[Cloud Network] Alibaba Cloud Internet NAT Gateway

Overview

일전에 NAT Device 의 외부인터넷에 연결되기 위한 4가지 조건을 만족하게되면 외부통신이 가능합니다.

Alibaba Cloud에서는 별도의 인터넷게이트웨이를 확인 할 수 없지만 EIP를 바인딩하게되면 인터넷 게이트웨이를 통해 외부 통신이 되는 구조라 별도의 라우팅을 잡아줄 필요도 없이 외부통신이 가능합니다.

결국 4가지 조건 중 2가지 공인IP , 보안그룹과 ACL 만 만족하면 외부 통신이 가능한 구조입니다.

EIP가 바인딩 되지않은 인스턴스는 외부통신을 위해 NAT Gateway를 구성해야 합니다. 이 글에서는 Internet NAT Gateway 구성 및 설정에 대해 작성하였습니다.

---

Detail

• Internet NAT Gateway
• SNAT & DNAT
• Internet NAT Gateway config

---

Internet NAT Gateway

Internet NAT Gateway는 SNAT 및 DNAT 기능을 제공하는 엔터프라이즈급 게이트웨이입니다. 인터넷 NAT Gateway는 최대 100Gbit/s 의 전달 용량을 제공하고 교차 영역 재해 복구를 지원하는 완전 관리형 게이트웨이 서비스 입니다. Internet NAT Gateway를 사용하면 아래와 같은 요구사항을 충족할 수 있습니다.

• 클라우드의 워크로드에 인터넷 액세스가 필요하지만 워크로드를 인터넷에 노출하지 않으려는 경우 인터넷 NAT 게이트웨이를 사용할 수 있습니다. 인터넷 NAT 게이트웨이는 인터넷의 공격으로부터 워크로드를 보호할 수 있습니다.
• 서비스가 아웃바운드 트래픽 급증을 견딜 것으로 예상되는 경우 인터넷 NAT 게이트웨이를 사용할 수 있습니다. 인터넷 NAT 게이트웨이는 필요에 따라 확장 및 축소할 수 있습니다. 또한 인터넷 NAT 게이트웨이는 종량제 방식으로 요금이 청구되기 때문에 비용 효율적입니다.
• 많은 수의 장치에 인터넷 액세스가 필요한 경우 인터넷 NAT 게이트웨이를 생성할 수 있습니다. 이렇게 하면 장치가 인터넷 NAT 게이트웨이의 EIP(탄력적 IP 주소)를 사용하여 인터넷에 액세스할 수 있습니다. 인터넷 NAT 게이트웨이는 또한 아웃바운드 트래픽을 제어하기 위해 세분화된 메트릭과 정확한 모니터링을 제공합니다.

Internet NAT Gateway의 동작

---

SNAT & DNAT

SNAT & DNAT의 동작 도식화

SNAT

• ECS 인스턴스에 Public IP 가 할당되지 않은 경우 ECS가 인터넷에 엑세스 할 수 있도록 합니다. (ECS 기준으로, 나가는 아웃바운드 트래픽을 가능하게 한다.)
• 출발지의 주소를 변경하는 NAT
• 사설에서 공인으로 통신할때 사용

 

DNAT

• Internet NAT Gateway 와 연결된 EIP를 ECS 인스턴스에 매핑하여, ECS 인스턴스는 인터넷 연결 서비스를 제공 할 수있다. (ECS 기준으로, 들어오는 인바운드 트래픽을 EIP를 통해 받을 수 있다.)
• 도착지의 주소를 변경하는 NAT
• 공인망에서 사설로 통신할때 사용 (예로 SLB를 들 수 있다. SLB로 들어온 트래픽을 서버의 실제 IP로 DNAT하여 분배함)

---

Internet NAT Gateway Config

그럼 이제 알리바바 클라우드의 Internet NAT Gateway를 직접 구매하고, 간단하게 SNAT를 구성하여 EIP가 없는 ECS에서 외부로의 통신이 가능한지 확인해보겠습니다. 아래 그림은 초기 구성도입니다. 이 상태에서 Internet NAT Gateway를 구성하도록하겠습니다.

위 그림과 같이 현재 생성된 ECS들은 EIP가 바인딩되어 있지 않은상태로, 외부와의 통신을 전혀 할 수 없는 상황입니다. 외부로 통신이 가능한지 검증을 해봅니다.

[VPC] - [NAT Gateway] - [Internet NAT Gateway] 에서 NAT Gateway를 생성합니다.

Parameter	Description
Region	Internet NAT Gateway를 만드려는 리전을 선택합니다.
VPC	Internet NAT Gateway를 생성하려는 VPC를 선택합니다.
Associate vSwitch	Internet NAT Gateway를 생성하려는 vSwitch를 선택합니다.
Billing Method	Pay-By-CU가 선택됩니다.
Billing Cycle	By Hour로 선택됩니다. 요금은 시간당으로 계산됩니다. 1시간 미만일 경우에는 1시간으로 올림되어 계산됩니다.
Instance Name	Internet NAT Gateway의 이름을 선택합니다.
Access Mode	Configure Later을 선택합니다.
EIP	구매하여 가지고 있는 EIP가 있다면 바인딩하여 사용가능하며, 위의 예시에서는 EIP를 신규 구매하여 Internet NAT Gateway에 바인딩합니다.

ECS가 속한 vSwitch에서 외부로 접속 요청시 Internet NAT Gateway를 바라보게 경로설정을 해줍니다.

SNAT 구성까지 마치면 해당 구성과 같이 구성되어 외부통신이 가능해집니다. 다음은 구성된 ECS에서 외부로 통신 검증을 진행해보겠습니다.

---

Conclusion

외부통신(8.8.8.8으로 핑)이 가능한지 검증해봅니다.

외부통신이 정상적으로 동작합니다.

예시에서는 1대의 ECS에서 진행을 하였습니다. Internet NAT Gateway를 사용하여 다수의 프라이빗한 ECS에서 외부통신을 가능하게 할 수 있는 서비스입니다. 각각의 EIP를 부여하여 외부통신 및 서버에 직접 접속할 수도있지만, 이런식으로 NAT를 구성하게되면 외부에서는 DNAT를 구성하지 않는 이상 접근이 불가능하여 보안적인 측면에서도 이득을 가져올 수 있으며, 각 서버마다 EIP를 부여하게 되면 그만큼 비용적인 부분에서 이득을 가져올 수 있습니다.

추가적으로, 알리바바 클라우드에서 Internet NAT Gateway가 아닌 NAT Instance를 구성하는 테스트도 진행하였습니다만, Src / Dest Check 를 비활성하는 옵션이 없어 실제 구성은 할 수 없었습니다.

---

Reference

What is an Internet NAT gateway? - NAT Gateway - Alibaba Cloud Documentation Center

 

Use the SNAT feature of an Internet NAT gateway to access the Internet - NAT Gateway - Alibaba Cloud Documentation Center