# NAT 게이트웨이
<a name="vpc-nat-gateway"></a>

NAT 게이트웨이는 네트워크 주소 변환(NAT) 서비스입니다. NAT 게이트웨이를 사용하면 프라이빗 서브넷의 인스턴스가 VPC 외부의 서비스에 연결할 수 있지만 외부 서비스에서 이러한 인스턴스와의 연결을 시작할 수는 없도록 할 수 있습니다.

NAT 게이트웨이를 만들 때 다음 연결 유형 중 하나를 지정합니다.
+ **퍼블릭** - (기본값) 프라이빗 서브넷의 인스턴스는 퍼블릭 NAT 게이트웨이를 통해 인터넷에 연결할 수 있지만 인스턴스가 인터넷에서 원치 않는 인바운드 연결을 수신할 수 없습니다. 퍼블릭 서브넷에서 퍼블릭 NAT 게이트웨이를 생성하고 생성 시 탄력적 IP 주소를 NAT 게이트웨이와 연결해야 합니다. 트래픽을 NAT 게이트웨이에서 VPC용 인터넷 게이트웨이로 라우팅합니다. 또는 퍼블릭 NAT 게이트웨이를 사용하여 다른 VPC 또는 온프레미스 네트워크에 연결할 수 있습니다. 이 경우 NAT 게이트웨이에서 Transit Gateway 또는 가상 프라이빗 게이트웨이를 통해 트래픽을 라우팅합니다.
+ **프라이빗** – 프라이빗 서브넷의 인스턴스는 프라이빗 NAT 게이트웨이를 통해 다른 VPC 또는 온프레미스 네트워크에 연결할 수 있지만 인스턴스가 다른 VPC나 온프레미스 네트워크에서 원치 않는 인바운드 연결을 수신할 수 없습니다. 트래픽을 NAT 게이트웨이에서 Transit Gateway 또는 가상 프라이빗 게이트웨이를 통해 트래픽을 라우팅할 수 있습니다. 탄력적 IP 주소를 프라이빗 NAT 게이트웨이에 연결할 수 없습니다. 프라이빗 NAT 게이트웨이를 사용하여 VPC에 인터넷 게이트웨이를 연결할 수 있지만 프라이빗 NAT 게이트웨이에서 인터넷 게이트웨이로 트래픽을 라우팅하는 경우 인터넷 게이트웨이가 트래픽을 삭제합니다.

NAT 게이트웨이는 IPv4 또는 IPv6 트래픽에 사용됩니다([DNS64 및 NAT64](nat-gateway-nat64-dns64.md) 사용). IPv6를 통한 아웃바운드 전용 인터넷 통신을 활성화하는 다른 옵션은 [외부 전용 인터넷 게이트웨이](egress-only-internet-gateway.md)를 대신 사용하는 것입니다.

프라이빗 및 퍼블릭 NAT 게이트웨이는 모두 인스턴스의 소스 프라이빗 IPv4 주소를 NAT 게이트웨이의 프라이빗 IPv4 주소에 매핑하지만 퍼블릭 NAT 게이트웨이의 경우 인터넷 게이트웨이는 퍼블릭 NAT 게이트웨이의 프라이빗 IPv4 주소를 NAT 게이트웨이와 연결된 탄력적 IP 주소에 매핑합니다. 인스턴스에 응답 트래픽을 전송할 때 인스턴스는 퍼블릭 또는 프라이빗 NAT 게이트웨어 여부에 상관없이 NAT 게이트웨이는 주소를 원래 소스 IP 주소로 다시 변환합니다.

**고려 사항**
+ 연결은 항상 NAT 게이트웨이가 포함된 VPC 내에서 시작되어야 합니다.
+ 퍼블릭 또는 프라이빗 NAT 게이트웨이를 사용하여 트래픽을 전송 게이트웨이와 가상 프라이빗 게이트웨이로 라우팅할 수 있습니다.
+ 프라이빗 NAT 게이트웨이를 사용하여 전송 게이트웨이 또는 가상 프라이빗 게이트웨이에 연결하는 경우 대상에 대한 트래픽은 프라이빗 NAT 게이트웨이의 프라이빗 IP 주소에서 전송됩니다.
+ 퍼블릭 NAT 게이트웨이를 사용하여 전송 게이트웨이 또는 가상 프라이빗 게이트웨이에 연결하는 경우 대상에 대한 트래픽은 퍼블릭 NAT 게이트웨이의 프라이빗 IP 주소에서 전송됩니다. 퍼블릭 NAT 게이트웨이는 동일한 VPC의 인터넷 게이트웨이와 함께 사용할 때만 탄력적 IP 주소를 소스 IP 주소로 사용합니다.

**Topics**
+ [NAT 게이트웨이 기본 사항](nat-gateway-basics.md)
+ [NAT 게이트웨이 작업](nat-gateway-working-with.md)
+ [자동 다중 AZ 확장을 위한 리전 NAT 게이트웨이](nat-gateways-regional.md)
+ [사용 사례](nat-gateway-scenarios.md)
+ [DNS64 및 NAT64](nat-gateway-nat64-dns64.md)
+ [NAT 게이트웨이의 트래픽 검사](nat-gateway-inspect-traffic.md)
+ [CloudWatch 지표](vpc-nat-gateway-cloudwatch.md)
+ [문제 해결](nat-gateway-troubleshooting.md)
+ [가격 책정](nat-gateway-pricing.md)

# NAT 게이트웨이 기본 사항
<a name="nat-gateway-basics"></a>

각 NAT 게이트웨이는 특정 가용 영역에 생성되고 해당 영역에서 중복성을 통해 구현됩니다. 각 가용 영역에서 만들 수 있는 NAT 게이트웨이 개수에는 할당량이 있습니다. 자세한 내용은 [게이트웨이](amazon-vpc-limits.md#vpc-limits-gateways) 섹션을 참조하세요.

여러 가용 영역에 리소스가 있고 NAT 게이트웨이 하나를 공유하는 경우, NAT 게이트웨이의 가용 영역이 다운되면 다른 가용 영역의 리소스도 인터넷에 액세스할 수 없게 됩니다. 복원력 향상을 위해 각 가용 영역에 NAT 게이트웨이를 생성하고 리소스가 동일한 가용 영역의 NAT 게이트웨이를 사용하도록 라우팅을 구성합니다.

NAT 게이트웨이에 적용되는 특성 및 규칙은 다음과 같습니다.
+ NAT 게이트웨이는 TCP, UDP, ICMP 등의 프로토콜을 지원합니다.
+ NAT 게이트웨이는 IPv4 또는 IPv6 트래픽에 대해 지원됩니다. IPv6 트래픽의 경우 NAT 게이트웨이가 NAT64를 수행합니다. 이를 DNS64(Route 53 Resolver에서 사용 가능)와 함께 사용하면 Amazon VPC의 서브넷에 있는 IPv6 워크로드가 IPv4 리소스와 통신할 수 있습니다. 이러한 IPv4 서비스는 동일한 VPC(별도의 서브넷에 있음) 또는 다른 VPC, 온프레미스 환경 또는 인터넷에 존재할 수 있습니다.
+ NAT 게이트웨이는 5Gbps의 대역폭을 지원하며 최대 100Gbps까지 자동 확장합니다. 더 많은 대역폭이 필요한 경우 리소스를 여러 서브넷으로 분할하고 각 서브넷에 NAT 게이트웨이를 만들 수 있습니다.
+ NAT 게이트웨이는 초당 백만 개의 패킷을 처리할 수 있으며 초당 최대 천만 개의 패킷을 자동으로 확장할 수 있습니다. 이 제한을 초과하면 NAT 게이트웨이가 패킷을 삭제합니다. 패킷 손실을 방지하려면 리소스를 여러 서브넷으로 분할하고 각 서브넷에 대해 별도의 NAT 게이트웨이를 생성합니다.
+ 각 IPv4 주소는 각 고유 대상에 대해 55,000개까지 동시 연결을 지원할 수 있습니다. 고유 대상은 대상 IP 주소, 대상 포트 및 프로토콜(TCP/UDP/ICMP)의 고유한 조합으로 식별됩니다. 최대 8개의 IPv4 주소를 NAT 게이트웨이에 연결하여 이 제한을 늘릴 수 있습니다(기본 IPv4 주소 1개 및 보조 IPv4 주소 7개). 기본적으로 2개의 탄력적 IP 주소를 퍼블릭 NAT 게이트웨이에 연결하는 것으로 제한됩니다. 할당량 조정을 요청하여 이 제한을 늘릴 수 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.
+ NAT 게이트웨이를 생성할 때 NAT 게이트웨이에 할당된 기본 프라이빗 IPv4 주소를 선택할 수 있습니다. 그렇지 않으면 서브넷의 IPv4 주소 범위에서 사용자를 대신해 하나를 선택합니다. 기본 프라이빗 IPv4 주소는 변경하거나 제거할 수 없습니다. 필요에 따라 보조 프라이빗 IPv4 주소를 추가할 수 있습니다.
+ 보안 그룹을 NAT 게이트웨이와 연결할 수 없습니다. 보안 그룹을 인스턴스에 연결하여 인바운드 및 아웃바운드 트래픽을 제어할 수 있습니다.
+ NAT 게이트웨이에 대한 요청자 관리형 네트워크 인터페이스를 생성합니다. Amazon EC2 콘솔을 사용하여 이 네트워크 인터페이스를 볼 수 있습니다. 설명에서 NAT 게이트웨이의 ID를 검색합니다. 네트워크 인터페이스에 태그를 추가할 수 있지만 이 네트워크 인터페이스의 다른 속성은 수정할 수 없습니다.
+ 네트워크 ACL을 사용하여 NAT 게이트웨이에 대해 서브넷에서 주고받는 트래픽을 제어할 수 있습니다. NAT 게이트웨이는 포트 1024-65535를 사용합니다. 자세한 내용은 [네트워크 ACL](vpc-network-acls.md) 섹션을 참조하세요.
+ VPC 피어링 연결을 통해 NAT 게이트웨이로 트래픽을 라우팅할 수 없습니다. 그러나 VPC 피어링을 통해 NAT 게이트웨이에서 피어링된 VPC의 대상으로 가는 트래픽은 '발신자에게 반환' 동작을 지원합니다. 반환 트래픽은 대상 VPC에 반환 경로가 구성되지 않은 경우에도 자동으로 원래 NAT 게이트웨이로 다시 라우팅됩니다. 이 동작은 NAT 게이트웨이에만 해당되며 표준 EC2 인스턴스에는 적용되지 않습니다. 이를 방지하려면 NACL을 사용하여 반환 트래픽을 차단합니다.

  지원되지 않음:

  ```
  Client → Peering → NAT → Internet
  ```

  지원됨:

  ```
  Client → NAT → Peering → Destination
  ```
+ 가상 프라이빗 게이트웨이를 사용하여 Site-to-Site VPN 또는 Direct Connect에서 NAT 게이트웨이로 트래픽을 라우팅할 수 없습니다. 가상 프라이빗 게이트웨이 대신 전송 게이트웨이를 사용하면 Site-to-Site VPN 또는 Direct Connect에서 NAT 게이트웨이로 트래픽을 라우팅할 수 있습니다.
+ NAT 게이트웨이에서 지원되는 트래픽의 최대 전송 단위(MTU)는 8,500이지만, 다음 사항에 유의해야 합니다.
  + 네트워크 연결의 MTU는 연결을 통해 전달할 수 있는 허용되는 최대 패킷의 크기(바이트)입니다. 연결의 MTU가 클수록 하나의 패킷으로 전달할 수 있는 데이터의 양이 늘어납니다.
  + NAT 게이트웨이에 도착하는 8,500바이트보다 큰 패킷은 삭제됩니다(또는 조각화가 가능한 경우 조각화됨).
  + 퍼블릭 NAT 게이트웨이를 사용하여 인터넷을 통해 리소스와 통신할 때 잠재적 패킷 손실을 방지하려면 EC2 인스턴스의 MTU 설정이 1,500바이트를 초과하지 않아야 합니다. 인스턴스의 MTU 확인 및 설정에 대한 자세한 내용은 *Amazon EC2 사용 설명서*의 [EC2 인스턴스의 네트워크 MTU](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu)를 참조하세요.
  + NAT 게이트웨이에서는 FRAG\$1NEEDED ICMPv4 패킷 및 패킷이 너무 큼(PTB) ICMPv6 패킷을 통한 경로 MTU 검색(PMTUD)이 지원됩니다.
  + NAT 게이트웨이에서는 모든 패킷에 MSS(최대 세그먼트 크기) 클램핑이 강제로 적용됩니다. 자세한 내용은 [RFC879](https://datatracker.ietf.org/doc/html/rfc879)를 참조하세요.

# NAT 게이트웨이 작업
<a name="nat-gateway-working-with"></a>

Amazon VPC 콘솔을 사용하여 NAT 게이트웨이를 생성하고 관리할 수 있습니다.

**Topics**
+ [NAT 게이트웨이 사용 제어](#nat-gateway-iam)
+ [NAT 게이트웨이 만들기](#nat-gateway-creating)
+ [보조 IP 주소 연결 편집](#nat-gateway-edit-secondary)
+ [NAT 게이트웨이 태그 지정](#nat-gateway-tagging)
+ [NAT 게이트웨이 삭제](#nat-gateway-deleting)
+ [명령줄 개요](#nat-gateway-api-cli)

## NAT 게이트웨이 사용 제어
<a name="nat-gateway-iam"></a>

기본적으로 사용자에게는 NAT 게이트웨이를 사용할 권한이 없습니다. 사용자에게 NAT 게이트웨이를 생성, 설명, 삭제할 수 있는 권한을 부여하는 정책이 연결된 IAM 역할을 만들 수 있습니다. 자세한 내용은 [Amazon VPC용 자격 증명 및 액세스 관리](security-iam.md) 섹션을 참조하세요.

