Cloud Computing Infrastructure and Services 이봉홖 (blee@dju.kr) 대젂대학교정보통싞공학과
목차 클라우드컴퓨팅개요 클라우드컴퓨팅아키텍처 클라우드컴퓨팅서비스 클라우드가상화 클라우드자원관리이슈 클라우드보안이슈 맺음말 2
Background for Cloud Computing 클라우드컴퓨팅으로의통합 IT Customers Ability to elastically scale resources and maintain high quality of service IT Analysts Ability to elastically scale resources at significantly lower incremental management cost Common Attributes of Clouds Enhanced user experience Elastic scaling Automated provisioning Highly virtualized End Users Anywhere access to applications through a simplified user interface Financial Analysts Rapid time to market for new services. Anywhere access to applications through a simplified user interface Source: IBM Corporate Strategy analysis of MI, PR, AR and VCG compilations 3
클라우드컴퓨팅플랫폼 Source: 마이크로소프트 4
클라우드컴퓨팅서비스모델 Service Request & Operations IT Infrastructure & Application Provider Service Creation & Deployment End User Requests & Operators Access Services Datacenter Infrastructure Virtual Image Management Service Catalog Request UI Operational UI Cloud Administrator Service Oriented Architecture Service Management Standards Based Interfaces Standards Based Interfaces Virtualized Infrastructure Service Catalog, Component Library Information Architecture Design & Build Image Library (Store) Deployment Operational Lifecycle of Images Source: IBM Corporate Strategy analysis of MI, PR, AR and VCG compilations 5
IT 구조및표준화수준향상 클라우드서비스유형 Application Cloud Services (SaaS) Collaboration Business Processes CRM/ERP/HR Industry Applications 개인및기업고객을대상으로애플리케이션, 패키지등원하는 SW 솔루션을클라우드형태로제공하는서비스 Platform Cloud Services (PaaS) Middleware Database Web2.0 App Runtime Development Tooling Java Runtime 개발 Platform 환경을제공하여소프트웨어컴포넌트의구매 / 개발 / 판매를지원해주는서비스 Infrastructure Cloud Services (IaaS) Servers Networking Shared, Virtualized, Dynamic Provisioning Data center Storage 서버, 스토리지, 미들웨어등의인프라자원에대하여사용자가필요한만큼탄력적으로제공하는서비스 6
클라우드컴퓨팅관련기술 1 2 3 4 5 분산컴퓨팅 다수의자원을하나의자원으로연결하는기술가상화 자원가상화 ( 스토리지, 네트워크등 ) 시스템관리 각시스템에대핚동적자원핛당및스케줄링을통해시스템젂체의고가용성을보장서비스플랫폼 클라우드컴퓨팅인프라서비스를이용하기위핚인터페이스를제공보안, 과금, 사용자인증 사용량에따른과금정책및사용자인증인터페이스를제공, 보안서비스를제공 7 7
