NAT 게이트웨이, NAT 인스턴스, 베스천 호스트에 대하여(VPC 내 사설망이 안전하게 외부와 통신할 수 있게 도와주는 기술)

💡 VPC 내에 있는 Public Subnet은 인터넷 게이트웨이를 통해 외부 인터넷과 통신할 수 있다. 반대로, private 서브넷은 내부망에서만 사용이 가능하기 때문에 외부 인터넷의 접근이 불가능하다. 우리가 AWS를 통해 아키텍처를 설계한다고 생각해 보자. WAS나 DB는 Public Subnet과 Private Subnet 중 어디에 두어야 할까? 둘 다 외부 인터넷과 연결해야 하는 상황이 있을 수 있으니 Public Subnet에 두어야 할까?

 WAS나 DB 모두 외부의 침입으로부터 보호해야 하는 건 기본이고, 중요 자원이므로 숨겨야 할 필요가 있다. 그렇다고 Private Subnet에 두자니 외부 인터넷과의 연결이 필요할 때가 고민이다. 이때 사설망의 구조를 유지시키면서 외부와 조건적으로 통신을 가능하게 하는 기술이 있다.

 

 

📌 NAT 게이트웨이(Network Address Translation, 네트워크 주소 변환)

• 사설 네트워크에 속한 여러 호스트가 하나의 공인 IP 주소를 이용하여 인터넷에 접속할 때 쓰인다.
• 쉽게 말해 사설 IP로 외부 인터넷과 통신을 위해 쓰인다고 할 수 있다.
• 인터넷 접속이 가능한 Public Subnet에 NAT 게이트웨이를 생성하고, Private Subnet이 외부 인터넷으로 나가는 경우에 사용하도록 라우팅을 추가해 주는 것이다.
• Public Subnet과 Private Subnet이 서로 같은 VPC에 있는 경우 통신이 가능하다는 점을 이용한다.
• NAT 게이트웨이를 통해서는 내부에서 외부로만 접속이 가능하여 외부 인터넷 연결의 보안 문제도 해결해 준다.

 

📌 NAT 인스턴스(NAT Instance)

NAT 게이트웨이와의 차이점

• NAT 게이트웨이는 AWS의 최신식 서비스이며, NAT 인스턴스는  EC2를 NAT으로 사용하는 구식 기술이다.
• NAT 게이트웨이는 고가용성을 보장하며, NAT 인스턴스는 꺼지면 죽는다.
• NAT 게이트웨이의 비용이 굉장히 비싸기 때문에 개인 공부나 포트폴리오 용 프로젝트에서는 NAT 인스턴스를 사용하는 것이 좋다.

 

 

📌 베스천 호스트(Bastion host)

• Public Subnet에 위치하여 Private Subnet과의 통신을 도와주는 대리인이다.
• 외부와 내부 네트워크 사이에서 게이트 역할을 한다고 생각하면 된다.
• 관리자가 외부에서 SSH를 통해 베스천 호스트에 접근한 후, 베스천 호스트에서 다시 Private Subnet에 SSH로 접근하는 형태로 연결할 수 있다.
• NAT 인스턴스의 경우 Public Subnet에 있어 베스천 호스트 역할을 동시에 한다.

 

 

참고 :

https://inpa.tistory.com/entry/AWS-📚-VPC-개념-사용-사설-IP-통신망-NAT-Gateway-Bastion-Host