이번에 기관에서 ssl 적용을 하려는데 443 적용은 되었고 443 포트 방화벽도 다 허용 했는데 https 로 접근이 안되었다.
서버 측 계시는 분이 알아본 결과 L4 에 443 포트가 허용되지 않아서 막혀있다고 하셨다.
그래서 L4 는 무엇인가 정리해봐야겠다.
1. Layer-4란 무엇인가
- OSI 모델에서 Layer 4 (전송 계층, Transport Layer). 주로 TCP, UDP 같은 프로토콜이 여기에 속함.
- 패킷의 헤더 중 IP 주소 + 포트 번호 등의 정보만 보고 판단 가능 → 애플리케이션 데이터(payload)의 내용까지 보지는 않음.
2. L4 정책 / L4 스위치 / L4 로드밸런서의 역할
- 부하 분산 (Load Balancing)
클라이언트 요청을 여러 서버(리얼 서버)로 분산시켜 서버 과부하 방지, 고가용성 확보. - 가상 서버(Virtual Server) / 가상 IP (Virtual IP, VIP)
외부 클라이언트가 접근하는 대표 주소. 클라이언트는 VIP를 통해 요청 → L4 장비가 실제 서버(real server)로 분배. - Pool / Pool member
여러 대의 실제 서버(혹은 서비스 인스턴스)가 모여 하나의 풀을 이룸. L4 장비는 풀 안의 멤버들 중 하나로 요청을 보내는 구조. - 커넥션(Connection)과 Session 관리
TCP의 3-way handshake 중계 여부, 커넥션 타임아웃 설정 등이 포함됨. 유휴 커넥션은 장비에서 끊고 리소스 확보. 네트워크 엔지니어 환영의 기술블로그+1 - Health Check (헬스 체크)
서버가 정상인지 주기적으로 검사. 응답 없음 / 오류 있을 시 해당 서버를 풀에서 제외. 검사 방식(TCP, HTTP 등) + 인터벌/타임아웃 설정 중요. 네트워크 엔지니어 환영의 기술블로그+2만쥬의 개발일기+2 - 세션 지속성 (Sticky Session / Persistence)
특정 클라이언트가 이전에 연결된 서버와 계속 통신하도록 유도함. 요청마다 다른 서버로 변경되는 것을 방지. 유저 상태가 서버에 저장돼 있을 경우 필요. 네트워크 엔지니어 환영의 기술블로그 - 로드밸런싱 알고리즘
몇 가지 대표 방식:
알고리즘 설명 / 장단점
| Round Robin (순환 방식) | 단순함, 공평한 분산; 그러나 서버 성능 차이나 현재 부하 반영 못함. (chanstory) |
| Weighted Round Robin | 서버별 성능/가중치 반영 가능. 그러나 현재 부하 변화 반영은 제한적. (chanstory) |
| Least Connections | 현재 연결 수가 적은 서버로 요청 보내기. 동적 부하 반영 가능성이 높음. (chanstory) |
| IP Hash | 클라이언트 IP (혹은 IP+포트) 해싱 → 특정 서버로 고정. 세션 지속성 유지에 유리. 단, 클라이언트 IP 변화나 균등 분산 측면에서는 단점이 있을 수 있음. (chanstory) |
NAT / IP 변환
외부 IP/VIP → 내부 real server IP로 변환. 또한 Source/Destination IP 조작 등이 필요할 수 있음.
3. L4 vs L7 정책 비교
글 쓸 때 거의 필수 비교 항목. 무엇을 선택할지 맣은 경우 트레이드오프가 있음.
