오.
-
네트워크가 인터넷에 있는 클라이언트와 같이 신뢰할 수 없는 클라이언트로부터 보호되는지 확인합니다.
-
가능한 경우 내부 트래픽에만 그리드 네트워크를 사용합니다. 관리 네트워크와 클라이언트 네트워크 모두 내부 서비스에 대한 외부 트래픽을 차단하는 추가 방화벽 제한이 있습니다. 외부 클라이언트 트래픽에 그리드 네트워크 사용이 지원되지만, 이러한 사용은 보호 계층의 수를 줄입니다.
-
StorageGRID 구축이 여러 데이터 센터에 걸쳐 있는 경우, 내부 트래픽을 추가로 보호하기 위해 VPN(가상 사설망) 또는 이와 동등한 그리드 네트워크를 사용합니다.
-
일부 유지 관리 절차에서는 기본 관리 노드와 다른 모든 그리드 노드 사이의 포트 22에서 SSH(Secure Shell) 액세스가 필요합니다. 외부 방화벽을 사용하여 신뢰할 수 있는 클라이언트에 대한 SSH 액세스를 제한합니다.
관리 네트워크 지침
관리 네트워크는 일반적으로 관리 작업(Grid Manager 또는 SSH를 사용하는 신뢰할 수 있는 직원)과 LDAP, DNS, NTP 또는 KMS(또는 KMIP 서버)와 통신하는 데 사용됩니다. 그러나 StorageGRID에서는 이 사용을 내부적으로 적용하지 않습니다.
관리자 네트워크를 사용하는 경우 다음 지침을 따르십시오.
-
관리 네트워크의 모든 내부 트래픽 포트를 차단합니다. 해당 플랫폼의 설치 가이드에서 내부 포트 목록을 참조하십시오.
-
신뢰할 수 없는 클라이언트가 관리자 네트워크에 액세스할 수 있는 경우 외부 방화벽을 사용하여 관리자 네트워크의 StorageGRID에 대한 액세스를 차단합니다.
클라이언트 네트워크에 대한 지침
클라이언트 네트워크는 일반적으로 테넌트에 사용되며 CloudMirror 복제 서비스 또는 다른 플랫폼 서비스와 같은 외부 서비스와 통신하는 데 사용됩니다. 그러나 StorageGRID에서는 이 사용을 내부적으로 적용하지 않습니다.
클라이언트 네트워크를 사용하는 경우 다음 지침을 따르십시오.
-
클라이언트 네트워크의 모든 내부 트래픽 포트를 차단합니다. 해당 플랫폼의 설치 가이드에서 내부 포트 목록을 참조하십시오.
-
명시적으로 구성된 끝점에서만 인바운드 클라이언트 트래픽을 허용합니다. StorageGRID 관리에 대한 지침은 신뢰할 수 없는 클라이언트 네트워크 관리에 대한 정보를 참조하십시오.