MAC 주소 복제에 대한 고려 사항 및 권장 사항
MAC 주소 클로닝으로 인해 Docker 컨테이너가 호스트의 MAC 주소를 사용하고 호스트는 지정한 주소 또는 임의로 생성된 주소의 MAC 주소를 사용합니다. 무차별 모드 네트워크 구성을 사용하지 않으려면 MAC 주소 복제를 사용해야 합니다.
MAC 클론 생성 활성화
특정 환경에서는 관리 네트워크, 그리드 네트워크 및 클라이언트 네트워크에 전용 가상 NIC를 사용할 수 있으므로 MAC 주소 클로닝을 통해 보안을 강화할 수 있습니다. Docker 컨테이너가 호스트의 전용 NIC의 MAC 주소를 사용하도록 하면 무차별 모드 네트워크 구성을 사용하지 않도록 할 수 있습니다.
MAC 주소 복제는 가상 서버 설치에 사용하기 위한 것이며 모든 물리적 어플라이언스 구성에서 제대로 작동하지 않을 수 있습니다. |
MAC 클론 대상 인터페이스가 사용 중이어서 노드가 시작되지 않는 경우 노드를 시작하기 전에 링크를 "다운"으로 설정해야 할 수 있습니다. 또한 링크가 작동 중일 때 가상 환경에서 네트워크 인터페이스에서 MAC 클로닝을 방지할 수 있습니다. 노드가 MAC 주소를 설정하지 못하고 사용 중인 인터페이스로 인해 시작되는 경우 노드를 시작하기 전에 링크를 "다운"으로 설정하면 문제가 해결될 수 있습니다. |
MAC 주소 복제는 기본적으로 해제되어 있으며 노드 구성 키로 설정해야 합니다. StorageGRID를 설치할 때 활성화해야 합니다.
각 네트워크마다 하나의 키가 있습니다.
-
ADMIN_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC
-
GRID_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC
-
CLIENT_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC
키를 "true"로 설정하면 Docker 컨테이너가 호스트 NIC의 MAC 주소를 사용하게 됩니다. 또한 호스트는 지정된 컨테이너 네트워크의 MAC 주소를 사용합니다. 기본적으로 컨테이너 주소는 임의로 생성된 주소이지만 을 사용하여 주소를 설정한 경우 _NETWORK_MAC
노드 구성 키로, 해당 주소가 대신 사용됩니다. 호스트와 컨테이너의 MAC 주소는 항상 다릅니다.
하이퍼바이저에서 무차별 모드를 설정하지 않고 가상 호스트에서 MAC 클로닝을 활성화하면 호스트의 인터페이스를 사용하는 Linux 호스트 네트워킹이 작동하지 않을 수 있습니다. |
Mac 클론 복제 활용 사례
MAC 클로닝에는 다음 두 가지 사용 사례를 고려해야 합니다.
-
Mac 클론 생성이 활성화되지 않음: 이 활성화된 경우
_CLONE_MAC
노드 구성 파일의 키가 설정되지 않았거나 "false"로 설정된 경우 호스트는 호스트 NIC MAC을 사용하고 컨테이너에 MAC이 지정되지 않은 경우 StorageGRID 생성 MAC을 갖게 됩니다_NETWORK_MAC
키. 에 주소가 설정되어 있는 경우_NETWORK_MAC
키, 컨테이너에 에 지정된 주소가 있습니다_NETWORK_MAC
키. 이러한 키 구성을 위해서는 무차별 모드를 사용해야 합니다. -
Mac 클론 생성 활성화
_CLONE_MAC
노드 구성 파일의 키는 "true"로 설정되어 있고, 컨테이너는 호스트 NIC MAC을 사용하며, 호스트는 에 MAC을 지정하지 않는 한 StorageGRID 생성 MAC을 사용합니다_NETWORK_MAC
키. 에 주소가 설정되어 있는 경우_NETWORK_MAC
키, 호스트는 생성된 주소 대신 지정된 주소를 사용합니다. 이 키 구성에서 무차별 모드를 사용해서는 안 됩니다.
MAC 주소 클로닝을 사용하지 않고 모든 인터페이스가 하이퍼바이저에 의해 할당된 것이 아닌 MAC 주소에 대한 데이터를 수신 및 전송하도록 허용하는 경우, 가상 스위치 및 포트 그룹 수준의 보안 속성이 Promiscuous Mode, MAC Address 변경 및 Forged 전송에 대해 * Accept * 로 설정되어 있는지 확인합니다. 가상 스위치에 설정된 값은 포트 그룹 수준의 값으로 재정의할 수 있으므로 두 위치에서 설정이 동일한지 확인합니다. |
MAC 클로닝을 활성화하려면 노드 구성 파일 생성 지침을 참조하십시오.
Mac 클론 복제의 예
인터페이스 ens256의 경우 MAC 주소가 11:22:33:44:55:66이고 노드 구성 파일의 경우 다음 키가 있는 호스트에서 활성화된 MAC 클론 복제의 예:
-
ADMIN_NETWORK_TARGET = ens256
-
ADMIN_NETWORK_MAC = b2:9c:02:c2:27:10
-
ADMIN_NETWORK_TARGET_TYPE_INTERFACE_CLONE_MAC = true
결과: en256의 호스트 MAC은 B2:9c:02:C2:27:10이고 관리 네트워크 MAC은 11:22:33:44:55:66입니다