10월 OCI Infrastructure 업데이트 소식

2025년 10월 OCI Infrastructure 업데이트 소식입니다.

Sync with Object Storage

• Services: File Storage with Lustre, Oracle Cloud Infrastructure
• Release Date: October 29, 2025
• Documentation: https://docs.oracle.com/iaas/releasenotes/lustre/sync-object-storage.htm

업데이트 내용

OCI의 File Storage with Lustre는 이제 Object Storage 버킷과 데이터 양방향 동기화를 지원하여, Object Storage의 데이터를 Lustre로 가져와 고속 처리하고, 처리된 결과를 다시 Object Storage로 내보내는 효율적인 데이터 파이프라인을 제공합니다

(1) Lustre 디렉터리 ↔ Object Storage 버킷 연결(Link) 생성

Lustre 파일 시스템의 특정 디렉터리를
Object Storage 버킷에 **“Link”**로 연결합니다.

이 Link가 동기화의 기본 단위가 됩니다.

(2) Import 또는 Export 작업(Job) 시작

Link를 생성한 뒤,
→ Import 작업 또는
→ Export 작업을 시작하면 동기화 Job이 생성됩니다.

각 작업(Job)에는 고유 ID가 있고, 상태를 추적할 수 있습니다.

Job 단위로 동기화가 이루어지며, 새로 생기거나 변경된 파일과 메타데이터만 복사합니다. 삭제된 파일은 동기화되지 않습니다

제약 사항

보안 관점

• 전송 중 데이터(in transit) — 암호화 처리됩니다.
• 저장 시 데이터(at rest) — 각 스토리지 시스템의 암호화 정책에 따라 보호됩니다.

Lustre로 데이터를 불러와(high-speed) 처리하고, 처리 결과를 다시 Object Storage로 보내(long-term storage) 저장할 수 있습니다. 이 기능은 대규모 데이터 워크로드(예: AI/ML, HPC) 파이프라인에서 매우 유용합니다

Add ZPR security attributes to File Storage

• Services: File Storage, Zero Trust Packet Routing
• Release Date: October 29, 2025
• Documentation: https://docs.oracle.com/iaas/releasenotes/zero-trust-packet-routing/file-storage-supported.htm

업데이트 내용

이제 File Storage 마운트 대상에 Zero Trust Packet Routing (ZPR) 보안 속성을 추가할 수 있습니다. 자세한 내용은 Adding Security Attributes to a Mount Target을 참조하세요.

보안 속성은 ZPR 정책이 참조하는 레이블입니다. 이러한 속성을 통해 특정 보안 속성을 가진 클라이언트 엔드포인트가 이러한 속성도 가진 다른 엔드포인트에 액세스할 수 있습니다. ZPR은 액세스가 요청될 때마다 네트워크 레벨에서 이 정책을 강제하여 네트워크 아키텍처의 잠재적인 변경 사항이나 잘못된 구성과 관계없이 보안을 보장합니다.

ZPR이란? : 리소스(컴퓨트 인스턴스, 데이터베이스 등)에 data:sensitive와 같은 보안 라벨을 붙입니다. “애플리케이션(app:server)은 데이터베이스(data:sensitive)에 SQL 포트로만 접근할 수 있다”와 같이 사람이 읽기 쉬운 정책을 작성합니다. 네트워크 패킷 수준에서 실시간으로 확인됩니다. 정책에 명시되지 않은 트래픽은 아예 물리적으로 전달되지 않습니다.

Full Stack Disaster Recovery introduces support for Automatic DR Configuration and provides other updates

• Services: Full Stack Disaster Recovery
• Release Date: October 29, 2025
• Documentation: https://docs.oracle.com/iaas/releasenotes/disaster-recovery/oct-2025.htm

업데이트 내용

Full Stack Disaster Recovery가 다음 새로운 기능을 도입했습니다:

• Automatic DR Configuration 지원: Automatic DR Configuration을 생성하여 재해 복구(DR) 플랜 실행을 자동화할 수 있습니다. 지원되는 플랜 유형은 Switchover DR Plans 및 Failover DR Plans입니다.
• Resource Principal Policies 지원: 리소스 주체를 사용하여 다른 Oracle Cloud Infrastructure 리소스에 인증하고 액세스할 수 있습니다.
• Oracle Exadata Database Service on Dedicated Infrastructure 및 Oracle Exadata Database Service on Cloud@Customer용 DR Drill 플랜의 내장 플랜 그룹 지원: Full Stack DR은 이제 두 서비스 모두에 대한 DR Drill 플랜의 내장 플랜 그룹을 지원합니다.

Automatic DR 구성은 다음 순서로 진행됩니다.

1. 스탠바이 DRPG에서 Automatic DR Configuration 생성 — Automatic DR은 Standby DRPG에서만 생성할 수 있습니다.
2. 자동화할 데이터베이스 멤버 선택 — DRPG에 포함된 여러 DB 중 자동 전환 대상으로 삼을 DB만 선택합니다.
3. 자동 실행할 DR Plan 지정 — Switchover Plan 또는 Failover Plan, 혹은 둘 다 지정할 수 있습니다.
4. 트리거 이벤트 지정 — Switchover 발생 시, Failover 발생 시, 또는 둘 다를 지정합니다.
5. Resource Principal 인증 기반 자동 실행 — 사용자 계정이 아닌 서비스가 IAM Policy를 기반으로 자동 실행합니다.

Automatic DR 사용 시 반드시 알아야 할 제약 사항은 다음과 같습니다.