## NAT 게이트웨이 만들기
<a name="nat-gateway-creating"></a>

다음 절차에 따라 NAT 게이트웨이를 생성하세요.

**관련 할당량**
+ 계정에 할당된 탄력적 IP 주소 수를 모두 사용한 경우 퍼블릭 NAT 게이트웨이를 생성할 수 없습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.
+ 프라이빗 NAT 게이트웨이에 최대 8개의 프라이빗 IPv4 주소를 할당할 수 있습니다. 이 제한은 조정할 수 없습니다.
+ 기본적으로 2개의 탄력적 IP 주소를 퍼블릭 NAT 게이트웨이에 연결하는 것으로 제한됩니다. 할당량 조정을 요청하여 이 제한을 늘릴 수 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.

**NAT 게이트웨이를 만들려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **NAT 게이트웨이**를 선택합니다.

1. **NAT 게이트웨이 생성**을 선택합니다.

1. (선택 사항) NAT 게이트웨이의 이름을 지정합니다. 이렇게 하면 키가 **Name**이고 값이 사용자가 지정한 이름인 태그가 생성됩니다.

1. NAT 게이트웨이를 생성할 서브넷을 선택합니다.

1. **연결 유형**에서 기본 선택 **퍼블릭**을 그대로 사용하여 퍼블릭 NAT 게이트웨이를 생성하거나 **프라이빗**을 선택하여 프라이빗 NAT 게이트웨이를 생성합니다. 퍼블릭과 프라이빗 NAT 게이트웨이 간의 차이점에 대한 자세한 정보는 [NAT 게이트웨이](vpc-nat-gateway.md)를 참조하세요.

1. **퍼블릭**을 선택한 경우 다음을 수행합니다. 그렇지 않으면 8단계로 건너뜁니다.

   1. **탄력적 IP 할당 ID**를 선택하여 탄력적 IP 주소를 NAT 게이트웨이에 할당하거나 **탄력적 IP 할당**을 선택하여 퍼블릭 NAT 게이트웨이에 사용할 탄력적 IP를 자동으로 할당합니다. 기본적으로 2개의 탄력적 IP 주소를 퍼블릭 NAT 게이트웨이에 연결하는 것으로 제한됩니다. 할당량 조정을 요청하여 이 제한을 늘릴 수 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.
**중요**  
퍼블릭 NAT 게이트웨이에 탄력적 IP 주소를 할당하는 경우, EIP의 네트워크 경계 그룹은 반드시 퍼블릭 NAT 게이트웨이를 시작하는 대상 가용 영역의 네트워크 경계 그룹과 일치해야 합니다. 일치하지 않을 경우 NAT 게이트웨이가 시작되지 않습니다. 서브넷의 세부 정보를 확인하면 해당 서브넷 AZ의 네트워크 경계 그룹을 확인할 수 있습니다. 마찬가지로 EIP 주소의 세부 정보를 확인하면 EIP의 네트워크 경계 그룹을 확인할 수 있습니다. 자세한 내용은 [1. 탄력적 IP 주소 할당](WorkWithEIPs.md#allocate-eip) 섹션을 참조하세요.

   1. (선택 사항) **추가 설정**을 선택하고 **프라이빗 IP 주소 - 선택 사항**에 NAT 게이트웨이의 프라이빗 IPv4 주소를 입력합니다. 주소를 입력하지 않으면 AWS는 NAT 게이트웨이가 있는 서브넷에서 무작위로 NAT 게이트웨이에 프라이빗 IPv4 주소를 자동으로 할당합니다.

   1. 11단계로 건너뜁니다.

1. **프라이빗**을 선택한 경우 **추가 설정**, **프라이빗 IPv4 주소 할당 방법**에서 다음 중 하나를 선택합니다.
   + **자동 할당**: AWS가 NAT 게이트웨이의 기본 프라이빗 IPv4 주소를 선택합니다. **자동 할당된 프라이빗 IPv4 주소 수**에서 NAT 게이트웨이의 보조 프라이빗 IPv4 주소 수를 필요한 경우 지정할 수 있습니다. AWS가 NAT 게이트웨이의 서브넷에서 임의로 해당 IP 주소를 선택합니다.
   + **사용자 지정**: **기본 프라이빗 IPv4 주소**에서 NAT 게이트웨이의 기본 프라이빗 IPv4 주소를 선택합니다. **보조 프라이빗 IPv4 주소**에서 NAT 게이트웨이에 최대 7개의 보조 프라이빗 IPv4 주소를 필요한 경우 지정할 수 있습니다.

1. 8단계에서 **사용자 지정**을 선택한 경우 이 단계를 건너뛰세요. **자동 할당**을 선택한 경우 **자동 할당된 프라이빗 IP 주소 수**에서 AWS가 이 프라이빗 NAT 게이트웨이에 할당할 보조 IPv4 주소 수를 선택합니다. IPv4 주소를 최대 7개까지 선택할 수 있습니다.
**참고**  
보조 IPv4 주소는 선택 사항이며 NAT 게이트웨이를 사용하는 워크로드가 단일 대상(동일한 대상 IP, 대상 포트 및 프로토콜)에 대한 동시 연결 55,000개를 초과하는 경우 지정 또는 할당해야 합니다. 보조 IPv4 주소는 사용 가능한 포트 수를 늘리므로 워크로드가 NAT 게이트웨이를 사용하여 설정할 수 있는 동시 연결 수에 대한 제한이 늘어납니다.

1. 9단계에서 **자동 할당**을 선택한 경우 이 단계를 건너뛰세요. **사용자 지정**을 선택한 경우 다음을 수행합니다.

   1. **기본 프라이빗 IPv4 주소**에 프라이빗 IPv4 주소를 입력합니다.

   1. **보조 프라이빗 IPv4 주소**에 최대 7개의 보조 프라이빗 IPv4 주소를 입력합니다.

1. (선택 사항) NAT 게이트웨이에 태그를 추가하려면 **새로운 태그 추가(Add new tag)**를 선택하고 키 이름과 값을 입력합니다. 최대 50개의 태그를 추가할 수 있습니다.

1. **NAT 게이트웨이 생성**을 선택합니다.

1. NAT 게이트웨이의 초기 상태는 `Pending`입니다. 상태가 `Available`(으)로 변경되면 NAT 게이트웨이가 사용 준비 상태가 됩니다. 필요에 따라 라우팅 테이블을 업데이트해야 합니다. 예시는 [NAT Gateway 사용 사례](nat-gateway-scenarios.md) 섹션을 참조하세요.

NAT 게이트웨이의 상태가 `Failed` 상태로 바뀌면 생성 중에 오류가 발생한 것입니다. 자세한 내용은 [NAT 게이트웨이 생성 실패](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed) 섹션을 참조하세요.

## 보조 IP 주소 연결 편집
<a name="nat-gateway-edit-secondary"></a>

각 IPv4 주소는 각 고유 대상에 대해 55,000개까지 동시 연결을 지원할 수 있습니다. 고유 대상은 대상 IP 주소, 대상 포트 및 프로토콜(TCP/UDP/ICMP)의 고유한 조합으로 식별됩니다. 최대 8개의 IPv4 주소를 NAT 게이트웨이에 연결하여 이 제한을 늘릴 수 있습니다(기본 IPv4 주소 1개 및 보조 IPv4 주소 7개). 기본적으로 2개의 탄력적 IP 주소를 퍼블릭 NAT 게이트웨이에 연결하는 것으로 제한됩니다. 할당량 조정을 요청하여 이 제한을 늘릴 수 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.

[NAT 게이트웨이 CloudWatch 지표](metrics-dimensions-nat-gateway.md), ErrorPortLocation**, PacketsDropCount**를 사용하여 NAT 게이트웨이에서 포트 할당 오류가 발생하거나 패킷이 손실되는지 확인할 수 있습니다. 이 문제를 해결하려면 NAT 게이트웨이에 보조 IPv4 주소를 추가하세요.

**고려 사항**
+ 프라이빗 NAT 게이트웨이를 생성할 때 또는 이 섹션의 절차를 사용하여 NAT 게이트웨이를 생성한 후에 보조 프라이빗 IPv4 주소를 추가할 수 있습니다. 이 섹션의 절차를 사용하여 NAT 게이트웨이를 생성한 후에만 퍼블릭 NAT 게이트웨이에 탄력적 IP 주소를 추가할 수 있습니다.
+ NAT 게이트웨이는 IPv4 주소를 최대 8개(기본 IPv4 주소 1개 및 보조 IPv4 주소 7개) 연결할 수 있습니다. 프라이빗 NAT 게이트웨이에 최대 8개의 프라이빗 IPv4 주소를 할당할 수 있습니다. 기본적으로 2개의 탄력적 IP 주소를 퍼블릭 NAT 게이트웨이에 연결하는 것으로 제한됩니다. 할당량 조정을 요청하여 이 제한을 늘릴 수 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.

**보조 IPv4 주소 연결을 편집하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **NAT gateways**를 선택합니다.

1. 보조 IPv4 주소 연결을 편집하려는 NAT 게이트웨이를 선택합니다.

1. **작업**을 선택한 다음 **보조 IP 주소 연결 편집**을 선택합니다.

1. 프라이빗 NAT 게이트웨이의 보조 IPv4 주소 연결을 편집하는 경우 **작업**에서 **새 IPv4 주소 할당** 또는 **기존 IPv4 주소 할당 해제**를 선택합니다. 퍼블릭 NAT 게이트웨이의 보조 IPv4 주소 연결을 편집하는 경우 **작업**에서 **새 IPv4 주소 연결** 또는 **기존 IPv4 주소 연결 해제**를 선택합니다.

1. 다음 중 하나를 수행하세요.
   + 새 IPv4 주소를 할당하거나 연결하도록 선택한 경우 다음을 수행합니다.

     1. 이 단계는 필수입니다. 프라이빗 IPv4 주소를 선택해야 합니다. **프라이빗 IPv4 주소 할당 방법**을 선택합니다.
        + **자동 할당**: AWS가 기본 프라이빗 IPv4 주소를 자동으로 선택합니다. AWS가 NAT 게이트웨이에 할당할 보조 프라이빗 IPv4 주소를 최대 7개까지 할당할지 선택합니다. AWS는 NAT 게이트웨이가 있는 서브넷에서 무작위로 주소를 자동으로 선택하고 할당합니다.
        + **사용자 지정**: 기본 프라이빗 IPv4 주소와 최대 7개의 보조 프라이빗 IPv4 주소를 선택하여 NAT 게이트웨이에 할당합니다.

     1. **탄력적 IP 할당 ID**에서 보조 IPv4 주소로 추가할 탄력적 IP 주소를 선택합니다. 이 단계는 필수입니다. 프라이빗 IPv4 주소와 함께 탄력적 IP 주소를 선택해야 합니다. **프라이빗 IP 주소 할당 방법**으로 **사용자 지정**을 선택한 경우 추가하는 각 탄력적 IP 주소의 프라이빗 IPv4 주소도 입력해야 합니다.
**중요**  
퍼블릭 NAT 게이트웨이에 보조 EIP를 할당하는 경우 EIP의 네트워크 경계 그룹은 반드시 퍼블릭 NAT 게이트웨이가 있는 가용 영역의 네트워크 경계 그룹과 일치해야 합니다. 동일하지 않을 경우 EIP가 할당되지 않습니다. 서브넷의 세부 정보를 확인하면 해당 서브넷 AZ의 네트워크 경계 그룹을 확인할 수 있습니다. 마찬가지로 EIP 주소의 세부 정보를 확인하면 EIP의 네트워크 경계 그룹을 확인할 수 있습니다. 자세한 내용은 [1. 탄력적 IP 주소 할당](WorkWithEIPs.md#allocate-eip) 섹션을 참조하세요.

     NAT 게이트웨이는 IP 주소를 8개까지 연결할 수 있습니다. 퍼블릭 NAT 게이트웨이인 경우 리전당 탄력적 IP 주소에 대한 기본 할당량 제한이 있습니다. 자세한 내용은 [탄력적 IP 주소](amazon-vpc-limits.md#vpc-limits-eips) 섹션을 참조하세요.
   + 새 IPv4 주소를 할당 해제하거나 연결 해제하도록 선택한 경우 다음을 완료합니다.

     1. **할당 해제할 기존 보조 IP 주소**에서 할당 해제하려는 보조 IP 주소를 선택합니다.

     1. (선택 사항) **연결 드레인 기간**에 연결이 아직 진행 중인 경우 IP 주소를 강제로 해제하기 전에 대기할 최대 시간(초)을 입력합니다. 값을 입력하지 않으면 기본값은 350초입니다.

1. **변경 사항 저장**을 선택합니다.

NAT 게이트웨이의 상태가 `Failed` 상태로 바뀌면 생성 중에 오류가 발생한 것입니다. 자세한 내용은 [NAT 게이트웨이 생성 실패](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed) 단원을 참조하세요.

## NAT 게이트웨이 태그 지정
<a name="nat-gateway-tagging"></a>

NAT 게이트웨이에 태그를 지정하면 조직의 요구에 따라 이를 식별 또는 분류할 수 있습니다. 태그 사용에 대한 자세한 내용은 [Amazon EC2 사용 설명서](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)의 *Amazon EC2 리소스에 태깅*을 참조하세요.

