IXcloud에서는 시큐리티 그룹이라는 인바운드(들어옴) 및 아웃바운드(내보냄) 트래픽을 제어할 수 있는 가상 방화벽 기능을 제공합니다. 기본 시큐리티 그룹은 아웃바운드 트래픽은 모든 포트와 모든 IP에 대해 열려 있으며, 인바운드 트래픽은 모두 차단되어 있습니다. 인스턴스 용도에 맞게 시큐리티 그룹의 인바운드와 아웃바운드 규칙을 설정하여 이용해야 합니다.
또한 안전한 계정 접속을 위해 키 페어를 생성하여 사용해야 하므로 아래의 내용을 참고하여 인스턴스 접근 환경을 구성하세요.
*순 서
이 과정은 SSH와 ICMP(핑)가 인스턴스에 접속할 수 있도록 도와줍니다. 시큐리티 그룹에 대한 규칙들은 주어진 프로젝트 내의 모든 인스턴스에 적용되며 SSH와 ICMP를 이용한 접속을 막는 경우 외에는 모든 프로젝트에 설정되어야 합니다.
*룰을 추가할 때 목적지 포트 혹은 소스 포트와 함께 사용되는 프로토콜을 지정해야 합니다.
1) IXcloud 관리콘솔에서 프로젝트 > 컴퓨트 > 접근 & 보안에서 버튼을 클릭합니다.
2) SSH 접속을 허용하려면 버튼을 클릭합니다.
3) '규칙 추가' 대화상자에 다음과 같이 입력합니다.
①규칙: 리스트에서 SSH를 선택합니다.
②원격: 허용된 시큐리티 범위를 지정하는 것으로, CIDR을 선택합니다.
③CIDR: 0.0.0.0/0을 입력합니다.
- 특정 범위의 IP주소 요청을 수락할 수 있도록, CIDR의 IP 블록 처리 합니다.
4) 버튼을 클릭합니다. 아래와 같은 룰이 추가된 것을 알 수 있습니다.
이제부터 인스턴스는 SSH 22번 포트를 개방했으므로 모든 IP 주소의 요청을 받게 됩니다.
5) ICMP 룰을 추가하기 위해서, 다시 버튼을 클릭합니다.
6) '규칙 추가' 대화 상자에 다음과 같이 입력합니다.
①규칙: 리스트에서 ‘모든 ICMP’를 선택합니다.
②Direction: 들어옴을 선택합니다.
③원격: 허용된 시큐리티 범위를 지정하는 것으로, CIDR을 선택합니다.
④CIDR: 0.0.0.0/0을 입력합니다.
7) 버튼을 클릭합니다. 아래와 같은 룰이 추가된 것을 확인할 수 있습니다. 이제부터 인스턴스는 들어오는 모든 ICMP 패킷을 받게 됩니다.
8) 기본 제공되는 default 시큐리티그룹을 사용할 경우, 내부 IP 끼리의 방화벽 제한이 없습니다.
9) 시큐리티 그룹을 직접 생성하여 사용 시 내부 IP끼리 통신할 경우, 아래와 같이 동일 네트워크에 대한 규칙을 추가해야 합니다.
IXcloud의 기본 정책은 키 페어를 통한 원격 접속입니다. 프로젝트마다 하나 이상의 키 페어를 생성해야 하며 키 페어를 만들지 않을 경우 인스턴스 관리에 문제가 발생할 수 있으므로 필수적으로 만들어야 합니다.
1) 프로젝트> 컴퓨트 > 접근 & 보안의 키페어 탭에서 버튼을 클릭합니다.
2) '키 페어 생성' 대화상자에서 키 페어의 이름을 입력하고 버튼을 클릭합니다.
3) 키 페어를 다운로드하려면 다운로드 프롬프트에 응답하거나 자동으로 다운로드가 안될 경우, 아래와 같은 페이지에서 키 페어를 다운받을 수 있습니다.
각각의 프로젝트에는 반드시 적어도 하나의 키 페어가 존재해야 키 페어를 통한 인스턴스 접속이 가능해집니다. 공개 Key는 관리 콘솔에서 확인(3-A 참고)하거나 외부 툴을 이용하여 확인(3-B 참고) 가능하며 기존에 생성했던 키 페어를 다른 프로젝트에서도 사용하려면 '키페어 가져오기' 기능을 사용해야 합니다.
