KR102637615B1 - Management apparatus for edge platform, and control method thereof - Google Patents
Management apparatus for edge platform, and control method thereof Download PDFInfo
- Publication number
- KR102637615B1 KR102637615B1 KR1020210113157A KR20210113157A KR102637615B1 KR 102637615 B1 KR102637615 B1 KR 102637615B1 KR 1020210113157 A KR1020210113157 A KR 1020210113157A KR 20210113157 A KR20210113157 A KR 20210113157A KR 102637615 B1 KR102637615 B1 KR 102637615B1
- Authority
- KR
- South Korea
- Prior art keywords
- virtual machine
- connection
- edge platform
- client
- connection support
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 230000008569 process Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 230000003213 activating effect Effects 0.000 claims 1
- 238000007689 inspection Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007667 floating Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000011017 operating method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/12—Arrangements for remote connection or disconnection of substations or of equipment thereof
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 제공되는 클라이언트 별 서비스와 관련하여, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 가상 머신(VM, Virtual Machine) 간에 원격 접속을 지원할 수 있는 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법에 관한 것이다.The present invention relates to client-specific services provided in a mobile-edge computing (MEC) environment, and is capable of supporting remote access between clients outside the edge platform and virtual machines (VMs) inside the edge platform. It relates to the edge platform management device and the operation method of the edge platform management device.
Description
본 발명은, 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 제공되는 클라이언트 별 서비스와 관련하여, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 가상 머신(VM, Virtual Machine) 간에 원격 접속을 지원하기 위한 방안에 관한 것이다.The present invention, in relation to client-specific services provided in a mobile-edge computing (MEC) environment, supports remote access between clients outside the edge platform and virtual machines (VMs) inside the edge platform. It is about a plan for this.
서버리스 컴퓨팅은 애플리케이션을 제외한 모든 요소를 클라우드 제공자가 제공하는 서비스 형태로서, 어플리케이션을 제외하고 물리적 인프라, 가상 머신, 컨테이너 그리고 통합적으로 관리하는 영역을 클라우드 제공자가 서비스하며, 사용자는 어플리케이션을 관리할 수 있다.Serverless computing is a form of service in which all elements except the application are provided by the cloud provider. Except for the application, the cloud provider services physical infrastructure, virtual machines, containers, and integrated management areas, and users can manage the application. there is.
이 중 컨테이너는 가상 머신(VM, Virtual Machine)에 비해 훨씬 가벼운 가상화 기술로서, 어플리케이션 실행을 위한 모든 연관 요소를 하나의 패키지로 구축하는 것을 지원함에 따라, 컨테이너를 생성 및 배포하는 시간을 단축시킬 수 있고, 재 기동 또한 빠르다는 장점을 가진다.Among these, containers are a much lighter virtualization technology than virtual machines (VMs). They support building all related elements for application execution into one package, which can shorten the time to create and deploy containers. It also has the advantage of being quick to restart.
이와 관련하여, 최근에는 기존의 클라우드 환경에서 제공되던 다양한 IT 서비스 및 기술을 모바일 네트워크의 엣지에서 제공하고자 하는 개념인 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서도 전술한 가상 자원의 활용이 요구되고 있다.In this regard, the utilization of the aforementioned virtual resources is also required in the Mobile-Edge Computing (MEC) environment, which is a concept that seeks to provide various IT services and technologies provided in the existing cloud environment at the edge of the mobile network. It is becoming.
이러한 요구에 따라, 모바일 엣지 컴퓨팅 환경에서는, 쿠버네티스(Kubernetes) 기반의 컨테이너(POD)로 구성된 가상 머신(VM)을 엣지 플랫폼 내에 배치하여 이를 기반으로 한 클라이언트 별 서비스를 제공할 수 있게 되었다.In response to these demands, in the mobile edge computing environment, virtual machines (VMs) composed of Kubernetes-based containers (PODs) can be deployed within the edge platform to provide client-specific services based on them.
한편, 이처럼 모바일 엣지 컴퓨팅 환경에서 구현되는 클라이언트 별 서비스에서는 클라이언트와 가상 머신 간 원격 접속이 요구되며, 특히 서비스 장애 및 점검 등의 사유로 클라이언트와 가상 머신 간에 SSH(Secure SHell) 접속을 지원할 필요가 있다.Meanwhile, client-specific services implemented in this mobile edge computing environment require remote connection between the client and the virtual machine. In particular, it is necessary to support SSH (Secure SHell) connection between the client and the virtual machine for reasons such as service failure and inspection. .
그러나, 모바일 엣지 컴퓨팅은, 통신망과 직결되어 있어 보안에 매우 민감하므로, 엣지 플랫폼 외부로부터의 SSH 접속을 기본 차단하는 것을 원칙으로 한다.However, since mobile edge computing is directly connected to the communication network and is very sensitive to security, the principle is to block SSH connections from outside the edge platform.
기존 모바일 엣지 컴퓨팅 환경에서 구현되는 클라이언트 별 서비스에서는 서비스 장애 및 점검 등의 사유로 엣지 플랫폼 내부의 가상 머신에 대한 엣지 플랫폼 외부로부터의 원격 접속이 필요한 경우라도, 이를 지원하는 SSH 접속이 불가하다는 한계점을 가질 수밖에 없다.In the client-specific service implemented in the existing mobile edge computing environment, even if remote access from outside the edge platform is required to a virtual machine inside the edge platform for reasons such as service failure or maintenance, SSH access to support this is not possible. I have no choice but to have it.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 제공되는 클라이언트 별 서비스와 관련하여, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 가상 머신(VM, Virtual Machine) 간에 원격 접속을 지원하는데 있다.The present invention was created in consideration of the above-mentioned circumstances, and the purpose to be achieved by the present invention is to connect clients outside the edge platform with respect to client-specific services provided in a mobile edge computing (MEC, Mobile-Edge Computing) environment. It supports remote access between virtual machines (VMs) within the edge platform.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치는, 엣지 플랫폼 외부로부터의 접속이 차단된 상태로 상기 엣지 플랫폼에 존재하는 서비스 가상 머신(Virtual Machine)에 대해서, 상기 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하는 접속 지원 가상 머신을 상기 엣지 플랫폼에 생성하는 생성부; 및 상기 접속 지원 가상 머신에 대한 상기 엣지 플랫폼 외부로부터의 접속인 외부 접속을 허용하기 위한 접속 권한을 클라이언트에 설정하여, 상기 접속 지원 가상 머신으로 하여금 상기 접속 권한이 설정된 클라이언트의 상기 외부 접속이 확인되는 경우, 상기 서비스 가상 머신에 대한 상기 내부 접속을 처리하도록 하는 설정부를 포함하는 것을 특징으로 한다.The edge platform management device according to an embodiment of the present invention to achieve the above object is to control the edge platform for a service virtual machine (Virtual Machine) existing on the edge platform while access from outside the edge platform is blocked. a creation unit that creates a connection support virtual machine that processes internal connections, which are connections from the inside, on the edge platform; And setting access rights to the client to allow external access, which is a connection from outside the edge platform, to the connection support virtual machine, so that the connection support virtual machine confirms the external connection of the client for which the access rights are set. In this case, it is characterized by including a setting unit that processes the internal connection to the service virtual machine.
구체적으로, 상기 생성부는, 상기 엣지 플랫폼 내에서 상기 서비스 가상 머신이 설치된 네트워크를 타겟 네트워크로 선정하여, 상기 타겟 네트워크에 상기 접속 지원 가상 머신을 생성할 수 있다.Specifically, the creation unit may select a network in which the service virtual machine is installed within the edge platform as a target network and create the connection support virtual machine in the target network.
구체적으로, 상기 생성부는, 가상 랜(Virtual LAN)을 통해서 가상 머신(Virtual Machine)을 상호 연결하는 내부 네트워크(Internal Network) 중 상기 서비스 가상 머신이 배치된 특정 내부 네트워크를 상기 타겟 네트워크로 선정하거나, 상기 특정 내부 네트워크와 가상 라우터(Virtual Router)를 통해 연결되는 또 다른 내부 네트워크를 상기 타겟 네트워크로 선정할 수 있다.Specifically, the creation unit selects a specific internal network where the service virtual machine is deployed as the target network among internal networks that interconnect virtual machines through a virtual LAN, or Another internal network connected to the specific internal network through a virtual router can be selected as the target network.
구체적으로, 상기 생성부는, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 상기 엣지 플랫폼으로 전달하여 상기 엣지 플랫폼 내에 상기 접속 지원 가상 머신을 생성하며, 상기 접속 지원 가상 머신에 대해 고유 생성되는 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 상기 접속 지원 가상 머신을 활성화시킬 수 있다.Specifically, the creation unit generates the connection support virtual machine within the edge platform by transmitting a golden image-based virtual machine creation request to the edge platform, and authenticates uniquely generated for the connection support virtual machine. The connection support virtual machine can be activated by processing the configuration for the connection support virtual machine based on the key.
구체적으로, 상기 설정부는, 상기 접속 지원 가상 머신과의 연계로 상기 클라이언트에 대해 생성되는 고유의 클라이언트 키를 상기 클라이언트로 전달하여, 상기 클라이언트 키를 근거로 상기 클라이언트에 대해서 상기 외부 접속이 허용되도록 할 수 있다.Specifically, the setting unit will transmit a unique client key generated for the client in connection with the connection support virtual machine to the client, and allow the external connection to the client based on the client key. You can.