NAT 게이트웨이는 비용 할당 태그를 지원합니다. 따라서 태그를 사용하여 AWS 청구서를 구성하고 고유한 원가 구조를 반영할 수도 있습니다. 자세한 내용은 [AWS Billing 사용 설명서](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)에서 *비용 할당 태그 사용*을 참조하세요. 태그를 사용한 비용 할당 보고서 설정에 대한 자세한 내용은 [AWS 계정 결제 정보](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html)의 *월간 비용 할당 보고서*를 참조하세요.

**NAT 게이트웨이에 태그를 지정하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **NAT 게이트웨이**를 선택합니다.

1. 태그를 지정하려는 NAT 게이트웨이를 선택하고 **작업**을 선택합니다. **태그 관리**를 선택합니다.

1. **새 태그 추가**를 선택하고 태그의 **키**와 **값**을 정의합니다. 최대 50개의 태그를 추가할 수 있습니다.

1. **저장**을 선택합니다.

## NAT 게이트웨이 삭제
<a name="nat-gateway-deleting"></a>

NAT 게이트웨이가 더 이상 필요하지 않으면 삭제할 수 있습니다. NAT 게이트웨이를 삭제하면 해당 항목은 한 시간 동안 Amazon VPC 콘솔에 표시된 후 자동으로 제거됩니다. 이 항목을 직접 제거할 수는 없습니다.

NAT 게이트웨이를 삭제하면 탄력적 IP 주소가 연결 해제되지만 계정에서 주소가 해제되지는 않습니다. NAT 게이트웨이를 삭제하면 NAT 게이트웨이 경로는 경로를 삭제하거나 업데이트할 때까지 `blackhole` 상태로 유지됩니다.

**NAT 게이트웨이를 삭제하려면**

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **NAT 게이트웨이**를 선택합니다.

1. NAT 게이트웨이에 대한 라디오 버튼을 선택한 후, **작업**, **NAT 게이트웨이 삭제**를 선택합니다.

1. 확인 메시지가 나타나면 **delete**를 입력한 다음 **삭제**를 선택합니다.

1. 퍼블릭 NAT 게이트웨이와 연결된 탄력적 IP 주소가 더 이상 필요 없는 경우 해당 주소를 릴리스하는 것이 좋습니다. 자세한 내용은 [5. 탄력적 IP 주소 릴리스](WorkWithEIPs.md#release-eip) 섹션을 참조하세요.

## 명령줄 개요
<a name="nat-gateway-api-cli"></a>

이 페이지에서 설명한 작업은 명령줄을 사용하여 수행할 수 있습니다.

**프라이빗 NAT 게이트웨이에 프라이빗 IPv4 주소 할당**
+ [assign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-private-nat-gateway-address.html)(AWS CLI)
+ [Register-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2PrivateNatGatewayAddress.html)(AWS Tools for Windows PowerShell)

**탄력적 IP 주소 및 프라이빗 IPv4 주소를 퍼블릭 NAT 게이트웨이와 연결**
+ [associate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-nat-gateway-address.html)(AWS CLI)
+ [Register-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2NatGatewayAddress.html)(AWS Tools for Windows PowerShell)

**NAT 게이트웨이 만들기**
+ [create-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html)(AWS CLI)
+ [New-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html)(AWS Tools for Windows PowerShell)

**NAT 게이트웨이 삭제**
+ [delete-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html)(AWS CLI)
+ [Remove-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html)(AWS Tools for Windows PowerShell)

**NAT 게이트웨이 설명**
+ [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html)(AWS CLI)
+ [Get-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html)(AWS Tools for Windows PowerShell)

**퍼블릭 NAT 게이트웨이에서 보조 탄력적 IP 주소 연결 해제**
+ [disassociate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-nat-gateway-address.html)(AWS CLI)
+ [Unregister-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2NatGatewayAddress.html)(AWS Tools for Windows PowerShell)

**NAT 게이트웨이 태그 지정**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html)(AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html)(AWS Tools for Windows PowerShell)

**프라이빗 NAT 게이트웨이에서 보조 IPv4 주소 할당 해제**
+ [unassign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-private-nat-gateway-address.html)(AWS CLI)
+ [Unregister-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2PrivateNatGatewayAddress.html)(AWS Tools for Windows PowerShell)

# 자동 다중 AZ 확장을 위한 리전 NAT 게이트웨이
<a name="nat-gateways-regional"></a>

네트워크 아키텍처를 단순화하고, 보안 태세를 개선하고, 기본적으로 고가용성을 구성하려는 경우 리전 NAT 게이트웨이를 사용하세요. 리전 NAT 게이트웨이는 워크로드 존재 여부에 따라 가용 영역 전체에 자동으로 확장됩니다. 단일 가용 영역에서 작동하는 표준 NAT 게이트웨이(영역 NAT 게이트웨이라고 함)와 달리, 리전 NAT 게이트웨이는 워크로드를 따라 자동 고가용성을 제공합니다.

![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/rnat.drawio.png)


왼쪽의 다이어그램 A는 영역 NAT 게이트웨이를 사용한 현재 설정을 나타냅니다. 먼저 가용 영역별로 영역 NAT 게이트웨이를 생성하고 퍼블릭 서브넷에 NAT를 호스팅합니다. 그런 다음 가용 영역별로 프라이빗 서브넷에서 해당 가용 영역의 NAT까지 별도의 경로를 구성합니다. 고가용성을 위해 워크로드가 새 가용 영역으로 확장될 때마다 이 단계를 반복합니다. 또한 가용 영역별로 NAT 서브넷의 라우팅 테이블에 인터넷 게이트웨이의 경로를 추가해야 합니다.

반면 리전 NAT 게이트웨이를 사용하면 퍼블릭 서브넷을 생성하여 호스팅할 필요가 없습니다. 또한 워크로드가 새 가용 영역으로 확장될 때마다 NAT 게이트웨이를 생성 및 삭제하고 라우팅 테이블을 편집할 필요도 없습니다. 대신 리전 모드를 사용하여 NAT 게이트웨이를 생성하고 VPC를 선택하기만 하면 워크로드의 존재 여부에 따라 모든 AZ에서 자동으로 확장 및 축소되어 고가용성을 제공합니다. 다이어그램 B와 같이 모든 AZ의 프라이빗 서브넷에 있는 리소스에서 이 단일 리전 NAT 게이트웨이 ID로 트래픽을 라우팅하거나, AZ의 서브넷에 있는 동일한 라우팅 테이블을 사용하여 네트워크 주소 변환을 수행할 수 있습니다. 리전 NAT 게이트웨이를 생성하면 AWS는 사전 구성된 인터넷 게이트웨이로의 경로와 함께 제공되는 라우팅 테이블을 자동으로 생성합니다. 이 라우팅 테이블을 사용하여 미들박스로의 반환 경로를 추가할 수 있습니다.



## 이점
<a name="benefits"></a>

리전 NAT 게이트웨이는 다음과 같은 이점을 제공합니다.
+ **설정 간소화** - 네트워크 인터페이스가 있는 모든 가용 영역에서 단일 NAT ID를 사용하므로 서로 다른 가용 영역에 있는 서브넷에 동일한 라우팅 항목을 사용할 수 있습니다.
+ **보안 향상** - 퍼블릭 서브넷이 필요하지 않습니다. 리전 NAT 게이트웨이는 자체 라우팅 테이블이 있는 독립형 리소스이며 리전 NAT 게이트웨이를 호스팅하기 위해 VPC에 퍼블릭 서브넷이 필요하지 않으므로, 퍼블릭 연결이 있는 서브넷에서 프라이빗 리소스를 잘못 구성할 가능성이 줄어듭니다.
+ **자동 고가용성** - 워크로드 공간에 따라 자동으로 확장 및 축소되여 영역 친화도를 유지하므로 기본적으로 고가용성을 제공합니다.
+ **더 높은 포트 및 IP 제한** - 리전 NAT 게이트웨이는 가용 영역당 최대 32개의 IP 주소를 지원합니다(영역 NAT 게이트웨이의 경우 8개). 각 IP 주소는 인기 있는 대상(대상 IP, 대상 포트 및 프로토콜의 고유한 조합으로 식별됨)에 대한 동시 연결 제한을 55,000만큼 늘립니다.

## 리전 NAT 게이트웨이를 사용해야 하는 경우
<a name="when-to-use-regional-nat-gateways"></a>

프라이빗 연결이 필요한 경우를 제외한 모든 사용 사례에 리전 NAT 게이트웨이를 사용하는 것이 좋습니다. 리전 NAT 게이트웨이는 프라이빗 연결을 제공하지 않으므로 프라이빗 NAT 사용 사례의 경우 영역 가용성 모드에서 NAT 게이트웨이를 사용하는 것이 좋습니다.

## 리전 NAT 게이트웨이 작동 방식
<a name="how-regional-nat-gateways-work"></a>

새 가용 영역에서 리소스를 시작하면 리전 NAT 게이트웨이가 해당 가용 영역에 네트워크 인터페이스(ENI)가 존재하는지 감지하고 자동으로 해당 영역으로 확장됩니다. 마찬가지로 활성 워크로드가 없는 가용 영역에서는 NAT 게이트웨이가 축소됩니다.

리소스가 새 가용 영역에서 인스턴스화된 후 리전 NAT 게이트웨이가 해당 영역으로 확장되는 데 최대 60분이 걸릴 수 있습니다. 이 확장이 완료될 때까지 이 리소스의 관련 트래픽은 기존 가용 영역 중 하나의 리전 NAT 게이트웨이를 통해 영역 간에 처리됩니다.

리전 NAT 게이트웨이는 다음 두 가지 모드를 지원합니다.
+ **자동 모드** - 이 모드에서는 AWS가 IP 주소 및 가용 영역 확장을 자동으로 관리합니다(권장). 이 모드에서 자체 IP 주소를 사용하려고 하고 Amazon VPC IPAM을 사용하는 경우 *Amazon VPC IPAM 사용 설명서*의 [IPAM 정책을 사용하여 퍼블릭 IPv4 할당 전략 정의](https://docs.aws.amazon.com/ipam/define-public-ipv4-allocation-strategy-with-ipam-policies.xml)를 참조하세요.
+ **수동 모드** - 이 모드에서는 수동으로 IP 주소를 관리하고 각 가용 영역에 대한 네트워크 주소 변환을 제어합니다. 수동 모드에서는 사용자가 가용 영역 전체에서 NAT 게이트웨이를 확장 및 축소해야 합니다.

## 가격 책정
<a name="pricing"></a>

요금에 대한 자세한 내용은 [Amazon VPC 요금](https://aws.amazon.com/vpc/pricing/)을 참조하세요.

## 리전 NAT 게이트웨이 생성
<a name="create-a-regional-nat-gateway"></a>

### 콘솔 사용
<a name="using-the-console"></a>

1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.

1. 탐색 창에서 **NAT 게이트웨이**를 선택합니다.

1. **NAT 게이트웨이 생성**을 선택합니다.

1. **가용 모드**에서 **리전**을 선택합니다. 리전 가용성을 선택할 때는 서브넷을 지정할 필요가 없습니다.

1. VPC를 선택합니다.

1. 나머지 구성을 완료하고 **NAT 게이트웨이 생성**을 선택합니다.

### AWS CLI 사용
<a name="using-the-aws-cli"></a>

리전 NAT 게이트웨이 생성

```
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
```

NAT 게이트웨이 세부 정보 보기

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
```

IP 주소 추가(수동 모드)

