방화벽 이중화시 Active/Active와 Active/Standy 차이
네트워크/L4 2025. 5. 15. 11:56Active/Active와 Active/Standy
이중화를 구성하는데 있어서 경로를 어떻게 설정할지, 어떤 시나리오로 설정할지에 따라 Active/Active 구성과 Active/Standby 구성을 선택하는데 있어서 어떤 것이 더 좋을지 정리하기위해 작성했습니다.
Active/Active
Active/Active는 양쪽 장비가 동시에 동작하고 있고,
- 세션 동기화(State Sync)가 잘 되어 있거나,
- Stateless 환경(L3 스위치 기반)이라면
→왼쪽으로 인입되고, 오른쪽으로 나가는 구조도 수용할 수 있다.
즉, 비대칭 구조를 수용할 수 있는 구조이기 때문에
그런 환경에서는 Active/Active가 더 적합하다.
Active/Standby
액티브/스탠바이에서 두 장비의 성능이 동일하다는 것이 가장 큰 문제가 될 수 있다.
예를들어 DDoS 공격에 의해 한쪽 장비가 다운되면 다른 쪽도 장비가 다운되게 된다.
- 평상시: A가 트래픽 100% 처리, B는 대기
- 장애 발생 시: B가 전체 트래픽을 받음
그런데 A와 B가 동일 성능이면, A가 겨우 버티던 트래픽을 B가 받아서도 마찬가지로 터질 가능성이 높다.
→ Active/Active로 구성하면 트래픽 분산을 통해 세션이나 서비스별로 A/B를 나눠 받지만, DDoS처럼 특정 노드를 집중 공격할 경우 해당 노드만 다운될 수도 있다.
비교
| 항목 | Active/Active | Active/Standby |
| 기본 구조 | 두 장비가 동시에 트래픽 처리 | 한 장비만 트래픽 처리, 나머지는 대기 |
| 자원 활용률 | 높음 (50~100% 활용) | 낮음 (50% 이하, Standby는 idle 상태) |
| 트래픽 분산 | 가능 (서비스/세션 분할 등) | 불가 (모두 한쪽에 집중) |
| 구성 복잡도 | 높음 (세션 동기화, 분산 설계 필요) | 낮음 (단순한 페일오버 구조) |
| 장애 발생 시 | 한쪽 죽어도 나머지 서비스 일부 계속 가능 (부분 가용성 유지) | Standby가 takeover → 전체 전환 |
| 장애 전이 가능성 | 설계에 따라 완화 가능 | 동일 성능이면 부하 전이로 같이 다운될 위험 큼 |
| 상태 동기화 필요 | 필수 (세션/라우팅 정보 등) | 선택적 (장비 종류에 따라 다름) |
| 비대칭 라우팅 수용 | 수용 가능 (L3 구성 시 유리) | 제한적 (Stateful 방화벽에서 세션 문제 발생 가능) |
근데 요즘은 이렇게 HA 구성을 안하고 Cluster로 묶어서 하나처럼 동작하게끔 설정한다고 한다.
'네트워크 > L4' 카테고리의 다른 글
| FTP Active, Passive 모드 차이(하나의 통신에 두 개 이상의 세션이 사용 되는 경우) (2) | 2025.05.12 |
|---|---|
| 방화벽(Firewall) (0) | 2025.05.12 |
| 로드 밸런서(L4 스위치, ADC) (1) | 2025.05.11 |
| 4계층 장비의 특징 (0) | 2025.05.11 |
