stone92±è°æ¹Î사내 전산시스템 구성에 관한 글입니다. 시스템 구성 이나 관리 방법은 각각 초점이 다르기 때문에 정답은 없겠습니다만
아직 경험이 부족하신 분들이나 사내 전산 시스템을 개선하고자 하시는 분들은 참고해 보시기 바랍니다.
일단 제가 일하는곳은 윈도우,리눅스,유닉스 등등의 다양한 시스템이 혼재하는 상황으로
최대한 간결하고 저렴(?)하고 안정적인 구성에 초점을 맞춰서 구성해본 시스템 환경입니다.
대락적으로 간단히 적어보았습니다.
1. 네트워크 환경
1.1 방화벽
회사의 기본적인 네트워크 보안을 위해서는 필수적으로 갖춰야 합니다.
가격대야 천차만별입니다만 회사의 규모가 크지 않다면 일반적인 공유기만으로도 기본적인 보안은 가능합니다.
공유기의 기능이 맘에 들지 않는 다면 리눅스나 윈도우 시스템으로 간단하게 공유기로 활용할 수 있습니다.
필자의 경험으로 50~100명 정도의 수준이라면 기가비트 랜을 가진 리눅스 시스템으로도 충분히 방화벽을 구성할 수 있었습니다.
1.2 스위치
스위치 역시 저가의 일반 스위치부터 고가의 스위치까지 가격들이 다양합니다.
내부적으로 주고 받는 데이터들이 많다면 일단 스위치 만큼은 비용이 많이 들더라도 좋은 스위치를 사용하기를 권장합니다.
특히 PC 대수가 지속적으로 늘어난다고 예상이 되는 경우에는 비싼 스위치를 사용하는것이 좋습니다.
네트워크 장비들은 대부분 가격만큼 좋은 기능들이 있으며 그만큼 안정적입니다.
최소한 관리기능이 있는 스위치를 사용하여 내부 트래픽정도는 체크하여야 합니다.
managed switch의 경우 기본적으로 snmp,vlan정도는 지원하므로 내부망을 관리하기 수월해 집니다.
1.3 무선랜
요즘 같은 스마트폰 시대에는 필수적인 상황이겠지만 특별히 보안에 신경을 쓴다면 가급적 무선랜은 활용하지 않는것이 좋을것이며
부득이 하게 무선랜을 사용하는 환경이라면 윈도우 서버에서 제공하는 802.1x 인증등을 이용하여 보안을 강화하는것이 좋으며
Guest망은 반드시 내부 LAN 과 분리해 두어야 합니다. 물리적인 분리가 불가능하다면 VLAN 을 지원하는 스위치를 사용하여 분리하도록 합니다.
제가 근무하는 곳은 회사에 PC 는 거의 없고 대부분이 노트북을 이용하기 때문에 무선랜의 인증 방식으로 윈도우 인증서 서버를 구성하여
인증서를 통한 인증방식으로 구성하였습니다.
기본 프로세서는 PC 는 active directory(이하 AD)로 관리가 되며 로그인 하면 인증서버에서 사용자 인증서와 PC인증서를 자동으로 발급한 후
인증서를 통해서 무선랜에 접속하도록 하고 있습니다.
1.4 네트워크 모니터링
회사에 바이러스가 돌고있다던지 P2P서버를 운영한다던지 해서 사내 네트워크에 큰 영향을 주는 경우 네트워크를 모니터링 하지 않으면
네트워크 관련 문제해결이 많이 어려워집니다. 1.2에서 말했듯이 괸리가능 스위치의 snmp를 이용하여 각각의 포트들을 항상 모니터링하여
갑작스러운 네트워크 과부하에 대해서 관리를 할 수 있도록 해야 합니다.
snmp를 이용한 트래픽 체크유틸리티로는 리눅스 기반에서는 mrtg,rrdtool등등이 있으며 윈도우의 경우 prtg 가 제한적이지만 무료로 사용이 가능한것으로 알고 있습니다.
2. PC환경
회사의 모든 PC 는 AD 기반으로 구성을 하는것이 좋습니다. 개인적으로 리눅스를 좋아하는 사람이지만 MS에서 만든 시스템중에서는 꽤 잘 만들어진 시스템이라고 생각합니다.
AD를 구성함으로 얻는 잇점은 상당히 다양합니다. 회사 전체적인 보안설정,소프트웨어 설정 등등 전사적인 정책을 적용하기에는 부족함이 없을듯 합니다.
비용이 다소 들어가더라도 AD는 구성을 하는것이 좋다는 생각입니다.
2.1 windows PC설치 시스템
상용툴로 ghost, windows system management,true image서버 등등 많은 제품들이 있지만
고맙게도 MS windows 2010서버의 WDS와 windows 7부터 제공되는 image install방식의 설치 프로세서로
짧은 시간에 많은 PC 에 동일한 windows시스템을 네트워크를 통해서 설치할 수 있게 되었습니다.
PXE 부팅 후 네트워크 설치를 쉽게 지원하게됨으로 별도의 설치CD없이 모든 직원들은 pc를 재설치할 수 있습니다.
구성 프로세서는 아래와 같습니다.
