서버포럼 가입인사겸 저의 홈서버를 소개합니다!!

안녕하세요!

그간 서버포럼에서 눈팅만 하다 가입인사겸 첫 글을 작성해볼게요 ㅎㅎ

홈서버 구축 하면서 서버포럼에서 많은 정보를 접했는데, 이 곳에 대단한 분들이 참 많은것 같아요

대단하신 분들이 많지만 용기내어 저의 홈서버를 소개해봅니다!

(서버포럼도 홈서버라는게 너무 대단하게 느껴집니다!)

저는 이사를 계획하게 되면서 새로운 집에서 홈서버 네트워크 구축을 해보자 맘을 먹었고
이사한지 한달도 채 되지 않아 IDC에서 운영중이던 서버를 반출하고 홈서버를 구축했습니다.

몇년전에도 홈서버를 구축했던 적이 있는데, 애매한 장비들로 구축하는 바람에 어설프게 끝나고 말았던 경험이 있습니다.

다시는 IDC 입주를 하지 않겠다는 굳은 각오로 홈서버 네트워크를 구축하게 되었습니다.

(위에 얹어져 있는 1U는 소음 때문에 반나절만에 적출당한 서버입니다. -> 데스크탑으로 대체 되었습니다.)

1. 홈서버 구축을 결심하게 된 이유 

첫째, IDC 비용이 부담으로 다가왔습니다.

네임서버 2대, 웹서버 1대, 스토리지 서버 1대를 운영 중이었는데, 최근 이사를 하면서 큰 지출을 하게 되니 매달 지출되는 서버 비용이 아깝다 느껴졌습니다.
네임서버 2대를 AWS Route53으로 전환하고, 스토리지 서버를 시놀로지 나스로, 1U 웹서버를 데스크탑으로 타협하여 IDC 비용을 줄여보자는 계산이었습니다.
무엇보다 우리 집은 같은 방이라도 랜포트별로 개별 아이피가 들어오기 때문에 가성비 좋은 홈서버 구축이 가능한 상황이었습니다.
(랜포트 마다 아이피가 다른건 처음이라 놀라웠습니다. 신축 아파트는 다 그런가요..?)

둘째, 서버를 소비하는 느낌이 싫었습니다.

제가 운영하는 웹사이트는 손수 디자인하고, 개발하여 제작하는 반면,
서버는 비싸게 구입하게 되지만, IDC로 직행하여 수명을 다할 때 쯤 되어서야 제 눈으로 볼 수 있다는게 매번 아쉬움으로 남았습니다.
랜선도 직접 꽂아주고, 장애가 생기면 십자 드라이버로 직접 분해하여 고쳐주는등 애착을 갖고 정성을 다해 관리해보고 싶었습니다.

2. 네트워크 구성

홈서버 네트워크에 트래픽이 유입되는 경우
[클라이언트] => [외부 프록시 서버] => [공유기] => [프록시서버] => [웹서버 / 스토리지서버]
순으로 흐르게 됩니다. 각 장비별로 정리해 보았습니다.

1) IPTIME T16000M

아이피타임의 가정용 인터넷 공유기 관리콘솔이 친숙하다는 이유로 아이피타임의 랙용 유선 공유기를 설치 하였습니다.
외부에서 트래픽이 아이피타임 공유기로 들어오게 되면 80/443 포트로 들어온 경우 프록시 서버로, 그외 포트는 해당하는 서버로 포트 포워딩 합니다.
추후 서버 증설을 염두하여 랜포트가 많은 모델을 찾다가 이 제품으로 선택했습니다.

 

2) 리버스프록시 서버

중계 서버란 이유로 가장 저가형으로 당근에서 15만원에 매수한 intel N100 CPU의 미니PC입니다.
중국제 미니 PC에서 흔히 볼 수 있는 저가형 CPU로 내부 프록시 역할만 할 것이므로 사양을 최대한 타협하여 지출을 아꼈습니다.
사용하다 성능이 부족하다 싶으면 업그레이드 할 생각입니다.

nginx 를 통해 공유기로 부터 전달된 트래픽을 도메인 기반으로 Reverse proxy 하여 웹서버 혹은 시놀로지 NAS로 전달합니다.

