자주 묻는 질문 IBM Cloud Internet Services

Free Trial 플랜에는 어떤 것이 제공됩니까?

Free Trial 플랜은 계정당 하나의 구역만 허용합니다. 계정당 하나의 인스턴스만 작성하고 구역 이름을 확인하는 것이 좋습니다. 구역 이름은 추가되기 전에 반드시 확인을 거쳐야 합니다. 무료 체험 기간 중에는 영역이 삭제된 경우, 다른 영역이나 동일한 영역을 추가할 수 없습니다.

몇 개의 무료 평가판 인스턴스를 가질 수 있습니까?

계정의 수명 동안 계정당 최대 하나의 무료 평가판 인스턴스를 보유할 수 있습니다. 무료 평가판 인스턴스가 이미 있거나 무료 평가판 인스턴스를 삭제하거나 무료 평가판이 만료된 경우 다른 무료 평가판 인스턴스를 작성할 수 없습니다. 그러나 생성한 무료 체험판과 무관하게 다른 유료 플랜 유형의 인스턴스를 생성할 수 있습니다.

Standard Next에서 무료 체험판으로 다운그레이드할 수 있나요?

아니오. Standard Next 플랜에서 무료 체험 플랜으로의 다운그레이드는 허용되지 않습니다.

내 무료 평가판이 만료되었습니다. 옵션은 무엇입니까?

데이터 손실을 방지하려면 만료일 전에 무료 체험판에서 표준 버전으로 업그레이드해야 합니다. 이 만기 후에는 플랜을 업그레이드하거나 CIS 인스턴스를 삭제할 수만 있습니다. 인스턴스 시작부터 45일 후에 인스턴스를 삭제하거나 업그레이드하지 않을 경우 구성 도메인, 글로벌 로드 밸런서, 풀 및 상태 검사가 자동으로 삭제됩니다.

엔터프라이즈 패키지 계획에 무슨 일이 발생했습니까?

2023년 8월 11일부터 엔터프라이즈 패키지 플랜을 더 이상 구성할 수 없습니다. 이 플랜의 기능은 다양한 계층으로 분할되었으며 이제 Enterprise Essential, Enterprise Advanced및 Enterprise Premier 플랜에서 사용할 수 있습니다. 전이 업데이트 계획 을 참조하십시오.

내 계정에 사용자를 추가하고 해당 사용자에게 Internet Services 인스턴스 관리 권한을 부여했습니다. 해당 사용자에게 인증 문제가 있는 이유는 무엇입니까?

사용자에게 "서비스 액세스 역할"을 지정하지 않았을 수 있습니다. 두 개의 개별 역할 세트를 참고하십시오.

• 플랫폼 액세스
• 서비스 액세스

서비스 인스턴스를 작성하고 관리하려면 플랫폼 액세스 역할이 필요하고, 서비스 인스턴스에 대해 서비스 특정 오퍼레이션을 수행하려면 서비스 액세스 역할이 필요합니다. 콘솔에서 관리 > 보안 > ID 및 액세스를 선택하여 이러한 설정을 업데이트할 수 있습니다.

내 도메인이 보류 상태인 이유는 무엇입니까? 이를 어떻게 활성화합니까?

CIS 에 도메인을 추가할 때, 등록기관(또는 하위 도메인을 추가하는 경우 DNS 제공업체)에서 구성할 몇 개의 네임서버가 제공됩니다. 도메인 또는 하위 도메인은 이름 서버가 올바르게 구성될 때까지 보류 상태를 유지합니다. 반드시 두 이름 서버를 모두 등록자 또는 DNS 제공자에 추가하십시오. CIS 정기적으로 공개 DNS 시스템을 스캔하여 네임 서버가 지시된 대로 구성되었는지 확인합니다. CIS 가 이름 서버 변경 (최대 24시간이 소요될 수 있음) 을 확인하는 즉시 도메인이 활성화됩니다. 개요 페이지에서 ' 네임 서버 재확인'을 클릭하여 네임 서버 재확인 요청을 제출할 수 있습니다.

내 도메인의 등록자는 누구입니까?