- 전사적으로 공통적으로 사용하는 소프트웨어를 포함하는 windows 시스템을 설치
- sysprep를 이용하여 위에서 설치한 windows시스템 이미징
- 만들어진 windows 이미지를 WDS 에 탑재
- 직원들은 PC를 네트워크에 연결 -> PXE 부팅 -> WDS 서버를 통해 standard windows시스템 설치
- 설치 완료된 PC는 AD 에 join
2.2 Linux 시스템 설치
RedHat계열의 리눅스 시스템은 kickstart를 이용하여 windows시스템과 동일하게 네트워크를 통해서 설치가 가능합니다.
구글등에서 kickstart로 검색하시면 많은 글들이 있으니 참고하시기 바랍니다.
저의 경우에는 workstation용 및 simulation용으로 리눅스 시스템을 분리하고 각각 다른 패키지들이 설치되도록 kickstart시스템을 구성ㅎ였습니다.
2.3 Software관리
직원들이 Software를 함부로 설치하지 못하도록 항상 교육을 시키고 필요한 소프트웨어는 AD의 소프트웨어 그룹정책을 이용하여 배포하여
보유 정품수를 넘지않도록 관리합니다. 직원들이 임의로 설치한 불법 소트트웨어도 무조건 회사의 책임이 되므로 항상 공지와 교육은 필수입니다.
3. 서버 시스템 관리
3.1 백업시스템
사내 중요 데이터에 대해서는 무조건적으로 정기적인 백업을 해야하며 최소한 마지막 데이터의 복제본은 회사가 아닌 다른곳에 소산보관을 해야 합니다.
저의 경우 스토리지에 일단위 snapshot백업을 2주간 저장하고 월 2회 full backup 후 회사 외부에 별도로 저장을 합니다.
전산 관리자는 백업에 대해서 만큼은 편집증을 가져도 괜찮습니다. 시간만 나면 백업하는 습관을 들이도록 하는게 좋습니다.
외부로 보관이 편한 테이프 장치(LTO,AIT)나 하드디스크등등 상황에 맞는 백업방법을 사용하고 주기적으로 백업하는 정책을 수립하도록 합니다.
제가 사용하는 백업 시스템은 AIT 테입라이브러리와 legato 시스템, symantec backup exec 입니다.
3.2 시스템 모니터링
서버 대수가 늘어날 경우 많은 시스템을 관리하기 힘드므로 서버의 상태들을 모니터링할 수 있도록 시스템을 구성하여야 합니다.
무료 모니터링 툴로는 cacti,nagios,rrdtool,mrtg 등등이 있으며 모니터링 시스템과 문자나 메일 시스템을 연동하여 문제 발생시 즉각적으로 대응할 수 있도록 해야 합니다.
또한 서버 모니터링을 바탕으로 시스템 증설,교체 시점등의 자료로 활용할 수 있습니다.
»ç³» ¹«¼±¸Á ÀÌ¿ë½Ã °³ÀÎÀÇ ½º¸¶Æ®ÆùÀº ¾î¶²½ÄÀ¸·Î Á¦¾îÇϸé ÁÁÀ»±î¿ä?
ÇöÀç °ü¸®ÀÚ°¡ MACÇã¿ë ÈÄ ¿¬°áµÇµµ·Ï µÇ¾î Àִµ¥ Á» ´õ ÁÁ°í ÆíÇÑ ¹æ¹ýÀÌ ÀÖÀ»±î¿ä?
°³Àνº¸¶Æ®ÆùÀÌ ¿¬°áÀÌ °¡´ÉÇÑ ¹«¼±¸ÁÀ» ¸¸µé°í ±× ¹«¼±¸ÁÀº »ç³»¸Á°ú ºÐ¸®ÇÏ´Â ÇüÅ·Π±¸¼ºÇÕ´Ï´Ù.
½Ã½ºÅÛ °ü¸®ÀÚ·Î Á¦ÇÑÀ» ¸¹ÀÌ Çϸé ÇÒ¼ö·Ï »ç¿ëÀÚµéÀº ºÒÆíÇØÁö±â ¶§¹®¿¡ Àú´Â Á¦¾îº¸´Ù´Â ±â¾÷ÀÇ ¹®È¸¦ º¯°æÇϴµ¥
ÃÐÁ¡À» µÓ´Ï´Ù. Á¤º¸º¸¾È¿¡ ´ëÇؼ´Â ¾î¶»°ÔÇÏ´ø »ç¿ëÀÚ°¡ ³»ºÎ¿¡ Àִ°ÍÀ¸·Î º¸¾ÈȦÀº ÀÖ´Ù°í »ý°¢ÇÕ´Ï´Ù.
±×¸®°í °øÀ¯±â ±â´ÉÀÌ ¸¾¿¡ ¾Èµé°æ¿ì dd-wrt °°Àº°Ç ¾î¶²°¡¿ä?
±×³ªÀú³ª Àü¹®°¡µé¸¸ ¾´´Ù´Â Á¨Åõ ·Î°í°¡
°è¼Ó Àо°í °øºÎÇÒ°Í °°½À´Ï´Ù!!