구체적으로, 상기 내부 접속은, 상기 접속 지원 가상 머신과 상기 서비스 가상 머신 간의 SSH(Secure SHell) 접속을 포함하며, 상기 외부 접속은, 상기 클라이언트와 상기 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속을 포함할 수 있다.Specifically, the internal connection includes an SSH (Secure SHell) connection between the connection support virtual machine and the service virtual machine, and the external connection includes a VPN (Virtual Private Network) connection between the client and the connection support virtual machine. may include.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치의 동작 방법은, 엣지 플랫폼 외부로부터의 접속이 차단된 상태로 상기 엣지 플랫폼에 존재하는 서비스 가상 머신(Virtual Machine)에 대해서, 상기 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하는 접속 지원 가상 머신을 상기 엣지 플랫폼에 생성하는 생성단계; 및 상기 접속 지원 가상 머신에 대한 상기 엣지 플랫폼 외부로부터의 접속인 외부 접속을 허용하기 위한 접속 권한을 클라이언트에 설정하여, 상기 접속 지원 가상 머신으로 하여금 상기 접속 권한이 설정된 클라이언트의 상기 외부 접속이 확인되는 경우, 상기 서비스 가상 머신에 대한 상기 내부 접속을 처리하도록 하는 설정단계를 포함하는 것을 특징으로 한다.A method of operating an edge platform management device according to an embodiment of the present invention to achieve the above object includes, for a service virtual machine existing on the edge platform with access from outside the edge platform blocked, A creation step of creating a connection support virtual machine in the edge platform to process an internal connection, which is a connection from inside the edge platform; And setting access rights to the client to allow external access, which is a connection from outside the edge platform, to the connection support virtual machine, so that the connection support virtual machine confirms the external connection of the client for which the access rights are set. In this case, it is characterized by including a setting step to process the internal connection to the service virtual machine.
구체적으로, 상기 생성단계는, 상기 엣지 플랫폼 내에서 상기 서비스 가상 머신이 설치된 네트워크를 타겟 네트워크로 선정하여, 상기 타겟 네트워크에 상기 접속 지원 가상 머신을 생성할 수 있다.Specifically, in the creation step, the network where the service virtual machine is installed within the edge platform may be selected as a target network, and the connection support virtual machine may be created in the target network.
구체적으로, 상기 생성단계는, 가상 랜(Virtual LAN)을 통해서 가상 머신(Virtual Machine)을 상호 연결하는 내부 네트워크(Internal Network) 중 상기 서비스 가상 머신이 배치된 특정 내부 네트워크를 상기 타겟 네트워크로 선정하거나, 상기 특정 내부 네트워크와 가상 라우터(Virtual Router)를 통해 연결되는 또 다른 내부 네트워크를 상기 타겟 네트워크로 선정할 수 있다.Specifically, in the creation step, a specific internal network where the service virtual machine is deployed is selected as the target network among internal networks that interconnect virtual machines through a virtual LAN, or , Another internal network connected to the specific internal network through a virtual router can be selected as the target network.
구체적으로, 상기 생성단계는, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 상기 엣지 플랫폼으로 전달하여 상기 엣지 플랫폼 내에 상기 접속 지원 가상 머신을 생성하며, 상기 접속 지원 가상 머신에 대해 고유 생성되는 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 상기 접속 지원 가상 머신을 활성화시킬 수 있다.Specifically, in the creation step, a golden image-based virtual machine creation request is transmitted to the edge platform to create the connection support virtual machine within the edge platform, and a connection support virtual machine is uniquely created for the connection support virtual machine. The connection support virtual machine can be activated by processing configuration for the connection support virtual machine based on the authentication key.
구체적으로, 상기 설정단계는, 상기 접속 지원 가상 머신과의 연계로 상기 클라이언트에 대해 생성되는 고유의 클라이언트 키를 상기 클라이언트로 전달하여, 상기 클라이언트 키를 근거로 상기 클라이언트에 대해서 상기 외부 접속이 허용되도록 할 수 있다.Specifically, in the setting step, a unique client key generated for the client in connection with the connection support virtual machine is delivered to the client, so that the external connection is permitted to the client based on the client key. can do.
구체적으로, 상기 내부 접속은, 상기 접속 지원 가상 머신과 상기 서비스 가상 머신 간의 SSH(Secure SHell) 접속을 포함하며, 상기 외부 접속은, 상기 클라이언트와 상기 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속을 포함할 수 있다.Specifically, the internal connection includes an SSH (Secure SHell) connection between the connection support virtual machine and the service virtual machine, and the external connection includes a VPN (Virtual Private Network) connection between the client and the connection support virtual machine. may include.
이에, 본 발명의 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법에 의하면, 엣지 플랫폼 내부에 접속 지원 가상 머신을 별도 생성하고, 이러한 접속 지원 가상 머신에 대한 클라이언트의 VPN 접속을 기반으로 접속 지원 가상 머신과 서비스 가상 머신과의 SSH 접속이 처리될 수 있으므로, 서비스 장애 및 점검 등의 사유로 클라이언트와 서비스 가상 머신 간에 요구되는 원격 접속을 효과적으로 지원할 수 있다.Accordingly, according to the edge platform management device and the operating method of the edge platform management device of the present invention, a connection support virtual machine is separately created inside the edge platform, and a connection support virtual machine is created based on the client's VPN connection to this connection support virtual machine. Since SSH connections between machines and service virtual machines can be handled, remote connections required between clients and service virtual machines for reasons such as service failures and inspections can be effectively supported.
도 1은 본 발명의 일 실시예에 따른 모바일 엣지 컴퓨팅 환경을 설명하기 위한 예시도.
도 2는 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치를 설명하기 위한 개략적인 구성도.
도 3은 본 발명의 일 실시예에 따른 엣지 플랫폼의 네트워크 구조를 설명하기 위한 예시도.
도 4는 본 발명의 일 실시예에 따른 엣지 플랫폼의 네트워크 구조 상에서 이루어지는 원격 접속의 흐름을 설명하기 위한 예시도.
도 5는 본 발명의 일 실시예에 따른 모바일 엣지 플랫폼 환경 내 각 구성 간의 동작 방법을 설명하기 위한 예시도.
도 6은 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치의 동작 방법을 설명하기 위한 순서도.1 is an exemplary diagram illustrating a mobile edge computing environment according to an embodiment of the present invention.
Figure 2 is a schematic configuration diagram illustrating an edge platform management device according to an embodiment of the present invention.
Figure 3 is an example diagram illustrating the network structure of an edge platform according to an embodiment of the present invention.
Figure 4 is an example diagram illustrating the flow of remote access on the network structure of an edge platform according to an embodiment of the present invention.
Figure 5 is an example diagram for explaining the operation method between each component in the mobile edge platform environment according to an embodiment of the present invention.
Figure 6 is a flowchart illustrating a method of operating an edge platform management device according to an embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the attached drawings.
본 발명의 일 실시예에서는, 가상 머신(VM, Virtual Machine) 상에 가상 자원인 컨테이너를 설치하여 이를 기반으로 고객 별 서비스를 제공하는 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 기술을 다룬다.One embodiment of the present invention deals with Mobile-Edge Computing (MEC) technology, which installs containers, which are virtual resources, on a virtual machine (VM) and provides customer-specific services based on them.
이러한, 모바일 엣지 컴퓨팅 기술은, 다양한 IT 서비스 및 기술을 모바일 네트워크의 엣지에서 제공하고자 하는 개념으로서, 기존의 클라우드 환경에서와 마찬가지로 가상 자원인 컨테이너의 활용을 요구하고 있다.This mobile edge computing technology is a concept that seeks to provide various IT services and technologies at the edge of the mobile network, and requires the use of containers, which are virtual resources, as in the existing cloud environment.
여기서, 컨테이너는 가상 머신에 비해 훨씬 가벼운 가상화 기술로서, 애플리케이션 실행을 위한 모든 연관 요소를 하나의 패키지로 구성하여 구동시킬 수 있어, 가상 머신에 비해 용량이 적기 때문에 개발자는 컨테이너를 생성 및 배포하는 시간을 단축시킬 수 있고, 재 기동 또한 빠르다는 장점을 가진다.Here, containers are a virtualization technology that is much lighter than virtual machines. All related elements for application execution can be organized and run in one package, and because their capacity is smaller than virtual machines, developers have to spend less time creating and distributing containers. It has the advantage of being able to shorten and restarting quickly.
이와 관련하여, 현재의 대부분의 서비스는, 컨테이너화된 어플리케이션을 자동으로 배포, 스케일링 및 관리해주는 오픈소스 시스템인 쿠버네티스(Kubernetes)의 기반의 마이크로 서비스 아키텍쳐로 구성된 관계로, 전술한 모바일 엣지 컴퓨팅 환경에서도 마찬가지로 이러한 쿠버네티스의 지원이 필수적이다.In this regard, most of the current services are composed of a microservice architecture based on Kubernetes, an open source system that automatically deploys, scales, and manages containerized applications, so the mobile edge computing environment described above Likewise, support for Kubernetes is essential.