이 정보에 대해서는 다음에 문의하십시오. https://whois.icann.org/

도메인을 에 추가하려면 CIS, 등록기관에서 도메인 설정을 편집할 수 있는 관리자 권한이 있어야 합니다. 이를 통해 도메인의 네임서버를 업데이트하거나 추가할 수 있습니다. 추가하려는 도메인의 CIS 등록기관을 모른다면, 관리자 권한을 가지고 있을 가능성이 낮습니다. 조직의 도메인 소유자와 함께 작업하여 필요한 변경을 수행하십시오.

현재 도메인( example.com)의 DNS 제공업체를 유지하고 싶습니다. 현재 DNS 제공업체에서 서브도메인(subdomain.example.com)을 CIS 으로 위임할 수 있나요?

예. 이 과정은 도메인 추가와 유사하지만, 등록기관 대신 상위 도메인의 DNS 제공업체와 협력합니다. CIS 에 서브도메인을 추가할 때, 평소와 같이 구성할 두 개의 네임 서버가 제공됩니다. 다른 DNS 공급자가 관리하는 도메인 내에서 두 이름 서버 각각에 대해 이름 서버(NS) 레코드를 DNS 레코드로 구성합니다. CIS 에서 필요한 NS 레코드가 추가되었음을 확인할 수 있게 되면, CIS 에서 귀하의 서브도메인을 활성화합니다. 조직 내에서 상위 도메인을 관리하지 않는 경우, 해당 상위 도메인의 소유자와 협력하여 NS 레코드를 추가해야 합니다.

현재 기본 및 권한 DNS 공급업체를 그대로 유지하면서 도메인을 CIS로 온보딩하고 싶습니다. 이것이 가능한가요?

예. CIS는 CNAME(일부) 구성을 지원합니다. 이 옵션을 사용하면 권한 있는 DNS 제공업체를 변경할 수 없는 상황에서 CIS 의 글로벌 네트워크를 통해 개별 도메인만 프록시할 수 있습니다. 부분 설정이 완료되면 레코드를 CIS로 실제 확인하는 것은 권한 있는 DNS 공급업체에서 추가한 CNAME 레코드에 따라 달라집니다. CIS는 부분 설정에서 DNS 레코드를 다르게 확인한다는 점에 유의하세요.

DNS TTL의 기본값은 무엇입니까?

다음은 DNS TTL(Time-To-Live)의 기본값(초)입니다.

• A 레코드 및 CNAME과 같은 레코드의 경우 자동 TTL은 300s입니다.

개인정보 보호 경고가 표시되는 이유는 무엇입니까?

IBM Cloud CIS에서 발행된 TLS 인증서는 루트 도메인(example.com) 및 한 레벨의 서브도메인(*.example.com)을 포함합니다. 두 번째 레벨 서브도메인 (*.*.example.com)에 도달하려고 시도하는 경우, 이러한 호스트 이름이 SAN에 추가되지 않으므로 브라우저에 개인정보 보호정책 경고가 표시됩니다.

파트너 인증 기관(CA) 중 하나가 새 인증서를 발행하는 동안 최대 15분 정도 대기하십시오. 새 인증서가 아직 발행되지 않은 경우 브라우저에 개인정보 보호 경고가 표시됩니다.

왜 올바르지 않은 SSL 인증서 오류가 표시됩니까?

사이트를 방문할 때 "오류 526, 올바르지 않은 SSL 인증서"가 표시되면 오리진 인증서가 올바르지 않음을 의미할 수 있습니다. CIS 프록시가 사용되면 기본 SSL 모드("엔드-투-엔드 CA 서명"임)에서 올바른 CA 서명 인증서가 오리진에 필요합니다. SSL 모드의 기본 설정이 이전에는 "엔드-투-엔드 유연성"이었는데, 이 설정의 경우 오리진에서 제공하는 인증서의 유효성이 무시됩니다. 새 기본값은 새로 추가된 도메인에만 적용됩니다. 기본 SSL 모드가 '엔드-투-엔드 유연성'일 때 도메인이 추가되는 경우 이 설정을 겹쳐쓰지 않습니다. 모드를 덜 엄격한 모드로 변경할 수 있지만 프로덕션 환경에는 권장되지 않습니다.

DDoS는 무엇입니까?

분산 서비스 거부(DDoS) 공격은 여러 소스의 트래픽으로 제압하여 온라인 서비스를 사용 불가능하게 만들려는 시도입니다. DDoS 공격에서 다수의 감염된 컴퓨터 시스템이 서버, 웹 사이트 및 기타 네트워크 리소스 등의 대상을 공격하며 이는 대상 리소스의 사용자에게 영향을 미칩니다.