```
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
```

IP 주소 제거

```
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
```

리전 NAT 게이트웨이 삭제

```
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
```

## 영역에서 리전 NAT 게이트웨이로 변환
<a name="convert-from-zonal-to-regional-nat-gateways"></a>

**중요**  
이렇게 하면 기존 연결이 재설정됩니다. 유지 관리 기간에 이 단계를 완료하는 것이 좋습니다.

다음 두 가지 방법 중 하나를 사용하여 기존 영역 NAT 게이트웨이를 리전 NAT 게이트웨이로 변환할 수 있습니다.

**새 IP 주소를 사용하는 리전 NAT 게이트웨이를 사용하려는 경우**

1. 새 리전 NAT 게이트웨이 생성

1. 리전 NAT 게이트웨이를 가리키도록 라우팅 테이블 업데이트

1. 이전 영역 NAT 게이트웨이 삭제

이 방법은 새 IP 주소를 사용하고 경로가 업데이트될 때 기존 연결을 재설정합니다.

**기존 IP 주소를 리전 NAT 게이트웨이에서 재사용하려는 경우**

1. 기존 영역 NAT 게이트웨이를 삭제하여 IP 주소 해제

1. 해제된 IP 주소를 사용하여 리전 NAT 게이트웨이 생성

1. 리전 NAT 게이트웨이를 가리키도록 라우팅 테이블 업데이트

이 방법은 IP 주소를 유지하지만 전환 중에 트래픽이 중단되므로 유지 관리 기간이 필요합니다.

# NAT Gateway 사용 사례
<a name="nat-gateway-scenarios"></a>

다음은 퍼블릭 및 프라이빗 NAT 게이트웨이의 사용 사례입니다.

**Topics**
+ [프라이빗 서브넷에서 인터넷 액세스](#public-nat-internet-access)
+ [허용 목록에 있는 IP 주소를 사용하여 네트워크에 액세스](#private-nat-allowed-range)
+ [중첩되는 네트워크 간에 통신 사용](#private-nat-overlapping-networks)

## 프라이빗 서브넷에서 인터넷 액세스
<a name="public-nat-internet-access"></a>

퍼블릭 NAT 게이트웨이를 사용하여 프라이빗 서브넷의 인스턴스가 아웃바운드 트래픽을 인터넷으로 전송할 수 있도록 하는 동시에 인터넷이 인스턴스에 대한 연결을 설정하는 것을 방지할 수 있습니다.

**Topics**
+ [개요](#public-nat-gateway-overview)
+ [라우팅](#public-nat-gateway-routing)
+ [퍼블릭 NAT 게이트웨이 테스트](#public-nat-gateway-testing)

### 개요
<a name="public-nat-gateway-overview"></a>

다음 다이어그램에서 이 사용 사례를 보여줍니다. 각 가용 영역에 2개의 서브넷이 있는 2개의 가용 영역이 있습니다. 각 서브넷에 대한 라우팅 테이블에 따라 트래픽이 라우팅되는 방법이 결정됩니다. 가용 영역 A에서 퍼블릭 서브넷의 인스턴스는 인터넷 게이트웨이에 대한 경로를 통해 인터넷에 연결할 수 있지만 프라이빗 서브넷의 인스턴스는 인터넷에 대한 경로가 없습니다. 가용 영역 B에서 퍼블릭 서브넷은 NAT 게이트웨이를 포함하고 프라이빗 서브넷의 인스턴스는 퍼블릭 서브넷의 NAT 게이트웨이 경로를 통해 인터넷에 연결할 수 있습니다. 프라이빗 및 퍼블릭 NAT 게이트웨이는 모두 인스턴스의 소스 프라이빗 IPv4 주소를 프라이빗 NAT 게이트웨이의 프라이빗 IPv4 주소에 매핑하지만 퍼블릭 NAT 게이트웨이의 경우 인터넷 게이트웨이는 퍼블릭 NAT 게이트웨이의 프라이빗 IPv4 주소를 NAT 게이트웨이와 연결된 엘라스틱 IP 주소에 매핑합니다. 인스턴스에 응답 트래픽을 전송할 때 인스턴스는 퍼블릭 또는 프라이빗 NAT 게이트웨어 여부에 상관없이 NAT 게이트웨이는 주소를 원래 소스 IP 주소로 다시 변환합니다.

![\[퍼블릭 및 프라이빗 서브넷이 있는 VPC, NAT 게이트웨이 및 인터넷 게이트웨이.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/public-nat-gateway-diagram.png)


가용 영역 A의 프라이빗 서브넷에 있는 인스턴스도 인터넷에 연결해야 하는 경우 이 서브넷에서 가용 영역 B의 NAT 게이트웨이로 가는 경로를 생성할 수 있습니다. 또는 인터넷 액세스가 필요한 리소스가 포함된 각 가용 영역에 NAT 게이트웨이를 생성하여 복원력을 향상시킬 수 있습니다. 예시 다이어그램은 [예시: 프라이빗 서브넷과 NAT에 서버가 있는 VPC](vpc-example-private-subnets-nat.md) 섹션을 참조하세요.

### 라우팅
<a name="public-nat-gateway-routing"></a>

다음은 가용 영역 A의 퍼블릭 서브넷과 연결된 라우팅 테이블입니다. 첫 번째 항목은 로컬 경로입니다. 서브넷의 인스턴스가 프라이빗 IP 주소를 사용하여 VPC의 다른 인스턴스와 통신할 수 있도록 합니다. 두 번째 항목은 다른 모든 서브넷 트래픽을 인터넷 게이트웨이로 전송하여 서브넷의 인스턴스가 인터넷에 액세스할 수 있도록 합니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| VPC CIDR | 로컬 | 
| 0.0.0.0/0 | internet-gateway-id | 

다음은 가용 영역 A의 프라이빗 서브넷과 연결된 라우팅 테이블입니다. 첫 번째 항목은 로컬 경로이며 이 경로는 서브넷의 인스턴스가 프라이빗 IP 주소를 사용하여 VPC의 다른 인스턴스와 통신할 수 있도록 합니다. 이 서브넷의 인스턴스에는 인터넷에 대한 액세스 권한이 없습니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| VPC CIDR | 로컬 | 

다음은 가용 영역 B의 퍼블릭 서브넷과 연결된 라우팅 테이블입니다. 첫 번째 항목은 로컬 경로이며, 이 경로는 서브넷의 인스턴스가 프라이빗 IP 주소를 사용하여 VPC의 다른 인스턴스와 통신할 수 있도록 합니다. 두 번째 항목은 다른 모든 서브넷 트래픽을 인터넷 게이트웨이로 전송하여 서브넷의 NAT 게이트웨이가 인터넷에 액세스할 수 있도록 합니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| VPC CIDR | 로컬 | 
| 0.0.0.0/0 | internet-gateway-id | 

다음은 가용 영역 B의 프라이빗 서브넷과 연결된 라우팅 테이블입니다. 첫 번째 항목은 로컬 경로입니다. 서브넷의 인스턴스가 프라이빗 IP 주소를 사용하여 VPC의 다른 인스턴스와 통신할 수 있도록 합니다. 두 번째 항목에서는 기타 서브넷 트래픽을 모두 NAT 게이트웨이로 전송합니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| VPC CIDR | 로컬 | 
| 0.0.0.0/0 | nat-gateway-id | 

자세한 내용은 [서브넷 라우팅 테이블 관리](WorkWithRouteTables.md) 섹션을 참조하세요.

### 퍼블릭 NAT 게이트웨이 테스트
<a name="public-nat-gateway-testing"></a>

NAT 게이트웨이를 만들고 라우팅 테이블을 업데이트한 후에는 프라이빗 서브넷의 인스턴스에서 인터넷의 원격 주소를 ping하여 인터넷에 연결할 수 있는지 테스트할 수 있습니다. 이렇게 하는 방법의 예는 [인터넷 연결 테스트](#nat-gateway-testing-example) 섹션을 참조하세요.

인터넷에 연결할 수 있는 경우 인터넷 트래픽이 NAT 게이트웨이를 통해 라우팅되는지도 확인할 수 있습니다.
+ 프라이빗 서브넷의 인스턴스에서 전송되는 트래픽의 경로를 추적합니다. 이렇게 하려면 프라이빗 서브넷의 Linux 인스턴스에서 `traceroute` 명령을 실행합니다. 출력에서 홉 중 하나(일반적으로 첫 번째 홉)에 NAT 게이트웨이의 프라이빗 IP 주소가 보여야 합니다.
+ 프라이빗 서브넷의 인스턴스에서 소스 IP 주소에 연결할 때 이를 표시하는 타사 웹 사이트 또는 도구를 사용합니다. 소스 IP 주소는 NAT 게이트웨이의 탄력적 IP 주소여야 합니다.

이러한 테스트가 실패하는 경우 [NAT 게이트웨이 문제 해결](nat-gateway-troubleshooting.md) 섹션을 참조하세요.

#### 인터넷 연결 테스트
<a name="nat-gateway-testing-example"></a>

다음 예시는 프라이빗 서브넷의 인스턴스가 인터넷에 연결할 수 있는지 테스트하는 방법을 보여 줍니다.

1. 퍼블릭 서브넷에서 인스턴스를 시작합니다(이 인스턴스를 Bastion Host로 사용). 시작 마법사에서 Amazon Linux AMI를 선택하고 인스턴스에 퍼블릭 IP 주소를 할당해야 합니다. 보안 그룹 규칙이 로컬 네트워크의 IP 주소 범위에서 전송되는 인바운드 SSH 트래픽을 허용하고, 프라이빗 서브넷의 IP 주소 범위로 전송되는 아웃바운드 SSH 트래픽을 허용하는지 확인합니다. 이 테스트에서는 인바운드 및 아웃바운드 SSH 트래픽 모두에 `0.0.0.0/0`을 사용할 수 있습니다.

1. 프라이빗 서브넷에서 인스턴스를 시작합니다. 시작 마법사에서 Amazon Linux AMI를 선택해야 합니다. 인스턴스에 퍼블릭 IP 주소를 할당하지 마세요. 보안 그룹 규칙이 퍼블릭 서브넷에서 시작한 인스턴스의 프라이빗 IP 주소에서 전송되는 인바운드 SSH 트래픽 및 모든 아웃바운드 ICMP 트래픽을 허용하는지 확인합니다. 퍼블릭 서브넷에서 인스턴스를 시작하는 데 사용한 것과 동일한 키 페어를 선택해야 합니다.

1. 로컬 컴퓨터에서 SSH 에이전트 전달을 구성하고, 퍼블릭 서브넷의 Bastion Host에 연결합니다. 자세한 내용은 [Linux 또는 macOS에 대한 SSH 에이전트 전달을 구성하려면](#ssh-forwarding-linux) 또는 [Windows에 대한 SSH 에이전트 전달 구성](#ssh-forwarding-windows) 단원을 참조하세요.

1. Bastion Host에서 프라이빗 서브넷의 인스턴스에 연결한 다음, 프라이빗 서브넷의 인스턴스에서 인터넷 연결을 테스트합니다. 자세한 내용은 [인터넷 연결을 테스트하려면](#test-internet-connection) 단원을 참조하세요.<a name="ssh-forwarding-linux"></a>

**Linux 또는 macOS에 대한 SSH 에이전트 전달을 구성하려면**

1. 로컬 시스템에서 인증 에이전트에 프라이빗 키를 추가합니다.

   Linux의 경우 다음 명령을 사용합니다.

   ```
   ssh-add -c mykeypair.pem
   ```

   macOS의 경우 다음 명령을 사용합니다.

   ```
   ssh-add -K mykeypair.pem
   ```

1. 다음 예시와 같이 `-A` 옵션으로 퍼블릭 서브넷의 인스턴스에 연결하여 SSH 에이전트 전달을 활성화하고 해당 인스턴스의 퍼블릭 주소를 사용합니다.

   ```
   ssh -A ec2-user@54.0.0.123
   ```<a name="ssh-forwarding-windows"></a>

**Windows에 대한 SSH 에이전트 전달 구성**  
Windows에서 사용 가능한 OpenSSH 클라이언트를 사용하거나 선호하는 SSH 클라이언트(예: PuTTY)를 설치할 수 있습니다.

------
#### [ OpenSSH ]

[Getting started with OpenSSH for Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse)의 설명에 따라 Windows용 OpenSSH를 설치합니다. 그런 다음 인증 에이전트에 키를 추가합니다. 자세한 내용은 [Key-based authentication in OpenSSH for Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement)를 참조하세요.

------
#### [ PuTTY ]

1. Pageant가 아직 설치되어 있지 않으면 [PuTTY 다운로드 페이지](https://www.chiark.greenend.org.uk/~sgtatham/putty/)에서 Pageant를 다운로드하여 설치합니다.

1. 프라이빗 키를 .ppk 형식으로 변환합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [PuTTYgen을 사용하여 프라이빗 키 변환](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key)을 참조하세요.

1. Pageant를 시작하고 작업 표시줄의 Pageant 아이콘을 마우스 오른쪽 버튼으로 클릭한 다음 **키 추가(Add Key)**를 선택합니다. 생성한 .ppk 파일을 선택하고 필요에 따라 암호를 입력한 다음 **열기(Open)**를 선택합니다.

1. PuTTY 세션을 시작하고 퍼블릭 IP 주소를 사용하여 퍼블릭 서브넷의 인스턴스에 연결합니다. 자세한 내용은 [PuTTY를 사용하여 Linux 인스턴스에 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html)을 참조하세요. [**Auth**] 범주에서 [**Allow agent forwarding**] 옵션을 선택하고 [**Private key file for authentication**] 상자를 공백 상태로 둡니다.

------<a name="test-internet-connection"></a>

**인터넷 연결을 테스트하려면**

1. 다음 예시와 같이 퍼블릭 서브넷의 인스턴스에서 프라이빗 IP 주소를 사용하여 프라이빗 서브넷의 인스턴스에 연결합니다.

   ```
   ssh ec2-user@10.0.1.123
   ```

1. 프라이빗 인스턴스에서 ICMP가 활성화된 웹 사이트에 대해 `ping` 명령을 실행하여 인터넷에 연결할 수 있는지 테스트합니다.

   ```
   ping ietf.org
   ```

   ```
   PING ietf.org (4.31.198.44) 56(84) bytes of data.
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
   ...
   ```

   키보드에서 [**Ctrl\$1C**]를 눌러 `ping` 명령을 취소합니다. `ping` 명령이 실패할 경우 [인스턴스에서 인터넷에 액세스할 수 없음](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-no-internet-connection)을 참조하세요.

1. (선택 사항) 더 이상 필요하지 않으면 인스턴스를 종료합니다. 자세한 내용은 *Amazon EC2 사용 설명서*의 [인스턴스 종료](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html)를 참조하세요.

## 허용 목록에 있는 IP 주소를 사용하여 네트워크에 액세스
<a name="private-nat-allowed-range"></a>

프라이빗 NAT 게이트웨이를 통해 허용 목록에 있는 주소 풀을 사용하여 VPC에서 온프레미스 네트워크로의 통신을 사용할 수 있습니다. 각 인스턴스에 허용 목록에 있는 IP 주소 범위의 별도 IP 주소를 할당하는 대신 허용 목록에 있는 IP 주소 범위의 IP 주소를 사용하여 프라이빗 NAT 게이트웨이를 통해 온프레미스 네트워크로 향하는 서브넷의 트래픽을 라우팅할 수 있습니다.

**Topics**
+ [개요](#private-nat-allowed-range-overview)
+ [리소스](#private-nat-allowed-range-resources)
+ [라우팅](#private-nat-allowed-range-routing)

### 개요
<a name="private-nat-allowed-range-overview"></a>

다음 다이어그램은 인스턴스가 Site-to-Site VPN을 통해 온프레미스 리소스에 액세스할 수 있는 방법을 보여줍니다. 인스턴스의 트래픽은 VPN 연결을 통해 가상 프라이빗 게이트웨이로 라우팅되고 고객 게이트웨이로 라우팅된 후 온프레미스 네트워크의 대상으로 라우팅됩니다. 그러나 대상에서 100.64.1.0/28과 같은 특정 IP 주소 범위의 트래픽만 허용된다고 가정해 보겠습니다. 이 경우에는 이러한 인스턴스의 트래픽이 온프레미스 네트워크에 도달하지 못하게 됩니다.