이러한 요구에 따라, 모바일 엣지 컴퓨팅 환경에서는, 쿠버네티스(Kubernetes) 기반의 컨테이너(POD)로 구성된 가상 머신(VM)을 엣지 플랫폼 내에 배치하여 이를 기반으로 한 클라이언트 별 서비스를 제공할 수 있게 되었다.In response to these demands, in the mobile edge computing environment, virtual machines (VMs) composed of Kubernetes-based containers (PODs) can be deployed within the edge platform to provide client-specific services based on them.
한편, 이처럼 모바일 엣지 컴퓨팅 환경에서 구현되는 클라이언트 별 서비스에서는 클라이언트와 가상 머신 간 원격 접속이 요구되며, 특히 서비스 장애 및 점검 등의 사유로 클라이언트와 가상 머신 간에 SSH(Secure SHell) 접속을 지원할 필요가 있다.Meanwhile, client-specific services implemented in this mobile edge computing environment require remote connection between the client and the virtual machine. In particular, it is necessary to support SSH (Secure SHell) connection between the client and the virtual machine for reasons such as service failure and inspection. .
그러나, 모바일 엣지 컴퓨팅은, 통신망과 직결되어 있어 보안에 매우 민감하므로, 엣지 플랫폼 외부로부터의 SSH 접속을 기본 차단하는 것을 원칙으로 한다.However, since mobile edge computing is directly connected to the communication network and is very sensitive to security, the principle is to block SSH connections from outside the edge platform.
이에 따라, 기존 모바일 엣지 컴퓨팅 환경에서 구현되는 클라이언트 별 서비스에서는 서비스 장애 및 점검 등의 사유로 엣지 플랫폼 내부의 가상 머신에 대한 엣지 플랫폼 외부로부터의 원격 접속이 필요한 경우라도, 이를 지원하는 SSH 접속이 불가하다는 한계점을 가질 수밖에 없다.Accordingly, in the client-specific service implemented in the existing mobile edge computing environment, even if remote access from outside the edge platform is required to a virtual machine inside the edge platform for reasons such as service failure or maintenance, SSH access to support this is not possible. There is bound to be a limitation.
이에, 본 발명의 일 실시예에서는, 모바일 엣지 컴퓨팅 환경에서 제공되는 클라이언트 별 서비스와 관련하여, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 가상 머신 간 원격 접속을 필요에 따라 지원할 수 있는 새로운 방안을 제안하고자 한다.Accordingly, in one embodiment of the present invention, in relation to client-specific services provided in a mobile edge computing environment, a new method is proposed to support remote connection between clients outside the edge platform and virtual machines within the edge platform as needed. I want to do it.
이와 관련하여, 도 1에는 본 발명의 일 실시예에 따른 모바일 엣지 컴퓨팅 환경을 예시적으로 보여주고 있다.In this regard, Figure 1 exemplarily shows a mobile edge computing environment according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 모바일 에지 컴퓨팅 환경에서는, 엣지 플랫폼 내부의 가상 머신(VM)과 엣지 플랫폼 외부의 클라이언트 간의 원격 접속을 지원하는 엣지 플랫폼 관리장치(100)를 포함하는 구성을 가질 수 있다.As shown in FIG. 1, in a mobile edge computing environment according to an embodiment of the present invention, an edge platform management device 100 that supports remote connection between a virtual machine (VM) inside the edge platform and a client outside the edge platform. It may have a configuration including.
엣지 플랫폼 관리장치(100)는 서비스 장애 및 점검 등의 사유로 엣지 플랫폼 내부의 가상 머신과 엣지 플랫폼 외부의 클라이언트 간 원격 접속이 필요한 경우, 가상 머신(VM)에 대해서 SSH(Secure SHell) 접속을 지원하는 장치를 일컫는다.The edge platform management device 100 supports SSH (Secure SHell) access to a virtual machine (VM) when remote connection between a virtual machine inside the edge platform and a client outside the edge platform is required for reasons such as service failure or inspection. refers to a device that
여기서, 엣지 플랫폼 내부의 가상 머신(VM)은 클라이언트에 대한 서비스 구현을 위해 엣지 플랫폼에 배치되는 가상 자원을 일컫는 것으로서, 이하에서는 이를 '서비스 가상 머신'이라 칭하기로 한다.Here, the virtual machine (VM) inside the edge platform refers to a virtual resource deployed on the edge platform to implement services for clients, and will hereinafter be referred to as a 'service virtual machine'.
참고로, 이러한 서비스 가상 머신은, 클라이언트에 대한 서비스 제공을 위해 엣지 플랫폼 내부에 배치된 상태이므로, 전술한 바와 같이 모바일 엣지 컴퓨팅 환경에서의 보안 이슈에 따라 엣지 플랫폼 외부로부터의 직접적인 SSH 접속이 불가한 상태임을 알 수 있다.For reference, since these service virtual machines are deployed inside the edge platform to provide services to clients, direct SSH access from outside the edge platform is not possible due to security issues in the mobile edge computing environment, as described above. It can be seen that the status is
이와 관련하여, 엣지 플랫폼 관리장치(100)는, 엣지 플랫폼 상에 원격 접속을 지원하기 위한 별도의 가상 머신(이하, '접속 지원 가상 머신'이라 칭함)을 생성하고, 이러한 접속 지원 가상 머신을 통해서 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 서비스 가상 머신 간에 SSH 접속이 이루어질 수 있도록 한다.In this regard, the edge platform management device 100 creates a separate virtual machine (hereinafter referred to as a 'connection support virtual machine') to support remote access on the edge platform, and provides Enables SSH connection between clients outside the edge platform and service virtual machines inside the edge platform.
이상, 본 발명의 일 실시예에 따른 모바일 엣지 컴퓨팅 환경에서는 전술한 구성을 기반으로 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 서비스 가상 머신 간 원격 접속을 지원할 수 있는데, 이하에서는 이를 실현하기 위한 엣지 플랫폼 관리장치(100)의 구성을 보다 구체적으로 설명하기로 한다.As above, the mobile edge computing environment according to an embodiment of the present invention can support remote connection between a client outside the edge platform and a service virtual machine inside the edge platform based on the above-described configuration. Hereinafter, the edge platform to realize this is described. The configuration of the management device 100 will be described in more detail.
이와 관련하여, 도 2는 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치(100)의 개략적인 구성을 보여주고 있다.In this regard, Figure 2 shows a schematic configuration of the edge platform management device 100 according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치(100)는 클라이언트의 서비스 가상 머신과는 별도의 가상 머신인 접속 지원 가상 머신을 생성하는 생성부(110), 및 접속 지원 가상 머신에 대한 접속 권한을 클라이언트에 설정하는 설정부(120)를 포함하는 구성을 가질 수 있다.As shown in FIG. 2, the edge platform management device 100 according to an embodiment of the present invention includes a creation unit 110 that creates a connection support virtual machine, which is a separate virtual machine from the client's service virtual machine, and It may have a configuration that includes a setting unit 120 that sets access rights to the connection support virtual machine to the client.
이처럼 생성부(110), 및 설정부(120)를 포함하는 엣지 플랫폼 관리장치(100)의 전체 구성 내지는 적어도 일부의 구성은 하드웨어 모듈 형태 또는 소프트웨어 모듈 형태로 구현되거나, 내지는 하드웨어 모듈과 소프트웨어 모듈이 조합된 형태로도 구현될 수 있다.In this way, the entire configuration or at least a portion of the edge platform management device 100, including the generating unit 110 and the setting unit 120, is implemented in the form of a hardware module or a software module, or a hardware module and a software module are implemented. It can also be implemented in a combined form.
여기서, 소프트웨어 모듈이란, 예컨대, 엣지 플랫폼 관리장치(100) 내에서 연산을 처리하는 프로세서에 의해 실행되는 명령어로 이해될 수 있으며, 이러한 명령어는 엣지 플랫폼 관리장치(100) 내 별도의 메모리에 탑재된 형태를 가질 수 있다.Here, the software module can be understood as, for example, an instruction executed by a processor that processes operations within the edge platform management device 100, and these instructions are installed in a separate memory within the edge platform management device 100. It can have a shape.
이상 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치(100)는 전술한 구성을 통해서 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 서비스 가상 머신 간의 원격 접속을 지원할 수 있는데, 이하에서는 이를 지원하기 위한 엣지 플랫폼 관리장치(100) 내 각 구성에 대한 보다 구체적인 설명을 이어 가기로 한다.The edge platform management device 100 according to an embodiment of the present invention can support remote connection between a client outside the edge platform and a service virtual machine inside the edge platform through the above-described configuration. Hereinafter, the edge platform to support this is described. We will continue with a more detailed explanation of each component within the platform management device 100.
생성부(110)는 원격 접속의 지원을 위한 접속 지원 가상 머신을 생성하는 기능을 수행한다.The creation unit 110 performs the function of creating a connection support virtual machine to support remote access.
보다 구체적으로, 생성부(110)는 클라이언트의 요청에 따라, 엣지 플랫폼에 존재하는 서비스 가상 머신(Virtual Machine)에 대한 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하기 위한 별도의 가상 머신인 접속 지원 가상 머신을 엣지 플랫폼에 생성하게 된다.More specifically, the creation unit 110 supports a connection as a separate virtual machine to process an internal connection, which is a connection from inside the edge platform, to a service virtual machine existing in the edge platform, according to the client's request. A virtual machine is created on the edge platform.