3-A 관리 콘솔에서 공개 Key 확인하기
1) 키 페어를 가져오려면 먼저 가져오려는 키 페어의 공개 Key를 확인해야 합니다. 프로젝트 > 컴퓨트 > 접근 & 보안의 '키페어' 탭에서 가져오려는 키 페어의 이름을 클릭합니다.
2) 키 페어의 이름을 클릭하면 '키페어 세부 정보'를 확인할 수 있습니다. 공개 Key에 있는 내용을 복사합니다.
3-B 외부 툴(puttygen.exe)로 공개 Key 확인하기
1) 보유하고 있는 키 페어를 통해 공개 Key를 확인하기 위해 'puttygen.exe'를 실행하고 'Load' 버튼을 클릭합니다.
2) 공개 Key를 불러올 개인 Key(.pem)를 선택합니다.
3) 공개 Key 불러오기를 완료했습니다. "Public key for pasting into OpenSSH authorized_keys file:"에 있는 공개 Key를 전부 복사합니다.
1) 위의 과정(3-A, 3-B 중 선택)을 통해 공개 Key 복사를 완료했으면, 키 페어를 가져오려는 프로젝트로 이동해서 프로젝트 > 컴퓨트 > 접근 & 보안의 '키페어' 탭에서 버튼을 클릭합니다.
2) ‘키 페어 가져오기’ 대화 상자에서 원하는 ①키 페어 이름을 지정하고 ②복사한 공개 Key를 붙여넣기한 다음 버튼을 클릭합니다.
3) 접근 & 보안 페이지의 목록에서 가져오기를 진행한 키 페어가 등록되어 있는 것을 확인할 수 있습니다.
4) 사용자만이 파일을 읽고 쓸 수 있도록 사용권한을 변경하려면 다음과 같은 명령을 실행합니다.
$ chmod 0600 yourPrivateKey.pem |
- 만약 윈도우 컴퓨터에서 대시보드를 사용하는 경우 *.pem파일을 불러올 때 PuTTYgen을 사용하게 되며 이를 *.ppk로 저장하게 됩니다.
5) 알고 있는 SSH의 키 페어를 만들기 위해서, 다음과 같은 ssh-추가 명령을 실행합니다.
$ ssh-add yourPrivateKey.pem |
인스턴스가 생성되면 자동으로 인스턴스가 할당된 네트워크 내의 고정 IP 주소가 할당됩니다. 인스턴스가 종료될 때까지 IP 주소는 영구적으로 인스턴스와 연결됩니다.
그러나 고정 IP 주소 외에도 공인 IP 주소를 인스턴스에 연결할 수 있습니다. 고정 IP 주소와 달리, 공인 IP 주소는 연결된 인스턴스의 상태와 상관없이 언제든지 연결을 변경할 수 있습니다. 참고로 IXcloud는 인스턴스 1개당 공인 IP 1개를 무료로 제공합니다.
1) 프로젝트 > 컴퓨트 > 접근 & 보안의 공인 IP탭에서 버튼을 클릭합니다.
2) '공인 IP 할당' 대화상자에서 주어진 공인 IP 할당 pool에서 IP 주소를 선택하고 버튼을 클릭합니다.
3) '접근 & 보안' 페이지의 공인 IP 탭에서 인스턴스에 연결할 공인 IP의 버튼을 클릭합니다.
4) '공인 IP 연결 관리' 대화상자'에서 다음과 같은 옵션을 확인하고 ‘연결된 포트’를 선택하고 버튼을 클릭합니다.
①IP 주소: 자동으로 입력되어 있습니다. 버튼을 클릭해 새로운 IP 주소를 추가할 수 있습니다.
②연결된 포트: 포트를 선택할 수 있습니다.
5) 해당 프로젝트에 공인 IP 할당이 완료되었습니다.
- 인스턴스에서 IP 주소의 연결을 해제하려면 '접근 & 보안' 페이지의 공인 IP 탭에서 버튼을 클릭합니다.
- 주소 pool의 공인 IP 주소를 해제시키려면, 추가적인 옵션을 볼 수 있는 버튼을 클릭하고 ‘공인 IP 반환’을 클릭합니다.