![\[Site-to-Site VPN 연결을 사용하여 온프레미스 네트워크에 액세스\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/allowed-range.png)


다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. VPC에는 원본 IP 주소 범위와 함께 허용된 IP 주소 범위가 있습니다. VPC에는 프라이빗 NAT 게이트웨이가 있는 허용된 IP 주소 범위의 서브넷이 있습니다. 온프레미스 네트워크로 향하는 인스턴스의 트래픽은 VPN 연결로 라우팅되기 전에 NAT 게이트웨이로 전송됩니다. 온프레미스 네트워크는 허용된 IP 주소 범위에서 제공되는 NAT 게이트웨이의 소스 IP 주소가 있는 인스턴스에서 트래픽을 수신합니다.

![\[프라이빗 NAT 게이트웨이를 통해 라우팅되는 VPC 서브넷 트래픽\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/private-nat-allowed-range.png)


### 리소스
<a name="private-nat-allowed-range-resources"></a>

다음과 같이 리소스를 생성하거나 업데이트합니다.
+ 허용된 IP 주소 범위를 VPC와 연결합니다.
+ 허용된 IP 주소 범위의 VPC에서 서브넷을 생성합니다.
+ 새 서브넷에서 프라이빗 NAT 게이트웨이를 생성합니다.
+ 서브넷의 라우팅 테이블을 인스턴스로 업데이트하여 온프레미스 네트워크로 향하는 트래픽을 NAT 게이트웨이로 전송합니다. 온프레미스 네트워크로 향하는 트래픽을 가상 프라이빗 게이트웨이로 전송하는 프라이빗 NAT 게이트웨이가 있는 서브넷의 라우팅 테이블에 경로를 추가합니다.

### 라우팅
<a name="private-nat-allowed-range-routing"></a>

다음은 첫 번째 서브넷과 연결된 라우팅 테이블입니다. 각 VPC CIDR에 대한 로컬 경로가 있습니다. 로컬 경로를 사용하면 서브넷의 리소스가 프라이빗 IP 주소를 사용하여 VPC의 다른 리소스와 통신할 수 있습니다. 세 번째 항목은 온프레미스 네트워크로 향하는 트래픽을 프라이빗 NAT 게이트웨이로 전송합니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.1.0/24 | 로컬 | 
| 192.168.0.0/16 | nat-gateway-id | 

다음은 두 번째 서브넷과 연결된 라우팅 테이블입니다. 각 VPC CIDR에 대한 로컬 경로가 있습니다. 로컬 경로를 사용하면 서브넷의 리소스가 프라이빗 IP 주소를 사용하여 VPC의 다른 리소스와 통신할 수 있습니다. 세 번째 항목은 온프레미스 네트워크로 향하는 트래픽을 가상 프라이빗 게이트웨이로 전송합니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.1.0/24 | 로컬 | 
| 192.168.0.0/16 | vgw-id | 

## 중첩되는 네트워크 간에 통신 사용
<a name="private-nat-overlapping-networks"></a>

프라이빗 NAT 게이트웨이를 사용하여 네트워크 간에 CIDR 범위가 중첩되더라도 통신할 수 있습니다. 예를 들어, VPC A의 인스턴스가 VPC B의 인스턴스에서 제공되는 서비스에 액세스해야 한다고 가정해 보십시오.

![\[CIDR 범위가 중첩되는 두 개의 VPC입니다.\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/overlapping-networks.png)


**Topics**
+ [개요](#private-nat-overlapping-networks-overview)
+ [리소스](#private-nat-overlapping-networks-resources)
+ [라우팅](#private-nat-overlapping-networks-routing)

### 개요
<a name="private-nat-overlapping-networks-overview"></a>

다음 다이어그램은 이 시나리오를 위한 구성의 주요 구성 요소를 보여줍니다. 먼저 IP 관리 팀이 중첩될 수 있는 주소 범위(라우팅 불가능한 주소 범위) 및 중첩될 수 없는 주소 범위(라우팅 가능한 주소 범위)를 결정합니다. IP 관리 팀은 라우팅 가능한 주소 범위 풀에서 요청이 있을 경우 프로젝트에 주소 범위를 할당합니다.

각 VPC에는 라우팅이 불가능한 원래 IP 주소 범위와 IP 관리 팀에 의해 할당된 라우팅 가능한 IP 주소 범위가 있습니다. VPC A에는 프라이빗 NAT 게이트웨이가 포함된 라우팅 가능한 범위의 서브넷이 있습니다. 프라이빗 NAT 게이트웨이는 해당 서브넷에서 해당 IP 주소를 가져옵니다. VPC B에는 Application Load Balancer가 포함된 라우팅 가능한 범위의 서브넷이 있습니다. Application Load Balancer는 해당 서브넷에서 해당 IP 주소를 가져옵니다.

VPC B의 라우팅 불가능한 서브넷에 있는 인스턴스로 향하는 VPC A의 라우팅 불가능한 서브넷에 있는 인스턴스의 트래픽은 프라이빗 NAT 게이트웨이를 통해 전송된 다음 전송 게이트웨이로 라우팅됩니다. 전송 게이트웨이는 트래픽을 Application Load Balancer로 전송합니다. Application Load Balancer는 VPC B의 라우팅 불가능한 서브넷에 있는 대상 인스턴스 중 하나로 해당 트래픽을 라우팅합니다. 전송 게이트웨이에서 Application Load Balancer로의 이 트래픽에는 프라이빗 NAT 게이트웨이의 소스 IP 주소가 있습니다. 따라서 로드 밸런서의 응답 트래픽은 프라이빗 NAT 게이트웨이의 주소를 대상으로 사용합니다. 응답 트래픽은 전송 게이트웨이로 보내진 후 프라이빗 NAT 게이트웨이로 라우팅됩니다. NAT 게이트웨이는 대상을 VPC A의 라우팅 불가능한 서브넷에 있는 인스턴스로 변환합니다.

![\[중첩되는 CIDR이 있는 VPC 간 통신을 위한 프라이빗 NAT 게이트웨이 및 전송 게이트웨이가 포함된 VPC\]](http://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/images/private-nat-overlapping-networks.png)


### 리소스
<a name="private-nat-overlapping-networks-resources"></a>

다음과 같이 리소스를 생성하거나 업데이트합니다.
+ 할당된 라우팅 가능한 IP 주소 범위를 각각의 해당 VPC에 연결합니다.
+ 라우팅 가능한 IP 주소 범위의 VPC A에서 서브넷을 생성하고 이 새 서브넷에서 프라이빗 NAT 게이트웨이를 생성합니다.
+ 라우팅 가능한 IP 주소 범위의 VPC B에서 서브넷을 생성하고 이 새 서브넷에서 Application Load Balancer를 생성합니다. 로드 밸런서의 대상 그룹에 라우팅 불가능한 서브넷의 인스턴스를 등록합니다.
+ VPC를 연결할 전송 게이트웨이를 생성합니다. 경로 전파를 사용 중지했는지 확인합니다. 각 VPC를 전송 게이트웨이에 연결하는 경우에는 VPC의 라우팅 가능한 주소 범위를 사용하세요.
+ VPC A의 라우팅 불가능한 서브넷의 라우팅 테이블을 업데이트하여 VPC B의 라우팅 가능한 주소 범위로 향하는 모든 트래픽을 프라이빗 NAT 게이트웨이로 전송합니다. VPC A의 라우팅 가능한 서브넷의 라우팅 테이블을 업데이트하여 VPC B의 라우팅 가능한 주소 범위로 향하는 모든 트래픽을 전송 게이트웨이로 전송합니다.
+ VPC B의 라우팅 가능한 서브넷의 라우팅 테이블을 업데이트하여 VPC A의 라우팅 가능한 주소 범위로 향하는 모든 트래픽을 전송 게이트웨이로 전송합니다.

### 라우팅
<a name="private-nat-overlapping-networks-routing"></a>

다음은 VPC A의 라우팅 불가능한 서브넷에 대한 라우팅 테이블입니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.1.0/24 | 로컬 | 
| 100.64.2.0/24 | nat-gateway-id | 

다음은 VPC A의 라우팅 가능한 서브넷에 대한 라우팅 테이블입니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.1.0/24 | 로컬 | 
| 100.64.2.0/24 | transit-gateway-id | 

다음은 VPC B의 라우팅 불가능한 서브넷에 대한 라우팅 테이블입니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.2.0/24 | 로컬 | 

다음은 VPC B의 라우팅 가능한 서브넷에 대한 라우팅 테이블입니다.


| 대상 주소 | 대상 | 
| --- | --- | 
| 10.0.0.0/16 | 로컬 | 
| 100.64.2.0/24 | 로컬 | 
| 100.64.1.0/24 | transit-gateway-id | 

다음은 전송 게이트웨이 라우팅 테이블입니다.


| CIDR | 연결 | 경로 유형 | 
| --- | --- | --- | 
| 100.64.1.0/24 | VPC A 연결 | 정적 | 
| 100.64.2.0/24 | VPC B 연결 | 정적 | 

# DNS64 및 NAT64
<a name="nat-gateway-nat64-dns64"></a>

NAT 게이트웨이는 IPv6에서 IPv4로의 네트워크 주소 변환을 지원합니다(일반적으로 NAT64라고 함). NAT64는 IPv6 AWS 리소스가 동일한 VPC 또는 다른 VPC, 온프레미스 네트워크 또는 인터넷을 통해 IPv4 리소스와 통신하도록 지원합니다. Amazon Route 53 Resolver 기반 DNS64를 포함하여 NAT64를 사용하거나 고유 DNS64 서버를 사용할 수 있습니다.

**Topics**
+ [DNS64란 무엇입니까?](#nat-gateway-dns64-what-is)
+ [NAT64란 무엇입니까?](#nat-gateway-nat64-what-is)
+ [DNS64 및 NAT64 구성](#nat-gateway-nat64-dns64-walkthrough)

## DNS64란 무엇입니까?
<a name="nat-gateway-dns64-what-is"></a>

VPC에서 실행되는 IPv6 전용 워크로드는 IPv6 네트워크 패킷만 보내고 받을 수 있습니다. DNS64 없이는 IPv4 전용 서비스에 대한 DNS 쿼리는 응답으로 IPv4 대상 주소를 출력하며 IPv6 전용 서비스와 통신할 수 없습니다. 이러한 통신 격차를 해소하기 위해 서브넷에 대해 DNS64를 활성화하면 서브넷 내의 모든 해당 AWS 리소스에 적용됩니다. DNS64에서는 Amazon Route 53 Resolver가 쿼리한 서비스에 대한 DNS 레코드를 조회하고 다음 중 하나를 수행합니다.
+ 레코드에 IPv6 주소가 포함되어 있으면 원래 레코드를 반환하고 IPv6을 통한 변환 없이 연결이 설정됩니다.
+ DNS 레코드의 대상과 연결된 IPv6 주소가 없는 경우 Route 53 Resolver는 레코드의 IPv4 주소에 대하여 RFC6052(`64:ff9b::/96`)에 정의된 잘 알려진 `/96` 접두사를 가장하여 주소를 합성합니다. IPv6 전용 서비스는 네트워크 패킷을 합성된 IPv6 주소로 보냅니다. 그런 다음 NAT 게이트웨이를 통해 이 트래픽을 라우팅해야 합니다. 이 게이트웨이는 트래픽에 대해 필요한 변환을 수행하여 서브넷의 IPv6 서비스가 해당 서브넷 외부의 IPv4 서비스에 액세스할 수 있도록 합니다.

AWS CLI로 [modify-subnet-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html)를 사용하거나 서브넷을 선택하고 **작업(Actions)** > **서브넷 설정 편집(Edit subnet settings)**을 선택하여 VPC 콘솔에서 서브넷의 DNS64를 사용 또는 사용 중지할 수 있습니다.

## NAT64란 무엇입니까?
<a name="nat-gateway-nat64-what-is"></a>

NAT64를 사용하면 Amazon VPC의 IPv6 전용 서비스가 동일한 VPC(다른 서브넷에 있음) 또는 연결된 VPC, 온프레미스 네트워크 또는 인터넷을 통해 IPv4 전용 서비스와 통신할 수 있습니다.

NAT64는 기존 NAT 게이트웨이 또는 새로 만든 NAT 게이트웨이에서 자동으로 사용할 수 있습니다. 이 기능을 활성화하거나 비활성화할 수 없습니다. NAT 게이트웨이가 있는 서브넷은 이중 스택 서브넷이 아니어도 NAT64가 작동합니다.

DNS64를 사용하도록 설정한 후 IPv6 전용 서비스가 NAT 게이트웨이를 통해 합성된 IPv6 주소로 네트워크 패킷을 전송하면 다음과 같은 일이 발생합니다.
+ `64:ff9b::/96` 접두사에서 NAT 게이트웨이는 원래 대상이 IPv4임을 인식하고 다음을 대체하여 IPv6 패킷을 IPv4로 변환합니다.
  + 인터넷 게이트웨이에 의해 탄력적 IP 주소로 변환되는 자체 프라이빗 IP가 있는 소스 IPv6
  + `64:ff9b::/96` 접두사를 잘라서 대상 IPv6에서 IPv4로 연결합니다.
+ NAT 게이트웨이는 인터넷 게이트웨이, 가상 프라이빗 게이트웨이 또는 전송 게이트웨이를 통해 변환된 IPv4 패킷을 대상으로 전송하고 연결을 시작합니다.
+ IPv4 전용 호스트는 IPv4 응답 패킷을 다시 반환합니다. 연결이 설정된 후 NAT 게이트웨이는 외부 호스트에서 응답 IPv4 패킷을 수락합니다.
+ 응답 IPv4 패킷은 NAT 게이트웨이로 향합니다. 이 게이트웨이는 IP(대상 IP)를 호스트의 IPv6 주소로 바꾸고 소스 IPv4 주소 패킷을 `64:ff9b::/96`로 다시 가장하여 패킷을 수신합니다. 그런 다음 패킷은 로컬 경로를 따라 호스트로 흐릅니다.

이러한 방식으로 NAT 게이트웨이를 사용하면 서브넷의 IPv6 전용 워크로드가 서브넷 외부의 IPv4 전용 서비스와 통신할 수 있습니다.

## DNS64 및 NAT64 구성
<a name="nat-gateway-nat64-dns64-walkthrough"></a>

이 단원의 단계에 따라 IPv4 전용 서비스와의 통신을 사용하도록 DNS64 및 NAT64를 구성합니다.

**Topics**
+ [AWS CLI를 통해 인터넷에서 IPv4 전용 서비스와의 통신을 활성화합니다.](#nat-gateway-nat64-dns64-walkthrough-internet)
+ [온프레미스 환경에서 IPv4 전용 서비스와의 통신 사용](#nat-gateway-nat64-dns64-walkthrough-on-prem)

### AWS CLI를 통해 인터넷에서 IPv4 전용 서비스와의 통신을 활성화합니다.
<a name="nat-gateway-nat64-dns64-walkthrough-internet"></a>

서브넷 외부의 IPv4 전용 서비스와 통신해야 하는 IPv6 전용 워크로드를 포함한 서브넷이 있는 경우, 이 예에서는 이러한 IPv6 전용 서비스가 인터넷에서 IPv4 전용 서비스와 통신하도록 설정하는 방법을 보여 줍니다.

먼저 퍼블릭 서브넷(IPv6 전용 워크로드가 포함된 서브넷과는 별개)에서 NAT 게이트웨이를 구성해야 합니다. 예를 들어 NAT 게이트웨이가 포함된 서브넷에는 인터넷 게이트웨이를 가리키는 `0.0.0.0/0` 경로가 있어야 합니다.

이러한 IPv6 전용 서비스가 인터넷에서 IPv4 전용 서비스에 연결할 수 있도록 하려면 다음 단계를 완료하세요.

1. IPv6 전용 워크로드가 포함된 서브넷의 라우팅 테이블에 다음 세 가지 경로를 추가합니다.
   + NAT 게이트웨이를 가리키는 IPv4 경로(있는 경우).
   + NAT 게이트웨이를 가리키는 `64:ff9b::/96` 경로. 이렇게 하면 IPv4 전용 서비스로 향하는 IPv6 전용 워크로드의 트래픽이 NAT 게이트웨이를 통해 라우팅될 수 있습니다.
   + 송신 전용 인터넷 게이트웨이(또는 인터넷 게이트웨이)를 가리키는 IPv6 `::/0` 경로.

   참고로 `::/0`이 인터넷 게이트웨이를 가리키면 외부 IPv6 호스트(VPC 외부)가 IPv6을 통한 연결을 시작할 수 있습니다.

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
   0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
   ```