대상 시스템으로 마구 밀려오는 수신 메시지, 연결 요청 또는 잘못된 형식의 패킷 때문에 대상 시스템은 느려지거나 심지어는 장애가 발생하고 작동이 중지됩니다. 이에 따라 정당한 사용자나 시스템에 대한 서비스가 거부됩니다. DDoS 공격은 개인 범죄자 해커에서부터 조직적 범죄 단체와 정부 기관에 이르기까지 다양한 위협 행위자에 의해 자행되어 왔습니다.

DDoS 공격을 받으면 어떻게 해야 합니까?

1단계: 개요 페이지에서 "방어 모드"를 켭니다.

2단계: 보안을 최대화하도록 DNS 레코드를 설정하십시오.

3단계: IBM CIS의 요청을 억제하거나 속도를 제한하지 마십시오. 해당 상황을 지원하려면 대역폭이 필요합니다.

4단계: 필요한 경우 특정 국가 및 방문자를 차단하십시오.

522 오류가 발생했습니다. 지금 무엇을 해야 합니까?

522 오류는 오리진 서버(호스트)와의 연결을 설절할 수 없음을 표시합니다. 연결에 실패한 후 약 15초가 지나면 연결이 닫히며 522 오류 페이지가 표시됩니다.

이 문제는 대개 IP 주소를 우발적으로 차단하는 방화벽이나 보안 소프트웨어에 의해 발생합니다. CIS가 리버스 프록시로 작동하므로 사용자 사이트에 대한 연결이 CIS IP 범위에서 비롯된 것으로 보입니다. 이 작동으로 특정 방화벽은 해당 연결을 차단할 수 있으며, 이에 따라 적절하게 사이트 방문자에게 컨텐츠를 서비스하지 못하도록 막습니다.

이 문제를 해결하려면 호스트에게 CIS 허용 목록에 있는 모든 CIS IP 범위를 허용 목록에 추가해 달라고 요청하세요.

522 오류를 방지하려면 이러한 모든 IP를 허용 목록에 추가해야 합니다. 해당 범위의 IP가 차단되는지 여부를 확인하는 것도 좋은 방법입니다.

522 오류는 네트워크 연결 문제에 의해 발생할 수도 있습니다. 따라서 서버와 네트워크가 일반적으로 정상 상태이며 과부하 상태가 아님을 확인하십시오.

위의 단계를 수행한 후에도 여전히 오류가 수신되는 경우 IBM CIS 지원 팀에 문의하여 다음을 확인하십시오.

• 사용하는 IP 범위가 허용 목록에 추가되어 있음
• 서버/네트워크가 온라인 상태이며 일반적으로 정상 상태임

고객 지원팀에 문의하실 경우, 최근 발생한 522 오류의 Ray ID를 제공해 주십시오. 당사는 이를 사용하여 사용자가 연결 중인 CIS 데이터 센터를 판별하고 추가 테스트를 실행할 수 있습니다.

프록싱 레코드는 무엇이며 이는 왜 필요합니까?

프록싱 레코드는 IBM CIS를 통해 해당 트래픽을 프록싱하는 레코드입니다. 오직 프록싱 레코드만 보호를 위해 CIS IP가 오리진 IP로 대체된 IP 마스킹 등의 CIS 이점을 이용합니다.

$ whois 104.28.22.57 | grep OrgName
OrgName:        IBM

도메인의 CIS를 무시하려는 경우(당사는 여전히 DNS를 분석함) 가능한 해결책은 레코드를 프록싱하지 않는 것입니다.

DNS 유효성 검증 오류: 1004가 발생했습니다. 지금 무엇을 할 수 있습니까?

페이지 규칙이 작동하려면 DNS가 구역을 분석해야 합니다. 따라서 구역에 대한 프록싱 DNS 레코드가 필요합니다.

루트 레코드에 CNAME을 추가할 수 있습니까?

예. IBM CIS는 "CNAME 플래트닝"이라는 기능을 지원하며, 이를 사용하면 사용자들이 CNAME을 루트 레코드로 추가할 수 있습니다. 권한 있는 DNS 서버는 CNAME 대상의 레코드를 열거하고 CNAME 대신 이 레코드로 응답하여 사용자가 도메인의 루트에서 CNAME을 구성한 사실을 효과적으로 숨깁니다.