여기서, 내부 접속은 엣지 플랫폼 내부에서 접속 지원 가상 머신과 서비스 가상 머신 간에 서비스 장애 및 점검 등의 지원하기 위해 수행되는 SSH(Secure SHell) 접속으로 이해될 수 있다.Here, the internal connection can be understood as an SSH (Secure SHell) connection performed to support service failures and inspections between the connection support virtual machine and the service virtual machine inside the edge platform.
이때, 생성부(110)는 접속 지원 가상 머신을 생성하기에 앞서 접속 지원 가상 머신에 대한 고유의 인증 키를 생성한다.At this time, the generator 110 generates a unique authentication key for the connection support virtual machine prior to creating the connection support virtual machine.
여기서, 접속 지원 가상 머신에 대해 생성되는 인증 키는 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위해 할당되는 값으로서, 예컨대, CA(Certificate Authority) key(ca.key), CA certificate (ca.crt), Server Key(server.key), Server certificate(server.crt), Diffie Hellman parameters(dh{n}.pem) 등의 키 값을 포함할 수 있다.Here, the authentication key generated for the connection support virtual machine is a value assigned to normally operate the connection support virtual machine as a VPN (Virtual Private Network) server, for example, CA (Certificate Authority) key (ca.key), CA It can include key values such as certificate (ca.crt), Server Key (server.key), Server certificate (server.crt), and Diffie Hellman parameters (dh{n}.pem).
또한, 생성부(110)는 접속 지원 가상 머신에 대한 고유의 인증키가 생성되면, 엣지 플랫폼 내에서 서비스 가상 머신이 설치된 네트워크를 타겟 네트워크로 선정하여, 선정된 타겟 네트워크에 접속 지원 가상 머신을 생성한다.In addition, when a unique authentication key for the connection support virtual machine is generated, the generator 110 selects the network in which the service virtual machine is installed within the edge platform as the target network and creates a connection support virtual machine in the selected target network. do.
이때, 생성부(110)는 가상 랜(Virtual LAN)을 통해서 가상 머신(Virtual Machine)을 상호 연결하는 내부 네트워크(Internal Network) 중 서비스 가상 머신이 배치된 특정 내부 네트워크를 타겟 네트워크로 선정하거나, 또는 상기 특정 내부 네트워크와 가상 라우터(Virtual Router)를 통해 연결되는 또 다른 내부 네트워크를 타겟 네트워크로 선정할 수 있다.At this time, the generator 110 selects a specific internal network where the service virtual machine is placed as the target network among the internal networks that interconnect virtual machines through a virtual LAN, or Another internal network connected to the specific internal network and a virtual router can be selected as the target network.
설명의 이해를 돕기 위해, 도 3에서는 본 발명의 일 실시예에 따른 엣지 플랫폼의 네트워크 구조를 예시적으로 보여주고 있다.To aid understanding of the description, FIG. 3 exemplarily shows the network structure of an edge platform according to an embodiment of the present invention.
도 3에 도시된 바와 같이, 제1 가상 랜(vlan-x)을 매개로 연결되는 제1 내부 네트워크(N-x)와, 제2 가상 랜(vlan-y)을 매개로 연결되는 제2 내부 네트워크(N-y)가 존재하며, 제1 내부 네트워크(N-x)에 서비스 가상 머신(VM#1)이 존재하는 경우라면, 제1 내부 네트워크(N-x)를 타겟 네트워크로 선정하여, 타겟 네트워크로 선정된 제1 내부 네트워크(N-x)에 내부 접속(SSH 접속) 처리를 위한 접속 지원 가상 머신(EgdeVPN VM)을 생성할 수 있는 것이다.As shown in FIG. 3, a first internal network (N-x) connected via a first virtual LAN (vlan-x) and a second internal network (N-x) connected via a second virtual LAN (vlan-y) N-y) exists, and if a service virtual machine (VM#1) exists in the first internal network (N-x), the first internal network (N-x) is selected as the target network, and the first internal network selected as the target network You can create a connection support virtual machine (EgdeVPN VM) to process internal connections (SSH connections) on the network (N-x).
또한, 서비스 가상 머신(VM#1)이 존재하는 제1 내부 네트워크(N-x)와 가상 라우터(Virtual Router 1)을 통해 연결되는 제2 내부 네트워크(N-x) 또한 제1 내부 네트워크(N-x)에서의 리소스 부족 등을 이유로 타겟 네트워크로 선정될 수 있으며, 이에 따라 제2 내부 네트워크(N-x)에 접속 지원 가상 머신(EgdeVPN VM)가 생성되는 경우, 접속 지원 가상 머신(EgdeVPN VM)은 가상 라우터(Virtual Router 1)을 통해 서비스 가상 머신(VM#1)과의 내부 접속(SSH 접속)을 처리할 수 있음은 물론이다.In addition, the first internal network (N-x) where the service virtual machine (VM#1) exists and the second internal network (N-x) connected through a virtual router (Virtual Router 1) also provide resources in the first internal network (N-x). It may be selected as a target network for reasons such as shortage, and accordingly, when a connection support virtual machine (EgdeVPN VM) is created in the second internal network (N-x), the connection support virtual machine (EgdeVPN VM) is a virtual router (Virtual Router 1). ), of course, it is possible to handle internal connection (SSH connection) with the service virtual machine (VM#1).
이와 관련하여, 본 발명의 일 실시예서는, 서비스 가상 머신이 배치된 내부 네트워크를 타겟 네트워크로 선정함을 우선으로 하며, 이는 서비스 가상 머신과 접속 지원 가상 머신 간의 내부 접속 처리 시 가상 머신 간 접속 경로를 최대한 단순화하여 그에 따른 통신 지연을 최소화하기 위함으로 이해될 수 있다.In this regard, in one embodiment of the present invention, priority is given to selecting the internal network where the service virtual machine is deployed as the target network, which is the connection path between virtual machines when processing internal connections between the service virtual machine and the connection support virtual machine. It can be understood that the purpose is to minimize communication delay by simplifying as much as possible.
덧붙여 앞서 예시한 도 3을 참조하면, 본 발명의 일 실시예에 따른 엣지 플랫폼의 네트워크 구조에서는, 스위치(Physical Switch) 기반의 라우팅을 지원하는 외부 네트워크(external net)를 가상 라우터(Virtual Router 1)에 연결하여 인터넷 연동이 지원되도록 통신 영역을 확장할 수 있다.In addition, referring to FIG. 3 illustrated above, in the network structure of the edge platform according to an embodiment of the present invention, an external network that supports routing based on a switch (Physical Switch) is connected to a virtual router (Virtual Router 1). You can expand the communication area to support Internet connectivity by connecting to .
이와 관련하여, 외부 네트워크(external net)는 공인 IP 서브넷(Public IP subnet: 223.39.0/24)을 가지게 되며, 이러한 외부 네트워크(external net)와 연결되는 가상 라우터(Virtual Router 1)에는, 외부 네트워크(external net)가 가지는 공인 IP 대역 중 하나의 공인 IP 주소(223.39.6.2)가 인터넷 트래픽 처리를 위해서 부여될 수 있다.In this regard, the external network (external net) has a public IP subnet (223.39.0/24), and the virtual router (Virtual Router 1) connected to this external network (external net) has an external network A public IP address (223.39.6.2) in one of the public IP bands of (external net) can be assigned to process Internet traffic.
한편, 모바일 엣지 컴퓨팅 환경에서는 가상 머신이 웹 서버 등 서버로서 동작하기 때문에 외부에서 가상 머신으로 접근하는 인바운드 패킷(Inbound Packet)이 대부분이다.Meanwhile, in the mobile edge computing environment, virtual machines operate as servers such as web servers, so most inbound packets access the virtual machine from the outside.
이에 본 발명의 일 실시예에서는, 이러한 모바일 엣지 컴퓨팅 환경의 특성을 고려하여, 유동 IP 주소(Floating IP) 기반 인바운드 패킷의 처리 기능을 제공하게 된다.Accordingly, in one embodiment of the present invention, in consideration of the characteristics of the mobile edge computing environment, a floating IP address-based inbound packet processing function is provided.
이와 관련하여, 외부 네트워크(external net)는, 내부 네트워크에 속하는 각 가상 머신에서 인바운드 패킷(Inbound Packet)에 대한 처리가 요구되는 경우, 각 가상 머신에 대해서 공인 IP 대역 중 하나의 공인 IP 주소를 유동 IP 주소(Floating IP)로 할당하여 매핑 관리하게 되며, 이에 대해 엣지 게이트웨이 장치(200)는 인바운드 패킷(Inbound Packet)이 인입되는 경우, 인바운드 패킷의 목적지 주소로 설정된 유동 IP 주소(Floating IP)를 해당 주소와 매핑 관계인 가상 머신의 사설 IP 주소로 변환하여 전달할 수 있다.In this regard, the external network moves the public IP address of one of the public IP bands for each virtual machine when processing of inbound packets is required from each virtual machine belonging to the internal network. Mapping is managed by assigning an IP address (Floating IP). In response to this, when an inbound packet is received, the edge gateway device 200 assigns the floating IP address (Floating IP) set as the destination address of the inbound packet. It can be converted to the private IP address of the virtual machine that has a mapping relationship with the address and transmitted.
