DevX

글을 쓰기 앞서 하기의 사이트를 참조하였습니다.

• [Linux] ssh key 기반 인증
• Linux 서버에서 SSH 키 기반 인증을 구성하는 방법
• 키 기반 SSH 인증 도입하기

SSH 키 기반 인증이 뭔가요?

원격 컴퓨터에 접속 시 SSH 프로토콜을 사용하여 접속을 많이 시도합니다.

이때, 접속용 비밀번호 입력이 필요한데, 여기에 문제점이 아주 많다고 합니다..

[ SSH 비밀번호 인증방식의 문제점 ]

1. 매 접속 시 비밀번호를 입력해야 한다는 불편함이 있습니다.

2  비밀번호 입력 제한이 없어 브루트포스(무작위 대입)를 통해 비밀번호 인증을 시도할 수 있습니다. 

   2-1) fail2ban 과 같은 입력 횟수 제한 및 규칙을 설정할 수 있지만, 여전히 관리자를 괴롭게 합니다..

3. 여러 대의 서버 관리 중 하나의 서버의 비밀번호가 노출 및 탈취? 당하면 대부분의 서버들 또한 안전하지 못합니다..

...

이러한 문제점을 해소하는 방법으로 공개 키파일을 접속 대상 서버에 복사하여 사용할 수 있습니다.

(여기서 다루지 않은 키 구조에 대한 자세한 설명은 아래 설명을 참고하시길 바랍니다)

공개키 기반구조
비대칭키 알고리즘

이 방법을 사용하면 내 서버에서 원격 접속을 시도할 때 다음과 같은 과정을 수행합니다.

( 내 서버 : Client   ,   접속 대상 서버 :  Server )

위 과정은 초기 접속 시도할 때 비밀번호 입력이 필요하고, 이후 SSH 접속 시 자동적으로 수행되어 비밀번호 없이 접속이 가능합니다. 

ssh-copy-id 가 뭔가요?

위에서 언급했던 공개 키파일을 접속 대상 서버에 복사하는 명령어 입니다.

비밀번호 방식대신 키 기반 인증을 사용하는 방법을 보여드리겠습니다.

먼저 사용할 키쌍 (공개키-비밀키) 를 생성합니다.

$ ssh-keygen -t rsa -b 2048 

Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): #키파일 경로 입력 (/root/.ssh/my_key)
Enter passphrase (empty for no passphrase): #비밀번호 입력
The key's randomart image is: #비밀번호 입력
+---[RSA 2048]----+
|      oo+*=.     |
|      .+++=.     |
|      .= =o.     |
|     .. +.*      |
|      .oS..*     |
|     ..=ooo.o.   |
|     .oo .o=o.   |
|      o .+E.+o   |
|       .oo=+. .  |
+----[SHA256]-----+

키를 생성했습니다.

이제부터 개인 키는 제한된 디렉토리에 보관되었습니다.   제한된 디렉토리 : /root/.ssh 

( SSH 클라이언트는 제한된 디렉토리에 보관되지 않은 개인 키를 인식하지 않습니다. ) 

키 생성 후 반드시 해야하는 작업이 있습니다, 바로 키 권한을 변경해주어야 합니다.

키 자체 권한을 600으로 바꾸어야, 시스템 외 다른 사용자가 스누핑할 수 없게 됩니다.

즉, 사용자 계정 또는 루트 계정에 대한 권한을 먼저 획득하여야 함을 의미합니다.

chmod 600 /root/.ssh/my_key

 이제 내 공개키를 접속 대상 서버에 복사를 합니다.

ssh-copy-id -i /root/.ssh/my_key USERNAME@REMOTE_HOST

접속 대상 서버의 호스트를 모르는 경우 수동으로 복사할 수 있습니다.

접속 대상 서버의 .ssh/authorized_key 파일에 공개 키파일의 내용을 추가만 하면 됩니다!!

이제 기존 비밀번호 인증 방식을 비활성화 해줍니다.

$ vi /etc/ssh/sshd_config

vim에서 /PasswordAuthentication 검색 
주석을 해제하고 no 값으로 설정한 후 vim 편집기에서 나옵니다.

$ systemctl restart sshd 

ssh 데몬을 재시작해주면 설정된 구성이 반영됩니다.

이제 비밀번호 없이 키 파일 기반으로 SSH 접속이 가능해졌습니다!!!!

여러 서버들을 사용중이라면 동일하게 구성하여 1대의 마스터 서버에서 쉽게 접속(제어)할 수 있습니다. 

위 과정을 동일하게 수행하면서 에러가 발생할 수 있습니다. 

아마도 사용자 계정과 루트 계정의 혼동으로 인한 문제일 수 있어 확인이 필요합니다.

혹여나, 공개 키를 삭제한 경우는 비밀 키로 기존과 동일한 공개 키를 생성할 수 있습니다.

하지만, 위와 같이 공개 키를 복사하지 못하는 경우가 있을 수 있습니다.

