AWS에서 각 서브넷을 인터넷에 연결하는 방법은 Internet Gateway와 NAT Gateway가 있다.
두 리소스가 어떤 역할을 하는지, 언제 사용되는지, 그리고 어떻게 다른지 를 알아보자.
IGW (Internet Gateway)
IGW(인터넷 게이트웨이)는 VPC를 외부 인터넷과 연결해주는 역할을 한다.
쉽게 말해, 외부에서 EC2 인스턴스로 직접 접속할 수 있게 하거나,
EC2가 외부와 통신할 수 있도록 하는 네트워크 출입문이다.
IGW의 특징
퍼블릭 서브넷에서 외부와 양방향 통신을 가능하게 한다.
퍼블릭 IP가 할당된 인스턴스만 IGW를 통해 인터넷에 접근할 수 있다.
VPC에 하나만 생성하면 여러 서브넷에서 공유 가능하다.
라우팅 테이블 설정 예시
0.0.0.0/0 → igw
# 이 설정은 해당 서브넷에서 모든 외부 트래픽을 IGW로 보내겠다는 의미다.주의할 점
-
인스턴스에 퍼블릭 IP가 할당되지 않으면, IGW가 있어도 외부에서 접속할 수 없다.
-
보안 그룹 인바운드 규칙에 포트 열려 있어야 접속 가능하다.
NAT Gateway
NAT Gateway는 프라이빗 서브넷에 있는 인스턴스들이 외부 인터넷으로 나가는 아웃바운드 통신만 할 수 있도록 도와주는 역할을 한다.
예를 들어, 보안이 중요한 DB 서버가 yum update를 하거나 외부 API를 호출할 수 있도록 구성할 때 사용한다.
NAT Gateway의 특징
인바운드 트래픽은 불가능, 아웃바운드만 허용된다.
퍼블릭 IP는 NAT Gateway에만 필요하고, 인스턴스에는 필요 없다.
퍼블릭 서브넷에 배치한 후, 프라이빗 서브넷에서 라우팅을 연결해 사용한다.
요금이 발생한다: 시간당 요금 + 트래픽당 요금
라우팅 테이블 설정 예시
0.0.0.0/0 → nat
# 이 설정은 프라이빗 서브넷의 인스턴스가 인터넷으로 나갈 때 NAT 게이트웨이를 통해서 나가겠다는 의미이다.인바운드는 왜 안 되나?
NAT는 내부 요청에 대해서만 외부 응답을 허용하는 구조다.
외부에서 먼저 요청이 들어오는 경우는 모두 차단된다.
퍼블릭 서브넷과 프라이빗 서브넷의 라우팅 차이
퍼블릭 서브넷
퍼블릭 서브넷은 외부 인터넷과 직접 통신해야 하므로,
라우팅 테이블에 IGW(인터넷 게이트웨이)로 가는 경로가 포함돼 있어야 한다.
0.0.0.0/0 → igw또한, 해당 서브넷에 있는 인스턴스에는 퍼블릭 IP가 할당돼야 한다.
IGW와 퍼블릭 IP가 모두 있어야만 외부에서 접속이 가능하다.
프라이빗 서브넷
프라이빗 서브넷은 NAT 게이트웨이를 통해 아웃바운드 인터넷 통신이 가능하며,
VPC 엔드포인트를 통해 AWS 서비스에 비공개로 접근할 수 있다.
인바운드 통신이 필요한 경우에는 배스천 호스트를 활용해야 한다.
0.0.0.0/0 → nat프라이빗 서브넷은 외부에서 인바운드로 접근할 수 없기 때문에,
보안이 중요한 리소스(DB 등)는 보통 여기에 배치한다.
IGW는 외부와 양방향 통신, 퍼블릭 IP가 필수
NAT GW는 내부 인스턴스의 아웃바운드 전용 통로, 외부 접근은 차단
두 리소스 모두 라우팅 테이블에 연결되어 있어야 동작하며, 보안 그룹과 함께 구성해야 완성된다
