목차/08. Multi-Domain Server와 함께 쓰기

08Multi-Domain Server와 함께 쓰기Using VSX with Multi-Domain Server

VSX는 Multi-Domain Server(MDS) 로도 관리할 수 있습니다. 이 챕터는 VSX에만 해당하는 부분만 다루고, MDS 제품 자체에 대한 이해는 이미 있다고 전제합니다. MDS의 일반적인 개념과 절차는 R82 Multi-Domain Security Management Administration Guide를 참고하면 됩니다.

MDS는 서비스 제공업체나 대기업처럼 서로 다른 도메인·부서·지사의 여러 독립 네트워크를 한곳에서 중앙 관리하기 위한 솔루션입니다. MDS 자신이 이 네트워크들의 관리·정책 데이터베이스를 호스팅하는 중앙 관리 서버가 되고, 독립된 각 도메인은 하나의 Domain으로 표현됩니다. 그리고 각 도메인을 실제로 관리하는 것이 Domain Management Server인데, 이 Domain Management Server는 Virtual System·Virtual Router·Virtual Switch는 물론 물리 Security Gateway까지 호스팅할 수 있습니다.

① SmartConsole ② Multi-Domain Server ③ Domain Management Server ④ Main Domain Management Server ⑤ VSX Gateway ⑥ 각 Domain Management Server의 Virtual System들
① SmartConsole ② Multi-Domain Server ③ Domain Management Server ④ Main Domain Management Server ⑤ VSX Gateway ⑥ 각 Domain Management Server의 Virtual System들

여기서 역할에 따라 이름이 갈립니다. VSX Gateway나 클러스터를 관리하는 Domain Management Server를 Main Domain Management Server 라고 부릅니다. 하나의 MDS 위에 여러 게이트웨이와 클러스터를 올릴 수 있고, 한 도메인에 속한 Virtual System들이 여러 VSX Gateway와 클러스터에 흩어져 있어도 됩니다. SmartConsole로 MDS에 연결하면 도메인과 Domain Management Server, MDS 환경 전체를 중앙에서 관리할 수 있는데, 각 Domain Management Server는 MDS를 통해서만 접근되는 자기만의 SmartConsole 인스턴스로 자신의 가상 장치와 물리 게이트웨이, 정책을 다룹니다.

무엇이 다른가 — 도메인을 먼저 만든다

VSX Gateway와 클러스터, 가상 장치를 프로비저닝하고 설정하는 절차 자체는 앞서 본 Security Gateway 관리 모델과 본질적으로 같습니다. 가장 큰 차이는, MDS에 연결한 SmartConsole에서 먼저 각 Domain과 그에 딸린 Domain Management Server 객체부터 만들고 설정해야 한다는 점입니다. 바꿔 말하면 하나의 Domain Management Server가 기능적으로는 하나의 VSX Gateway에 대응하며, 그 VSX Gateway의 네트워크 객체·보안 정책을 다루려면 해당 Domain Management Server에 SmartConsole로 접속하면 됩니다.

전체 흐름은 이렇습니다. 먼저 배포 규모에 맞게 MDS와 (필요하면) Multi-Domain Log Server를 정의하고 설정합니다. 그다음 VSX Gateway나 클러스터마다 Domain과 Domain Management Server를 만들고, SmartConsole로 그 Domain Management Server에 접속해 VSX Gateway·클러스터 객체를 생성·설정한 뒤 기본 보안 정책을 잡아 줍니다. 이어서 배포에 필요한 개별 Domain과 Domain Management Server를 정의하고, 각 Domain에 연결한 SmartConsole에서 그 도메인의 Virtual System과 나머지 가상 장치를 만들어 설정합니다.

관리 이중화와 부하 분산

MDS 머신을 설치·배포하는 자세한 절차는 R82 Multi-Domain Security Management Administration Guide에 있지만, VSX 관점에서 알아둘 점이 둘 있습니다. 관리 High Availability를 쓰려면 MDS 머신을 최소 두 대 정의해야 합니다. 또한 여러 MDS 머신을 두고 도메인마다 Domain Management Server를 둘 이상 두면 관리 트래픽을 분산(Load Sharing) 할 수 있는데, 이 경우 각 MDS마다 Domain Management Server를 하나씩 정의합니다.

MDS에서 가상 장치 다루기

MDS에서 가상 장치를 다룰 때는 반드시 해당 가상 장치를 관리하는 Domain Management Server의 SmartConsole을 써야 합니다. 그 점만 빼면 설정 절차는 Security Management Server와 똑같고, MDS는 가상 장치를 물리 장치와 동일하게 취급합니다. 라이선스가 허용하는 한 얼마든지 Virtual System을 Domain Management Server에 추가할 수 있으며, 한 Domain Management Server에 속한 Virtual System들이 같은 VSX Gateway나 클러스터에 있을 필요도 없습니다.

새 Virtual System을 추가하려면 해당 Domain Management Server에서 SmartConsole을 띄워 Virtual System을 만들고 설정한 뒤 보안 정책을 정의해 설치하면 됩니다. Virtual Router나 Virtual Switch를 추가할 때도 같은 방식으로 해당 Domain Management Server의 SmartConsole에서 만들면 되는데, 다만 Maestro·Scalable Chassis Security Group은 Virtual Router를 지원하지 않는다(Known Limitation 01413513)는 제약은 여기서도 그대로 적용됩니다.