1. IPv6 전용 워크로드가 포함된 서브넷에서 DNS64 기능을 활성화합니다.

   ```
   aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
   ```

이제 프라이빗 서브넷의 리소스가 인터넷의 IPv4 및 IPv6 서비스와 상태 저장 연결을 설정할 수 있습니다. `64:ff9b::/96` 트래픽에 대한 송신 및 수신 트래픽을 허용하도록 보안 그룹 및 NACL을 적절히 구성합니다.

### 온프레미스 환경에서 IPv4 전용 서비스와의 통신 사용
<a name="nat-gateway-nat64-dns64-walkthrough-on-prem"></a>

Amazon Route 53 Resolver를 사용하면 VPC를 온프레미스 네트워크로 또는 그 반대로 DNS 쿼리를 전달할 수 있습니다. 이를 위해 다음 정책을 사용할 수 있습니다.
+ VPC에 Route 53 Resolver 아웃바운드 엔드포인트를 생성하고 Route 53 Resolver가 쿼리를 전달할 IPv4 주소를 할당합니다. 온프레미스 DNS 해석기의 경우 이 주소는 DNS 쿼리가 시작되는 IP 주소이므로 IPv4 주소여야 합니다.
+ Route 53 Resolver가 온프레미스 해석기에 전달할 DNS 쿼리의 도메인 이름을 지정하는 규칙을 하나 이상 만듭니다. 또한 온프레미스 해석기의 IPv4 주소를 지정합니다.
+ 이제 Route 53 Resolver 아웃바운드 엔드포인트를 설정했으므로 IPv6 전용 워크로드가 포함된 서브넷에서 DNS64를 활성화하고 NAT 게이트웨이를 통해 온프레미스 네트워크를 대상으로 하는 모든 데이터를 라우팅해야 합니다.

온프레미스 네트워크의 IPv4 전용 대상에서 DNS64 작동 방식:

1. VPC의 Route 53 Resolver 아웃바운드 엔드포인트에 IPv4 주소를 할당합니다.

1. IPv6 서비스의 DNS 쿼리는 IPv6을 통한 Route 53 Resolver로 이동합니다. Route 53 Resolver는 전달 규칙과 쿼리를 일치시키고 온프레미스 해석기의 IPv4 주소를 가져옵니다.

1. Route 53 Resolver는 쿼리 패킷을 IPv6에서 IPv4로 변환하여 아웃바운드 엔드포인트로 전달합니다. 엔드포인트의 각 IP 주소는 DNS 해석기의 온프레미스 IPv4 주소로 요청을 전달하는 하나의 ENI를 나타냅니다.

1. 온프레미스 해석기는 IPv4를 사용하여 아웃바운드 엔드포인트를 통해 Route 53 Resolver로 응답 패킷을 다시 보냅니다.

1. 쿼리가 DNS64 지원 서브넷에서 수행되었다고 가정하면 Route 53 Resolver는 다음 두 가지 작업을 수행합니다.

   1. 응답 패킷의 내용을 확인합니다. 레코드에 IPv6 주소가 있는 경우 콘텐츠는 그대로 유지되지만 IPv4 레코드만 포함된 경우에는 IPv4 주소에 대하여 `64:ff9b::/96`을 가장하여 IPv6 레코드도 합성합니다.

   1. 콘텐츠를 다시 패키징하여 IPv6을 통해 VPC 서비스로 전송합니다.

# NAT 게이트웨이의 트래픽 검사
<a name="nat-gateway-inspect-traffic"></a>

NAT 게이트웨이에 Network Firewall Proxy를 연결하여 NAT 게이트웨이의 트래픽을 검사하고 필터링할 수 있습니다. 이 보안 컨트롤을 사용하면 신뢰할 수 있는 경계 외부로의 데이터 유출을 방지하고 원치 않는 인바운드 응답을 차단할 수 있습니다.

## 작동 방식
<a name="nat-gateway-proxy-how-it-works"></a>

Network Firewall Proxy를 생성할 때는 Proxy를 연결할 기존 NAT 게이트웨이를 선택해야 합니다. Proxy가 생성되면 다음과 같은 작업을 수행합니다.
+ Proxy는 정규화된 도메인 이름과 함께 제공되며 애플리케이션이 http 및 https 연결 요청을 Proxy로 보내도록 설정해야 합니다. 프록시는 먼저 고객이 입력한 규칙에 따라 연결 요청의 도메인 이름을 필터링합니다. 고객이 허용하는 경우 프록시는 DNS 쿼리를 수행하여 도메인의 IP 주소를 가져옵니다. 그런 다음 최종 대상과의 TCP 연결을 설정합니다. TLS 복호화가 활성화되었는지 여부에 따라 프록시는 IP 주소 및 헤더 속성에 대해 TLS 연결을 필터링하고 정책에서 IP 및 헤더 속성(헤더 작업 및 URL 경로 포함)을 허용하는 경우에만 대상과 TLS 연결을 설정합니다.
+ 어플라이언스는 트래픽을 검사하고 필터링합니다.
+ 허용된 트래픽은 대상(인터넷, 온프레미스 환경 또는 다른 VPC)으로 계속됩니다.

## 어플라이언스 연결
<a name="nat-gateway-attaching-appliances"></a>

어플라이언스는 AWS Network Firewall을 통해 NAT 게이트웨이에 연결됩니다. 어플라이언스를 생성 및 연결하는 단계는 [Network Firewall Proxy 개발자 안내서](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html)를 참조하세요.

## 연결된 어플라이언스 보기
<a name="nat-gateway-viewing-attached-appliances"></a>

NAT 게이트웨이에 연결된 어플라이언스를 보려면 [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) 명령을 사용하세요.

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

응답에는 다음을 표시하는 `AttachedAppliances` 필드가 포함됩니다.
+ **Type** - 어플라이언스 유형(예: `network-firewall-proxy`)
+ **ApplianceArn** - 연결된 어플라이언스의 ARN
+ **AttachmentState** - 현재 연결 상태(`attached`, `detaching`, `detached`, `attach_failed`, `detach_failed`)
+ **ModificationState** - 현재 수정 상태(`modifying`, `completed`, `failed`)
+ **VpcEndpointId** - 검사 및 필터링을 위해 애플리케이션 VPC에서 프록시로 트래픽을 라우팅하는 데 사용되는 VPC 엔드포인트 ID
+ **FailureCode** - 어플라이언스 연결 또는 수정 작업이 실패한 경우의 실패 코드
+ **FailureMessage** - 어플라이언스 연결 또는 수정 작업이 실패한 경우 실패를 설명하는 설명 메시지

# Amazon CloudWatch를 사용하여 NAT 게이트웨이 모니터링
<a name="vpc-nat-gateway-cloudwatch"></a>

CloudWatch를 이용하여 NAT 게이트웨이를 모니터링하면 NAT 게이트웨이에 대한 정보를 수집하고, 거의 실시간에 가까운 읽기 가능한 지표를 만들 수 있습니다. 이 정보를 사용하여 NAT 게이트웨이를 모니터링하고 문제를 해결할 수 있습니다. 이러한 지표를 통해 NAT 게이트웨이의 상태와 성능을 파악하여 NAT 게이트웨이의 작업을 면밀히 모니터링하고 문제를 신속하게 해결할 수 있습니다.

CloudWatch에서 수집한 NAT 게이트웨이 지표에는 처리된 바이트, 패킷 수, 연결 수, 오류율과 같은 데이터 포인트가 포함됩니다. 이를 통해 NAT 게이트웨이를 통과하는 트래픽을 철저히 파악하고 이상 항목이나 병목 현상을 파악할 수 있습니다. CloudWatch는 1분 간격으로 이 지표 데이터를 제공하여 NAT 게이트웨이 동작에 대한 세부적인 최신 보기를 제공합니다.

또한 CloudWatch는 이 NAT 게이트웨이 지표 데이터를 15개월 동안 장기간 유지하므로 시간 경과에 따른 추세와 패턴을 분석할 수 있습니다. 이 기록 데이터를 사용하여 용량을 계획하고, 성능을 최적화하고, NAT 게이트웨이 사용의 장기적인 변화를 파악할 수 있습니다.

이러한 강력한 모니터링 기능을 활용하기 위해 특정 요구 사항에 맞게 사용자 지정 CloudWatch 대시보드 및 경보를 생성할 수 있습니다. 예를 들어 NAT 게이트웨이의 아웃바운드 데이터 전송이 특정 임곗값을 초과할 때마다 알리도록 설정하여 잠재적인 대역폭 제약을 사전에 해결할 수 있습니다.

요금에 대한 자세한 정보는 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.

