ANS #6, Network Address Translation(NAT) in VPC

Network Address Translation Instance(NAT Instance)

• NAT 기능을 수행하는 EC2로 Public subnet에 소속되어 Public IP가 할당됨
• Private subnet의 Route table Default gateway(0.0.0.0/0)를 NAT Instance로 설정해야 함
• Source / Destination Check를 해제해야 함
  • 인스턴스는 기본적으로 Source/Destination IP을 확인해 자신의 IP인 경우에만 처리하기 때문에 위 기능을 해제해야 함
• Traffic Flow
  1. Private subnet의 EC2가 외부 인터넷 통신을 시도하면 Default gateway로 가기 위해 VPC Router로 향함
  2. Public subnet 내 NAT Instance로 이동함
  3. NAT Instance의 용도에 따라 Source IP NAT가 발생하여 Private subnet의 EC2 Source IP는 NAT Instance의 Public IP가 됨
  (정확히는 NAT Instance의 Public IP도 IGW가 갖고 있으므로 IGW에 의해 Source IP NAT가 이루어짐)
  4. NAT Instance의 Public IP를 달고 외부 인터넷으로 나아감
• Internet Gateway와 NAT Instance가 있는 Public subnet이 장애가 발생할 경우 외부 인터넷 접속이 어려워짐
  • 고가용성이 필요함
• 사용량에 따라 EC2 유형을 바꾸어야 함

 

Network Address Translation Gatweay

• NAT를 사용하기 위한 EC2가 아닌 별도의 서비스인 NAT Gateway 사용
• EC2를 만든다는 점을 제외하면 사용방법은 NAT Instance와 동일

 

NAT Instance 대비 NAT Gateway의 장점

• NAT Gateway는 EC2가 필요하지 않음
• NAT Gateway는 AZ 내 중복적으로 구현되기 때문에 가용성이 높음(사용자 입장에서는 하나이지만 AZ 내부에는 다수가 구현됨)
• NAT Gateway는 별도의 Scaling 없이 최대 45 Gbps까지 대역폭을 자동확장함
• NAT Gateway는 관리, 패치, 크기 재조정을 AWS가 맡아서 처리함

 

NAT Gateway의 단점

• NAT Instance를 Bastion host로 사용할 수 있는 것과 달리 NAT Gateway는 불가능
• Port Forwarding과 같은 임의 설정 불가능(필요시 NAT Instance를 써야 함)
• Security group 적용 불가능
• NAT Gateway는 시간당 요금이 존재하며, 1GB data 전송시 요금을 별도로 부과함. 또한 NAT Gateway와 EC2가 다른 AZ에 있을 경우 데이터 전송요금이 부과됨
  • Private subnet에 존재하는 EC2가 외부 인터넷 사용을 위해 Public subnet의 NAT Gateway에 접속하여 사용하므로 결국 Data 전송 요금을 별도로 부담해야 함

 

NAT Gateway의 Limit(매우 중요!!!! 문서 확인할 것)

• 최대 1개의 Elastic IP 적용 가능
• Security group을 적용할 수 없는 것과 달리, Network ACL의 영향은 받음
• Port는 1024-65535을 사용함
  • 다시 말해 Subnet의 Network ACL Outbound에 1024-65535가 허용되어있지 않으면 차단될 수 있음
• 특정 목적지 IP에 대해 최대 55,000개의 동시 Connection을 지원함, 즉 IP가 달라지면 추가적인 55,000개의 Connection을 지원한다는 의미