IBM: Fix loadbalancer connection issue

[ish-hcc]

IBM

• Fix loadbalancer connection issue

What was the issue?

• 로드밸런서에서도 Security Group을 지정하도록 되어 있었습니다.
• 기존에는 Default Security Group으로 설정되면서 내부 통신만 허용이 되면서 외부 접근이 차단되었습니다.
• VM에서 사용중인 첫번째 Security Group을 지정하도록 하여 문제를 해결하였습니다.
• IBM SDK로는 로드밸런서 생성시 1개의 Security Group만 지정 가능합니다.

Fixed

• IBM: Need to set security group when creating NLB
• IBM: Make available to check security group by system ID

Remained Issue

• SSH 22번 포트 기준 LoadBalancer를 생성할때
• VM의 22번 포트를 기존 VM의 Public IP 로 접근이 가능하다가
• LoadBalancer를 생성하고 나면 LoadBalancer Public IP로만 22번 포트 접근이 가능합니다
• VM 내에서 nginx를 구동하여 테스트를 추가로 해보았는데, 기존 VM Public IP로 nginx 80포트 접근은 가능합니다.
• 테스트 구성
  • LoadBalancer - 퍼블릭
  • DNS - 퍼블릭
  • Security Group - Inbound All Allow / Outboubd All Allow
• IBM 기본 정책인지 확인이 필요합니다.

Related Issue

#1438

Tested with

@suahlingo

[powerkimhub]

@ish-hcc

[SecurityGroup]

• NLB VMGroup에는 여러 개의 VM이 포함될 수 있으며,
  • 각기 다른 SG를 여러 개 포함할 수 있습니다.
• 첫번째 VM의 첫번쩨 SG는 상황에 따라서 가변적일 수 있어
  • NLB 접근에 일관성이 없을 수 있을 것 같습니다.
• <제안>
  • NLB 설정이 Public일 때, Listener Port를 개방하도록 SG를 설정하도록 수정
    • 사용자가 Listener Port 변경시 SG 함께 변경 필요
  • 필요시 드라이버 단에서 전용 SG 생성 후 설정, 전용 SG 생성한 경우에는 NLB 삭제시 삭제 필요
    • 추신: default SG는 NLB가 attach 되는 VPC용 default SG로 보입니다.
      • 그러므로, default SG rule을 변경으로 처리하는 방법은 안될 것 같습니다.
    • 전용 SG 생성시 Naming 규칙 제안
      • CB-SPIDER:NLB:{NLB Name}:SECURITYGROUP (허용되지 않은 특수 문자는 '_' 등으로 교체)
  • 참고: https://github.com/cloud-barista/cb-spider/wiki/Network-Load-Balancer-and-Driver-API

[VM Port Access]

• NLB에서 VM을 제외 시키면, 다행이 VM의 해당 Port로 다시 접속이 가능해지네요.
• 일단, IBM 특성으로 생각되며,
• IBM의 경우, VM 서비스 Port를 NLB로 구성하는 경우는 NLB를 통한 Port 접속이 권고 사항으로 생각됩니다.
• ref) https://cloud.ibm.com/docs/vpc?topic=vpc-nlb-limitations
  • 
• <제안>
  • 현재 상황으로 제공

[ish-hcc]

@powerkimhub 넵 자세히 확인하고 제안해 주셔서 감사합니다. 개선하는데 참고하도록 하겠습니다.