Topic: 네트웍 엔지니어분들께 질문 하나

Edit Delete Reply

2021-08-1600:25:10 #3624860

network 174.***.21.151 618

은행에 첵 check 발행 기록을 매 15분 마다 FTP 를 통해 보내는 작업이 있습니다.
현재까지는 Wells Fargo 로만 보냈고, 전혀 문제는 없었습니다.

이번에 은행 한 곳이 추가가 되어서, 테스트 중인데, 업로딩이 4번 실패하고, 1번 성공하고,
하지만, WinSCP 를 이용해서 파일 업로딩을 하면, 단 한번도 실패 없이 잘 업로딩 됩니다.

개발팀, 해당 은행 IT 팀, 서버팀, 화상 회의로 몇번의 회의를 한 끝에,
이 은행의 FTP 도메인에는 두개의 서버가 붙어 있다는 것을 확인했습니다.

그래서, 네트웍 팀이 우리 네트웍에서 해당 FTP 도메인에 두개의 아이피를 resolve
하도록 설정을 추가했다고 합니다. .

제 질문은 왜 이 설정을 우리쪽에서 해야 하는 것인지, 이해가 가지를 않습니다.
해당 은행의 네트웍 팀에서 이 FTP 도메인의 Load Balancer 에서 설정할 문제가 아닌지요?

그리고 정확하게 어떤 설정을 한 것인지, 궁금합니다.
왜 프로그램에서 업로딩은 이런 설정이 필요한 것이고,
WinSCP 윈도우즈 버전은 업로딩이 항상 성공하는 것인지요.

개인적인 궁금증이라 회사가 아닌 이곳에 물어보게 되었습니다.

감사합니다.

- Edit Delete Reply
  
  승전상사 98.***.109.5 2021-08-1613:18:59
  
  FTP가 아니라 SCP로 하겠죠. FTP는 unencrypted인데… 네트웍 엔지니어는 아니지만…
  
  SCP라는 전제하에 얘기하자면, client에서 server의 host key validation을 하게 되는데 여러개의 다른 서버 호스트가 각각 다른 key를 가지고 있다면, 예전에 최초 접속하며 기록한 키를 가진 서버 한 대만 접속이 제대로 되고 나머지는 에러가 발생합니다. 에러 메시지를 본다면 원인을 쉽게 알 수 있겠는데, 이게 내가 짐작하는 원인입니다.
  
  WinSCP는 내 짐작에 host key validation 기능이 disable되어 있는게 아닌가 합니다. 이 문제를 피하기 위해서는, VIP을 사용하는 경우라면 서버들이 같은 key를 사용하도록 하거나, 아니면 DNS에서 rotation에 있는 서버들이 다른 주소로 resolve되게 해야죠. 그러면 client는 각각 다른 서버로 인식하고 따로 key를 관리합니다. SSH/SCP에서 IP addr을 받은 후에 reverse lookup해서 fqdn을 다시 얻어낼 겁니다. 즉, 최초에 접속에 사용된 이름과 상관없이 client의 known hosts database에 각 서버의 identity에 따라 key가 관리되는거죠.
  - Edit Delete Reply
    
    hmm 72.***.162.240 2021-08-1613:50:48
    
    아주 좋은 정보와 지식임. 원글에게 많은 도움이 될 듯…
- Edit Delete Reply
  
  원글 174.***.0.219 2021-08-1621:18:51
  
  승전상사님,
  
  좋은 지식 감사합니다
  Scp 도 통상 ftp client 프로그램에서 지원되기에 ftp 로 표현했습니다
  
  키는 저희쪽애서 생성해서 제공했기 때문에 두개의 다른 키는
  아닐 것 같습니다. Wells Fargo 의 경우는 제가 직접 putty
  사이트에서 제공하는 유틸로 키룰 생성해서 보냈기 때문에
  확실한데, 이번 은행은 제가 제공한게 아니라서 확실하지는 않네요
  
  제가 갖고 있는 지식으로는 서버의 LB 에서 어느 서버로 실제 접속
  시킬지를 설정하는 것으로 알고 있었는데, 저희 회사 네트워팀이
  은행쪽에 요청하지 않고 우리쪽에서도 할 수 있으니까 우리쪽에서
  처리한 것으로 추정했습니다.
  
  답변 감사드립니다.