사무실에는 인터넷이 들어오지. 인터넷 없으면 일을 못하니까.
보통은 인터넷모뎀에 유무선 공유기를 연결하고, 각 직원들 PC 는 이 공유기가 할당해주는 내부 IP 대역(예를 들면 192.168 로 시작하는)의 IP 주소를 받아서 인터넷에 접속하지.
기술이 발전해서 통신사에서 대여해주는 유무선 공유기에 방화벽 등 여러가지 기능들이 탑재되어 있어서 특별히 보안을 신경쓰지 않고 사용하곤 하지.
그런데 말이지, 나는 HP ProLiant MicroServer Gen8 에다가 웹서버, DB서버 등을 가동시킬 계획인데, 이 서버군들은 외부 네트워크에 서비스를 하기 위해서 외부에서 접속할 수 있게 구성해야 하기 때문에 인터넷에 노출되는 순간 사방팔방에서 듣도보도 못한 공격을 당할 수 밖에 없게 되지.
그래서 방화벽 기능을 할 VM 이 필요하다는거지.
이 방화벽 기능의 VM 이 해줘야 하는 기능은 한 가지가 더 있지. 외부에서 들어오는 접속을 목적에 맞게 각 서버 VM에게 연결을 시켜줘야 하지. 방화벽 기능을 수행하기 위해서 가장 앞단에 설치되어 있기 때문에 수행해야 하는 역할(라우팅 기능)인거지.
나는 예전에 방화벽 기능을 수행해야 하는 VM 에 IPCop 이라는 제품을 사용했었지. UI 가 단순하고, 기능도 단순해서 사용하기 그리 어렵지는 않았었어.
그런데 그 이후로 세월이 얼마나 흐른거야. 당연히 방화벽 제품도 나름 많은 발전을 했을 것이니, 어떤 제품들이 있는지를 검색해봤어.
pfSense, IPFire, OPNsense, NG방화벽, Smoothwall 등이 있더라구.
그 중에서 pfSense 와 OPNsense 를 두고 고민을 좀 했지. OPNsense 는 pfSense 의 Fork 버전이라서 더 기능이 좋다고 하던데, 전통적인게 Troubleshooting 하기에는 더 적합하다고 믿는지라 pfSense 를 선택했어(사실 OPNsense 도 설치했다가 지웠어).
일단 pfSense 를 설치하기에 앞서 ESXi 에서 pfSense 를 설치하기 위한 네트워크 구성을 해줘야 해.
모든 서버군 VM 들은 외부 네트워크가 접근할 수 없도록 내부 스위치로만 연결된 폐쇄망 네트워크에 설치할거야. 이 폐쇄망 네트워크 이름을 LAN 이라고 하자.
폐쇄망 네트워크에 있는 VM 들이 외부와 연결은 되어야 하지. 이 연결은 방화벽에 의해서 관리가 되어야 하지. 방화벽은 pfSense 를 사용할거고.
방화벽은 외부와 내부를 연결시키는 기능을 하지. 외부망 네트워크 이름은 WAN 이라고 하자. WAN 으로 들어오는 접속을 방화벽을 거쳐서 LAN 에 연결해주고, LAN 에서 외부로 나가는 접속은 방화벽을 통해서 WAN 으로 나가는거지.
pfSense 는 WAN 과 LAN 에 걸쳐있고, 다른 서버 VM 들은 LAN 에만 연결되어 있는 구조인거지. 외부에서 ESXi 에 들어오는 관리망은 별개로 생각하자.
이 구조를 ESXi 관리 콘솔에서 구성해 나가보자는거야.
가상 스위치 구성
ESXi 관리 화면에서 왼쪽의 네트워킹을 선택해보자.
“가상 스위치” 탭을 선택했을 때 초기에는 vSwitch0 만 등록되어 있을거야.
우선 “표준 가상 스위치 추가” 버튼을 클릭해서 vSwitch 이름으로 vSwitch_OnlyInternal 을 만들어보자.
신규 가상 스위치 정보 화면에서 업링크 항목에 vmnic1 이 선택되어 있는 것을 볼 수 있을텐데, 이 vmnic1 은 ESXi 설치할 때 네트워크 어댑터 화면에서 봤던걸 기억할거야.
물리 네트워크 어댑터가 2개라서 vmnic0 과 vmnic1 이 표시되고, 이 중에서 vmnic0 만 관리용 네트워크 어댑터로 설정했었지. 즉, vmnic1 은 할당하지 않고 비워두었던거지. 그랬기 때문에 가상스위치를 추가할 때 업링크 대상으로 선택이 가능해진거야.
