[AWS] 인터넷 게이트웨이

이번 시간에는 AWS의 Internet Gateway에 대해 간략히 알아보는 시간을 갖는다.

01. AWS Internet Gateway

01-1. 인터넷 게이트웨이란?

인터넷 게이트웨이(Internet Gateway)는 VPC 내부의 리소스(예: EC2 인스턴스)가 퍼블릭 인터넷과 자유롭게 통신할 수 있도록 해주는 AWS의 관리형 논리 장치(물리적 서버 위의 S/W로 만든 기능)다. 인터넷 게이트웨이는 AWS 내부에서 자동으로 여러 가용 영역(AZ)에 분산되어 작동하기에, 하나의 가용 영역(AZ)에 장애가 발생하여도 인터넷 연결이 중단되지 않는다. 이러한 특징으로 인해 가용성을 보장하며, 사용자는 별도의 이중화나 유지보수 없이 안정적으로 인터넷 연결 사용을 할 수 있다.

 

IPv4 트래픽의 경우, IGW는 인스턴스의 프라이빗 IP를 퍼블릭 IP 또는 Elastic IP로 변환해 외부로 보내고, 외부에서 들어오는 트래픽은 다시 해당 퍼블릭 IP를 프라이빗 IP로 매핑하여 인스턴스에 전달한다. 이처럼 IGW는 1:1 NAT(Network Address Translation) 역할을 수행하며, IPv6는 전역 고유 주소를 사용하므로 NAT 없이 직접 라우팅 된다. 또한, IGW를 통해 외부와 통신이 가능하려면 몇 가지 조건이 충족되어야 한다.

1. IGW가 VPC에 연결되어 있어야 한다
2. 서브넷의 라우팅 테이블에 0.0.0.0/0(IPv4) or ::/0(IPv6) 경로가 IGW를 향하도록 설정되어 있어야 한다
3. 인스턴스에는 퍼블릭 IP 또는 탄력적 IP가 할당되어 있어야 한다
4. 마지막으로 NACL과 보안그룹에서 트래픽을 허용해야 한다

이처럼 IGW로 향하는 경로가 지정된 서브넷을 퍼블릭 서브넷이라고 부르며, IGW로 가는 경로가 없는 서브넷을 프라이빗 서브넷이라고 부른다. 퍼블릭 서브넷은 인터넷과 직접적으로 통신이 가능하지만, 프라이빗 서브넷의 경우 NAT나 VPC 엔드포인트를 통해 간접적으로 인터넷에 접근해야 한다.

01-2. 인터넷 게이트웨이 요청 흐름

1. 사용자는 EC2의 퍼블릭 IP로 접속을 시도한다. 이때, DNS를 통해 도메인을 퍼블릭 IP로 변환하거나, IP를 직접 사용할수도 있다
2. 클라이언트의 요청이 인터넷을 거쳐 AWS 내부 네트워크에 도달한다
3. IGW는 요청된 퍼블릭 IP를 기반으로, 리소스의 프라이빗 IP로 1:1 NAT를 수행한다
4. NAT된 프라이빗 IP는 VPC 내부 CIDR 대역에 속하기에, Routing Table의 local 경로를 통해 인스턴스에 전달 된다
5. EC2로 도달하기 전에, NACL + 보안그룹을 통해 허용 여부를 판단
6. 최종적으로 EC2에 트래픽이 도달하게 된다.

99. 참고 자료

인터넷 게이트웨이를 사용하여 VPC에 대한 인터넷 액세스 활성화 - Amazon Virtual Private Cloud