[Load Balancer (L4, L7)] SSL 가속 개념 및설정 (L7 Load Balancing)

1. 네트워크 구성

이전 BIG IP 설정 링크

[1] BIG IP 기본 인터페이스 설정 및 네트워크 설정: https://peemangit.tistory.com/198

[Switch (L4,L7)] BIG IP 기본 인터페이스 설정 및 네트워크 설정

[2] BIG IP Virtual Server 생성 및 Monotoring 수행: https://peemangit.tistory.com/199

[Switch (L4, L7)] BIP IP를 통한 Virtual Server생성 및 Monitoring 설정 (L4 Load-Balancing)

2. SSL 가속을 사용하지 않았을때의 문제점

1) 성능 저하

-   SSL의 연산과정은 많은 트래픽이 발생한다.

-   수 많은 이용자가 웹 서버로 접근시 트래픽 과부화로 인한 긴 응답시간이 발생한다.

 

2) 인증서 문제

-   서버가 여러대일 경우 각 서버마다 인증서가 저장되므로 관리하기가 복잡하다.

 

3) 트래픽 관리 문제

-  SSL은 패킷을 암호화 하기 때문에 URLs, 쿠키, Application Header등을 관찰해서 Routing을 결정하는 트래픽 관리 어플리케이션의 기능을 발휘하기가 어렵다.

3. SSL 가속 개념

-   SSL처리를 각 서버가 아닌 Load balancer가 대신 수행하는 기능이다.

4. SSL 가속의 장점 

-   서버의 성능이 향상된다.

-   클라이언트의 대기시간이 감소한다.

-   서버의 추가 구입에 따른 비용 감소 및 확장성이 용이하다.

-   인증서를 일괄적으로 관리가 가능하다. (서버의 비밀키를 안전하게 관리 가능)

-   다양한 L7 처리가 가능하다.

5. SSL 인증서 생성 및 SSL 가속 구현

1) SSL 인증서 목록 확인

-   인증서 목록을 확인하기 위해서 System → File Management → SSL Certificat List를 클릭한다.

 

 

-   기본적으로 생성된 인증서 리스트를 확인할 수 있다.

 

-   Device Certicicate Signing Request 메뉴를 통해서 CA서버로부터 SSL 인증서를 받아올 수 있다.

 

 

2) Self SSL 인증서 발급

-   CA서버를 구축하고 SSL 인증서를 발급받지 않고 Self SSL을 받아와서 SSL 통신을 수행 하려고 한다.

-   File Management → SSL Certificate List → create 버튼을 클릭한다.

 

 

 

-   인증서 이름과 도메인 이름 및 각종 사용자 정보를 입력 후 Finish 버튼을 누른다.

 

 

-   Self SSL 인증서가 생성된것을 확인할 수 있다.

 

3) SSL 인증서 Profiles 생성

-  외부 사용자가 Load Balancer까지 SSL 암호화를 수행하고 내부 망에서는 평문으로 웹 서버들에게 전달된다.

-  내부 웹서버에서 SSL을 암호화를 통해 Load Balancer 외부로 보내고 싶다면 Servers를 클릭한다.

-  Local Traffic → Profiles → SSL → Client → Create 버튼을 클릭한다.

 

 

-   Custom 버튼을 클릭하고 Certicicate Key Chain  항목에서 Self SSL 인증서를 추가하기 위해서 Add버튼을 클릭한다.

 

 

-   Certificate, Key, Chain을 Self SSL 인증서를 선택한 후 Add버튼을 클릭한다.

 

 

-   해당 설정이 들어가있는지 확인한 이후 Finish 버튼을 클릭한다.

 

 

-   목록을 확인해보면 SSL Profile이 생성된것을 확인할 수 있다.

 

 

4) Virtual Server에 SSL 인증서 Profiles 적용

-   Virtual Server에 적용하기 위해서 Local Traffic → Virtual Servers → Virtual_Web 가상 서버를 클릭한다.

 

 

-   Type을 Standard 방식으로 설정하고 서비스 포트를 HTTPS(443)으로 변경한다.

-   Standard 방식으로 지정하는 이유는 Standard 방식이 Full Proxy방식을 사용하기 때문에 SSL통신을 할 수 있다.

 

 

-   SSL Profile (Client) 항목에 이전에 생성한 SSL 인증서 Profile을 넣는다.

 

 

-   모든 설정이 완료 됬다면 Update 버튼을 클릭한다.

 

 

-   Virtual Server 목록을 통해 확인해 보면 Standard방식이고 서비스 포트가 HTTPS인것을 확인할 수 있다.

 

6. SSL 가속 설정 확인

-   SSL 가속 통신을 확인하기 위해서 Load Balancer의 External 영역과 Server영역을 Wireshark를 통해 확인한다.

 

 

-   Window Client에서 Virtual Server 주소인 https://2.2.2.250로 HTTPS 접속을 수행한다.

-   CA 서버가 존재하지 않고 Self 인증서를 사용하므로 인증서 문제 페이지가 출력되고 이 웹사이트를 계속 탐색합니다. (권장하지 않음)을 클릭한다.

 

 

-   SSL통신을 통해 로 Web서버 2대가 부하분산 처리를 하는것을 확인할 수 있다.

 

 

-   External 영역 패킷을 확인해보면 TLS 암호화 통신을 하는것을 확인할 수 있다.

 

 

-   Server 영역 패킷을 확인해보면 TCP 일반 통신을 하는것을 확인할 수 있다.