.png)
마이크로세분화를 위한 워크로드 라벨링을 간소화하는 5가지 팁
IP는 모든 사람과 모든 컴퓨터가 이해할 수 있는 구조를 가지고 있습니다. 누군가에게 192.168.1.254와 같은 4차원 숫자 집합을 보여줄 경우, 많은 사람들이 이를 즉시 알아볼 것입니다. 단순한 구조로 정보를 쉽게 소비하고 이해할 수 있습니다. 이것이 바로 인터넷이 확장되고 작동하는 이유입니다. 또한 이 계층 구조는 작업하는 사람들에게 즉각적인 인사이트를 제공합니다.
사람들이 임의의 구조를 정의하는 세상을 상상해 보세요. 한 순간에는 192.179.134.56.245.23이 표시되다가 다음 순간에는 24.87이 표시된다면 어떻게 되나요? 이 두 가지가 서로 어떻게 연관되어 있는지 알아내려면 어떻게 해야 할까요?
유연성과 자유 의지는 긍정적인 측면이 있지만, 네트워크 주소 지정과 워크로드 라벨링(특히 마이크로세분화)의 세계에서는 혼란과 복잡성을 초래할 수 있습니다. 결국 이는 기존 방화벽 정책에서 발생하는 것과 유사한 일관성 없는 정책과 문제로 이어집니다.
지난 몇 년 동안 우리는 자산을 식별하고 그룹화하기 위해 광범위한 속성으로 개체에 태그를 지정해왔는데, 이로 인해 규모와 관리 측면에서 여러 번 문제가 발생했습니다. 구조가 없으면 시간이 지남에 따라 점점 더 견딜 수 있는 아키텍처를 만드는 것이 문제가 됩니다. 일루미오는 이 점을 일찍이 파악하고 구조와 단순성이 임의의 객체 태깅에 비해 엄청난 운영상의 이점을 가져다준다고 판단했습니다.
간단히 말해, 라벨은 사용하기 쉽고, 반복 가능하며, 예측 가능하고, 나중에 이해하기 쉬워야 합니다.
이를 염두에 두고 워크로드 라벨링을 간소화할 수 있는 5가지 팁을 소개합니다:
1. 4차원 라벨링 체계를 고수하세요.
이는 간단하고 명확한 몇 가지 차원 매개변수로 워크로드를 분류하는 방식으로 작동합니다. 예를 들어
- 위치: 워크로드의 위치는 어디인가요? 이는 국가, 도시, 클라우드 제공업체 등이 될 수 있습니다.
- 환경: 이 개체가 프로덕션, 개발 또는 테스트에 있나요?
- 애플리케이션: 재무, HR 또는 CRM 애플리케이션을 서비스하고 있나요?
- 역할: 애플리케이션 서버인가요, 웹서버인가요, 데이터베이스인가요?
역할, 애플리케이션, 환경 및 위치(RAEL)의 네 가지 간단한 그룹을 고수함으로써 이해하기 쉬울 뿐만 아니라 이식 및 확장이 가능한 라벨링 모델을 만들 수 있습니다.
이 구조를 통해 사용자는 4개의 레이블 중 하나를 피벗하고 단일 섹션을 사용하여 제어를 간소화하고 컴퓨팅 시간을 단축할 수 있습니다. 차량용 라벨이 '유형 | 제조사 | 모델 | 색상'의 형태를 취하고 있다면, BMW 또는 빨간색 차량만 식별하면 매우 간단하고 빠르게 작업을 수행할 수 있습니다.
객체 라벨링은 객체와 객체의 주요 목적을 정의하는 데 가장 간단하게 사용되며, 객체 간의 관계를 정의하는 데는 사용되지 않는다는 점을 기억하세요. 이 원칙을 고수하고 정책을 사용하여 관계를 정의하는 것이 행복으로 가는 길입니다 - 저를 믿으세요.
2. 형식 표준화
네트워킹과 컴퓨팅은 비슷할 수 있지만 '프로덕션', '프로덕션', '프로드' 사이에는 큰 차이가 있습니다. 철자가 틀린 경우가 항상 발생하기 마련인데, 구조화된 4차원 모델에서는 문제를 쉽게 해결할 수 있습니다.
그러나 느슨한 프리스타일 환경에서는 "prod.fin.win.UK.CRM.web.bldg1.10"에서 오류를 찾으려고 시도합니다. 는 긴 과정이 될 것입니다.
3. 라벨 이름을 줄일 때는 주의하세요.
예를 들어 "Production"과 같은 레이블을 "Prod"로 줄이되 "Database"는 줄이지 않습니다. 라벨 이름을 일관성 없이 줄이면 라벨이 중복되어 일관성 없는 정책 적용이나 지원 가능성 문제가 발생할 수 있습니다.
줄임말이나 약어가 조직에서 일반적으로 사용되는 명칭(예: UAT)이 아니라면 전체 명칭(프로덕션, 개발, 테스트)을 사용하는 것이 좋습니다. 이로 인해 문제가 발생할 수 있는 대표적인 예는 'Prod' 레이블과 'Production' 레이블이 모두 생성되는 경우입니다. 일부 워크로드가 '프로덕션'으로 레이블이 지정된 경우 '프로덕션'에 대해 생성된 규칙은 해당 워크로드에 적용되지 않습니다.
