Wazuh Cluster 구축 - 完. VMware 구축 후기

 

(누군가 나의 눈물에 절은 후기를 봐줄 수 있다면...ㅠㅠ 하는 마음으로 적는다.)

 

⬛ 개요

Wazuh Cluster를 VMWare에 구축한 후기이다.

앞서 나의 클러스터 구축 구조는 간단하게 아래와 같이,

마스터 노드 1대에 워커 노드 2대, 인덱서 1대, 대시보드 1대,

나머지 에이전트 N대와 같이 구성했다고 했다.

 

 

⬛ VMware 구축 난이도

아무래도 도커에 구축하는 것보다는 번거로웠을 것 같고,

GCP에 구축하는 것보다는 쉬웠을 것 같다. (클라우드에 대한 지식이 많지 않다면..)

Bridge, NAT 등의 VMware 네트워크 구성 관련 글이 많아 그나마 할만했다.

다음엔 그나마 신문물인 도커에도 가꿔볼 예정이다.

 

 

⬛ 좋은 경험이었다..⭐

규모가 이렇게 큰 오픈소스 플랫폼을 처음 설치하고 설정해본 경험은 처음이다.

사실 파이썬 라이브러리 하나 설치하거나 리눅스에 패키지 설치하는 것도 이것저것 고충이 있을 때가 많은데

여러 가지를 직접 설치하고 공식 document를 읽어가며 설치해본 게 뿌듯하다.

사실 wazuh에서 install 스크립트를 지원하고 있기에 이렇게 step by step으로 고생할 필요는 없다.

하지만 스크립트 지원 여부와는 별개로 어떻게 설치하는 구조인지는 알고 쓰고 싶었다.

다른 사람이 이미 구축해 놓았더래도 내가 해보고 싶었달까. 그래야 문제가 있을 때 손댈 수 있지 않을까하고 생각했다.

결론적으로 목적은 달성했다.

(그래서 개발 배울 때가 좀 곤란했다. 라이브러리 하나를 쓰더라도 이건 어떻게 이렇게 하는건지 궁금했는데,

그 많은 라이브러리를 다 이해하고자 하니 ㅋㅋ 참 피곤한 스타일이다. 어쩔 수 없음)

 

 

⬛ 어려웠던 점

1️⃣ 첫번째

🔖 공식 document가 생각보다 친절하지는 않다. 

예로 구축 과정에서 발생할 수 있는 error 사항에 대한 예시라던가, 상세한 case별 설명은 없다.

아무래도 가이드란 모든 케이스에 대한 설명보다는 보편적이고 일반적이며 함축적인 것을 포함해야 해서 그런가 보다.

알아서 잘 딱 깔끔하게 센스있게...꼭 포함되어야 할 내용+조금의 부가 정보...?

🔖 특히 설치 가이드에서는 컴포넌트를 기준으로 가이드를 분류해 놓았는데,

아무래도 wazuh라는 게 서로 간의 유기적 통신적 관계가 필요하기에 컴포넌트 순서대로 설치하면 문제가 많다.

예시로 아무 것도 모르는 사용자가 '나는 server를 먼저 만들어볼래!'하고 덤볐다간....

그 전에 필요한 indexer의 인증서 생성/배포라던지 연동이라던지 하는 부분이 선행되어야 한다는 것을 나중에 깨닫고는

뭐 이리저리 왔다갔다 한다거나 그런 경우가 있다. 그런 것을 도큐로만 인지하기는 어렵다.

 

2️⃣ 두번째

🔖 국내 자료가 별로 없다.

상기 어려운 점을 원인으로 하여 설치 과정에서 거의 5일 간의 트러블 슈팅이 있었다.

많은 user들이 겪은 에러라고 보였는데 제대로 해결한 건은 없었다.

이름하야 'x509: certificate signed by unknown authority' 에러.. 정말 질렸다.

아니 내가 인증서 만든 게 맞다니까 왜 자꾸 사람을 못 알아보냐!!!! 하고 많은 아우성을 질렀다.

indexer와 server를 설치하고 나서 filebeat test output을 입력했는데 뭘 해도 인증서 오류가 해결되지 않았다.

이것만 하면 다 끝나는데..

평소엔 트러블 슈팅을 즐겼지만 주말 내내 20시간, 평일 퇴근 후에도 이러고 있으니 미칠 것 같았다.

 

- 주변에 wazuh를 구축해 본 지인들은 이런 경험이 없어서 왜 나만 못하고 있지라는...안 좋은 생각이 들었다.

- 시간이 아까웠다. 공부할 건 많고, 나는 wazuh의 모든 기능을 써보고 숙지하고자 이걸 만들고 있는데 말이다.

- 많은 시도를 한 결과 이것을 해결할 수 있을까? 에 대한 답이 '예' -> '아니오'로 바뀌어갔다 😥

어쨌든 뭐 wazuh 짜슥에 진심모드였으니꽈... 계속 계속 했다.

여가시간 다 버리고 이걸 했는데 이상하게 안되니까 번아웃이 와서 무기력증이 왔었다 ㅎㅎ; 

 

여튼 결론적으로는 행복하게도 트러블 슈팅에 성공했고,

📞 wazuh 커뮤니티 디스코드 채널에서 많은 도움을 받았다.

오픈소스인데도 불구하고 밤낮 할 거 없이 지속적으로 스레드에 댓글을 달아주셨다.

아래 선생님(아버지!!)을 강력 추천 합니다..^^! 

 

✔ 일단 네트워크상 서로 통신이 되는지 재확인했다.
(vmnet 구성 중 indexer/dashboard의 간헐적인 ip 중복 문제가 발생해 그 부분을 의심했다.
클론 이미지라고 ip까지 클론하면 어떡하냐구요...이 쌍둥이들아 ➰)

✔ 한번 봤던 설정파일이라도 철자 특수문자 하나까지 다시 확인했다.

✔ 설치 과정에 있어서 어디까지 내가 이해하고 있고, 혼동되는 부분이 무엇인지 인지하고 질문했다.

이후 모든 서비스를 재구동하면서 컴포넌트 간 설정에 아무 문제가 없겠다 싶을 때 접속하니 잘 됐다.

기쁘기도 하고 조금 허무해서 허허거리기도 하고 ..허허 

 

어떤 사용자는 이 오류로 질문하면서 지친다며, 'eyes watering'이라는 표현을 쓰면서 분개했는데

그게 많이 재밌었다. 진짜 눈에 눈물나게 설정파일을 확인했어서 격한 공감이 갔다.

다들 이러고 있구나..라는 생각이 위로가 됐다 ㅋㅋㅋㅋㅋㅋㅋ 

 

어쨌든 뭔가 지속적으로 안된다고 해서 자괴감 갖고 번아웃 오는 건 좋지 않은 습관인 것 같다.

오늘처럼 므찌게 해결되는 날도 있으니 앞으론 좀 더 덤덤해져보자.

어디선가 '뒤만 돌아보면 그림자 밖에 보이지 않는다.'는 명언을 봤는데 좋은 말 같다.

가끔은 별 생각 없이 앞을 보는 것도 필요한 듯

자 그럼 다음엔 또또또또 또야의 또 트러블 슈팅 또 일기로 뵙겠습니다..😵‍💫 출근하자..ㅎㅎ