**Topics**
+ [NAT 게이트웨이 지표 및 차원](metrics-dimensions-nat-gateway.md)
+ [NAT 게이트웨이 CloudWatch 지표 보기](viewing-metrics.md)
+ [NAT 게이트웨이를 모니터링하기 위한 CloudWatch 경보 생성](creating-alarms-nat-gateway.md)

# NAT 게이트웨이 지표 및 차원
<a name="metrics-dimensions-nat-gateway"></a>

NAT 게이트웨이에 사용할 수 있는 측정치는 아래와 같습니다. 설명 열에는 각 지표에 대한 설명과 [단위](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Unit) 및 [통계](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Statistics-definitions.html)가 포함됩니다.


| 지표 | 설명 | 
| --- | --- | 
| ActiveConnectionCount |  NAT 게이트웨이를 통한 동시 활성 TCP 연결의 총 수입니다. 0의 값은 NAT 게이트웨이를 통한 활성 연결이 없음을 나타냅니다. 단위: 개수 통계: 가장 유용한 통계는 `Max`입니다.  | 
| BytesInFromDestination |  NAT 게이트웨이가 대상으로부터 수신한 바이트 수입니다. `BytesOutToSource` 값이 `BytesInFromDestination` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있거나 NAT 게이트웨이가 적극적으로 차단하는 트래픽이 있을 수도 있습니다. 단위: 바이트 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| BytesInFromSource |  NAT 게이트웨이가 VPC 내 클라이언트로부터 수신한 바이트 수입니다. `BytesOutToDestination` 값이 `BytesInFromSource` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있을 수도 있습니다. 단위: 바이트 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| BytesOutToDestination |  NAT 게이트웨이를 통해 대상으로 전송된 바이트 수입니다. 0보다 큰 값은 NAT 게이트웨이 뒤에 있는 클라이언트에서 인터넷으로 가는 트래픽이 있음을 나타냅니다. `BytesOutToDestination` 값이 `BytesInFromSource` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있을 수도 있습니다. 단위: 바이트 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| BytesOutToSource |  NAT 게이트웨이를 통해 VPC 내 클라이언트로 전송된 바이트 수입니다. 0보다 큰 값은 인터넷에서 NAT 게이트웨이 뒤에 있는 클라이언트로 오는 트래픽이 있음을 나타냅니다. `BytesOutToSource` 값이 `BytesInFromDestination` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있거나 NAT 게이트웨이가 적극적으로 차단하는 트래픽이 있을 수도 있습니다. 단위: 바이트 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| ConnectionAttemptCount |  NAT 게이트웨이를 통해 이루어진 연결 시도 횟수. 여기에는 최초 SYN만 포함됩니다. 경우에 따라 `ConnectionAttemptCount`는 SYN 재전송으로 인해 `ConnectionEstablishedCount`보다 낮을 수 있습니다. `ConnectionEstablishedCount` 값이 `ConnectionAttemptCount` 값보다 작은 경우, NAT 게이트웨이 뒤의 클라이언트가 응답이 없는 새 연결을 시도했음을 나타냅니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| ConnectionEstablishedCount |  NAT 게이트웨이를 통해 설정된 연결 수. 여기에는 SYN 및 SYN 재전송이 포함됩니다. `ConnectionEstablishedCount` 값이 `ConnectionAttemptCount` 값보다 작은 경우, NAT 게이트웨이 뒤의 클라이언트가 응답이 없는 새 연결을 시도했음을 나타냅니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| ErrorPortAllocation |  NAT 게이트웨이가 소스 포트 할당에 실패한 횟수. 0보다 큰 값은 너무 많은 동시 연결이 NAT 게이트웨이를 통해 열려 있음을 나타냅니다. 단위: 개수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| IdleTimeoutCount |  활성 상태가 유휴 상태로 전환된 연결 수입니다. 활성 연결은 적절하게 종료되지 않고 직전 350초 동안 활동이 없는 경우 유휴 상태로 전환됩니다. 0보다 큰 값은 유휴 상태로 이동된 연결이 있었음을 나타냅니다. `IdleTimeoutCount` 값이 증가하는 경우, NAT 게이트웨이 뒤의 클라이언트가 부실 연결을 재사용하고 있음을 나타낼 수도 있습니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PacketsDropCount |  NAT 게이트웨이가 삭제한 패킷 수입니다.  삭제된 패킷 수를 전체 패킷 트래픽의 백분율로 계산하려면 `PacketsDropCount/(PacketsInFromSource+PacketsInFromDestination)*100` 공식을 사용합니다. 이 값이 NAT 게이트웨이의 총 트래픽 중 0.01퍼센트를 초과한다면 Amazon VPC 서비스에 문제가 있는 것일 수 있습니다. NAT 게이트웨이에서 패킷이 삭제되는 원인이 될 수 있는 서비스 관련 문제는 [AWS 서비스 상태 대시보드](https://status.aws.amazon.com/)를 사용하여 식별할 수 있습니다. 단위: 개 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PacketsInFromDestination |  NAT 게이트웨이가 대상으로부터 수신한 패킷 수입니다. `PacketsOutToSource` 값이 `PacketsInFromDestination` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있거나 NAT 게이트웨이가 적극적으로 차단하는 트래픽이 있을 수도 있습니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PacketsInFromSource |  NAT 게이트웨이가 VPC 내 클라이언트로부터 수신한 패킷 수입니다. `PacketsOutToDestination` 값이 `PacketsInFromSource` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있을 수도 있습니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PacketsOutToDestination |  NAT 게이트웨이를 통해 대상으로 전송된 패킷 수입니다. 0보다 큰 값은 NAT 게이트웨이 뒤에 있는 클라이언트에서 인터넷으로 가는 트래픽이 있음을 나타냅니다. `PacketsOutToDestination` 값이 `PacketsInFromSource` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있을 수도 있습니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PacketsOutToSource |  NAT 게이트웨이를 통해 VPC 내 클라이언트로 전송된 패킷 수입니다. 0보다 큰 값은 인터넷에서 NAT 게이트웨이 뒤에 있는 클라이언트로 오는 트래픽이 있음을 나타냅니다. `PacketsOutToSource` 값이 `PacketsInFromDestination` 값보다 작은 경우, NAT 게이트웨이 처리 중에 데이터 손실이 있거나 NAT 게이트웨이가 적극적으로 차단하는 트래픽이 있을 수도 있습니다. 단위: 수 통계: 가장 유용한 통계는 `Sum`입니다.  | 
| PeakBytesPerSecond |  이 지표는 특정 분당 가장 높은 초당 10초 바이트 평균값을 보고합니다. 단위: 개 통계: 가장 유용한 통계는 `Maximum`입니다.  | 
| PeakPacketsPerSecond |  이 지표는 60초 동안 10초마다 평균 패킷 속도(초당 처리된 패킷 수)를 계산한 다음 최대 6개 속도(가장 높은 평균 패킷 속도)를 보고합니다. 단위: 개 통계: 가장 유용한 통계는 `Maximum`입니다.  | 

지표 데이터를 필터링하려면 다음 차원을 사용하세요.


| 차원 | 설명 | 
| --- | --- | 
| NatGatewayId | NAT 게이트웨이 ID를 기준으로 측정치 데이터를 필터링합니다. | 

# NAT 게이트웨이 CloudWatch 지표 보기
<a name="viewing-metrics"></a>

NAT 게이트웨이 지표는 1분 가격으로 CloudWatch로 전송됩니다. 지표는 먼저 서비스 네임스페이스별로 그룹화된 다음, 각 네임스페이스 내에서 가능한 차원 조합에 따라 그룹화됩니다. NAT 게이트웨이에 대해 다음과 같이 측정치를 볼 수 있습니다.

**CloudWatch 콘솔을 사용하여 지표를 보려면**

1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.

1. 탐색 창에서 **지표**, **모든 지표**를 선택합니다.

1. **NATGateway** 지표 네임스페이스를 선택합니다.

1. 지표 차원을 선택합니다.

**를 사용하여 지표를 보려면AWS CLI**  
명령 프롬프트에서 다음 명령을 사용하여 NAT 게이트웨이 서비스에 사용 가능한 지표 목록을 확인합니다.

```
aws cloudwatch list-metrics --namespace "AWS/NATGateway"
```

# NAT 게이트웨이를 모니터링하기 위한 CloudWatch 경보 생성
<a name="creating-alarms-nat-gateway"></a>

경보로 인해 상태가 변경되면 Amazon SNS 메시지를 보내는 CloudWatch 경보를 생성할 수 있습니다. 경보는 지정한 기간 동안 단일 지표를 감시합니다. 경보는 기간 수에 대한 주어진 임계값과 지표 값을 비교하여 Amazon SNS 주제에 알림을 보냅니다.

예를 들어 NAT 게이트웨이로 들어오거나 나가는 트래픽의 양을 모니터링하는 경보를 만들 수 있습니다. 아래 경보는 NAT 게이트웨이를 통해 VPC의 클라이언트에서 인터넷으로 가는 아웃바운드 트래픽의 양을 모니터링합니다. 그리고 15분 동안 바이트 수가 임계값인 5,000,000에 도달하면 알림을 보냅니다.

**NAT 게이트웨이를 통한 아웃바운드 트래픽에 대한 경보를 만들려면**

1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.

1. 탐색 창에서 **경보(Alarms)** **모든 경보(All Alarms)**를 선택합니다.

1. **경보 생성(Create alarm)**을 선택하세요.

1. **지표 선택(Select metric)**을 선택하세요.

1. **NATGateway** 지표 네임스페이스를 선택한 다음 지표 차원을 선택합니다. 지표를 가져오면 NAT 게이트웨이에 대한 **BytesOutToDestination** 지표 옆 확인란을 선택한 다음 **지표 선택**을 선택합니다.

1. 경보를 다음과 같이 구성한 다음 **다음(Next)**을 선택합니다.
   + **통계**(Statistic)에서 **합계**(Sum)를 선택합니다.
   + **기간**에서 **15분**을 선택합니다.
   + **항상**에서 **초과/같음**을 선택하고 임계값으로 `5000000`을 입력합니다.

1. **알림**에서 기존 SNS 주제를 선택하거나 **새 주제 생성**을 선택하여 새로 생성합니다. **Next(다음)**를 선택합니다.

1. 경보의 이름과 설명을 입력하고 **다음**을 선택합니다.

1. 경보 구성을 마쳤으면 **경보 생성**을 선택합니다.

다른 예와 같이, 포트 할당 오류를 모니터링하는 경보를 만들고 이 값이 3회 연속 5분간 0보다 클 경우에 알림을 보낼 수 있습니다.

**경보를 만들어 포트 할당 오류를 모니터링하려면**

1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.

1. 탐색 창에서 **경보(Alarms)** **모든 경보(All Alarms)**를 선택합니다.

1. **경보 생성(Create alarm)**을 선택하세요.

1. **지표 선택(Select metric)**을 선택하세요.

1. **NATGateway** 지표 네임스페이스를 선택한 다음 지표 차원을 선택합니다. 지표를 가져오면 NAT 게이트웨이에 대한 **ErrorPortAllocation** 지표 옆 확인란을 선택한 다음 **지표 선택**을 선택합니다.

1. 경보를 다음과 같이 구성한 다음 **다음(Next)**을 선택합니다.
   + **통계**에서 **최대**를 선택합니다.
   + **기간**에서 **5분**을 선택합니다.
   + **항상**에서 **초과**를 선택하고 임계값으로 0을 입력합니다.
   + **추가 구성**에서 **경보를 생성할 데이터 포인트**에 대해 3을 입력합니다.

1. **알림**에서 기존 SNS 주제를 선택하거나 **새 주제 생성**을 선택하여 새로 생성합니다. **Next(다음)**를 선택합니다.

1. 경보의 이름과 설명을 입력하고 **다음**을 선택합니다.

1. 경보 구성이 완료되면 **경보 생성**을 선택합니다.

자세한 정보는 [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 *Amazon CloudWatch 경보 사용*을 참조하세요.

# NAT 게이트웨이 문제 해결
<a name="nat-gateway-troubleshooting"></a>

다음 주제는 NAT 게이트웨이를 만들거나 사용할 때 발생할 수 있는 일반적인 문제를 해결하는 데 도움이 됩니다.

**Topics**
+ [NAT 게이트웨이 생성 실패](#nat-gateway-troubleshooting-failed)
+ [NAT 게이트웨이 할당량](#nat-gateway-troubleshooting-quota)
+ [탄력적 IP 주소 할당량](#nat-gateway-troubleshooting-limits)
+ [가용 영역이 지원되지 않음](#nat-gateway-troubleshooting-unsupported-az)
+ [NAT 게이트웨이가 더 이상 표시되지 않음](#nat-gateway-troubleshooting-gateway-removed)
+ [NAT 게이트웨이가 Ping 명령에 응답하지 않음](#nat-gateway-troubleshooting-ping)
+ [인스턴스에서 인터넷에 액세스할 수 없음](#nat-gateway-troubleshooting-no-internet-connection)
+ [대상에 대한 TCP 연결 실패](#nat-gateway-troubleshooting-tcp-issues)
+ [경로 추적 출력에 NAT 게이트웨이 프라이빗 IP 주소가 표시되지 않음](#nat-gateway-troubleshooting-traceroute)
+ [350초 후 인터넷 연결이 끊어짐](#nat-gateway-troubleshooting-timeout)
+ [IPSec 연결을 설정할 수 없음](#nat-gateway-troubleshooting-ipsec)
+ [추가 연결을 시작할 수 없음](#nat-gateway-troubleshooting-simultaneous-connections)

## NAT 게이트웨이 생성 실패
<a name="nat-gateway-troubleshooting-failed"></a>

**문제**  
NAT 게이트웨이를 생성하면 상태가 `Failed`가 됩니다.

**참고**  
실패한 NAT 게이트웨이는 일반적으로 약 1시간 내에 자동으로 삭제됩니다.

**원인**  
NAT 게이트웨이를 생성할 때 오류가 발생했습니다. 반환된 상태 메시지를 통해 오류 원인을 확인할 수 있습니다.

**Solution**  
오류 메시지를 보려면 Amazon VPC 콘솔열 연 후 **NAT 게이트웨이**를 선택하세요. NAT 게이트웨이에 대한 라디오 버튼을 선택한 후, **세부 정보** 탭에서 **상태 메시지**를 찾습니다.

