Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

2.3. 네트워킹 요구 사항

언더클라우드 호스트에는 두 개 이상의 네트워크가 필요합니다.

  • 프로비저닝 네트워크 - 오버클라우드에서 사용할 베어 메탈 시스템을 검색하는 데 도움이 되는 DHCP 및 PXE 부팅 기능을 제공합니다. 일반적으로 이 네트워크는 director가 PXE 부팅 및 DHCP 요청을 제공하도록 트렁크된 인터페이스에서 기본 VLAN을 사용해야 합니다. 일부 서버 하드웨어 BIOS는 VLAN에서 PXE 부팅을 지원하지만 BIOS에서는 부팅 후 VLAN을 기본 VLAN으로 변환하도록 지원해야 합니다. 그렇지 않으면 언더클라우드에 연결할 수 없습니다. 현재 서버 하드웨어의 작은 서브 세트만 이 기능을 완전히 지원합니다. 또한 모든 오버클라우드 노드에서 IPMI(Intelligent Platform Management Interface)를 통해 전원 관리를 제어하는 데 사용하는 네트워크이기도 합니다.
  • 외부 네트워크 - 오버클라우드 및 언더클라우드에 대한 외부 액세스를 위한 별도의 네트워크입니다. 이 네트워크에 연결하는 인터페이스에는 정적으로 정의되거나 외부 DHCP 서비스를 통해 동적으로 라우팅 가능한 IP 주소가 필요합니다.

이는 필요한 최소 네트워크 수를 나타냅니다. 그러나 director는 다른 Red Hat OpenStack Platform 네트워크 트래픽을 다른 네트워크로 분리할 수 있습니다. Red Hat OpenStack Platform은 네트워크 격리를 위해 물리적 인터페이스와 태그된 VLAN을 모두 지원합니다.

다음을 확인합니다.

  • 일반적인 최소 오버클라우드 네트워크 구성은 다음과 같습니다.

    • 단일 NIC 구성 - 기본 VLAN과 다른 오버클라우드 네트워크 유형에 서브넷을 사용하는 태그된 VLAN에서 프로비저닝 네트워크용 NIC 1개
    • 듀얼 NIC 구성 - 프로비저닝 네트워크용 NIC 1개 및 외부 네트워크용 다른 NIC
    • 듀얼 NIC 구성 - 기본 VLAN의 프로비저닝 네트워크용 NIC 1개 및 다른 오버클라우드 네트워크 유형에 서브넷을 사용하는 태그된 VLAN용 다른 NIC
    • 다중 NIC 구성 - 각 NIC에서 다른 오버클라우드 네트워크 유형에 서브넷 사용
  • 추가 물리적 NIC는 개별 네트워크를 격리하거나 본딩된 인터페이스를 생성하거나 태그된 VLAN 트래픽을 위임하는 데 사용할 수 있습니다.
  • VLAN을 사용하여 네트워크 트래픽 유형을 분리하는 경우 802.1Q 표준을 지원하는 스위치를 사용하여 태그된 VLAN을 제공합니다.
  • 오버클라우드 생성 중에 모든 오버클라우드 머신에서 단일 이름을 사용하여 NIC를 참조합니다. 혼동하지 않도록 각 오버클라우드 노드에서 각각의 해당 네트워크에 대해 동일한 NIC를 사용하는 것이 좋습니다. 예를 들어 프로비저닝 네트워크에는 기본 NIC를 사용하고, OpenStack 서비스에는 보조 NIC를 사용합니다.
  • 프로비저닝 네트워크 NIC가 director 머신의 원격 연결에 사용되는 NIC와 동일하지 않은지 확인합니다. director 설치는 프로비저닝 NIC를 사용하여 브릿지를 생성하여 원격 연결을 모두 해제합니다. director 시스템에 대한 원격 연결에는 외부 NIC를 사용합니다.

  • 프로비저닝 네트워크에는 현재 환경 크기에 맞는 IP 범위가 필요합니다. 다음 지침에 따라 이 범위에 포함할 총 IP 주소 수를 결정하십시오.

    • 프로비저닝 네트워크에 연결된 노드당 IP 주소를 1개 이상 포함합니다.
    • 고가용성 구성을 계획하는 경우 클러스터의 가상 IP에 대한 추가 IP 주소를 포함합니다.

    • 환경 확장을 위해 범위 내에 추가 IP 주소를 포함합니다.