구입시 가장 고민이 많았던 서버였습니다.
과연 나에게 ecc 램이 필요할까란 생각에 며칠을 깊은 고민에 빠졌지만, 결과는 '필요 없음' 이었습니다.
장애가 생겨 사이트 접속이 단절 된다는 가정을 해봤고, 회원들이 용인해줄 수 있는 단절 시간은 몇분 정도일까 생각 해봤는데 결과는 '하루' 였거든요...ㅎ

웹서버는 랙 사이즈에 맞추다 보니 미들타워보다 절반 정도 작은 사이즈의 데스크탑으로 들였습니다. ('이그닉'이라고 아시나요?)
CPU가 ecc 지원 모델이라 내심 기대하고 본체를 뜯어보니 메인보드가 ecc 를 non-ecc로 작동 시키는 보드네요. ㅎㅎ
centos + apache + mariadb 조합으로 운영되는 웹서버입니다.

이 녀석 역시 당근에서 가져왔습니다.

이 데스크탑을 구매하기 전, IDC에서 반출한 1U를 집에서 반나절 돌렸다가 와이프에게 등짝 스매싱을 당하고 바로 처분 했습니다.

4) 시놀로지 나스

시놀로지 나스는 DS1621+ 6bay 모델입니다. 
홈 네트워크에서 가장 많은 일을 하는 바쁜 서버입니다.
역할에 비해 부족한 하드웨어 사양으로 인해 시놀로지가 수명을 다하면 헤놀로지로 도전해볼까 진지하게 고민중입니다.
아래는 시놀로지가 하는 일입니다. 참 바쁘죠..?

[스토리지 서버]
docker + minio 조합으로 Object Storage 서버를 구동하여 웹서버에서 업로드되는 모든 리소스는 시놀로지 나스 도커로 들어가게 됩니다.
웹서버와 시놀로지간 통신은 AWS S3 SDK 를 활용하고 있습니다.

[메일서버]
웹서버의 메일서버로 활용되고 있습니다.
메일 수신은 시놀로지 MailPlus Server 가 직접 담당하고 있으며, 메일 송신은 AWS SES SMTP 를 relay 하여 발송하고 있습니다.

[원격 백업 서버]
웹서버, 프록시서버, 외부 프록시서버에서 매일 새벽3시에 시놀로지로 원격 백업을 수행합니다.

[개발서버 활용]
docker에 다양한 개발 환경을 구축해 두고 개발용 서버로 활용합니다.

3. 보안 대책 

1) 외부 리버스프록시 서버 적용

홈서버로 유입되는 모든 트래픽은 반드시 외부 리버스프록시 서버를 거쳐 홈서버로 오도록 되어 있습니다.
즉, 외부 아이피인 2.2.2.2 로 접속하면 프록시를 통해 우리집 아이피 1.1.1.1 의 서버를 요청합니다. 

홈서버는 네트워크 앞단에 물리적 방화벽이 없기 때문에 DDOS등 공격에 취약할 수 밖에 없습니다.
만의 하나 DDOS가 유입되는 경우 소프트웨어적으로 대응할 수 밖에 없으며,
아이피 변경으로 우회 시키려 해도 맥Address 를 변경해야 하기 때문에 쉬운 일은 아닙니다.

그래서 외부 프록시서버로 적어도 L3/L4 방화벽이 제공되는 AWS 의 lightsail 을 이용 중입니다.
우리집 공인IP를 외부에서 은폐 시킬 수 있고, 방화벽을 통과한 DDOS가 유입 되더라도
외부 프록시서버로 먼저 유입 되기 때문에 lightsail의 아이피만 바꾸면 그만입니다. 

무엇보다 라이트세일은 아이피 변경이 매우 즉각적이고 쉽습니다. 심지어 저렴합니다.
DDOS는 막는게 아니고 피하거나 버텨 내는거라 배웠습니다. 저는 빨리 도망갈 수 있는 길을 택했습니다.