View a markdown version of this page

중앙 집중식 IPv4 송신에 NAT 게이트웨이 사용 - 확장 가능하고 안전한 다중 VPC AWS 네트워크 인프라 구축
높은 가용성보안확장성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

중앙 집중식 IPv4 송신에 NAT 게이트웨이 사용

NAT 게이트웨이는 관리형 네트워크 주소 변환 서비스입니다. 모든 스포크 VPC에 NAT 게이트웨이를 배포하면 배포하는 모든 NAT 게이트웨이에 대해 시간당 요금을 지불하기 때문에 비용이 많이 들 수 있습니다(Amazon VPC 요금 참조). NAT 게이트웨이를 중앙 집중화하는 것은 비용을 절감하는 실행 가능한 옵션일 수 있습니다. 중앙 집중화하려면 다음 그림과 같이 네트워크 서비스 계정에서 별도의 송신 VPC를 생성하고, 송신 VPC에 NAT 게이트웨이를 배포하고, 모든 송신 트래픽을 Transit Gateway 또는 CloudWAN을 사용하여 스포크 VPCs에서 송신 VPC에 있는 NAT 게이트웨이로 라우팅합니다.

참고

Transit Gateway를 사용하여 NAT 게이트웨이를 중앙 집중화하면 모든 VPC에서 NAT 게이트웨이를 실행하는 분산형 접근 방식에 비해 추가 Transit Gateway 데이터 처리 요금이 부과됩니다. VPC에서 NAT 게이트웨이를 통해 방대한 양의 데이터를 전송하는 일부 엣지의 경우 전송 게이트웨이 데이터 처리 요금을 방지하기 위해 NAT를 VPC에 로컬로 유지하는 것이 더 비용 효율적인 옵션일 수 있습니다.

분산된 고가용성 NAT 게이트웨이 아키텍처를 보여주는 다이어그램

분산형 고가용성 NAT 게이트웨이 아키텍처

Transit Gateway를 사용하는 중앙 집중식 NAT 게이트웨이를 보여주는 다이어그램(개요)

Transit Gateway를 사용하는 중앙 집중식 NAT 게이트웨이(개요)

Transit Gateway를 사용하는 중앙 집중식 NAT 게이트웨이를 보여주는 다이어그램(라우팅 테이블 설계)

Transit Gateway를 사용하는 중앙 집중식 NAT 게이트웨이(라우팅 테이블 설계)

이 설정에서 스포크 VPC 연결은 라우팅 테이블 1(RT1)과 연결되고 라우팅 테이블 2(RT2)로 전파됩니다. 두 VPC가 서로 통신하지 못하도록 하는 블랙홀 경로가 있습니다. VPCs VPC 간 통신을 허용하려면 RT1에서 10.0.0.0/8 -> Blackhole 라우팅 항목을 제거할 수 있습니다. 이렇게 하면 전송 게이트웨이를 통해 통신할 수 있습니다. 또한 스포크 VPC 연결을 RT1에 전파할 수 있으며(또는 하나의 라우팅 테이블을 사용하고 모든 것을 여기에 연결/ 전파할 수 있음), Transit Gateway를 사용하여 VPCs 간에 직접 트래픽 흐름을 활성화할 수 있습니다.

모든 트래픽이 송신 VPC를 가리키도록 RT1에 정적 경로를 추가합니다. 이 정적 경로로 인해 Transit Gateway는 송신 VPC의 ENIs를 통해 모든 인터넷 트래픽을 전송합니다. 송신 VPC에 들어오면 트래픽은 이러한 Transit Gateway ENIs가 있는 서브넷 라우팅 테이블에 정의된 경로를 따릅니다. 서브넷 라우팅 테이블에 모든 트래픽이 동일한 가용 영역의 각 NAT 게이트웨이를 가리키는 경로를 추가하여 교차 가용 영역(AZ) 트래픽을 최소화합니다. NAT 게이트웨이 서브넷 라우팅 테이블에는 다음 홉으로 인터넷 게이트웨이(IGW)가 있습니다. 반환 트래픽이 다시 흐르도록 하려면 모든 스포크 VPC 바인딩 트래픽을 Transit Gateway로 다음 홉으로 가리키는 고정 라우팅 테이블 항목을 NAT 게이트웨이 서브넷 라우팅 테이블에 추가해야 합니다.

높은 가용성

고가용성을 위해서는 둘 이상의 NAT 게이트웨이(각 가용 영역에 하나씩)를 사용해야 합니다. NAT 게이트웨이를 사용할 수 없는 경우 영향을 받는 NAT 게이트웨이를 통과하는 해당 가용 영역에서 트래픽이 삭제될 수 있습니다. 한 가용 영역을 사용할 수 없는 경우 해당 가용 영역의 NAT 게이트웨이와 함께 Transit Gateway 엔드포인트가 실패하고 모든 트래픽이 다른 가용 영역의 Transit Gateway 및 NAT 게이트웨이 엔드포인트를 통해 흐릅니다.

보안

원본 인스턴스의 보안 그룹, Transit Gateway 라우팅 테이블의 블랙홀 경로, NAT 게이트웨이가 위치한 서브넷의 네트워크 ACL에 의존할 수 있습니다. 예를 들어 고객은 NAT Gateway 퍼블릭 서브넷(들)의 ACLs 사용하여 소스 또는 대상 IP 주소를 허용하거나 차단할 수 있습니다. 또는이 요구 사항을 충족하기 AWS Network Firewall 위해 다음 섹션에 설명된 중앙 집중식 송신에 NAT Gateway를와 함께 사용할 수 있습니다.

확장성

단일 NAT 게이트웨이는 각 고유 대상에 할당된 IP 주소당 최대 55,000개의 동시 연결을 지원할 수 있습니다. 할당량 조정을 요청하여 최대 8개의 할당된 IP 주소를 허용하여 단일 대상 IP 및 포트에 440,000개의 동시 연결을 허용할 수 있습니다. NAT 게이트웨이는 5Gbps의 대역폭을 제공하고 100Gbps로 자동 확장됩니다. Transit Gateway는 일반적으로 로드 밸런서 역할을 하지 않으며 여러 가용 영역의 NAT 게이트웨이 간에 트래픽을 균등하게 분산하지 않습니다. Transit Gateway를 통한 트래픽은 가능한 경우 가용 영역 내에 유지됩니다. 트래픽을 시작하는 Amazon EC2 인스턴스가 가용 영역 1에 있는 경우 트래픽은 송신 VPC의 동일한 가용 영역 1에 있는 Transit Gateway 탄력적 네트워크 인터페이스에서 흐르고 탄력적 네트워크 인터페이스가 있는 서브넷 라우팅 테이블에 따라 다음 홉으로 흐릅니다. 전체 규칙 목록은 Amazon Virtual Private Cloud 설명서의 NAT 게이트웨이를 참조하세요.

자세한 내용은 AWS Transit Gateway를 사용하여 여러 VPCs.