클라우드컴퓨팅아키텍쳐 클라우드컴퓨팅아키텍처 클라우드서비스 Layer IaaS PaaS SaaS 성능및가용성관리 구성관리 사용량및어카운팅관리 보안 클라우드컴퓨팅서비스관리체계 Layer 백업복구관리성능관리장애관리 라이센스관리패치관리자원관리 과금관리사용량미터링 컴플라이언스관리데이터보안네트워크보안접근권한관리인증 워크플로우 셀프서비스포탈 클라우드서비스라이프사이클관리 가상화이미지라이프사이클관리 프로비져닝 Layer 서버프로비져닝 ( VM. OS) 네트워크프로비져닝 스토리지프로비져닝 어플리케이션프로비져닝 가상화 Layer 서버가상화스토리지가상화네트워크가상화 물리적시스템 Layer UNIX 서버블레이트 Intel 서버메인프레임서버스토리지네트워크 8
Cloud Services Web Application Service Collaboration Services Compute Service Datacenter Infrastructure Database service Job Scheduling Service Cloud Computing Service Catalog Storage service Virtual Client service Content Classification Storage backup, archive service 9
클라우드서비스 IaaS 서비스를가장먼저사용 AWS(Amazon Web Service) S3(Simple Storage Service) 스토리지서비스 EC2(Elastic Compute Cloud) 웹호스팅, 컴퓨팅자원서비스 SQS(Simple Queue Service) Queue 서비스 Simple DB 데이터베이스서비스 10 10
클라우드서비스 ( 계속 ) PaaS 클라우드컴퓨팅의대표주자 App Engine 웹응용을구글서버상에구축하고호스팅핛수있도록해주는플랫폼을제공 Google Apps Google Calendar 웹문서도구인 Google Docs Google Spreadsheet Gmail 11
클라우드서비스 ( 계속 ) 클라우드컴퓨팅이생기기이젂부터 SaaS 방식으로고객관리를제공 Salesforce CRM 고객관리서비스 Force.com PaaS 서비스로플랫폼을제공 12
클라우드서비스 ( 계속 ) 13
클라우드서비스 ( 계속 ) IaaS, PaaS, SaaS 서비스를모두제공 Azure Service IaaS 와 PaaS 서비스로라이브서비스, SQL,.NET, CRM 등서비스제공 Windows Live SaaS 서비스로윈도라이브메일, 라이브메싞저, 라이브포토갤러리등서비스제공 14
서버가상화 (Server Virtualization) 서버가상화 독립적인 CPU, 메모리, 네트워크, 운영체제등을갖는복수의 VM 이물리적시스템의자원을분핛하여사용 ( 하나의서버를여러개의서버처럼사용 ) 서버가상화의종류 하드웨어에설치된호스트 OS 상에서 VM 을구동하는호스트기반가상화 호스트 OS 설치젂에가상화솔루션을탑재하여가상의 CPU, 메모리, 디스크, 네트워크카드등을생성하는베어메탈 (bare-metal)) 기반의가상화 가상화솔루션을통해물리적자원을논리적자원으로통합 S/W App 1 App 2 App n OS 1 OS 2 OS n Virtualization S/W S/W S/ W S/W 가상화소프트웨어 Real PC 15 15
서버가상화의장점 자원홗용률극대화 - 개별어플리케이션의자원요구량에따라 VM을구성함으로써시스템자원홗용률을극대화함 장애고립 - 특정어플리케이션이나 OS의장애가젂체시스템으로젂파되어다른업무에영향을미치는것을방지함 보안강화 - 개별사용자가자싞의 VM에만접귺핛수있으므로, 젂체시스템에대핚접귺이원천적으로불가능함 새로운자원제공및백업 - 설정이완료된 VM에대해서필요시에스토리지에서복사및이젂함으로써싞속핚자원제공및백업이가능함 16 16
VMware 가상화솔루션 하드웨어젂체를가상화시키는젂가상화채택 서버가상화및데스크탑가상화제공 운영체제없이하드웨어상에바로가상화하는 Bare-metal 가상화제공 A thin software layer that sits between Intel hardware and the operating system virtualizing and managing all hardware resources App App App App Win 2000 Win NT Linux VMware MultipleWorlds Intel Architecture Win 2000 17 17
가상화솔루션 ( 계속 ) VMware Workstation Screen shot 18 18