• DRPG당 Automatic DR Configuration은 1개만 가능: Protection Group 하나에 오직 하나의 AutoDR 설정만 가질 수 있습니다. 추가 설정을 만들려면 기존 설정을 삭제해야 하며, 여러 DB를 자동화하려면 한 번의 구성에 모두 포함해야 합니다.
• DR Plan과 Trigger Operation은 모두 필수: AutoDR은 실행할 DR Plan과 자동 실행 트리거(Switchover/Failover)를 모두 지정해야 동작합니다.
• 스탠바이 DRPG에서만 생성 가능: Primary에서 생성할 수 없으며, Automatic DR의 실행 주체는 Standby DRPG입니다.
• Resource Principal 인증을 위한 IAM Policy 필요: DR Plan을 자동 실행하려면 서비스가 대신 수행해야 하므로 IAM Policy 설정이 필요합니다. 예시: Allow service fullstackdr to manage dr-protection-groups in tenancy 정확한 정책은 공식 문서를 참고해야 하며, 누락 시 Auto DR이 실패하거나 시작 자체가 불가능합니다.
• AutoDR에 선택된 DB만 자동 실행: DRPG 내 DB가 여러 개 있어도 AutoDR 구성 시 선택한 DB만 Switchover/Failover를 자동 수행하며, 선택되지 않은 DB는 수동 DR Plan 대상입니다.
• 지원 DR Plan 종류는 2가지: Switchover DR Plan, Failover DR Plan만 자동화할 수 있으며 Reinstate Plan은 자동화 대상이 아닙니다.

추가 기능:

• Custom Audit Event 지원: AutoDR이 실행되면 DR Plan 자동 제출 성공, 자동 이벤트 처리 실패, 실행 불가 상태 감지 등의 이벤트가 자동 기록됩니다.

AutoDR은 “DB 이벤트를 기준으로 전체 스택을 자동 복구”하는 기능입니다.

자세한 내용은 Full Stack Disaster Recovery Documentation 및 Full Stack Disaster Recovery API를 참조하세요.

Using Oracle Cloud Infrastructure Full Stack Disaster Recovery : Manage Automatic DR

File Storage supports LDAP group membership via RFC2307bis

• Services: File Storage
• Release Date: October 22, 2025
• Documentation: https://docs.oracle.com/iaas/releasenotes/filestorage/file-newSchema-RFC2396BIS.htm

업데이트 내용

File System 마운트 대상을 구성할 때 이제 RFC2307bis를 지원하는 LDAP 디렉토리 스키마를 사용할 수 있습니다. File Storage는 기존 memberUid 옵션 외에 uniqueMember 속성을 통해 그룹 멤버십을 인식합니다. 풀어 말하면 다음과 같습니다.

• OCI File Storage에서 NFS 마운트 타깃을 만들 때, 기존에는 LDAP 그룹 멤버십을 memberUid 방식으로만 인식했습니다.
• 이번 업데이트(2025-10-22 기준)로 RFC2307bis 스키마의 uniqueMember 속성도 지원합니다.
• Active Directory/LDAP 환경에서 RFC2307bis 구조의 그룹 멤버십을 그대로 사용할 수 있습니다.
• 기업 LDAP 표준에 더 잘 맞고, 그룹 관리를 더 유연하게 지원합니다.

VN Encryption changes

• Services: Networking
• Release Date: October 20, 2025
• Documentation: https://docs.oracle.com/iaas/releasenotes/govcloud/vn_encryption.htm

업데이트 내용

VN Encryption 기능이 변경되어 이제 테넌시 관리자가 Oracle 고객 지원의 개입 없이 Create VCN 또는 Edit VCN 워크플로우를 사용하여 VCN에서 활성화하거나 비활성화할 수 있습니다. 또한 지원되는 Compute 셰이프도 변경되었습니다.

VN Encryption 업데이트 요약은 다음과 같습니다.

• Tenancy Admin 직접 활성화/비활성화 지원: 기존에는 Oracle Support SR이 필요했지만, 이제 Tenancy Administrator 권한 보유자가 Create VCN 및 Edit VCN 워크플로우에서 즉시 Enable/Disable할 수 있습니다.
• 지원 Compute Shape 목록 업데이트: 일부 Shape가 새롭게 지원되고 일부는 제외될 수 있습니다. 최신 목록은 OCI GovCloud — VN Encryption에서 확인하세요.

VN Encryption 기능은 VCN 내부 트래픽을 자동으로 암호화하여 애플리케이션 변경 없이 네트워크 계층에서 내부 통신을 보호합니다.

• 암호화되는 트래픽 구간: VCN 내부 VM ↔ VM, VM ↔ Load Balancer, VCN 내부 서비스 간 통신, 서브넷 간/동일 서브넷 트래픽
• 암호화 기술 방식: AES-GCM 256-bit 암호화, Compute NIC 기반 Offload 방식, 애플리케이션/OS 변경 없음
• 암호화되지 않는 구간: VCN 밖(Public Internet)은 TLS/IPSec 필요, Classic NAT 일부 구간
• 실무 영향 및 활용 시나리오: SR 없이 내부에서 즉시 적용 가능, PoC 및 고객 보안 요구사항 대응 시간 단축, Shape 호환성 확인 필요
• 권장 사용 고객/시나리오: 금융/공공 등 내부망 암호화 요구 고객, SaaS ISV의 고객 데이터 보호 강화, Zero Trust architecture 요구 기업, Migration 프로젝트에서 내부 트래픽 보호

자세한 내용은 VN Encryption을 참조하세요.

Dialogue & Discussion