그런 경우 비밀번호 방식을 사용하면서 추가적인 비밀번호 입력을 하지 않는 방법도 있습니다.

바로, ssh-agent 를 통해 메모리에 임시로 비밀번호를 캐시하는 방식입니다.

$ eval $(ssh-agent)
$ ssh-add /root/.ssh/my_key

ssh-agent 는 ssh 접속을 시도할 때 자동으로 수행할 스크립트를 지정하는 역할이라고 볼 수 있습니다.

Load Balancer(이하 로드밸런서) 에 대한 내용은 이전에 간략하게 다루어 봤습니다.

이제는 AWS의 Elastic Load Balancer (이하 ELB) 에 대한 개념과 내부 동작을 간략히 설명하겠습니다.

글을 쓰기 앞서 아래 링크를 참조하였습니다.

• AWS ELB (Inpa.tistory)
• 패킷으로 확인하는 ALB & NLB (alden-kang.tistory)
• AWS NLB (gasida.notion)

ELB 구성

ELB는 Public (Internet) 과 Private (Internal) 영역에 생성이 가능합니다.

Public ELB는 공인IP와 사설 IP를 모두 가지며, 인터넷과 VPC 내부 리소스간 통신이 가능합니다.
즉, ELB 는 NAT Gateway 없이도 Private 과의 통신이 가능합니다.

Private ELB는 사설 IP만을 가지고 VPC 내부에 생성되어 내부 통신을 할 수 있습니다.

ELB 생성 시, EC2와 유사한 ELB 인스턴스(로드밸런서 노드)가 생성됩니다.

로드밸런서 노드는 Listener 와 Load Balancer 로 구성되어 있습니다.

• Listener 는 사용자가 지정한 프로토콜+포트와 일치하는 요청을 수신합니다.
• Load Balancer 는 수신한 요청을 적절한 대상으로 로드밸런싱합니다.

그리고 ELB 로부터 요청을 넘겨받을 Target Group 을 설정해주어야 합니다.

Target Group은 여러 개의 백엔드 서버들로 구성되며, 해당 서버에서 수신할 요청의 스펙을 정의할 수 있으며,

로드밸런서 노드가 Target Group의 정의된 스펙에 맞게 요청을 넘겨줍니다.

또한, Target Group은 로드밸런서로부터 서버들이 정상적으로 동작하는 주기적으로 검사하는 Health Check 기능을 수행하며, 자동으로 정상적인 서버에만 요청을 전달합니다.

( 구체적으로 말하자면, 로드밸런서는 Target Group 의 서버들을 서버풀(Pool) 로 관리합니다.
 Health Check 를 수행해 비정상적인 응답을 보내오는 서버들은 서버풀에서 제외시키며, 고가용성을 보장합니다. )

ELB는 Target Group의 모든 서버들이 비정상적인 응답을 하게되면 ELB 동작을 비활성화합니다.

만약, 알고리즘으로 세션이 갱신되는 상황을 방지하기 위해 Sticky Session 을 고려할 수 있습니다.

Sticky Session 은 처음 커넥션이 구성된 서버와 일정 시간동안 세션을 유지할 수 있도록 도와줍니다.

TCP 프로토콜은 350초이며, UDP 프로토콜은 120초로 세션이 유지됩니다.

그럼 이제 AWS ELB 서비스를 대표하는 NLB 와 ALB 에 대하여 간략히 알아보겠습니다.

NLB는 인스턴스로 생성이 되지만 AWS 측 LB 물리장비와 연결되어 동작합니다.

ALB는 인스턴스로 생성되어 Software Load Balancer 위에서 동작합니다.

두 LB의 차이가 보이시나요?   바로 Layer 의 수준이 다르다는것을 한 눈에 볼 수 있습니다.

NLB 는 L4 수준의 프로토콜(TCP, UDP)과 즉각적인 L4라우팅을 담당합니다.

ALB 는 L7 수준의 프로토콜(HTTP, HTTPS)을 다루며, 데이터를 직접 확인하기 때문에 정확한 전송이 가능합니다.

 결론적으로, L4 는 무지 빠릅니다,  그리고 L7은 다양하고 정밀한 라우팅이 가능합니다.

이대로는 아쉬우니 NLB, ALB 의 특징을 조금만 더 알아보겠습니다.

NLB 

ALB

위 내용은 AWS Docs 에서 가져왔습니다. 그 중 문서에서 찾아볼 수 없는 궁금한 내용들을 간략히 알아보겠습니다.

• NLB 만 고정 IP 를 지원합니다.

고정 IP 는 각 AZ 별 1개씩 생성이 가능하며 인스턴스(VM) 에  할당하여 사용가능한 리소스입니다.

NLB, ALB 둘 다 결국 인스턴스(로드밸런서 노드) 가 생성되어 할당이 가능해야하는데 왜 NLB만 지원할까요?

그 답은 ELB의 고가용성(HA) 에 있습니다. NLB는 매우 빠른 요청처리가 가능하며, 각 AZ 별로 생성 가능합니다.