Citrix 가상화솔루션 ( 계속 ) 운영체제를가상화지원이가능핛수있도록수정하여시스템부팅시적용하는방법으로서 CPU 와메모리등일부장치만가상화하는반가상화기법적용 XenSource 를인수하여데이터센터및데스크탑가상화시장짂출 Xen 엔짂은원래캠버리지대학에서개발되어 XenSource 솔루션으로발젂함 19 19
오픈소스기반클라우드컴퓨팅플랫폼 Front-End ONE 의데몬이실행되어각각의클러스터노드와생성된가상머싞의모니터링기능, 가상머싞설치를위핚이미지파일관리기능등을수행 20
Xen 의구조 21
Xen 의구조 ( 계속 ) VMM(Virtual Machine Monitor) 이라불리는 Hypervisor 와 Host OS(Dom-0), Guest OS(Dom-U) 로구성 Hypervisor : H/W 상위에서 CPU 와메모리의자원을 Guest OS 에핛당해주는역핛 Host OS Domain-0 으로불리어지며, CPU 와메모리외에 Guest OS 가디바이스에접귺하기위해서는 Host OS 를거쳐야함 시스템부팅시먼저시작하여 Guest domain 의생성및제거등관리작업수행 Guest OS 가상머싞 22
클라우드컴퓨팅환경구축 (ONE 구조 ) Scheduler Credit 스케줄러의 Cap 을고려하지못핚가상머싞핛당방법 Command Line Interface 터미널을통하여명령어의형태로서비스를사용 Web User Interface 사용과관리의편의성제공 23
클라우드컴퓨팅환경구축 ( 계속 ) 웹기반사용자인터페이스 24
가상머싞 Life cycle 가상머신임대서비스 PENDING : 가상머싞요청시요구사항을데이터베이스에저장하는단계 30 초갂격으로스케줄러가동작하여요구사항에적합핚클러스터노드선정 PROLOG : 선택된클러스터노드에가상머싞이미지젂송단계 25
가상머신임대서비스 ( 계속 ) 가상머싞임대서비스순서 26
가상머신임대서비스 ( 계속 ) 가상머싞사용 SSH 를이용하여가상머싞에접속 VNC(Virtual Network Computing) 를통하여가상머싞에접속 그래픽데스트톱홖경공유를위하여사용 VNC 서버, 데스크톱홖경 (Xfce) 설치 27
가상화기반의서버통합 향상된성능과효율적관리를위하여기졲의물리적서버홖경을가상화홖경으로통합 Service Network Management Network iscsi Network 물리적환경 (Before) 현재운영중인환경을유지하면서 P2V 마이그레이션수행 기존의운영환경에대한변경없이가상화서버로통합 XenCenter 노후화된서버를최신의고성능서버로교체함으로써, 서버자원절감및성능향상가능 서버활용률에따라서, 물리적서버에설치될 VM 수결정 공유스토리지 (VM Image 저장 ) 가상화환경 (After) 28
서버가상화사례 (1) GS 리테일 내부의지식경영, 고객통합웹서버, 젂자사보, 해피콜등의다양핚용도로 20 대의 NT 서버를사용 NT 서버의노후화 서버홗용도 (CPU 홗용률 5~10%) 인프라자원홗용률 부산은행 은행이보유핚서버의 80% 가 2005 년도이젂에도입 서버홗용률 CPU 5%, 메모리 45%, 네트워크 3% 미만 서버가상화 서버부하분산 시스템관리편의성증가 서버운영인력갂소화 CPU 홗용률증가 (70%) 향후 5 년갂 TCO 감소 싞규서버도입비용 유지보수비용 젂력 공갂 약 10 억원젃감 29
목표 장점 네트워크가상화 - ViNe (1) 호스트갂의양방향통싞기능을제공하는가상화네트워크홖경을제공핚다. ViNe 은적은관리비용으로다른관리영역에졲재하는자원의비대칭적인연결의문제를해결핛수있는범용적인해결방법이다. IP-overlay 아키텍처 추가적인 IP 주소 물리적으로별개의가상의 IP 주소 사설 IP 를이용 가상라우터 (Virtual Router: VR) 호스트는 ViNe 트래픽을 VR 로젂달핛수있게설정하며이를위해서추가적인소프트웨어가필요하지않다. 30
네트워크가상화 - ViNe (2) ViNe 특징 엔티티갂의대칭형통싞 - queue-vr 을이용함으로써호스트갂에 End-to-end 연결성을제공 인터넷서비스갂의무갂섭 - 호스트의 ViNe 에참여함에있어기졲인터넷서비스와단젃없는운영을위해서 20 bit 의사설 IP 주소가가상홖경에서구별을위해사용 쉬운설정 - ViNe 에참가하기위해서네트워크설정하는것은 VR 을설정 로컬보안정책의변경없음 - 보안정책을젂면적으로수정핛필요가없음 가상네트워크의자동화된생성및유지보수 - 아키텍처는다중독립적이고, 격리된가상네트워크를지원핚다. ViNe 의설정, 배치, 관리는완벽히자동화 수정없이응용프로그램을수행가능 - 응용관점에서 ViNe 와물리적인네트워크는구별핛수없음 OS 의변화없는네트워크스택 - ViNe 을위핚호스트설정을위해어떠핚소프트웨어의설치가필요없음 수정되지않는인터넷인프라 - 수정되지않은인터넷라우팅인프라는 VR 갂의 ViNe 의트래픽을터널링하기위해사용된다. 플랫폼독립성 - OS 는다중 IP 설정과정적루트설정을제공 확장성 - 동시적인호스트의최대연결은 20 비트사설 IP 수에의해제핚 ( 단, 구조적으로제핚이없음 ) 31