나아가, 생성부(110)는 접속 지원 가상 머신을 생성하기 위한 타겟 네트워크가 선정되면, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 엣지 플랫폼으로 전달하여 엣지 플랫폼 내에 접속 지원 가상 머신을 생성하며, 또한 접속 지원 가상 머신에 대해 고유 생성된 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 접속 지원 가상 머신을 활성화시킨다.Furthermore, when a target network for creating a connection-supporting virtual machine is selected, the creation unit 110 transmits a golden image-based virtual machine creation request to the edge platform to create a connection-supporting virtual machine within the edge platform. , Additionally, the configuration for the connection support virtual machine is processed based on the authentication key uniquely generated for the connection support virtual machine to activate the connection support virtual machine.
여기서, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청에는, 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위한 OpenVPN이 포함될 수 있다.Here, the golden image-based virtual machine creation request may include OpenVPN for normal operation of the connection-supporting virtual machine as a VPN (Virtual Private Network) server.
설정부(120)는 접속 지원 가상 머신에 대한 접속 권한을 클라이언트에 설정하는 기능을 수행한다.The setting unit 120 performs the function of setting access rights to the connection-supporting virtual machine to the client.
보다 구체적으로, 설정부(120)는 엣지 플랫폼 내부에 접속 지원 가상 머신이 생성되면, 접속 지원 가상 머신에 대한 엣지 플랫폼 외부로부터 접속인 외부 접속을 허용하는 접속 권한을 클라이언트에 설정하여, 접속 권한에 따른 클라이언트의 외부 접속을 확인한 접속 지원 가상 머신에서 서비스 가상 머신에 대한 내부 접속(SSH 접속)을 처리하도록 한다.More specifically, when a connection support virtual machine is created inside the edge platform, the setting unit 120 sets access rights to the client to allow external access from outside the edge platform to the connection support virtual machine, and sets the access rights to the client. The connection support virtual machine that confirms the external connection of the client handles the internal connection (SSH connection) to the service virtual machine.
여기서, 외부 접속은, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속으로 이해될 수 있다.Here, external connection can be understood as a VPN (Virtual Private Network) connection between a client outside the edge platform and a connection-supporting virtual machine inside the edge platform.
이때, 설정부(120)는 접속 지원 가상 머신과의 연계로 클라이언트에 대해 생성되는 고유의 클라이언트 키를 클라이언트로 전달하여, 이러한 클라이언트 키를 근거로 접속 지원 가상 머신에 대한 클라이언트의 외부 접속(VPN 접속)이 허용되도록 할 수 있다.At this time, the setting unit 120 delivers to the client a unique client key generated for the client in connection with the connection support virtual machine, and the external connection (VPN connection) of the client to the connection support virtual machine is based on this client key. ) can be allowed.
여기서, 클라이언트 키는, 접속 지원 가상 머신의 생성 이후 해당 가상 머신에 대한 외부 접속(VPN 접속)을 허용하기 위해 클라이언트 별로 고유하게 할당되는 키 값으로서, 예컨대, Client key(server.key), 및 client certificate(server.crt)를 포함할 수 있다.Here, the client key is a key value uniquely assigned to each client to allow external access (VPN connection) to the corresponding virtual machine after the creation of a connection-supporting virtual machine. For example, Client key (server.key), and client Can include certificate (server.crt).
이와 관련하여, 도 4에서는 본 발명의 일 실시예에 따른 엣지 플랫폼의 네트워크 구조 상에서 이루어지는 원격 접속의 흐름을 예시적으로 보여주고 있다.In relation to this, Figure 4 exemplarily shows the flow of remote access made on the network structure of an edge platform according to an embodiment of the present invention.
도 4에 도시된 바와 같이, 클라이언트는 외부 접속(VPN Connection)을 통해 엣지 플랫폼 내부에 별도 생성된 접속 지원 가상 머신(EdgeVPN VM)에 접속하게 되며, 클라이언트의 외부 접속(VPN Connection)을 확인한 접속 지원 가상 머신(EdgeVPN VM)은, 또한 엣지 플랫폼 내부에서 서비스 가상 머신(VM #1, VM #2, VM #3)과의 내부 접속(SSH Connection)을 처리함으로써, 서비스 장애 및 점검 등의 사유로 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 서비스 가상 머신(VM #1, VM #2, VM #3) 간에 요구되는 원격 접속이 정상적으로 지원될 수 있는 것이다.As shown in Figure 4, the client connects to a connection support virtual machine (EdgeVPN VM) created separately inside the edge platform through an external connection (VPN Connection), and connection support is provided by confirming the client's external connection (VPN Connection). The virtual machine (EdgeVPN VM) also handles internal connections (SSH Connection) with service virtual machines (VM #1, VM #2, VM #3) within the edge platform, preventing edge connection for reasons such as service failure and maintenance. The required remote connection between clients outside the platform and service virtual machines (VM #1, VM #2, VM #3) inside the edge platform can be normally supported.
이상에서 살펴본 바와 같이 본 발명의 일 실시예에 따른 엣지 플랫폼 관리장치(100)의 구성에 따르면, 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 보안 이슈에 따른 제약에 따라 서비스 가상 머신에 대한 엣지 플랫폼 외부로부터 SSH 접속은 완전히 차단한 상태에서, 엣지 플랫폼 내부에 접속 지원 가상 머신을 별도 생성하고, 이러한 접속 지원 가상 머신에 대한 클라이언트의 VPN 접속을 기반으로 접속 지원 가상 머신과 서비스 가상 머신과의 SSH 접속이 처리될 수 있으므로, 서비스 장애 및 점검 등의 사유로 클라이언트와 서비스 가상 머신 간에 요구되는 원격 접속을 효과적으로 지원할 수 있음을 알 수 있다.As discussed above, according to the configuration of the edge platform management device 100 according to an embodiment of the present invention, in a mobile edge computing (MEC, Mobile-Edge Computing) environment, the service virtual machine is managed according to restrictions due to security issues. With SSH access from outside the edge platform completely blocked, a separate connection support virtual machine is created inside the edge platform, and the connection support virtual machine and the service virtual machine are connected based on the client's VPN connection to this access support virtual machine. Since SSH connections can be processed, it can be seen that remote connections required between clients and service virtual machines for reasons such as service failures and inspections can be effectively supported.
이하에서는, 도 5를 참조하여 본 발명의 일 실시에에 따른 모바일 엣지 플랫폼 환경 내 각 구성 간의 동작 방법을 설명하기로 한다.Hereinafter, the operation method between each component in the mobile edge platform environment according to an embodiment of the present invention will be described with reference to FIG. 5.
먼저, 엣지 플랫폼 관리장치(100)는 클라이언트로부터의 요청에 따라, 접속 지원 가상 머신에 대한 고유의 인증 키를 생성한다(S110-S120).First, the edge platform management device 100 generates a unique authentication key for the connection support virtual machine according to a request from the client (S110-S120).
여기서, 접속 지원 가상 머신은, 엣지 플랫폼에 존재하는 서비스 가상 머신(Virtual Machine)에 대한 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하기 위한 별도의 가상 머신을 일컫는다.Here, the connection support virtual machine refers to a separate virtual machine for processing internal connections, which are connections from inside the edge platform to a service virtual machine (Virtual Machine) existing on the edge platform.
이때, 접속 지원 가상 머신에 대해 생성되는 인증 키는 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위해 할당되는 값으로서, 예컨대, CA(Certificate Authority) key(ca.key), CA certificate (ca.crt), Server Key(server.key), Server certificate(server.crt), Diffie Hellman parameters(dh{n}.pem) 등의 키 값을 포함할 수 있다.At this time, the authentication key generated for the connection support virtual machine is a value assigned to normally operate the connection support virtual machine as a VPN (Virtual Private Network) server, for example, CA (Certificate Authority) key (ca.key), CA It can include key values such as certificate (ca.crt), Server Key (server.key), Server certificate (server.crt), and Diffie Hellman parameters (dh{n}.pem).
그리고 나서, 엣지 플랫폼 관리장치(100)는 접속 지원 가상 머신에 대한 고유의 인증키가 생성되면, 엣지 플랫폼 내에서 서비스 가상 머신이 설치된 네트워크를 접속 지원 가상 머신의 설치를 위한 타겟 네트워크로 선정한다(S130).Then, when a unique authentication key for the connection support virtual machine is generated, the edge platform management device 100 selects the network in which the service virtual machine is installed within the edge platform as the target network for installation of the connection support virtual machine ( S130).
여기서, 접속 지원 가상 머신은, 서비스 가상 머신에 대한 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하기 위한 별도의 가상 머신이며, 이때의 내부 접속은 엣지 플랫폼 내부에서 접속 지원 가상 머신과 서비스 가상 머신 간에 서비스 장애 및 점검 등의 지원하기 위해 수행되는 SSH(Secure SHell) 접속으로 이해될 수 있다.Here, the connection support virtual machine is a separate virtual machine for processing internal connections, which are connections from inside the edge platform to the service virtual machine. In this case, the internal connection is between the connection support virtual machine and the service virtual machine inside the edge platform. It can be understood as an SSH (Secure SHell) connection performed to support service failures and inspections.
