[혼자 공부하는 네트워크] 7장. 네트워크 심화

이 글은 「혼자 공부하는 네트워크」 책 내용을 정리한 내용입니다.

저작권 문제시 삭제하겠습니다.

---

 

1. 안정적인 서비스를 위한 기술

 

* 안정성: 특정 기능을 언제든 균일한 성능으로 수행할 수 있는 특성

* 가용성: 안정성의 정도를 수치로 나타낸 정도. 컴퓨터 시스템이 특정 기능을 실제로 수행할 수 있는 시간의 비율. 전체 사용 시간 중에 정상적인 사용 시간.

가용성 = 업타임 / (업타임 + 다운타임)

 

* 고가용성(High Availability): 99.999% 파이브 나인스. 다운타임이 1년에 5.26분, 1개월 26.3초.

 

=> 다운타임이 발생하는 원인을 모두 찾아 원천적으로 차단하기는 어렵기에, 문제가 발생하더라도 계속 기능할 수 있는 능력인 '결함감내'가 중요하다.

 

1) 이중화: 시스템 전체가 중단될 수 있는 대상(단일 장애점 Single Point Of Failure)을 방지하기 위해 예비(백업)을 두는 기술.

- active-stanby: 한 시스템은 가동하고, 다른 시스템은 백업 용도로 대기 상태로 두는 이중화 구성 방식.

                         하나의 장비를 사용할 때에 비해 성능상의 큰 변화를 기대하기는 어렵다. 

- active-active: 두 시스템 모두 가동 상태로 두는 구성 방식.

                        순간적으로 다른 시스템에 부하가 급증할 수 있고 이로 인해 추가적인 문제가 발생할 수 있다.

 

=> 3개 이상 '다중화' 방식으로 장비를 구성하면 더욱 안정적인 운영이 가능하다.

 

ex) 티밍(teaming) - Window 에서 주로 사용, 본딩(bonding) - Linux 에서 주로 사용.

: 여러 개의 네트워크 인터페이스(NIC) 를 이중화/다중화하여 마치 더 뛰어나고 안정적인 성능을 보유한 하나의 인터페이스처럼 보이게 하는 기술.

 

2) 로드 밸런싱

: 로드 밸런서에 의해 트래픽을 고르게 분배하는 기술. (서버 상태를 검사하는 헬스 체크 기능도 한다.)

ex) 로드 밸런서 기능이 있는 장치들: L4 스위치, L7 스위치

ex) 로드 밸런서 기능을 제공하는 소프트웨어들: HaProxy, Envoy, Nginx.

 

이중화/다중화된 서버와 클라이언트 사이에 위치하여 각 서버에 균등하게 분배하는 역할을 한다.

 

* 로드 밸런싱 알고리즘

- 라운드 로빈 알고리즘: 단순히 서버를 돌아가며 부하를 전달하는 알고리즘

- 최소 연결 알고리즘: 연결이 적은 서버부터 우선적으로 부하를 전달하는 알고리즘

- 무작위 알고리즘

- 응답 시간이 가장 짧은 서버를 선택하는 알고리즘

등

 

=> 라운드 로빈 알고리즘, 최소 연결 알고리즘에는 '가중치'를 부여할 수 있다. 서버 간 성능이 다른 경우 가중치를 사용해서 로드 밸런싱을 조절한다.

 

 

cf. 포워드 프록시와 리버스 프록시

클라이언트와 서버 사이에는 수많은 서버들이 존재한다.

=> 클라이언트와 오리진 서버(Origin Server) 사이에 수많은 중간 서버가 존재한다.

 

HTTP 중간 서버 유형으로 프록시(Proxy)와 게이트웨이(Gateway)가 있다.

 

- 프록시(Proxy): 클라이언트가 선택한 메시지 전달 대리자.

- 게이트웨이(Gateway): 아웃바운드 연결에 대해 오리지 서버 역할, 다른 인바운드 서버로 전달하는 중개자 역할을 한다.

 

=> 프록시는 클라이언트와 가깝게 있는 중간 서버이고, 게이트웨이는 오리진 서버와 가깝게 있는 중간 서버 이다.

 

 

 

2. 안정적인 통신을 위한 기술

 

1) 대칭 키 암호화 방식: 암호화와 복호화에 동일한 키를 사용하는 방식

=> 키가 유출되면 큰 문제가 발생하므로 키를 안전하게 전달하는 것이 중요하다. 하지만, 키를 안전하게 전달할 것이었으면 메세지를 안전하게 전달하는 게 나으므로 좋은 방식은 아니다.

=> 키를 안전하게 전송하기는 어렵지만 부하가 적어서 암호화/복호화를 빠르게 수행할 수 있다.

 

2) 공개 키 암호화 방식: 암호화와 복호화에 서로 다른 키를 사용하는 방식. 공개키로 암호화, 개인키로 복호화.

=> 암호화/복호화에 시간과 부하가 상대적으로 많이 들지만 키를 안전하게 공유할 수 있다.

 

클라이언트가 서버에게 문자열을 전송하고자 할 때,

서버에게 공개키를 요청한다. -> 서버가 클라이언트에게 공개키를 준다. -> 서버의 공개 키로 메시지를 암호화해서 서버에 전달한다. -> 서버는 자신의 개인키로 메시지를 복호화하여 확인한다.

 

3) 세션 키: 대칭키 암호화 방식과 공개키 암호화 방식의 장단점으로 인해 두 방식을 함께 사용하는 방식을 사용하는 경우가 많다.

=> 공캐 키로 대칭 키를 암호화하고, 개인 키로 암호화된 대칭 키를 복호화 하는 방식.

 

 

4) 인증서와 디지털 서명

 

* 공개키 인증서(Public key certificate)

: 공개 키와 공개 키의 유효성을 입증하기 위한 전자 문서.

인증서는 인증기관(CA; Certification Authority)이라는 제 3의 기관에서 발급한다.

 

인증서에는 이 공개 키가 진짜라는 보증을 하는 '서명값(signature)'이 있다.

서명 값은 인증서 내용에 대한 해시 값을 CA의 개인 키로 암호화하는 방식으로 만들어진다.

 

* 공개키 인증서 검증

웹 브라우저를 통해 서버로부터 서명 값이 붙은 인증서를 전달받았을 때,

인증서 검증을 위해 서명 값과 인증서를 분리해서 비교 검증한다.

 

서명값을 CA의 공개키로 복호화 한다. -> 인증서 내용에 대한 해시 값을 얻는다.

인증서 데이터에 대한 해시 값을 직접 구한다.

 

=> 서명값을 CA의 공개키로 복호화하여 얻은 해시값과 인증서 데이터의 해시값을 직접 구한 값이 일치하는 지 비교하여 검증한다.

 

5) HHTPS: SSL과 TLS

암호화 방식과 공개키 인증서를 기반으로 동작하는 프로토콜. SSL(Secure Sockets Layer)과 TLS(Transfport Layer Security)

 

SSL과 TLS 를 사용하는 대표적인 프로토콜 = HTTPS(HTTP over TLS)

 

* HTTPS 가 어떻게 동작하는지

① TCP 쓰리 웨이 핸드셰이크: TCP 연결을 위해 두 호스트가 SYN, SYN+ACK, ACK 플래그가 설정된 TCP 세그먼트를 주고 받는다.

② TLS 핸드셰이크: 암호화 통신을 위한 키를 교환한다. 사용가능한 암호화 방식과 해시함수를 담은 정보인 암호 스위트를 전달한다.

        암호화 알고리즘  해시함수

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

...

③ 암호화된 메시지 송수신