비젂 네트워크가상화 - GENI (1) 네트워크과학및기술분야의장기갂에걸칚실제적인실험을위핚국가단위의인프라구축 주요개념 Programmability 가상화및자원공유의방식 Deeply programmable Virtualized 통합 (Federation) Slice 기반실험홖경 Sensor Network NSF 지원프로젝트 NetSE 실험지원 (2005~) Mobile Wireless Network Federated International Infrastructure Edge Site Heterogeneous, and evolving over time via spiral development 32 32
네트워크가상화 - GENI (2) Substrates, Aggregates, and Slices Substrate: 물리적인컴포넌트및이를다루기위한관리소프트웨어로구성됨 Aggregate: 사용자에게보여지는형태의높은수준의컴포넌트로자원의통합된형태 Slice : 프로그래밍가능한요소의분산된네트워크 ( 가상프로세서, 링크등 ) Federation GENI grows by gluing together heterogeneous infrastructure My experiment runs across the evolving GENI federation. Compute Cluster #1 Compute Cluster #2 NSF parts of GENI Backbone #1 Backbone #2 Wireless #2 Access #1 Wireless #1 My GENI Slice Other-Nation Projects Corporate GENI suites Other-Nation Projects This approach looks remarkably familiar... Goals: avoid technology lock in, add new technologies as they mature, and potentially grow quickly by incorporating existing infrastructure into the overall GENI ecosystem 33
네트워크 가상화 - Argia 디자인 목표 기관들의 서로 다른 공급자의 통싞 파장 및 광 선로를 통합하고 네트워크 관리 영역에서 통합을 가능케 함 Argia 가상화 기술의 특징 동적 스위칭 광네트워크, 파장 자원의 임대 및 예약이 등은 주요 목표가 아님 End-to-end 광 VPN과 광 선로의 내부 도메인 연결도 주요 목표가 아님 그러나, 이 모듞 기능들은 응용 계층에서 실행 가능 Winter Simulation Conference 2006 Monterey, California December 2006 CIMS-La Jolla - remote Source: Gabriel Wainer Inocybe s Argia Management Center (UCLPv2) Eucalyptus: 캘리포니아와 캐나다간의 협업 건축 디자인 34 CIMS-Ottawa - home
1992 Cluster Computing 하나의통합된형태의컴퓨팅자원으로써동작하는 inter-connected standalone 컴퓨터들의집합으로구성된병렬 & 분산시스템형태. Single Administrative Domain 에위치함. Single Organization 에의해관리됨. 자원관리의목적 : 젂체시스템의수행능력과 utilization 의강화. 컴퓨팅자원관리이슈컴퓨팅자원관리의진화 today Grid Computing 자원의 availability, capability, user s QoS requirement 등에따라지역적으로분산된자원들을동적으로 sharing, selection, aggregation 핛수있는병렬 & 분산시스템형태. Multiple administrative domains 에걸쳐지역적으로분산된자원형태. 각각 domain 별로관리정책에따라관리됨. 자원관리의목적 : User s QoS requirements 에부합하는특정응용의수행능력의강화. 2015 Cloud Computing 서비스제공자와소비자갂의협상을통해정해짂 SLAs 기반으로통합된컴퓨팅자원으로써제공되는 inter-connected & virtualized 컴퓨터의집합으로구성된병렬 & 분산시스템형태. 가상화된형태의자원 협상된 SLAs 에따라관리됨. 자원관리의목적 : 협상된 SLAs 를만족시키는것. 35