이때, 엣지 플랫폼 관리장치(100)는 가상 랜(Virtual LAN)을 통해서 가상 머신(Virtual Machine)을 상호 연결하는 내부 네트워크(Internal Network) 중 서비스 가상 머신이 배치된 특정 내부 네트워크를 타겟 네트워크로 선정하거나, 또는 상기 특정 내부 네트워크와 가상 라우터(Virtual Router)를 통해 연결되는 또 다른 내부 네트워크를 타겟 네트워크로 선정할 수 있다.At this time, the edge platform management device 100 selects a specific internal network where the service virtual machine is deployed as the target network among the internal networks that interconnect virtual machines through virtual LAN. , or another internal network connected to the specific internal network through a virtual router can be selected as the target network.
이어서, 엣지 플랫폼 관리장치(100)는 접속 지원 가상 머신을 생성하기 위한 타겟 네트워크가 선정되면, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 엣지 플랫폼으로 전달하여 엣지 플랫폼 내에 접속 지원 가상 머신을 생성하며, 또한 접속 지원 가상 머신에 대해 고유 생성되는 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 접속 지원 가상 머신을 활성화시킨다(S140-S150).Subsequently, when a target network for creating a connection support virtual machine is selected, the edge platform management device 100 transmits a golden image-based virtual machine creation request to the edge platform to create a connection support virtual machine within the edge platform. Also, based on the authentication key uniquely generated for the connection support virtual machine, the configuration for the connection support virtual machine is processed to activate the connection support virtual machine (S140-S150).
여기서, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청에는, 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위한 OpenVPN이 포함될 수 있다.Here, the golden image-based virtual machine creation request may include OpenVPN for normal operation of the connection-supporting virtual machine as a VPN (Virtual Private Network) server.
나아가, 엣지 플랫폼 관리장치(100)는 엣지 플랫폼 내부에 접속 지원 가상 머신이 생성되면, 접속 지원 가상 머신에 대한 엣지 플랫폼 외부로부터 접속인 외부 접속을 허용하는 접속 권한을 클라이언트에 설정하여, 접속 권한에 따른 클라이언트의 외부 접속을 확인한 접속 지원 가상 머신에서 서비스 가상 머신에 대한 내부 접속(SSH 접속)을 처리하도록 한다(S160-S190).Furthermore, when a connection support virtual machine is created inside the edge platform, the edge platform management device 100 sets access rights to the client to allow external access from outside the edge platform to the connection support virtual machine, and adds to the access rights. The connection support virtual machine that confirms the external connection of the corresponding client processes the internal connection (SSH connection) to the service virtual machine (S160-S190).
여기서, 외부 접속은, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속으로 이해될 수 있다.Here, external connection can be understood as a VPN (Virtual Private Network) connection between a client outside the edge platform and a connection-supporting virtual machine inside the edge platform.
이때, 엣지 플랫폼 관리장치(100)는 접속 지원 가상 머신과의 연계로 클라이언트에 대해 생성되는 고유의 클라이언트 키를 클라이언트로 전달하여, 이러한 클라이언트 키를 근거로 접속 지원 가상 머신에 대한 클라이언트의 외부 접속(VPN 접속)이 허용되도록 할 수 있다.At this time, the edge platform management device 100 transmits to the client a unique client key generated for the client in connection with the connection support virtual machine, and establishes the client's external access to the connection support virtual machine based on this client key ( VPN connection) can be allowed.
여기서, 클라이언트 키는, 접속 지원 가상 머신의 생성 이후 해당 가상 머신에 대한 외부 접속(VPN 접속)을 허용하기 위해 클라이언트 별로 고유하게 할당되는 키 값으로서, 예컨대, Client key(server.key), 및 client certificate(server.crt)를 포함할 수 있다.Here, the client key is a key value uniquely assigned to each client to allow external access (VPN connection) to the corresponding virtual machine after the creation of a connection-supporting virtual machine. For example, Client key (server.key), and client Can include certificate (server.crt).
이후, 클라이언트는 외부 접속(VPN 접속)을 통해 엣지 플램폼 내부에 별도 생성된 접속 지원 가상 머신(EdgeVPN VM)에 접속하게 되며, 클라이언트의 외부 접속(VPN Connection)을 확인한 접속 지원 가상 머신(EdgeVPN VM)은, 엣지 플랫폼 내부에서 서비스 가상 머신(VM #1, VM #2, VM #3)과의 내부 접속(SSH Connection)을 처리한다(S200-S210).Afterwards, the client connects to the connection support virtual machine (EdgeVPN VM) created separately inside the edge platform through an external connection (VPN connection), and the connection support virtual machine (EdgeVPN VM) confirms the client's external connection (VPN connection). ) handles internal connection (SSH Connection) with service virtual machines (VM #1, VM #2, VM #3) inside the edge platform (S200-S210).
이하에서는, 도 6을 참조하여 본 발명의 일 실시에에 따른 엣지 플랫폼 관리장치(100)의 동작 방법을 설명하기로 한다.Hereinafter, a method of operating the edge platform management device 100 according to an embodiment of the present invention will be described with reference to FIG. 6.
먼저, 생성부(110)는 클라이언트로부터의 요청에 따라, 접속 지원 가상 머신에 대한 고유의 인증 키를 생성한다(S310-S320).First, the generator 110 generates a unique authentication key for the connection-supporting virtual machine according to a request from the client (S310-S320).
여기서, 접속 지원 가상 머신은, 엣지 플랫폼에 존재하는 서비스 가상 머신(Virtual Machine)에 대한 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하기 위한 별도의 가상 머신을 일컫는다.Here, the connection support virtual machine refers to a separate virtual machine for processing internal connections, which are connections from inside the edge platform to a service virtual machine (Virtual Machine) existing on the edge platform.
이때, 접속 지원 가상 머신에 대해 생성되는 인증 키는 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위해 할당되는 값으로서, 예컨대, CA(Certificate Authority) key(ca.key), CA certificate (ca.crt), Server Key(server.key), Server certificate(server.crt), Diffie Hellman parameters(dh{n}.pem) 등의 키 값을 포함할 수 있다.At this time, the authentication key generated for the connection support virtual machine is a value assigned to normally operate the connection support virtual machine as a VPN (Virtual Private Network) server, for example, CA (Certificate Authority) key (ca.key), CA It can include key values such as certificate (ca.crt), Server Key (server.key), Server certificate (server.crt), and Diffie Hellman parameters (dh{n}.pem).
그리고 나서, 생성부(120)는 접속 지원 가상 머신에 대한 고유의 인증키가 생성되면, 엣지 플랫폼 내에서 서비스 가상 머신이 설치된 네트워크를 접속 지원 가상 머신의 생성을 위한 타겟 네트워크로 선정한다(S330).Then, when the unique authentication key for the connection support virtual machine is generated, the creation unit 120 selects the network in which the service virtual machine is installed within the edge platform as the target network for creating the connection support virtual machine (S330) .
여기서, 접속 지원 가상 머신은, 서비스 가상 머신에 대한 엣지 플랫폼 내부로부터의 접속인 내부 접속을 처리하기 위한 별도의 가상 머신이며, 이때의 내부 접속은 엣지 플랫폼 내부에서 접속 지원 가상 머신과 서비스 가상 머신 간에 서비스 장애 및 점검 등의 지원하기 위해 수행되는 SSH(Secure SHell) 접속으로 이해될 수 있다.Here, the connection support virtual machine is a separate virtual machine for processing internal connections, which are connections from inside the edge platform to the service virtual machine. In this case, the internal connection is between the connection support virtual machine and the service virtual machine inside the edge platform. It can be understood as an SSH (Secure SHell) connection performed to support service failures and inspections.
이때, 엣지 플랫폼 관리장치(100)는 가상 랜(Virtual LAN)을 통해서 가상 머신(Virtual Machine)을 상호 연결하는 내부 네트워크(Internal Network) 중 서비스 가상 머신이 배치된 특정 내부 네트워크를 타겟 네트워크로 선정하거나, 또는 상기 특정 내부 네트워크와 가상 라우터(Virtual Router)를 통해 연결되는 또 다른 내부 네트워크를 타겟 네트워크로 선정할 수 있다.At this time, the edge platform management device 100 selects a specific internal network where the service virtual machine is deployed as the target network among the internal networks that interconnect virtual machines through virtual LAN. , or another internal network connected to the specific internal network through a virtual router can be selected as the target network.
예를 들어, 앞서 예시한 도 3에서와 같이, 제1 가상 랜(vlan-x)을 매개로 연결되는 제1 내부 네트워크(N-x)와, 제2 가상 랜(vlan-y)을 매개로 연결되는 제2 내부 네트워크(N-y)가 존재하며, 제1 내부 네트워크(N-x)에 서비스 가상 머신(VM#1)이 존재하는 경우, 제1 내부 네트워크(N-x)를 타겟 네트워크로 선정하여, 타겟 네트워크로 선정된 제1 내부 네트워크(N-x)에 내부 접속(SSH 접속) 처리를 위한 접속 지원 가상 머신(EgdeVPN VM)을 생성할 수 있는 것이다.For example, as shown in FIG. 3 previously illustrated, a first internal network (N-x) connected through a first virtual LAN (vlan-x) and a second virtual LAN (vlan-y) connected through If a second internal network (N-y) exists and a service virtual machine (VM#1) exists in the first internal network (N-x), the first internal network (N-x) is selected as the target network and selected as the target network. It is possible to create a connection support virtual machine (EgdeVPN VM) for internal connection (SSH connection) processing on the first internal network (N-x).
