[홈랩 구축기] 2 - 망 분리

개요: 네트워크 설계 및 보안 구성 (Phase 1)

첫 번째 단계인 네트워크 설계 및 보안 구성을 진행하고 있다. 1편은 vpn이고 이 구성의 목표도 블로그 내에 있다.

큰 Step 은 다음과 같은 형태이다.

graph LR
    P1[Phase 1: 네트워크/보안] --> P2[Phase 2: OS 세팅/IaC]
    P2 --> P3[Phase 3: K8s HA 클러스터]
    P3 --> P4[Phase 4: 필수 공사/데브옵스]

쿠버네티스를 구축하기 전에 가장 먼저 고민한 것은 네트워크 격리였다. 여러가지 생각을 해 보았고, 먼저 진행한 이유는 아래 추가로 기술 하였다.

인프라 네트워크 토폴로지

현재 구성된 인프라의 네트워크 정보와 토폴로지는 다음과 같습니다.

graph TD
    %% 물리적 네트워크 구조
    ISP[ISP] --> USG[Ubiquiti USG-Pro-4]
    USG --> Switch[US 24 PoE 250W]
    
    Switch --- K8s
    Switch --- Util
    Switch --- Default

    %% 서브그래프 ID와 라벨 분리
    subgraph K8s [VLAN 20: K8s Infrastructure <br/> 192.168.30.0/24]
        M1[Master-1 NUC]
        M2[Master-2 NUC]
        M3[Master-3 NUC]
        W1[Worker-1 Xeon]
        W2[Worker-2 Xeon]
        W3[Worker-3 Xeon]
    end
    
    subgraph Util [VLAN 30: Utility <br/> 192.168.50.0/24]
        KT1[KT Router 1]
        KT2[KT Router 2]
    end
    
    subgraph Default [Default Network <br/> 192.168.1.0/24]
        Bastion[Bastion Host]
        Mac[Mac Studio M3 Max]
    end

    %% Ansible 제어 관계
    Bastion -->|Ansible Management| K8s
    Bastion -->|Ansible Management| Mac

1. IP 고갈 방지와 관리 효율화

기본 대역인 192.168.1.X는 가정용 네트워크에서 흔히 사용되지만, 쿠버네티스의 노드, 파드(Pod), 서비스(Service), 그리고 각종 인프라 장비들이 뒤섞일 경우 IP 포화 상태에 빠지기 쉽습니다. 물론 200개 이상의 장비가 들어올 것으로 생각되진 않지만 추후 쿠버네티스 Loadbalancer type 등 여러가지가 추가될 수 있을 것 같다는 생각도 들었습니다.

향후 클러스터를 재설치하거나 환경을 확장할 때 발생할 수 있는 잠재적 불상사를 방지하기 위해, 초기부터 명확하게 대역을 분리하였습니다.

2. 논리적 망 분리 (Kubernetes Node vs Utility)

네트워크를 크게 두 영역으로 격리하여 설계했습니다.

• Kubernetes Node 망: 쿠버네티스 컨트롤 플레인과 워커 노드들이 통신하는 전용 대역입니다. 클러스터 내부 트래픽을 격리하여 외부 장비와의 간섭을 최소화합니다.
• Utility 망: NAS, 모니터링 장비, 외부 접근용 게이트웨이 등 클러스터 운영을 지원하는 부가 장비들을 배치합니다.

3. 보안 측면의 이점

현재 Utility 망은 KT 공유기를 활용하여 물리/논리적으로 분리되어 있습니다. 이를 통해 향후 방화벽이나 라우팅 정책을 강화하여, 외부 접근용 망에서 쿠버네티스 운영망으로의 접근을 원천 차단하는 등 강력한 보안 정책을 적용할 수 있는 기반을 마련했습니다.

설정: UniFi에서 VLAN 기반의 망 분리하기

이제 UniFi Network 환경에서 각 장비가 의도한 VLAN 대역을 사용하도록 구체적인 설정을 진행합니다.

💡 UniFi 망 변경 및 고정 IP 할당 가이드

1. Network 생성: Settings > Networks에서 새로운 네트워크를 생성하고 VLAN ID를 부여하여 논리적 격리 공간을 설정 하였습니다.

2. 장비별 네트워크 할당: Client Devices 목록에서 대상 기기를 선택합니다. 그리고 이름을 적어 구별하기 쉽게 해 줍니다.

3. Fixed IP 할당: Settings 탭에서 Fixed IP Address를 체크한 뒤, 할당할 네트워크(VLAN)를 지정합니다. 최종적으로는 위와 같은 형태가 되었습니다.

추가로, vlan 을 변경하는 것은 다음과 같다. 한참 찾았는데, port 명을 눌러야 포트의 vlan 이 설정되는 거라서 port 를 눌러야 한다. vlan 변경 후 pc 재시작, 스위치 재시작을 했다.

뭔가 ip 가 잘 안바뀌는 게 있었는데, 해당 노드는 그냥 default 에 두었다.

⚠️ 주의: 설정을 변경하고 재시작 필요

dhcp 가 이미 ip 를 할당해서 그런지, 변경이 정말 되지 않았다. 스위치도 몇번 재시작 해보았으나, 해당 작업이 되지 않았다.

노드에는 rocky linux 10 이 설치되어 있는데, 해당 서버에 ssh 를 붙어 작업하였다.

nmcli con down [인터페이스] && nmcli con up [인터페이스] 명령어로, ip 주소 갱신되는 것을 확인 했다.

처음에는 down 만 쳐 버려서, 원격이 끊어졌다. 다시 up 시키려면 실제 물리 pc를 붙어서 작업해야 하니, 해당 작업의 경우 실제 물리 pc 앞에서 작업할 수 있는 준비가 되면 좋을 것 같다.

추가로 원래 default 망에 있던 것을 다른 망에 있는 것으로 바꾸려 하니 접속도 안되고 좀 이상한 증상이 있었다.

일단은 쿠버네티스 용 망도 분리를 하였다.

망이 분리가 되었고 이제는 쿠버네티스를 설치할 차례이다.