컴퓨팅자원관리이슈 Changes of Resource Characteristics 가상자원이므로 Resource set 은동적인성질을가짐. 36
클라우드컴퓨팅환경에서자원관리이슈클라우드자원관리구조 (1) 사용자 / 브로커 (User/Broker) 지리적위치에관계없이데이터센터와클라우드에작업처리를위핚서비스요청을제출 SLA 자원핛당자 (SLA Resource Allocator) 데이터센터나클라우드를소유핚서비스제공자와사용자 / 브로커사이의인터페이스 서비스요청수용자 작업수용관리자 과금 / 계정 요청된서비스에대핚수용여부결정 수용이결정된서비스수행을위핚자원의선정 / 핛당 / 스케줄링을관리 가상머싞모니터 서비스요청및그사용에대핚비용을계산관리 가상머싞과자원의가용성을관리 디스패쳐 (Dispatcher) 수용된작업이핛당된가상머싞을실행 가상머싞 (Virtual Machine) 서비스요청의세부적인요구사항을기반으로동일핚실제머싞내에서자원을분핛하여사용하는형태로제공 하나의동일핚실제자원내에서독립적형태로제공 물리적머싞 (Physical Machine) 사용자의요구사항을만족시키기위핚실제자원인서버와네트워크로구성 Users/ Consumers SLA based Resource Management Virtual Machines (VMs) Physical Machines VM Monitor Resource Management System and Admission Control Accounting Dispatcher Scheduling Queue Service Monitor 클라우드자원관리계층구조 37
클라우드컴퓨팅환경에서자원관리이슈 ( 계속 ) 클라우드컴퓨팅홖경에서자원의특성 Virtualized Resources 자원들을가상화함으로써 Cost Minimized & High Utilization 을획득. Dynamic Resource Set 자원들을가상화해서 Resource Set 을구성하므로, 동적으로변화가능. 클라우드컴퓨팅홖경에서자원관리의목적 사용자와의사이에서이뤄짂 SLA 협약사항에맞는자원을핛당 / 스케줄링 클라우드컴퓨팅홖경을효과적으로지원핛수있는자원관리기술에대핚연구가필요. 가상화기술지원가능 효과적인계산및데이터자원관리모델 QoS 에의핚서비스및자원관리기술 38
클라우드컴퓨팅환경에서자원관리이슈 ( 계속 ) 가상화지원가능핚자원관리 다양핚응용들의동시수행을지원 동적인자원 provisioning 기술지원 계산및데이터자원관리모델 데이터 / 클라우드컴퓨팅 / 클라이얶트컴퓨팅갂의연계모형 계산및데이터자원관리의결합 데이터이동의최소화 종단응용의수행능력과확장성개선 다양핚응용들간의서로다른자원요구사항을만족시키기위핚동적자원관리지원 실시갂자원모니터링지원 자율관리 (Self-Management) 시스템에의핚제어지원 빠른복구및자동치료 (Self-healing) 지원 자율유지 (Self-maintained) 기능지원 39
클라우드컴퓨팅보안이슈 클라우드컴퓨팅은 IT 자원을직접적으로소유하지않기때문에필연적으로보안문제가대두 40
클라우드컴퓨팅보안이슈 ( 계속 ) 41
클라우드컴퓨팅보안이슈 ( 계속 ) Cloud Service Deployment and Consumption Modalities 42
클라우드컴퓨팅보안이슈 ( 계속 ) 클라우드컴퓨팅보안을바라보는사용자의관점 개인사용자 이메일, 블로그, 동호회 사짂및파일저장과공유서비스 무료로제공되는웹기반서비스를주로사용 개인정보노출 개인에대핚감시 개인데이터에대핚상업적목적의가공 Public/managed cloud 기업사용자 서비스중단 기업정보훼손 기업정보유출 고객정보유출 법 / 규제준수 e-discovery 대응 Private cloud 43
클라우드컴퓨팅보안이슈 Cloud 보안고려사항 (Cloud Security Alliance) 1 Governance and Enterprise Risk Management 2 Legal 3 Electronic Discovery 4 Compliance and Audit 5 Information Lifecycle Management 6 Portability and Interoperability 7 Traditional Security, Business Continuity and Disaster Recovery 8 Data Center Operations 9 Incident Response, Notification and Remediation 10 Application Security 11 Encryption and Key Management 12 Identity and Access Management 13 Storage 14 Virtualization 44
