| GaonIT Cloud — 호스팅 & 클라우드
가온IT

NAT gateway

개발자가 사랑하는 호스팅 & 클라우드. 지금 바로 시작하세요.

NAT Gateway 소개

사설 서브넷의 인스턴스가 외부 인터넷으로 안전하게 아웃바운드 통신하도록 소스 NAT(SNAT)를 제공합니다. 고정 Egress IP, HA/스케일아웃, 로그/모니터링을 포함합니다. 요금은 별도문의로 안내합니다.

🔒 아웃바운드 전용
사설 서브넷 인스턴스는 공인 IP 없이 외부로만 통신 (Inbound 차단).
📌 고정 Egress IP
화이트리스트/감사 목적의 고정 공인 IP 제공.
⚖️ 자동 확장
연결·포트·대역폭 기준 수평 확장 및 포트 풀 보호.
🛡️ 정책 연동
보안그룹/네트워크 ACL/라우트 테이블과 연동.
권장 토폴로지
  1. 프라이빗 서브넷(예: 10.0.1.0/24) → 라우트 테이블의 0.0.0.0/0 → NAT GW
  2. NAT GW → 인터넷 게이트웨이(or 상위 트랜짓)로 SNAT 후 외부 통신
  3. 가용성 영역(AZ)별 NAT GW 또는 공유 NAT GW + 다중 NIC

* 온프레미스 IPsec/전용회선이 있을 경우, 해당 대역은 NAT 경로에서 제외합니다.

샘플 라우트 테이블
{
  "route_table": "rtb-private-a",
  "routes": [
    {"destination":"10.0.0.0/8", "target":"local"},
    {"destination":"192.168.0.0/16", "target":"ipsec-tunnel"},
    {"destination":"0.0.0.0/0", "target":"nat-gw-a"}
  ]
}
기능 / 보안
SNAT Only — 아웃바운드 변환만 수행, 외부에서 직접 유입 불가.
포트 풀 보호 — 포트 고갈 방지(해시/분산), 타임아웃 튜닝.
세션 추적 — 연결/흐름 상태 기반 처리, 재시도 안정화.
정책 연동 — egress 보안그룹·네트워크 ACL과 동작.
고정 IP — 퍼블릭 egress IP 다중 할당/로테이션(옵션).
로그/감사 — 변환/흐름 요약, 외부 SIEM 연동.
라우팅 가이드
시나리오 라우팅 비고
프라이빗 서브넷 인터넷 접속 0.0.0.0/0 → NAT GW 보안그룹 egress 80/443 등 허용
온프레미스 연결 공존 사내 대역 → IPsec/전용회선, 그 외 → NAT GW 경로 우선순위 확인
멀티 AZ 각 AZ에 NAT GW 배치, 서브넷 ↔ 동일 AZ NAT GW 크로스 AZ 단절 대비
고정 IP 필요 NAT GW에 EIP 바인딩 화이트리스트 공유
스케일 / 가용성
자동 확장 — 동시 연결·PPS·대역폭 기준 수평 확장.
헬스체크 — SNAT 플로우·인터넷 경로 상태 감시/격리.
다중 IP — 고객 목적지별 IP 풀 분산(옵션).
무중단 교체 — 연결 드레이닝 후 롤링 업데이트.
AZ 장애 대비 — AZ별 NAT GW 권장, 라우트 자동 스위치(옵션).
포트 관리 — 에페메럴 포트 범위/타임아웃 정책 조정.
모니터링 / 로그
지표 설명 알림 예시
Active Connections 현재 활성 세션 수 임계 초과 시 확장/알림
Port Utilization 에페메럴 포트 사용률 고갈 70%↑ 경고
Throughput/pps 인/아웃 bps·pps 평균 대비 급증/급감
Translation Errors SNAT 실패/드롭 즉시 알림
Flow Logs src/dst/port/bytes/결과 SIEM 연동
샘플: NAT 인스턴스(대안) — Linux
# IP 포워딩 활성화
sysctl -w net.ipv4.ip_forward=1

# nftables 예시 (iptables 대체)
nft add table ip nat
nft add chain ip nat POSTROUTING { type nat hook postrouting priority 100; }
# 사설 → 외부 SNAT (ens5 = 외부 인터페이스)
nft add rule ip nat POSTROUTING oifname "ens5" ip saddr 10.0.0.0/8 masquerade

# 방화벽 egress 최소 허용 예시(선택)
# nft add rule ip filter OUTPUT tcp dport {80,443} accept

* 관리형 NAT Gateway가 권장이며, NAT 인스턴스는 소규모/특수 요건에만 사용하세요.

샘플: 보안그룹 egress
{
  "security_group": "sg-private-egress",
  "egress": [
    {"proto":"tcp", "port":"80",  "cidr":"0.0.0.0/0"},
    {"proto":"tcp", "port":"443", "cidr":"0.0.0.0/0"},
    {"proto":"udp", "port":"123", "cidr":"0.0.0.0/0", "note":"NTP"}
  ]
}
서비스 사양
항목 사양 비고
변환 NAT44(SNAT), NAT64/66(옵션) IPv6 구성 상담
성능 대역폭/연결/pps 티어 기반 스케일아웃
가용성 AZ별 배치, 헬스체크/자동 페일오버 드레이닝
IP 고정 Egress IP 다중 바인딩 화이트리스트
로그 변환/플로우/감사 보관기간 선택
운영 API/템플릿/버전 관리 IaC 연동
요금 안내
요금: 별도문의

NAT GW 시간, 처리 트래픽(GB), 고정 IP 수, 가용성(멀티 AZ)·모니터링 옵션에 따라 산정됩니다.

사설망은 그대로, 아웃바운드는 안전하게
서브넷·라우팅만 알려주시면 바로 구성해드립니다.
도입 상담