또, 로드밸런서 자체적으로도 하는일이 거의 없습니다. 기껏해야 SNAT, DNAT , 포트포워딩이며, DSR을 활용 시 인바운드 트래픽만을 처리하기 때문에 변동이 거의 없는 안정적인 운용이 가능합니다. (이후에 부가적으로 설명하겠습니다.)

반면, ALB 는 패킷의 내부 데이터 헤더를 확인하여 정확한 경로(대상)로 전송해야할 의무가 있습니다.

따라서, ALB 내부적으로 처리해야하는 작업의 부담이 있으며, 요청 트래픽의 크기와 양에 따라 ALB 로드밸런서 노드를 추가로 생성/삭제하여 안정적으로 운용하려고 합니다.

ALB 로드밸런서 노드가 Scale In/Out 하는 과정에 있어 IP 가 수시로 바뀌기 때문에 고정 IP 를 할당하는데 있어 적합하지 않습니다.

( ALB에 고정 IP를 할당하고 싶다면 앞 단에 NLB를 생성한 후 타겟 그룹으로 ALB를 지정하는 방법이 있습니다. )

• NLB 는 보안 그룹을 사용할 수 없습니다.

보안그룹은 인스턴스 수준에서 인/아웃 바운드 트래픽을 제어하는 리소스로 ENI에 붙여 사용합니다.

인스턴스 당 5개의 보안그룹을 사용할 수 있고, 방화벽의 역할을 하지만 허용(Allow) 만 제어가 가능합니다.

그렇다면, 왜 NLB는 보안 그룹을 사용할 수 없을까요?

물론, AWS의 기술력이 부족한 이유는 절대 아니며, 사용할 수 있게 만들수는 있지만 본래 의도와 다르기 때문입니다.

NLB 특성 상 대량의 트래픽 처리가 가능하며 이에 따라 뒷 단에 요청을 받는 서버는 고가용성 보장이 가능해야 합니다.

즉, Scale 변동이 가능한 오토스케일링 그룹(ASG) , ALB 가 오는 경우가 많습니다.

이는 NLB와 인스턴스 타입으로 사용할 수 있고,  NLB + 인스턴스 타입의 조합은 소스 IP 를 그대로 전달합니다.  

소스 IP를 그대로 받는다는 것은 NLB가 요청받는 소스IP 와 백엔드 서버단에서 받는 소스 IP가 동일함을 의미합니다.

이렇게 되면 NLB에서 굳이 보안그룹을 사용해야 하는가? 에 대한 물음으로 이어질 수 있겠습니다. 

추후 Target Type (Instance mode, IP mode) 와 IP 보존에 대한 이야기를 덧붙이도록 하겠습니다.

또, 로드밸런서의 라우팅방법에 대해서도 간략히 이야기해보겠습니다.

로드 밸런서 라우팅 방법 : https://ssup2.github.io/theory_analysis/SLB/

Load Balancer 가 뭔가요?

1000명 이상의 사용자가 서버로 어떠한 요청을 보낼 때 1대의 서버로는 모든 요청을 처리하는데 한계가 있겠지요.

따라서 여러 대의 서버로 요청을 분담하여 처리해야 하는데, 사용자는 각 서버의 IP 주소를 모르며, "tistory.com" 이라는 URL 주소만 알고있습니다.

그러므로 "tistory.com" URL 주소와 각 서버의 IP 를 묶어주는 역할이 필요한데,

LB는 자신의 IP를  "tistory.com" 도메인과 연동하여 자신이 수신하는 모든 요청을 각 서버에게 자동으로 분산합니다.

(정확히 말하자면 "tistory.com" 을 LB의 IP 로 변환해주는 동작은 DNS Server가 처리하며, LB는 서버에게 요청을 전달하는 동작을 수행합니다. ) 

따라서, LB를 사용하면 서버를 안정적으로 운용할 수 있습니다.  

LB는 대충 아래와 같은 구조로 사용됩니다.

어떻게 자동으로 분산할 수 있나요?

로드밸런싱 알고리즘을 통해 요청을 자동으로 분산할 수 있습니다.

로드밸런싱 알고리즘

• Round Robin
• IP Hash
• Least Connection ( Least Outstanding Requests )

이외에도 여러가지 알고리즘이 있지만, 대표적으로 사용되는 3가지의 알고리즘을 알아보겠습니다.

Round Robin

Round Robin 방식은 요청의 종류,크기와 관계없이 각 서버에 순서대로 한 번씩 요청을 분산합니다.

IP Hash

IP Hash 방식은 요청 패킷의 출발지 IP/Port , 목적지 IP/Port , 프로토콜 종류를 조합하여 해시값을 만든 후,

해당 해시값과 일치하는 서버에게 분산합니다.

Least Connection

Least Connection 방식은 서버중 현재 요청을 가장 적게 처리하고 있는 서버에 분산합니다.