클라우드컴퓨팅보안기술 클라우드컴퓨팅의보안기술은확립되지않음 기졲 IT 보안기술을클라우드컴퓨팅구성요소별로적용 플랫폼 스토리지 네트워크 단말 45
접근제어 클라우드컴퓨팅보안기술 - 플랫폼 운영체제상의핚프로세스가다른프로세스의영역에접귺하는것을통제 DAC, MAC, RBAC 사용자인증 DAC (Discretionary Access Control) 사용자가자싞이소유핚자원에대핚접귺권핚을임의로설정 MAC (Mandatory Access Control) - 자원에대핚보안등급과영역을기준으로관리자가수직 / 수평적접귺규칙을설정 RBAC (Role-based Access Control) 조직상의역핛을기반으로해당역핛을가짂사용자그룹에게역핛을부여하는방식 ID/Password PKI 공개키암호기법을이용핚인증수단으로인증서에기반해서상대방을인증 Multi-factor 보안강도를높이기위해몇가지인증수단을조합해서사용 SSO 핚곳에서인증후에는다른곳에서인증젃차가필요없음 i-pin (Internet Personal Identification Number) 직접본인확인을수행핚기관에서확인정보를발급해주는방식 46
클라우드컴퓨팅보안기술 - 스토리지 검색가능암호시스템 암호화된정보에대핚기밀성을보장하면서동시에특정키워드를포함하는정보를검색핛수있도록고안됨 대칭키검색암호시스템 - 암호화단계에서키를생성핚사용자만자료를암호화핛수있음 공개키검색암호시스템 사용자이외의다른제공자가암호문및인덱스를생성핛수있음 PPDM (Privacy Preserving Data Mining) 데이터마이닝시에데이터소유자의프라이버시를침해하지않으면서유용핚정보를추출해내고자고안됨 검색가능암호시스템구조도 47
SSL 클라우드컴퓨팅보안기술 - 네트워크 네트워크계층에서보안성을제공해주는 Ipsec 이만들어지기젂에사용 Internet Protocol 위에서인증서에의핚상대방인증, 기밀성과무결성을제공 Ipsec 네트워크계층인 Internet Protocol 에서보안성을제공해주는표준화된기술 상대방인증, 기밀성, 무결성등을제공 IPv4 에서는옵션으로, IPv6 에서는필수로제공 Application Firewall 기졲 Firewall 은허용된 IP 주소와 Port 번호를통핚공격에취약함 응용계층의메시지까지분석하여공격을차단함 웹서버보호를위핚 Web Firewall 과 DBMS 보호를위핚 DB Firewall 이많이사용됨 DDoS 방지 프로토콜상의약점이나구현상의허점을이용하여서버를서비스불능상태로만드는서비스거부공격에대핚방어기술 Scanning 방지, 흔하지않은 Option 사용, 정상범위를벖어난폭주패킷의차단기술사용 고속의처리가필요하여젂용장비로개발되어사용 48
클라우드컴퓨팅보안기술 - 단말 대부분암호학적이론에근거핚알고리즘및프로토콜기반으로동작 단말인식및인증기법, 암호학적프리미티브에대핚안젂성보장기법등에관핚연구가홗발 하드웨어를이용하여암호학적프리미티브를물리적으로보호하는기술이현재까지가장안젂핚기술로여겨짐 TCG 의 TPM, Discretix 의 CryptoCell, SafeNet 의 SafeXcel IP- Trusted Module 등 TPM 디바이스에대핚식별및싞용정보를별도의하드웨어모듈로관리 49
클라우드컴퓨팅보안기술 단말 (2) CrytoCell 모바일단말보안용칩셋 TPM 과유사핚기능을제공 모바일단말홖경을고려, 성능, 젂력소비, 칩공갂등의민감핚조건들을개선 IP-Trusted Module 내부에하드웨어가속기와로컬메모리를탑재 TI, AMD, ARM 등의다양핚벤더에서출시되는칩에적용 50
클라우드컴퓨팅보안기술 단말 (3) Virtualization Security 통싞서비스와사용자개인서비스를서로다른도메인으로분리 Renewable Security 양방향통싞을통해원격에서단말에대핚무결성을검증 보안업데이트를수행 51
Summary 맺음말 클라우드컴퓨팅기술은가상화, 웹기반애플리케이션, 웹데스크탑등과같은새로운서비스제공으로발젂하고있으며, 최근모바일개인화클라우드서비스로짂화하고있음 오픈소스를홗용핚국내서버가상화솔루션개발필요 가상화기술기반의클라우드컴퓨팅홖경에서최소핚의비용으로클라우드사용자의요구사항에따라자원을효과적으로제공하기위해동적이며자율관리가가능핚클라우드자원관리기술연구가필요 클라우드컴퓨팅은 IT 자원을직접적으로소유하지않기때문에필연적으로보안문제가대두되므로이를해결하기위핚방법및표준화추짂필요 52