      참고

      프로비저닝 네트워크에서 중복 IP 주소를 피해야 합니다. 자세한 내용은 3.2절. “계획 네트워크”의 내용을 참조하십시오.

      참고

      스토리지, 공급자 및 테넌트 네트워크와 같이 IP 주소 사용량을 계획하는 방법에 대한 자세한 내용은 네트워킹 가이드를 참조하십시오.

  • 프로비저닝 NIC를 PXE로 부팅하도록 모든 오버클라우드 시스템을 설정하고, 외부 NIC(및 시스템의 다른 모든 NIC)에서 PXE 부팅을 비활성화합니다. 또한 프로비저닝 NIC의 부팅 순서에서 PXE 부팅이 하드 디스크 및 CD/DVD 드라이브보다 우선하도록 맨 위 순서로 지정합니다.
  • 모든 오버클라우드 베어 메탈 시스템에는 IPMI(Intelligent Platform Management Interface)와 같은 지원되는 전원 관리 인터페이스가 필요합니다. 이를 통해 director에서 각 노드의 전원 관리를 제어할 수 있습니다.
  • 각 오버클라우드 시스템에 대해 프로비저닝 NIC의 MAC 주소, IPMI NIC의 IP 주소, IPMI 사용자 이름 및 IPMI 비밀번호를 기록해 두십시오. 이 정보는 나중에 오버클라우드 노드를 설정할 때 유용합니다.
  • 외부 인터넷에서 인스턴스에 액세스할 필요가 있는 경우 공용 네트워크에서 유동 IP 주소를 할당하고 이 주소를 인스턴스와 연결할 수 있습니다. 인스턴스는 해당 개인 IP를 보유하고 있지만, 네트워크 트래픽에서 NAT를 사용하여 유동 IP 주소를 통과합니다. 유동 IP 주소는 여러 개인 IP 주소가 아니라 단일 인스턴스에만 할당할 수 있습니다. 하지만 유동 IP 주소는 단일 테넌트에서만 사용하도록 지정되어 있으므로 테넌트가 필요에 따라 특정 인스턴스와 연결하거나 연결을 해제할 수 있습니다. 이 설정을 사용하면 해당 인프라가 외부 인터넷에 노출되므로 적합한 보안 관행을 준수하고 있는지 확인해야 합니다.
  • 지정된 브릿지의 멤버로 단일 인터페이스 또는 단일 본딩만 사용하면 Open vSwitch에서 네트워크 루프 발생 위험을 완화할 수 있습니다. 여러 개의 본딩이나 인터페이스가 필요한 경우 여러 브릿지를 설정할 수 있습니다.
  • 오버클라우드 노드가 Red Hat Content Delivery Network 및 네트워크 시간 서버와 같은 외부 서비스에 연결할 수 있도록 DNS 호스트 이름 확인을 사용하는 것이 좋습니다.
  • 오버클라우드 서비스의 가용성을 차단하는 컨트롤러 노드 네트워크 카드 또는 네트워크 스위치 실패를 방지하려면 결합된 네트워크 카드 또는 네트워킹 하드웨어 중복을 사용하는 네트워크에 keystone 관리 엔드포인트가 있는지 확인합니다. keystone 엔드포인트를 internal_api 등 다른 네트워크로 이동하는 경우, 언더클라우드가 VLAN 또는 서브넷에 연결할 수 있는지 확인합니다. 자세한 내용은 Red Hat Knowledgebase 솔루션에서 Keystone 관리 엔드포인트를 internal_api 네트워크로 마이그레이션하는 방법을 참조하십시오.
중요

OpenStack Platform 구현의 보안 수준은 네트워크 환경의 보안 수준에 따라 좌우됩니다. 네트워킹 환경에서 적합한 보안 원칙에 따라 네트워크 액세스가 적절히 제어되는지 확인합니다. 예를 들면 다음과 같습니다.

  • 네트워크 세그멘테이션을 사용하여 네트워크 이동을 줄이고 민감한 데이터를 분리합니다. 플랫 네트워크는 보안 수준이 훨씬 낮습니다.
  • 서비스 액세스 및 포트를 최소로 제한합니다.
  • 적절한 방화벽 규칙과 암호를 사용합니다.
  • SELinux를 활성화합니다.

시스템 보안에 대한 자세한 내용은 다음을 참조하십시오.