항목 L4 정책 /로드밸런싱 L7 정책 / 로드밸런싱 / 스위치
| 동작 계층 | 전송 계층 (TCP/UDP) | 응용 계층 (HTTP, HTTP header, URL, 쿠키 등) |
| 처리 속도 / 리소스 소모 | 빠르고 상대적으로 부담 낮음 | 복잡한 검사 + 처리 필요 → 리소스 더 많이 사용됨 |
| 제어 가능성 / 세밀함 | IP/포트/커넥션 기반으로만 가능 → 애플리케이션 내용 기반 정책은 불가 | URL, 패스, 헤더, 쿠키, 세션 등 기반 정책 가능 |
| 사용 사례 | 단순 서비스, 트래픽이 매우 많고 응답 속도 중요할 때, 애플리케이션 계층 검사가 필요 없는 경우 등 | Web 서비스, 특정 요청에 따라 다른 처리를 해야 하는 경우 (예: 사용자 그룹 나누기, 특정 API만 라우팅 등) |
| 장애 탐지/보안 | 기본적인 헬스 체크, TCP 수준의 장애 감지 가능 | 더 고급 보안/필터링 가능 (웹 방화벽, 인증, SSL 종료 / 리라이팅 등) |
4. L4 정책 설정 시 고려사항 / 베스트 프랙티스
실제 운영 환경에서 L4 정책을 설정하거나 적용할 때 주의할 점, 잘 하면 좋은 것들:
- 헬스 체크 주기 / 타임아웃
너무 짧으면 오탐(false positive)가 많아 서버을 자주 제외할 수 있고, 너무 길면 실제 장애 시 탐지하는 데 시간이 오래 걸림. - 커넥션 타임아웃 관리
유휴 커넥션(혹은 비활성 상태) 유지 시간이 너무 길면 자원이 낭비되고, 너무 짧으면 클라이언트가 예기치 않게 끊길 수 있음. - 세션 지속성 (Sticky)을 쓸지 말지 / 지속성 시간
사용자 특정 상태가 서버에 저장되어 있을 경우(stored-session)에는 sticky가 필요함. 그렇지 않으면 없는 게 오히려 유연 + 단순함 면에서 나을 수 있음. - 로드밸런싱 알고리즘 선택
서버들의 성능이 균일한지, 트래픽 패턴이 일정한지, 요청당 처리가 비슷한지 등을 감안해. 예: 요청당 리소스 소모가 큰 경우라면 단순 Round Robin 보다 Least Connections 등이 더 나을 수도 있음. - 보안 및 인증 / 암호화 (SSL/TLS 오프로딩 여부)
L4 장비에서 SSL을 종료(offload) 할 것인지, 끝까지 암호화(end-to-end) 할 것인지 결정. 오프로딩하면 서버의 부하 낮아지지만 보안 요구사항 고려해야 함. - 스케일링 / 장애 대비
서버 증설 혹은 제거, L4 장비 자체의 장애 대비 (이중화, Failover) 계획 필요. 예: active-standby 구성, 동기화 등. - 로그 / 모니터링
각 서버별 연결 수, 응답 속도, 에러율, 트래픽 양 등을 모니터링해야 이상 여부 탐지 및 정책 튜닝 가능.
출처
https://aws-hyoh.tistory.com/65
https://kangmanjoo.tistory.com/161
https://mani4u.tistory.com/204
https://dratini.tistory.com/65
[Network] L4? L7? 로드밸런서는 뭐지?
로드 밸런싱(Load Balancing) 로드 밸런싱은 네트워크 트래픽을 여러 서버에 분산시키는 역할을 하는 장치 또는 소프트웨어다. 서버의 부하를 줄이고, 가용성을 높이며, 응답 시간을 개선하는데 도
dratini.tistory.com
L4 로드 밸런서와 L7 로드 밸런서의 주요 기능 및 차이점
L4 로드 밸런서와 L7 로드 밸런서의 주요 기능 및 차이점 L4(Layer 4) 로드 밸런서와 L7(Layer 7) 로드 밸런서는 각각 네트워크 계층과 응용 계층에서 동작하는 로드 밸런서입니다. L4 로드 밸런서는 TCP/I
www.scbyun.com
https://chance-story.tistory.com/85
'코딩 정보 공유' 카테고리의 다른 글
| 러스트(Rust), 안전 코딩의 미래? (0) | 2026.01.17 |
|---|---|
| 방화벽 과 L4 정책 , 443 포트 차단 해결 (0) | 2025.09.27 |
| 운영 서버에서 ad 블락 차단 된 항목 살리기 (0) | 2025.05.23 |
| 하이픈(-) 과 앤 대쉬(–) 차이 (0) | 2025.01.23 |
| 스프링 시큐리티가 로그인 정보를 저장하는 세션 (0) | 2024.05.18 |