기본 상태 검사 제한시간은 무엇입니까?

Free Trial 및 Standard 플랜의 기본 상태 점검 제한시간은 60초입니다.

비HTTP/HTTPS 트래픽에 대해 상태 검사를 구성할 수 있습니까?

아니오, 상태 검사는 HTTP/HTTPS로만 구성할 수 있습니다.

비HTTP/HTTPS 트래픽에 대해 글로벌 로드 밸런서를 구성할 수 있습니까?

아니오, 글로벌 로드 밸런서는 HTTP/HTTPS로만 구성할 수 있습니다.

오리진 풀에서 모든 오리진을 사용 안함으로 설정하면 전체 풀 자체가 사용 안함으로 설정됩니까?

예, 오리진 풀이 로드 밸런서에서 사용되고 있는 경우 트래픽은 다음 최상위 우선순위 풀 또는 폴백 풀로 라우팅됩니다.

Kubernetes Ingress에 오류가 있는 경우 무엇을 해야 합니까?

Kubernetes Ingress의 호스트 이름은 소문자로 된 영숫자, - 또는 .로 구성되어야 하고 영숫자로 시작하고 끝나야 합니다. 로드 밸런서 이름에 _을 사용하면 허용된 경우에도 Kubernetes 클러스터에 ingress 오류가 발생할 수 있습니다. Kubernetes 클러스터에 문제가 발생하지 않도록 로드 밸런서 이름에 -를 사용하지 않는 것이 좋습니다.

Edge Functions 조치를 저장하는 중에 502 오류가 발생하면 무엇을 해야 합니까?

IBM 지원 센터에 문의하여 저장하려고 했던 스크립트를 제공하십시오.

내 서비스 인스턴스 ID는 어떻게 찾을 수 있습니까?

서비스 인스턴스 ID를 찾으려면 개요 페이지에서 CRN을 복사하십시오. 예를 들어, 다음과 같습니다.

crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::

CRN의 마지막 파트가 서비스 인스턴스입니다. 836f33a5-d3e1-4bc6-876a-982a8668b1bb.

또는 리소스 목록 기본 페이지에서 CIS 인스턴스가 포함된 행을 클릭하고 서비스 인스턴스 ID의 GUID를 복사하십시오.

CIS가 리소스를 압축합니까?

예, CIS는 일부 유형의 컨텐츠에 "gzip" 및 "brotli" 압축을 적용합니다. CIS는 또한 브라우저의 UserAgent에 기반하여 항목을 압축하여 페이지 로딩 시간을 단축합니다.

gzip 설정을 이미 사용하고 있는 경우 CIS는 파일에 대한 웹 서버의 헤더에 세부사항을 전달하는 동안 gzip 설정을 준수합니다.

CIS는 오리진 서버에 대한 컨텐츠 유형 "gzip"만 지원하며 gzip 압축, brotli 압축 또는 압축되지 않은 컨텐츠만 전달할 수 있습니다.

CIS의 역방향 프록시는 압축된 형식과 압축되지 않은 형식 간에 변환할 수 있습니다. 즉, gzip을 통해 고객의 오리진 서버에서 컨텐츠를 가져와 압축하지 않고 클라이언트에 제공할 수 있습니다(또는 그 반대로). 이것은 캐싱과 독립적으로 수행됩니다.

Accept-Encoding 헤더는 준수되지 않고 제거됩니다.

CIS API에 작성할 수 있는 요청 수는 몇 개입니까?

CIS API의 글로벌 비율 한계는 사용자당 5분당 1200개의 요청이며 UI, CLI, Terraform 또는 API를 통해 요청이 작성되는지 여부에 관계없이 누적 적용됩니다.

사설 IP와 함께 CIS 을 사용할 수 있습니까?

사설 IP (RFC1918) 는 프록시되지 않은 CIS 설정을 통해 DNS 검색을 통해 도달할 수 있습니다. 그러나 이 설정으로는 대부분의 CIS의 고급 기능 (예: CDN및 WAF) 에 액세스할 수 없습니다. 사설 IP의 경우 CIS 은 이름 대 주소 변환만 처리합니다. 사설 네트워크에 대한 연결은 고객의 책임입니다.

Cloudflare 네트워크는 엣지 트래픽에 어떤 포트 범위를 사용하나요?

프록시가 활성화되면 트래픽이 Cloudflare 네트워크를 통해 원본 서버로 라우팅됩니다. 이 트래픽은 1024-65535 범위 내의 모든 포트에서 발생할 수 있습니다. 환경에 네트워크 액세스 제어 목록(ACL)을 구성할 때, 이 포트 범위에서 들어오고 나가는 트래픽이 모두 허용되도록 하십시오.

CIS 시계 동기화는 어떻게 처리하나요?

ISO 27001 요구 사항을 충족하려면 모든 관련 시스템이 통합된 시간 소스와 동기화되어야 합니다. IBM CIS 는 NTP(네트워크 시간 프로토콜) 서버를 사용하여 인프라 전반의 시계 동기화를 보장합니다. CIS 는 다음과 같은 내부 NTP 서버를 사용합니다:

• time.adn.networklayer.com
• time.service.networklayer.com

CIS 트래픽 스크러빙은 어떻게 처리하나요?

CIS 는 388 Tbps의 글로벌 엣지 네트워크를 사용하여 센터를 스크러빙하지 않고도 대용량 DDoS 공격을 완화합니다. 공격은 소스 근처의 엣지에서 분석되고 차단됩니다. 보호된 트래픽(깨끗한 요청 및 응답)에 대해서만 요금이 청구됩니다. 악의적인 트래픽은 제외됩니다.

CIS 은 글로벌 트래픽 및 상태 확인에 어떤 네트워크를 사용하나요?

CIS 는 전 세계 수백 개 도시에 걸쳐 있는 Cloudflare의 글로벌 Anycast 네트워크에서 데이터 플레인을 실행합니다. 이 네트워크는 빠르고 안정적인 트래픽 라우팅과 DDoS 완화를 보장합니다.

상태 확인 요청은 이 분산 네트워크에서 시작되므로 상태 확인에 사용할 수 있는 지역은 Cloudflare 글로벌 애니캐스트 네트워크를 기반으로 합니다.

CIS 비용 보호는 어떻게 제공하나요?

CIS는 DDoS 완화, 방화벽 또는 속도 제한의 일부로 차단된 트래픽에 대해 계량하거나 청구하지 않습니다. CIS 네트워크를 통해 오리진 대상으로 전달된 요청에만 요금 또는 사용량이 발생합니다.

CIS는 또한 오리진이 응답해야 하는 양호한 요청만 전달하여 오리진의 송신 대역폭 요금을 통제하는 데 도움이 됩니다. 모든 CIS 플랜은 DDoS 공격에 대한 무제한 및 무제한 완화를 제공합니다. 공격 트래픽에 대한 요금은 부과되지 않으며 공격으로 인한 트래픽 급증에 대한 위약금이나 지불 거절도 없습니다.

CIS 아웃바운드 트래픽 필터링을 지원하나요?

아니오. CIS 는 IBM Cloud 애플리케이션에 대한 인바운드 트래픽을 보호하도록 설계되었습니다. 가상 서버 인스턴스, 컨테이너 또는 VPC 리소스와 같은 클라우드 리소스로부터의 아웃바운드 트래픽을 검사, 기록 또는 필터링하지 않습니다.

CIS 역방향 프록시 역할을 하여 애플리케이션으로 유입되는 트래픽을 보호합니다. CIS 포워드 프록시나 출구 필터로 기능하지 않습니다.

아웃바운드 트래픽 제어를 고려하세요:

• VPC 보안 그룹- 인스턴스 수준에서 아웃바운드 포트/IP를 제어합니다.
• VPC 네트워크 ACL(NACL)-서브넷 수준 인바운드/아웃바운드 규칙.
• 방화벽 어플라이언스- VPC 내에 타사 방화벽을 배포합니다.
• DNS 필터링- DNS 기반 서비스를 사용하여 도메인을 제한합니다.

WAF 페이로드 제한은 무엇이 변경되었으며, 왜 페이로드 제한이 증가하는가?

모든 플랜에서 CIS 웹 애플리케이션 방화벽(WAF)은 최대 1MB의 요청 페이로드를 검사합니다. 이는 WAF가 더 큰 요청 본문에 나타나는 복잡한 위협을 탐지하는 데 도움이 됩니다.