NAT Gateway는 NAT(네트워크 주소 변환) 서비스이다.

Private Subnet에서 VPC 외부와 Outbound 통신을 가능하게 해준다.

주로 Private Subnet 인스턴스의 외부에 대한 아웃바운드 연결은 허용하고 외부 서비스에서 인바운드로 접근하는 것은 불허할 때 사용한다.

NAT Gateway를 생성할 때 Public과 Private 두 종류가 존재하는데, 자세한 것은 아래 AWS 문서를 참고하자.

NAT 게이트웨이 - Amazon Virtual Private Cloud

설정을 시작하기 전에…

NAT Gateway는 유료 서비스다. (2023.07 기준 설치만 해도 월 5.5만원 정도가 지출된다.)

아래와 같이 비용이 나가는데, 자세한 것은 AWS Pricing 페이지를 참고하자.

• NAT Gateway 시간당 요금: 설치만 해도 돈이 나간다.
• NAT Gateway 데이터 처리 요금: NAT를 통해 데이터 전송시 돈이 또 나간다.
• 데이터 전송 요금: 표준 EC2 데이터 전송 요금을 적용한다.

다음 NAT Gateway의 사용 예시 세 가지를 보고 NAT 사용 여부를 결정하자.

자신이 어디에 해당하는지 생각해보고, 불필요하다면 NAT 설정은 하지 않아도 좋다.

내가 알고 있는 NAT를 필요로 하는 경우는 아래의 세 가지이다.

1. AWS Regional 서비스 접근을 위해서 설치하는 경우.
   • ECS, ECR, S3 등 서비스 운영에 필수적인 VPC 외부 서비스가 제법 많다.
   • NAT Gateway 외의 보다 저렴한 대안이 있는데, 아래에서 설명한다.
2. 서드파티 API를 사용하기 위해서 설치하는 경우.
   • 서비스를 만들다보면 다양한 서드파티 API를 쓰게 된다.
   • NAT가 없으면 Private Subnet에서 직접 아웃바운드 요청을 할 수가 없다.
3. 외부에 고정된 IP로 응답을 반환하기 위해서 설치하는 경우.
   • 특히 B2B의 경우 고객사 Whitelist에 등록해야하는 경우가 생긴다.
   • NAT를 쓰지 않는 방법도 떠오르긴 하는데, 복잡하고 비용도 저렴한지 모르겠다.

NAT를 설정하지 않는 경우, AWS Regional Service 접근을 위해서는 VPC Endpoint를 설정하면 된다.

AWS PrivateLink를 이용하는데, NAT 사용에 비해서 비용이 아주 저렴한 편이다.

관심이 있다면 VPC Endpoint 페이지를 참고하자.

그렇다면 1번의 경우인데도 NAT Gateway를 쓴다면 왜일까?

솔직히 편해서 쓴다… 는 것도 있는데, 실무라면 결국 2번이 끼어들더라. 😭

Amazon ECR 인터페이스 VPC 엔드포인트(AWS PrivateLink) - Amazon ECR

Amazon ECS와 Amazon ECR의 AWS PrivateLink 설정 방법 | Amazon Web Services

NAT Gateway 생성

[NAT 게이트웨이 생성] 버튼을 누른다.

NAT Gateway 설정

이름을 설정하고, 서브넷에서 Public Subnet 중 하나를 선택한다.

나는 dev-subnet-public-a 를 선택했고, 따라서 이름은 dev-nat-public-a 로 했다.

[탄력적 IP 할당] 버튼을 누르면 Elastic IP가 생성되어 할당된다.

이후 [NAT 게이트웨이 생성] 버튼을 누르면 생성 완료.

Routing Table 에서 이어집니다.