또한, 서비스 가상 머신(VM#1)이 존재하는 제1 내부 네트워크(N-x)와 가상 라우터(Virtual Router 1)을 통해 연결되는 제2 내부 네트워크(N-x) 또한 제1 내부 네트워크(N-x)에서의 리소스 부족 등을 이유로 타겟 네트워크로 선정될 수 있으며, 이에 따라 제2 내부 네트워크(N-x)에 접속 지원 가상 머신(EgdeVPN VM)가 생성되는 경우, 접속 지원 가상 머신(EgdeVPN VM)은 가상 라우터(Virtual Router 1)을 통해 서비스 가상 머신(VM#1)과의 내부 접속(SSH 접속)을 처리할 수 있음은 물론이다.In addition, the first internal network (N-x) where the service virtual machine (VM#1) exists and the second internal network (N-x) connected through a virtual router (Virtual Router 1) also provide resources in the first internal network (N-x). It may be selected as a target network for reasons such as shortage, and accordingly, when a connection support virtual machine (EgdeVPN VM) is created in the second internal network (N-x), the connection support virtual machine (EgdeVPN VM) is a virtual router (Virtual Router 1). ), of course, it is possible to handle internal connection (SSH connection) with the service virtual machine (VM#1).
이어서, 생성부(110)는 접속 지원 가상 머신을 생성하기 위한 타겟 네트워크가 선정되면, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 엣지 플랫폼으로 전달하여 엣지 플랫폼 내에 접속 지원 가상 머신을 생성하며, 또한 접속 지원 가상 머신에 대해 고유 생성된 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 접속 지원 가상 머신을 활성화시킨다(S340-S350).Next, when a target network for creating a connection-supporting virtual machine is selected, the creation unit 110 transmits a golden image-based virtual machine creation request to the edge platform to create a connection-supporting virtual machine within the edge platform. , In addition, the connection support virtual machine is activated by processing the configuration for the connection support virtual machine based on the authentication key uniquely generated for the connection support virtual machine (S340-S350).
여기서, 골든 이미지(Golden image) 기반의 가상 머신 생성 요청에는, 접속 지원 가상 머신을 VPN(Virtual Private Network) 서버로서 정상 동작 시키기 위한 OpenVPN이 포함될 수 있다.Here, the golden image-based virtual machine creation request may include OpenVPN for normal operation of the connection-supporting virtual machine as a VPN (Virtual Private Network) server.
이후, 설정부(120)는 엣지 플랫폼 내부에 접속 지원 가상 머신이 생성되면, 접속 지원 가상 머신에 대한 엣지 플랫폼 외부로부터 접속인 외부 접속을 허용하는 접속 권한을 클라이언트에 설정하여, 접속 권한에 따른 클라이언트의 외부 접속을 확인한 접속 지원 가상 머신에서 서비스 가상 머신에 대한 내부 접속(SSH 접속)을 처리하도록 한다(S360-S370).Thereafter, when a connection support virtual machine is created inside the edge platform, the setting unit 120 sets access rights to the client to allow external access from outside the edge platform to the connection support virtual machine, and sets the client according to the access rights. The connection support virtual machine that has confirmed the external connection handles the internal connection (SSH connection) to the service virtual machine (S360-S370).
여기서, 외부 접속은, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속으로 이해될 수 있다.Here, external connection can be understood as a VPN (Virtual Private Network) connection between a client outside the edge platform and a connection-supporting virtual machine inside the edge platform.
이때, 설정부(120)는 접속 지원 가상 머신과의 연계로 클라이언트에 대해 생성되는 고유의 클라이언트 키를 클라이언트로 전달하여, 이러한 클라이언트 키를 근거로 접속 지원 가상 머신에 대한 클라이언트의 외부 접속(VPN 접속)이 허용되도록 할 수 있다.At this time, the setting unit 120 delivers to the client a unique client key generated for the client in connection with the connection support virtual machine, and the external connection (VPN connection) of the client to the connection support virtual machine is based on this client key. ) can be allowed.
여기서, 클라이언트 키는, 접속 지원 가상 머신의 생성 이후 해당 가상 머신에 대한 외부 접속(VPN 접속)을 허용하기 위해 클라이언트 별로 고유하게 할당되는 키 값으로서, 예컨대, Client key(server.key), 및 client certificate(server.crt)를 포함할 수 있다.Here, the client key is a key value uniquely assigned to each client to allow external access (VPN connection) to the corresponding virtual machine after the creation of a connection-supporting virtual machine. For example, Client key (server.key), and client Can include certificate (server.crt).
한편, 이와 관련하여 클라이언트는 앞서 예시한 도 4에서와 같이 외부 접속(VPN Connection)을 통해 엣지 플랫폼 내부에 별도 생성된 접속 지원 가상 머신(EdgeVPN VM)에 접속하게 되며, 또한 클라이언트의 외부 접속(VPN Connection)을 확인한 접속 지원 가상 머신(EdgeVPN VM)은, 엣지 플랫폼 내부에서 서비스 가상 머신(VM #1, VM #2, VM #3)과의 내부 접속(SSH Connection)을 처리함으로써, 서비스 장애 및 점검 등의 사유로 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 서비스 가상 머신(VM #1, VM #2, VM #3) 간에 요구되는 원격 접속이 정상적으로 지원될 수 있는 것이다.Meanwhile, in relation to this, the client connects to a connection support virtual machine (EdgeVPN VM) separately created inside the edge platform through an external connection (VPN Connection), as shown in Figure 4 above, and also connects to the client's external connection (VPN Connection). The connection support virtual machine (EdgeVPN VM) that confirms the connection handles internal connections (SSH Connection) with service virtual machines (VM #1, VM #2, VM #3) inside the edge platform, thereby preventing service failures and inspections. For these reasons, the required remote connection between clients outside the edge platform and service virtual machines (VM #1, VM #2, VM #3) inside the edge platform can be normally supported.
이상에서 살펴본 바와 같이 본 발명의 일 실시예에 따른 모바일 엣지 플랫폼 환경 내 각 구성의 동작 방법에 따르면, 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 보안 이슈에 따른 제약에 따라 서비스 가상 머신에 대한 엣지 플랫폼 외부로부터 SSH 접속은 완전히 차단한 상태에서, 엣지 플랫폼 내부에 접속 지원 가상 머신을 별도 생성하고, 이러한 접속 지원 가상 머신에 대한 클라이언트의 VPN 접속을 기반으로 접속 지원 가상 머신과 서비스 가상 머신과의 SSH 접속이 처리될 수 있으므로, 서비스 장애 및 점검 등의 사유로 클라이언트와 서비스 가상 머신 간에 요구되는 원격 접속을 효과적으로 지원할 수 있음을 알 수 있다.As discussed above, according to the operation method of each component in the mobile edge platform environment according to an embodiment of the present invention, in a mobile edge computing (MEC, Mobile-Edge Computing) environment, the service virtual machine is provided according to restrictions due to security issues. While SSH access from outside the edge platform is completely blocked, a separate access support virtual machine is created inside the edge platform, and based on the client's VPN connection to this access support virtual machine, the access support virtual machine and service virtual machine are connected to each other. Since SSH connections can be processed, it can be seen that the remote connection required between the client and the service virtual machine for reasons such as service failure and maintenance can be effectively supported.
한편, 본 발명의 일 실시예에 따른 동작 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Meanwhile, the operating method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, etc., singly or in combination. Program instructions recorded on the medium may be specially designed and constructed for the present invention or may be known and usable by those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. -Includes optical media (magneto-optical media) and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include machine language code, such as that produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter, etc. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.Although the present invention has been described in detail with reference to preferred embodiments so far, the present invention is not limited to the above-described embodiments, and the technical field to which the present invention pertains without departing from the gist of the present invention as claimed in the following claims. Anyone skilled in the art will recognize that the technical idea of the present invention extends to the extent that various changes or modifications can be made.
본 발명에 따른 엣지 플랫폼 관리장치 및 엣지 플랫폼 관리장치의 동작 방법에 따르면, 모바일 엣지 컴퓨팅(MEC, Mobile-Edge Computing) 환경에서 제공되는 클라이언트 별 서비스와 관련하여, 엣지 플랫폼 외부의 클라이언트와 엣지 플랫폼 내부의 가상 머신(VM, Virtual Machine) 간에 원격 접속을 지원할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the edge platform management device and the operating method of the edge platform management device according to the present invention, in relation to client-specific services provided in a mobile edge computing (MEC, Mobile-Edge Computing) environment, clients outside the edge platform and inside the edge platform In that it can support remote access between virtual machines (VMs), it overcomes the limitations of existing technologies, and not only has the potential to not only use related technologies but also market or sell the applied devices, it is also realistic. It is an invention that has industrial applicability because it can be clearly implemented.
