OpenStack에서 Neutron 포트 보안은 기본적으로 각 포트에 할당된 MAC 및 IP 주소만 통신을 허용합니다. 그러나 가상 IP(VIP)를 사용하는 경우에는 이 보안 정책이 문제를 발생시키므로 Allowed Address Pair 기능을 활용해야 합니다.
1. Neutron 포트 보안 기본 개념
OpenStack의 Neutron 포트 보안(port-security)은 각 포트에 할당된 IP 및 MAC 주소 외의 패킷 전송을 차단합니다. 즉, VM이 소속된 포트 외의 IP나 MAC을 이용해 네트워크 통신을 시도하면 기본적으로 차단됩니다.
이러한 동작은 보안에는 유리하지만, VIP(가상 IP)나 HA 구성에서 문제가 됩니다. 이를 해결하기 위해 --disable-port-security를 사용하거나, Allowed Address Pair 기능을 설정해야 합니다.
2. Allowed Address Pair 개요
Allowed Address Pair는 Neutron 포트에 추가적인 MAC/IP 주소를 허용하여, VIP 또는 이중화 구성 시 필요한 통신을 가능하게 해줍니다.
해당 기능을 설정하면 Neutron은 지정된 IP 주소에서 오는 패킷을 허용하고, 해당 포트의 보안 정책을 확장합니다.
3. 실습 환경 및 시나리오 소개
- VM1: 100.100.100.12
- VM2: 100.100.100.11 + VIP 100.100.100.10 (eth0에 secondary IP로 설정)
- 포트 보안 비활성화 상태에서 통신 테스트
eth0: inet 100.100.100.10/24 scope global secondary eth0
ping 테스트:
ping 100.100.100.10
64 bytes from 100.100.100.10: icmp_seq=1 ttl=64 time=0.096 ms
tcpdump 결과 (VM1 → VIP):
fa:16:3e:50:c3:cc > fa:16:3e:5f:fb:d8, IPv4, 100.100.100.12 > 100.100.100.10
4. Port Security 설정 적용 및 확인
📌 포트 보안 활성화
openstack port set --enable-port-security <포트ID>
📌 포트 보안 확인
openstack port show <포트ID> | grep port_security_enabled
이후 VM을 재부팅합니다:
reboot
📌 핑 테스트 결과
Destination Host Unreachable
→ 포트 보안이 VIP 트래픽을 차단한 것입니다.
5. Allowed Address Pair 설정 및 테스트
포트에 허용할 IP 주소를 추가:
openstack port set --allowed-address ip-address=100.100.100.10 <포트ID>
포트 확인:
allowed_address_pairs | ip_address='100.100.100.10', mac_address='fa:16:3e:5f:fb:d8'
📌 다시 핑 테스트
ping 100.100.100.10
64 bytes from 100.100.100.10: icmp_seq=1 ttl=64 time=0.083 ms
📌 tcpdump로도 수신 확인 가능
100.100.100.10 > 100.100.100.12: ICMP echo reply
6. Allowed Address Pair 해제
설정 해제 명령어:
openstack port set --no-allowed-address <포트ID>
확인:
allowed_address_pairs |
이후 VIP로의 통신은 다시 차단됩니다.
7. 정리 및 마무리
OpenStack 환경에서 VIP와 같은 추가 IP를 사용할 경우, 반드시 Neutron의 Allowed Address Pair 기능을 사용해야 합니다. 단순히 포트 보안만 활성화하는 것으로는 VIP 트래픽이 허용되지 않으며, 재부팅 후에 차단되므로 반드시 설정 여부를 사전에 확인해야 합니다.
해당 기능은 HA 구성 또는 Kubernetes의 LoadBalancer/Keepalived 구성 시 매우 중요한 역할을 하며, 보안 정책을 유지하면서도 유연한 트래픽 처리를 가능하게 합니다.
실제 현장에서 바로 적용 가능한 명령어와 흐름으로 정리한 만큼, VIP 관련 네트워크 이슈가 발생할 경우 본 문서를 참고하시면 문제 해결에 도움이 됩니다.
'깐돌의 클라우드 도구함' 카테고리의 다른 글
| [Linux] RHEL XFS LVM 디스크 증설 완벽 가이드 (0) | 2025.05.16 |
|---|---|
| [Linux] RHEL Disk 추가 및 마운트 설정 방법 (1) | 2025.05.16 |
| [가상화] OVS CLI 명령어 정리 – OpenStack 네트워크 운영자를 위한 필수 가이드 (0) | 2025.05.15 |
| [Linux] Bonding 인터페이스 수동 절체 방법 가이드 (0) | 2025.05.15 |
| [Linux] CPU 부하 테스트용 스크립트 작성 및 실행 가이드 (0) | 2025.05.15 |