그런데, 지금 추가하는 가상 스위치는 내부 VM 들을 위한 스위치이기 때문에 업링크를 설정하지 말아야 하지. 나중에 추가하는 방화벽 기능의 pfsense 가 업링크 기능을 대신해줄 것이기 때문이야. 그렇기 때문에 오른쪽 X 버튼을 클릭해서 업링크 항목을 제거해 주어야 해.
이번에는 표준 가상 스위치 추가 버튼을 클릭하고 vSwitch 이름에 vSwitch1 을 입력해서 vSwitch1 을 만들어 보는거야.
vSwitch1 은 외부 인터넷과 트래픽이 통과될 수 있는 WAN 네트워크 영역에서 사용할 스위치야. 그러므로 업링크가 할당되어 있어야 하지.
그러면 결과적으로 처음에 생성되어 있던 vSwitch0 외에 새로 추가한 vSwitch_OnlyInternal 과 vSwitch1, 총 3개의 가상 스위치 항목이 생기게 되지.
이 가상 스위치라는건 스위칭 허브의 기능을 하는 가상 디바이스야. 즉, 관계있는 VM 들이 연결하여 네트워크를 구성하는 장치인거지.
이름에서 대충 눈치챌 수 있었을텐데, vSwitch_OnlyInternal 이라는 이름의 가상 스위치에는 서버군 VM 들을 연결시킬 것이고, vSwitch1 에는 외부망과 직접 연결될 필요가 있는 VM 들을 연결시킬거야.
그럼 처음에 만들어져있던 vSwitch0 에는 무얼 연결시키는걸까? 관리망이라고 외부에서 ESXi 에 들어오는 네트워크가 연결되는거지. vSwitch0 을 클릭해보면 관리망 네트워크가 무슨 말인지 조금 감이 올 것 같아.
vSwitch 토폴로지 라는 영역의 그림에 Management Network 라고 표시되어 있고, ESXi 설치할 때 할당했던 IP 주소 192.168.219.200 이 표시되고 있지?
조금 더 크게 보여줄까?
물리적 어댑터에는 ESXi 설치시에 선택한 vmnic0 이 연결되어 있는게 보일거야.
이제는 WAN 과 LAN 을 구성해보자.
포트 그룹
“포트 그룹” 탭에는 처음에 Management Network 와 VM Network 두 개가 등록되어 있을거야. Management Network 는 앞에서 본 것처럼 관리망 네트워크로 사용될 것이니까 그대로 두자.
VM Network 는 사실 LAN 과 같은 개념의 이름이라서 그대로 사용해도 되긴 하지만, pfSense 에서 LAN 과 WAN 이라는 용어를 사용하게 될 것이기 때문에 혼란스럽지 않게 하기 위해서 새로 만들고 VM Network 항목은 지우도록 하자.
“포트 그룹 추가” 링크를 눌러서 이름에는 LAN 을, 가상 스위치로는 vSwitch_OnlyInternal 을 선택하자.
다시한번 “포트 그룹 추가” 링크를 눌러서 이름에는 WAN 을, 가상 스위치로는 vSwitch1 을 선택하자.
LAN 을 새로 추가했으니 VM Network 는 더 이상 필요하지 않으므로 VM Network 링크를 누르고 작업 링크를 눌러서 “제거” 항목을 선택해서 삭제해 버리자.
그럼 WAN과 LAN 항목을 각각 눌러서 구성이 어떻게 되었는지 확인해볼까?
WAN 에는 물리적 어댑터 vmnic1 이 연결되어 있고, LAN 에는 연결되어 있는 물리적인 어댑터가 없어. LAN 은 폐쇄망이 된거지. 외부와의 연결 통로를 만들어주지 않는 이상 그 내부에서만 통신이 가능할 뿐 인터넷과는 완전히 분리가 된 상태인거야. 보안상 최고야!
그런데, 앞으로 LAN 네트워크 영역에 추가할 서버 VM 들이 어떻게든 외부에 서비스를 해주어야 할텐데, 외부와의 연결 통로를 어떻게 만드는걸까 궁금하지? 바로 방화벽 기능의 VM 을 추가해서 WAN 과 LAN 을 연결시켜줄 수 있어. 이제 방화벽 기능을 수행할 pfSense 를 설치하고 설정하는 방법에 대해서 알아볼거야.