100: 엣지 플랫폼 관리장치
110: 생성부 120: 설정부100: Edge platform management device
110: creation unit 120: setting unit
Claims (12)
상기 접속 지원 가상 머신에 대한 상기 엣지 플랫폼 외부로부터의 접속인 외부 접속을 허용하기 위한 접속 권한을 클라이언트에 설정하여, 상기 접속 지원 가상 머신으로 하여금 상기 접속 권한이 설정된 클라이언트의 상기 외부 접속이 확인되는 경우, 상기 서비스 가상 머신에 대한 상기 내부 접속을 처리하도록 하는 설정부를 포함하며,
상기 생성부는,
가상 랜(Virtual LAN)을 통해서 가상 머신을 상호 연결하는 내부 네트워크(Internal Network) 중 상기 서비스 가상 머신이 배치된 특정 내부 네트워크를 상기 접속 지원 가상 머신을 생성하기 위한 타겟 네트워크로 우선 선정하며,
상기 특정 내부 네트워크에 상기 접속 지원 가상 머신을 생성할 수 없는 경우, 가상 라우터(Virtual Router)를 통해 상기 특정 내부 네트워크와 연결된 다른 내부 네트워크를 상기 타겟 네트워크로 선정하는 것을 특징으로 하는 엣지 플랫폼 관리장치.For a service virtual machine that exists on the edge platform while access from outside the edge platform is blocked, a connection support virtual machine that processes internal connections, which are connections from inside the edge platform, is created on the edge platform. A generating unit that does; and
When the connection permission to allow external connection from outside the edge platform to the connection support virtual machine is set on the client, and the external connection of the client for which the access permission is set is confirmed by the connection support virtual machine. , including a setting unit to process the internal connection to the service virtual machine,
The generating unit,
Among the internal networks that interconnect virtual machines through a virtual LAN, a specific internal network where the service virtual machine is deployed is first selected as a target network for creating the connection support virtual machine,
An edge platform management device characterized in that, when the connection support virtual machine cannot be created in the specific internal network, another internal network connected to the specific internal network through a virtual router is selected as the target network.
상기 생성부는,
골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 상기 엣지 플랫폼으로 전달하여 상기 엣지 플랫폼 내에 상기 접속 지원 가상 머신을 생성하며,
상기 접속 지원 가상 머신에 대해 고유 생성되는 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 상기 접속 지원 가상 머신을 활성화시키는 것을 특징으로 하는 엣지 플랫폼 관리장치.According to claim 1,
The generating unit,
A golden image-based virtual machine creation request is transmitted to the edge platform to create the connection-supporting virtual machine within the edge platform,
An edge platform management device characterized in that it activates the connection support virtual machine by processing configuration for the connection support virtual machine based on an authentication key uniquely generated for the connection support virtual machine.
상기 설정부는,
상기 접속 지원 가상 머신과의 연계로 상기 클라이언트에 대해 생성되는 고유의 클라이언트 키를 상기 클라이언트로 전달하여, 상기 클라이언트 키를 근거로 상기 클라이언트에 대해서 상기 외부 접속이 허용되도록 하는 것을 특징으로 하는 엣지 플랫폼 관리장치.According to claim 1,
The settings section,
Edge platform management characterized in that a unique client key generated for the client is transmitted to the client in connection with the connection support virtual machine, and the external connection is allowed to the client based on the client key. Device.
상기 내부 접속은,
상기 접속 지원 가상 머신과 상기 서비스 가상 머신 간의 SSH(Secure SHell) 접속을 포함하며,
상기 외부 접속은,
상기 클라이언트와 상기 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속을 포함하는 것을 특징으로 하는 엣지 플랫폼 관리장치.According to claim 1,
The internal connection is,
Includes SSH (Secure SHell) connection between the connection support virtual machine and the service virtual machine,
The external connection is,
An edge platform management device comprising a VPN (Virtual Private Network) connection between the client and the connection-supporting virtual machine.
상기 접속 지원 가상 머신에 대한 상기 엣지 플랫폼 외부로부터의 접속인 외부 접속을 허용하기 위한 접속 권한을 클라이언트에 설정하여, 상기 접속 지원 가상 머신으로 하여금 상기 접속 권한이 설정된 클라이언트의 상기 외부 접속이 확인되는 경우, 상기 서비스 가상 머신에 대한 상기 내부 접속을 처리하도록 하는 설정단계를 포함하며,
상기 생성단계는,
가상 랜(Virtual LAN)을 통해서 가상 머신을 상호 연결하는 내부 네트워크(Internal Network) 중 상기 서비스 가상 머신이 배치된 특정 내부 네트워크를 상기 접속 지원 가상 머신을 생성하기 위한 타겟 네트워크로 우선 선정하며,
상기 특정 내부 네트워크에 상기 접속 지원 가상 머신을 생성할 수 없는 경우, 가상 라우터(Virtual Router)를 통해 상기 특정 내부 네트워크와 연결된 다른 내부 네트워크를 상기 타겟 네트워크로 선정하는 것을 특징으로 하는 엣지 플랫폼 관리장치의 동작 방법.For a service virtual machine that exists on the edge platform while access from outside the edge platform is blocked, a connection support virtual machine that processes internal connections, which are connections from inside the edge platform, is created on the edge platform. creation step; and
When the connection permission to allow external connection from outside the edge platform to the connection support virtual machine is set on the client, and the external connection of the client for which the access permission is set is confirmed by the connection support virtual machine. , including a setting step to process the internal connection to the service virtual machine,
The creation step is,
Among the internal networks that interconnect virtual machines through a virtual LAN, a specific internal network where the service virtual machine is deployed is first selected as a target network for creating the connection support virtual machine,
If the connection support virtual machine cannot be created in the specific internal network, the edge platform management device is characterized in that another internal network connected to the specific internal network through a virtual router is selected as the target network. How it works.
상기 생성단계는,
골든 이미지(Golden image) 기반의 가상 머신 생성 요청을 상기 엣지 플랫폼으로 전달하여 상기 엣지 플랫폼 내에 상기 접속 지원 가상 머신을 생성하며,
상기 접속 지원 가상 머신에 대해 고유 생성되는 인증 키를 기반으로 상기 접속 지원 가상 머신에 대한 환경 설정(Configuration)을 처리하여 상기 접속 지원 가상 머신을 활성화시키는 것을 특징으로 하는 엣지 플랫폼 관리장치의 동작 방법.According to claim 7,
The creation step is,
A golden image-based virtual machine creation request is transmitted to the edge platform to create the connection-supporting virtual machine within the edge platform,
A method of operating an edge platform management device, characterized in that activating the connection support virtual machine by processing configuration for the connection support virtual machine based on an authentication key uniquely generated for the connection support virtual machine.
상기 설정단계는,
상기 접속 지원 가상 머신과의 연계로 상기 클라이언트에 대해 생성되는 고유의 클라이언트 키를 상기 클라이언트로 전달하여, 상기 클라이언트 키를 근거로 상기 클라이언트에 대해서 상기 외부 접속이 허용되도록 하는 것을 특징으로 하는 엣지 플랫폼 관리장치의 동작 방법.According to claim 7,
The setting step is,
Edge platform management characterized in that a unique client key generated for the client is transmitted to the client in connection with the connection support virtual machine, and the external connection is allowed to the client based on the client key. How the device works.
상기 내부 접속은,
상기 접속 지원 가상 머신과 상기 서비스 가상 머신 간의 SSH(Secure SHell) 접속을 포함하며,
상기 외부 접속은,
상기 클라이언트와 상기 접속 지원 가상 머신 간의 VPN(Virtual Private Network) 접속을 포함하는 것을 특징으로 하는 엣지 플랫폼 관리장치의 동작 방법.According to claim 7,
The internal connection is,
Includes SSH (Secure SHell) connection between the connection support virtual machine and the service virtual machine,
The external connection is,
A method of operating an edge platform management device, comprising a VPN (Virtual Private Network) connection between the client and the connection-supporting virtual machine.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210113157A KR102637615B1 (en) | 2021-08-26 | 2021-08-26 | Management apparatus for edge platform, and control method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020210113157A KR102637615B1 (en) | 2021-08-26 | 2021-08-26 | Management apparatus for edge platform, and control method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20230030913A KR20230030913A (en) | 2023-03-07 |
KR102637615B1 true KR102637615B1 (en) | 2024-02-15 |
Family
ID=85512817
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020210113157A KR102637615B1 (en) | 2021-08-26 | 2021-08-26 | Management apparatus for edge platform, and control method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102637615B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170139736A1 (en) * | 2012-03-16 | 2017-05-18 | Rackspace Us, Inc. | Method and system for utilizing spare cloud resources |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20150109692A (en) * | 2014-03-20 | 2015-10-02 | 한국전자통신연구원 | Apparatus and method for providing virtual machine image file |
-
2021
- 2021-08-26 KR KR1020210113157A patent/KR102637615B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170139736A1 (en) * | 2012-03-16 | 2017-05-18 | Rackspace Us, Inc. | Method and system for utilizing spare cloud resources |
Also Published As
Publication number | Publication date |
---|---|
KR20230030913A (en) | 2023-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5948362B2 (en) | Dynamic migration of computer networks | |
US9756018B2 (en) | Establishing secure remote access to private computer networks | |
JP6118850B2 (en) | Provide access to a configurable private computer network | |
JP5998248B2 (en) | How to provide local secure network access to remote services | |
AU2015256010B2 (en) | Migration of applications between an enterprise-based network and a multi-tenant network | |
US9864727B1 (en) | Providing dynamically scaling computing load balancing | |
WO2009155574A1 (en) | Cloud computing gateway, cloud computing hypervisor, and methods for implementing same | |
KR102637615B1 (en) | Management apparatus for edge platform, and control method thereof | |
CN112269636B (en) | Method, system, server and medium for installing software in cloud data center virtual machine | |
KR102579162B1 (en) | Management apparatus for edge platform, and control method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |