IBM Cloud Docs
불변의 백업 네트워크 아키텍처

불변의 백업 네트워크 아키텍처

변경 불가능한 백업 솔루션 아키텍처에서 샌드박스 사용은 선택 사항입니다. 이러한 솔루션 아키텍처에서 샌드박스는 백업 사본에 액세스하거나 가상 머신(VM)을 시작하는 데 사용할 수 있는 격리된 네트워크 환경으로 정의됩니다. 프로덕션 환경과 격리되어 동일한 IP 주소를 가진 VM으로 인한 중복 IP 주소가 충돌하거나 복구된 VM이 프로덕션 VM과 상호 작용하지 않도록 합니다.

Veeam® DataLabs은 샌드박스 개념을 활성화하지만, VMware NSX-T™ 환경에서는 아직 활성화되지 않으므로 NSX-T 세그먼트를 격리된 세그먼트에 매핑할 수 없습니다. 따라서 이러한 솔루션 아키텍처를 통해 Veeam과 NSX-T 기술을 모두 사용하는 샌드박스를 구현할 수 있습니다:

  • Veeam vPower NFS 서비스 - 백업 파일에서 직접 VM을 시작할 수 있습니다.
  • Veeam 데이터 통합 API - 파일 시스템에 백업 파일을 마운트할 수 있습니다.
  • NSX-T 오버레이 세그먼트 - 가상 머신을 물리적 네트워크에서 추상화된 가상 네트워크에 연결할 수 있습니다.
  • NSX-T T1- 라우팅 및 게이트웨이 방화벽 기능을 제공합니다.
  • NSX-T 분산 방화벽 - 분산 방화벽을 사용하면 VM의 횡방향 트래픽에 대한 방화벽 기능을 사용할 수 있습니다.

불변 백업 환경 네트워크
백업 환경 네트워크

이전 다이어그램은 VMware Cloud Foundation for Classic - Automated 인스턴스의 통합 클러스터에서 호스팅되는 샌드박스 예시를 보여 줍니다. 고객이 다음 리소스를 주문합니다.

  • VCF for Classic - Automated 인스턴스
  • Veeam 서비스
  • Ubuntu 20.04 LTS를 실행하는 베어메탈 서버

IaaS가 프로비저닝되면 고객이 됩니다:

  • 프로비저닝 프로세스 중에 생성된 샘플 세그먼트를 삭제합니다.
  • 워크로드를 T0 및 T1로 유지합니다.
  • 서비스를 변경하지 않습니다 T0.
  • NW1, NW2, NW3 세 개의 세그먼트를 생성하고 이를 워크로드 T1에 연결합니다.
  • 세 개의 네트워크에서 워크로드 가상 머신을 프로비저닝하고 구성합니다.

변경 불가능한 스토리지로 백업을 사용하려면 고객이 다음 작업을 완료해야 합니다.

  • 베어메탈 서버의 필수 작업을 수행하여 서버가 Linux® 강화된 리포지토리로서의 역할을 수행할 수 있도록 준비합니다.
  • Linux® 강화된 리포지토리에서 활성화된 Veeam 백업 서버를 사용합니다.
  • 가상 머신에 대한 백업 작업을 생성합니다.

고객은 다음 예시를 포함하는 백업에서 사이버 관련 작업을 완료합니다.

  • 백업 파일에서 멀웨어를 검사합니다.
  • 격리된 네트워크의 백업에서 VM을 복구합니다.

고객이 다음 항목을 생성합니다:

  • Cyber-Tools-T1 이라는 이름의 새 T1를 생성하고 이를 워크로드 T0에 연결합니다. Cyber-T1 는 연결된 세그먼트를 광고하도록 구성됩니다. 사이버 툴셋 가상 머신과의 트래픽을 라우팅할 수 있습니다.
  • 멀웨어 스캐너가 포함된 사이버 도구 세트의 세그먼트입니다.
  • Isolated-NW-T1 이라는 이름의 새 T1를 생성하고 이를 워크로드 T0에 연결합니다. Isolated-NW-T1 는 모든 NAT IP 주소만 광고하도록 구성됩니다. 이 작업은 연결된 세그먼트의 광고를 중지하고 해당 세그먼트의 NAT IP 주소만 광고합니다.
  • 다음과 같은 분산 방화벽 그룹이 있습니다.
    • 이름 Cyber-Tools-Segments, 카테고리 Segments, 멤버 Cybertools
    • 이름 Cyber-Isolated-Segments, 기준 Segment Tag Equals Isolated-Segments, 범위 Cyber
  • 격리 요구 사항을 충족하는 다음 규칙이 포함된 Cyber-Isolated 이라는 이름의 분산 방화벽 정책입니다:
NSX-T 분산 방화벽 규칙
규칙 이름 소스 목적지 서비스 조치
격리된 액세스를 허용합니다 사이버 도구-세그먼트 사이버 격리 세그먼트 모두 허용
격리 간 액세스 허용 사이버 격리 세그먼트 사이버 격리 세그먼트 모두 허용
격리된 액세스를 거부합니다 임의 사이버 격리 세그먼트 모두 거부
격리에서 액세스 거부 임의 사이버 격리 세그먼트 모두 거부

샌드박스가 필요한 경우 고객은 선호하는 스크립팅 도구를 사용하여 자동으로 샌드박스를 생성합니다:

  • T1에서 해당 네트워크의 기본 게이트웨이의 IP 주소를 사용하여 Isolated-NW-T1 에 연결된 논리적 세그먼트를 생성합니다. 다음 다이어그램에서는 서브넷이 NW2 및 NW3와 일치하는 두 개의 Isolated-NW2Isolated-NW3 세그먼트를 볼 수 있습니다. 이러한 세그먼트는 태그 및 범위(예: 범위 Cyber 및 태그 Isolated-Segments)로 만들어집니다. 이러한 태그와 범위는 이전 표에 나열된 분산 방화벽 그룹 및 규칙에 사용됩니다.
  • 대상 서브넷을 사이버 도구 세그먼트의 소스 주소를 가진 IP 패킷의 변환된 서브넷에 매핑하는 대상 NAT 규칙을 만듭니다. 예를 들어, Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2입니다.

필요한 트래픽 흐름은 다음 다이어그램에 나와 있습니다:

  • 녹색은 허용된 트래픽 흐름을 나타냅니다.
  • 빨간색은 거부된 트래픽 흐름을 나타냅니다.

불변 백업 환경 샌드박스
백업 환경 샌드박스

DNAT(대상 네트워크 주소 변환) 규칙은 다음과 같이 구성되었습니다:

NSX-T DNAT 규칙
소스 대상 번역됨
172.16.67.0/24 172.16.68.0/24 172.16.253.0/24
172.16.67.0/24 172.16.69.0/24 172.16.254.0/24

분산 방화벽 그룹 구성은 다음과 같이 정의됩니다:

NSX-T 분산 방화벽 그룹
이름 범주 멤버 기준
Cyber-Tools-Segments Segments cyber-tools 없음
Cyber-Isolated-Segments 없음 없음 Segment Tag Equals Isolated-Segments Scope: Cyber

Cyber-Isolated 이라는 이름의 정책에서 분산 방화벽 정책 구성은 다음과 같이 정의됩니다:

NSX-T 분산 방화벽 정책
규칙 이름 소스 목적지 서비스 조치
격리된 액세스 허용 사이버 도구-세그먼트 사이버 격리 세그먼트 모두 허용
격리된 팀 간의 액세스 허용 사이버 격리 세그먼트 사이버 격리 세그먼트 모두 허용
격리된 서버에 대한 액세스 거부 임의 사이버 격리 세그먼트 모두 거부
격리된 곳에서 액세스 거부 임의 사이버 격리 세그먼트 모두 거부