네이밍 표준을 정의하는 것은 새로운 개념이 아니며, 여기에는 그럴 만한 이유가 있습니다.
4. 모든 시스템에서 일관성 유지
마이크로 세분화를 위한 라벨링 체계 내에서 일관성을 유지하는 것 외에도 외부 메타데이터 소스와도 일관성을 유지하는 것이 좋습니다.
CMDB(구성 관리 데이터베이스), 호스트 명명 규칙 또는 IP 주소 블록 사용 등 메타데이터 명명 규칙을 설정한 경우에는 라벨링 체계에 대한 대체 규칙을 만들지 마세요. 배포 프로젝트 중에 표준 데이터 원본에도 불일치가 있는 것을 발견했다면, 이 문제를 해결하고 해당 데이터 원본의 품질을 개선할 수 있는 기회입니다. 이는 여러 가지 이유로 매우 유익하며 조직에도 도움이 될 것입니다.
초기 배포 사용 사례는 특정 환경이나 애플리케이션으로 제한될 수 있습니다. 그러나 전체 조직을 염두에 두고 라벨 디자인을 구성하면 배포가 확장되는 경우 작업을 줄일 수 있습니다. 레이블 스키마가 단순할수록 확장성과 지원 가능성이 높습니다.
5. 레이블을 사용하여 개체 간 구분 가능
개체 간에 정책을 구분해야 하는 경우에는 서로 다른 레이블을 사용하세요. 별도의 라벨을 사용하고 싶은 경우가 종종 있지만 실제로는 정책적으로 차별화할 필요가 없으므로 불필요합니다. 이러한 측면에서 정책에는 보안 정책뿐만 아니라 RBAC, 보고, 변경 제어 및 기타 유형의 정책도 포함된다는 점을 기억하세요.
이 점을 염두에 두고 가능한 경우 라벨에 일반적인 이름을 사용하세요. 예를 들어 Apache, Nginx, IIS는 80/TCP 또는 443/TCP와 같은 유사한 서비스 포트와 프로토콜을 사용합니다. 따라서 '웹 서버'와 같은 일반적인 레이블 이름을 사용하는 것이 좋습니다. 대부분의 경우 이에 대해 다른 정책을 작성할 필요가 없을 것입니다.
워크로드에 다른 보안 정책이 필요한 경우에만 레이블 이름을 변경하세요. 예를 들어 Oracle, IBM DB2, MS SQL Server는 서로 다른 서비스 포트와 프로토콜을 사용하며 각각 클러스터 트래픽 흐름과 같은 고유한 보안 정책 요소를 가지고 있습니다. 따라서 이러한 애플리케이션을 실행하는 워크로드에 세 가지 역할 레이블을 할당하는 것이 좋습니다. 예를 들어, Oracle Enterprise Manager 서버가 Sybase 서버가 아닌 Oracle 데이터베이스 서버에만 액세스하도록 허용하는 특정 정책을 작성할 수 있습니다.
일루미오의 지원 방법
일루미오 코어는 정책 개체를 식별하는 4개의 레이블을 조합하여 다차원 디자인을 사용합니다. 태그 기능을 사용하는 다른 제품에서는 태그를 얼마든지 만들 수 있습니다. 이렇게 하면 라벨링이 더 유연해지는 것처럼 보일 수 있지만 시간이 지남에 따라 문제가 더욱 두드러지게 됩니다.
다른 레이블 차원을 계속 추가하면 주어진 태그가 고유한 정책 애플리케이션을 나타내는 단일 차원 모델로 매우 빠르게 끝납니다. 이에 대한 좋은 비유는 디렉토리 서비스로, 새로운 요구 사항마다 새 그룹(태그)을 만들어 사용자에게 적용할 수 있습니다. 이러한 그룹은 그 수가 빠르게 증가하고 종종 동일한 개체와 연관되어 중복을 유발합니다. 사용자보다 그룹이 더 많은 시나리오가 존재하는 경우는 드물지 않습니다. 마찬가지로 태그 기반 솔루션에서는 각 개체가 많은 수의 태그와 연결되어 있어 개체보다 더 많은 태그를 보유하게 될 수 있습니다.
그런 다음 관리자는 모든 개체를 필요한 모든 태그에 연결해야 합니다. 그 결과 새 개체가 생성될 때마다 필요한 액세스 권한을 얻기 위해 계속 늘어나는 태그 컬렉션에 태그를 지정해야 합니다. 이 시나리오에서는 확장성이 어려워지고 일관성이 떨어지기 시작합니다.
우리 중 많은 사람들이 다른 팀원과 액세스 권한이 달라서 그룹(또는 태그)을 놓치고 있는 상황에 처한 적이 있을 것입니다. 간단한 4차원 모델을 사용하면 새 개체에 레이블을 지정하는 것이 간단하고 예측 가능하며 반복 가능하고 지원 가능하며 정책 설계에서 상속을 통해 관리 효율성을 크게 향상시킬 수 있습니다.
확장 가능하고 일관된 라벨링 체계를 정의하려면 정책 설계에 대한 사고방식의 전환이 필요하지만, 일단 이해하면 단순성을 통해 정책을 더욱 효과적으로 관리할 수 있습니다.
일루미오에서 라벨링에 대해 어떻게 생각하는지 자세히 알아보려면 최고 에반젤리스트인 나다니엘 이버슨(Nathanael Iversen)의 멋진 동영상을 확인해 보세요.