다음 표에는 Amazon VPC 콘솔에 표시되는 오류의 예상 원인이 나와 있습니다. 표시된 수정 단계를 적용한 후 NAT 게이트웨이를 다시 만들어 볼 수 있습니다.


| 표시된 오류 | 원인 | 솔루션 | 
| --- | --- | --- | 
| 서브넷에 이 NAT 게이트웨이를 만들 수 있는 사용 가능한 주소가 부족함 | 지정한 서브넷에 사용 가능한 프라이빗 IP 주소가 없습니다. NAT 게이트웨이에는 서브넷의 범위에서 할당된 프라이빗 IP 주소가 있는 네트워크 인터페이스가 필요합니다. | Amazon VPC 콘솔의 서브넷 페이지로 이동하여 서브넷에서 사용 가능한 IP 주소 개수를 확인합니다. 서브넷의 세부 정보 창에서 사용 가능한 IP를 볼 수 있습니다. 서브넷에서 사용 가능한 IP 주소를 만들려면 사용되지 않은 네트워크 인터페이스를 삭제하거나 필요 없는 인스턴스를 종료할 수 있습니다. | 
| 네트워크 vpc-xxxxxxxx에 연결된 인터넷 게이트웨이가 없음 | 인터넷 게이트웨이가 있는 VPC에서 NAT 게이트웨이를 만들어야 합니다. | 인터넷 게이트웨이를 생성하여 VPC에 연결합니다. 자세한 내용은 [서브넷에 인터넷 액세스 추가](working-with-igw.md) 섹션을 참조하세요. | 
| 탄력적 IP 주소 eipalloc-xxxxxxxx가 이미 연결되어 있음 | 지정한 탄력적 IP 주소가 다른 리소스와 이미 연결되어 있으므로 NAT 게이트웨이와 연결할 수 없습니다. | 탄력적 IP 주소와 연결된 리소스를 확인합니다. Amazon VPC 콘솔에서 탄력적 IP 페이지로 이동하여 인스턴스 ID 또는 네트워크 인터페이스 ID에 지정된 값을 확인합니다. 해당 리소스에 탄력적 IP 주소가 필요 없는 경우 주소를 연결 해제할 수 있습니다. 또는 계정에 새로운 탄력적 IP 주소를 할당합니다. 자세한 내용은 [탄력적 IP 주소 사용 시작](WorkWithEIPs.md) 섹션을 참조하세요. | 

## NAT 게이트웨이 할당량
<a name="nat-gateway-troubleshooting-quota"></a>

NAT 게이트웨이를 생성하려고 하면 다음 오류가 발생합니다.

```
Performing this operation would exceed the limit of 5 NAT gateways
```

**원인**  
해당 가용 영역에 대한 NAT 게이트웨이 수가 할당량에 도달했습니다.

**Solution**

계정에 대한 이 NAT 게이트웨이 할당량에 도달한 경우, 다음 중 하나를 수행할 수 있습니다.
+ Service Quotas 콘솔을 사용하여 [가용 영역 할당량당 NAT 게이트웨이](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F) 증가를 요청합니다.
+ NAT 게이트웨이의 상태를 확인합니다. `Pending`, `Available` 또는 `Deleting`의 상태는 할당량에 포함됩니다. NAT 게이트웨이를 최근에 삭제한 경우 상태가 `Deleting`에서 `Deleted`로 바뀔 때까지 몇 분간 기다립니다. 그런 다음 새 NAT 게이트웨이를 생성해 보세요.
+ 특정 가용 영역에 NAT 게이트웨이가 필요 없는 경우 할당량에 도달하지 않은 가용 영역에서 NAT 게이트웨이를 만들어 봅니다.

자세한 내용은 [Amazon VPC 할당량](amazon-vpc-limits.md) 단원을 참조하세요.

## 탄력적 IP 주소 할당량
<a name="nat-gateway-troubleshooting-limits"></a>

**문제**  
퍼블릭 NAT 게이트웨이에 탄력적 IP 주소를 할당하려고 하면 다음 오류가 발생합니다.

```
The maximum number of addresses has been reached.
```

**원인**  
해당 리전의 계정에 대한 탄력적 IP 주소 수가 할당량에 도달했습니다.

**Solution**  
탄력적 IP 주소 할당량에 도달한 경우 다른 리소스에서 탄력적 IP 주소의 연결을 해제할 수 있습니다. 또는 Service Quotas 콘솔을 사용하여 [탄력적 IP 할당량](https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3) 증가를 요청할 수 있습니다.

## 가용 영역이 지원되지 않음
<a name="nat-gateway-troubleshooting-unsupported-az"></a>

**문제**  
NAT 게이트웨이를 생성하려고 하면 `NotAvailableInZone` 오류가 발생합니다.

**원인**  
제약이 있는 가용 영역(확장이 제약되어 있는 영역)에서 NAT 게이트웨이를 생성하려 했을지도 모릅니다.

**Solution**  
이러한 가용 영역에서는 NAT 게이트웨이를 지원하지 않습니다. 다른 가용 영역에서 NAT 게이트웨이를 만들고 제약이 있는 영역의 프라이빗 서브넷에 사용할 수 있습니다. 리소스와 NAT 게이트웨이가 동일한 영역에 있도록 제약이 없는 가용 영역으로 리소스를 이동할 수도 있습니다.

## NAT 게이트웨이가 더 이상 표시되지 않음
<a name="nat-gateway-troubleshooting-gateway-removed"></a>

**문제**  
NAT 게이트웨이를 만들었지만 Amazon VPC 콘솔에 표시되지 않습니다.

**원인**  
NAT 게이트웨이를 만드는 동안 오류가 발생하여 생성에 실패했을 수 있습니다. `Failed` 상태의 NAT 게이트웨이는 Amazon VPC 콘솔에 1시간 가량 표시됩니다. 한 시간 후에는 자동으로 삭제됩니다.

**Solution**  
[NAT 게이트웨이 생성 실패](#nat-gateway-troubleshooting-failed)에서 정보를 검토하고 새 NAT 게이트웨이를 만들어 봅니다.

## NAT 게이트웨이가 Ping 명령에 응답하지 않음
<a name="nat-gateway-troubleshooting-ping"></a>

**문제**  
인터넷에서(예를 들어 홈 컴퓨터에서) 또는 VPC의 인스턴스에서 NAT 게이트웨이의 탄력적 IP 주소 또는 프라이빗 IP 주소를 ping하려고 시도하는 경우 응답을 얻을 수 없습니다.

**원인**  
NAT 게이트웨이는 프라이빗 서브넷의 인스턴스에서 인터넷으로만 트래픽을 전달합니다.

**Solution**  
NAT 게이트웨이가 작동하는지 테스트하려면 [퍼블릭 NAT 게이트웨이 테스트](nat-gateway-scenarios.md#public-nat-gateway-testing)를 참조하세요.

## 인스턴스에서 인터넷에 액세스할 수 없음
<a name="nat-gateway-troubleshooting-no-internet-connection"></a>

**문제**  
퍼블릭 NAT 게이트웨이를 생성하고 테스트 단계를 수행했지만 `ping` 명령이 실패하거나 프라이빗 서브넷의 인스턴스가 인터넷에 액세스할 수 없습니다.

**원인**  
이 문제의 원인은 다음 중 하나일 수 있습니다.
+ NAT 게이트웨이가 트래픽을 제공할 준비가 되지 않았습니다.
+ 라우팅 테이블이 올바르게 구성되지 않았습니다.
+ 보안 그룹 또는 네트워크 ACL이 인바운드 또는 아웃바운드 트래픽을 차단하고 있습니다.
+ 지원되지 않는 프로토콜을 사용하고 있습니다.

**Solution**  
다음 정보를 확인하세요.
+ NAT 게이트웨이가 `Available` 상태인지 확인합니다. Amazon VPC 콘솔에서 **NAT 게이트웨이** 페이지로 이동하고 세부 정보 창에서 상태 정보를 봅니다. NAT 게이트웨이가 실패 상태인 경우 게이트웨이가 생성될 때 오류가 발생했을 수 있습니다. 자세한 내용은 [NAT 게이트웨이 생성 실패](#nat-gateway-troubleshooting-failed) 단원을 참조하세요.
+ 라우팅 테이블을 올바로 구성했는지 확인합니다:
  + NAT 게이트웨이는 인터넷 트래픽을 인터넷 게이트웨이로 라우팅하는 라우팅 테이블이 있는 퍼블릭 서브넷에 있어야 합니다.
  + 인스턴스는 인터넷 트래픽을 NAT 게이트웨이로 라우팅하는 라우팅 테이블이 있는 프라이빗 서브넷에 있어야 합니다.
  + 전체 또는 일부 인터넷 트래픽을 NAT 게이트웨이 대신 다른 디바이스로 라우팅하는 다른 라우팅 테이블 항목이 있는지 확인합니다.
+ 프라이빗 인스턴스에 대한 보안 그룹 규칙이 아웃바운드 인터넷 트래픽을 허용하는지 확인합니다. `ping` 명령이 작동하려면 규칙이 아웃바운드 ICMP 트래픽도 허용해야 합니다.

   NAT 게이트웨이 자체는 모든 아웃바운드 트래픽과 아웃바운드 요청에 대한 응답으로 받는 트래픽을 허용합니다(따라서 상태 저장).
+ 프라이빗 서브넷 및 퍼블릭 서브넷과 연결된 네트워크 ACL에 인바운드 또는 아웃바운드 인터넷 트래픽을 차단하는 규칙이 없는지 확인합니다. `ping` 명령이 작동하려면 규칙이 인바운드 및 아웃바운드 ICMP 트래픽도 허용해야 합니다.

  흐름 로그를 활성화하여 네트워크 ACL 또는 보안 그룹 규칙으로 인해 끊어진 연결을 진단할 수 있습니다. 자세한 내용은 [VPC 흐름 로그를 사용하여 IP 트래픽 로깅](flow-logs.md) 단원을 참조하세요.
+ `ping` 명령을 사용하는 경우 ICMP가 활성화된 호스트를 ping하고 있는지 확인합니다. ICMP가 활성화되지 않은 경우 회신 패킷을 받지 못합니다. 이를 테스트하려면 사용자 자신의 컴퓨터의 명령줄 터미널에서 똑같은 `ping` 명령을 수행하세요.
+ 인스턴스가 다른 리소스, 예를 들어 프라이빗 서브넷의 다른 인스턴스를 ping할 수 있는지 확인합니다(보안 그룹 규칙이 이 작업을 허용한다고 가정함).
+ 연결이 TCP, UDP 또는 ICMP 프로토콜만 사용하는지 확인합니다.

## 대상에 대한 TCP 연결 실패
<a name="nat-gateway-troubleshooting-tcp-issues"></a>

**문제**  
프라이빗 서브넷의 인스턴스에서 NAT 게이트웨이를 통해 특정 대상에 연결할 때 일부 TCP 연결은 성공하지만 일부는 실패하거나 시간이 초과됩니다.

**원인**  
이 문제의 원인은 다음 중 하나일 수 있습니다.
+ 대상 엔드포인트가 조각난 TCP 패킷으로 응답하고 있습니다. NAT 게이트웨이는 TCP 또는 ICMP에 대한 IP 조각화를 지원하지 않습니다. 자세한 내용은 [NAT 게이트웨이 및 NAT 인스턴스 비교](vpc-nat-comparison.md) 단원을 참조하세요.
+ `tcp_tw_recycle` 옵션이 원격 서버에서 활성화되었으며, 이 옵션은 NAT 디바이스 뒤에 여러 연결이 있는 경우 문제를 일으키는 것으로 알려져 있습니다.

**Solutions**  
다음을 수행하여 연결하려는 엔드포인트가 조각난 TCP 패킷으로 응답하는지 확인하세요.

1. 퍼블릭 IP 주소가 있는 퍼블릭 서브넷의 인스턴스를 사용하여 특정 엔드포인트로부터 조각화를 유발할 정도로 큰 응답을 트리거합니다.

1. `tcpdump` 유틸리티를 사용하여 엔드포인트가 조각화된 패킷을 전송하는지 확인합니다.
**중요**  
이러한 확인을 수행하려면 퍼블릭 서브넷의 인스턴스를 사용해야 합니다. 원래 연결이 실패한 인스턴스, NAT 게이트웨이 뒤 프라이빗 서브넷의 인스턴스 또는 NAT 인스턴스는 사용할 수 없습니다.

   대량 ICMP 패킷을 전송 또는 수신하는 진단 도구가 패킷 손실을 보고할 것입니다. 예를 들어 NAT 게이트웨이 뒤에서는 `ping -s 10000 example.com` 명령이 작동하지 않습니다.

1. 엔드포인트가 조각화된 TCP 패킷을 전송하는 경우 NAT 게이트웨이 대신 NAT 인스턴스를 사용할 수 있습니다.

원격 서버에 액세스할 수 있는 경우 다음을 수행하여 `tcp_tw_recycle` 옵션이 사용 가능한지 확인할 수 있습니다.

1. 서버에서 다음 명령을 실행합니다.

   ```
   cat /proc/sys/net/ipv4/tcp_tw_recycle
   ```

   `1`이 출력될 경우 `tcp_tw_recycle` 옵션이 활성화된 것입니다.

1. `tcp_tw_recycle`이 활성화된 경우 비활성화하는 것이 좋습니다. 연결을 재사용해야 하는 경우 `tcp_tw_reuse` 옵션을 사용하는 것이 더 안전합니다.

원격 서버에 액세스할 수 없는 경우 프라이빗 서브넷의 인스턴스에서 `tcp_timestamps` 옵션을 일시적으로 비활성화하여 테스트할 수 있습니다. 그런 다음 원격 서버에 다시 연결합니다. 연결에 성공하면 원격 서버에서 `tcp_tw_recycle`이 활성화된 것이 이전 오류의 원인일 수 있습니다. 가능하면 원격 서버 소유자에게 이 옵션이 활성화되어 있는지 확인하고 비활성화하도록 요청하세요.

## 경로 추적 출력에 NAT 게이트웨이 프라이빗 IP 주소가 표시되지 않음
<a name="nat-gateway-troubleshooting-traceroute"></a>

**문제**  
인스턴스가 인터넷에 액세스할 수 있지만, `traceroute` 명령을 수행할 때 출력에 NAT 게이트웨이의 프라이빗 IP 주소가 표시되지 않습니다.

**원인**  
인스턴스가 인터넷 게이트웨이 등의 다른 게이트웨이를 사용하여 인터넷에 액세스하고 있습니다.

**Solution**  
인스턴스가 위치하고 있는 서브넷의 라우팅 테이블에서 다음 정보를 확인합니다.
+ 인터넷 트래픽을 NAT 게이트웨이로 보내는 경로가 있는지 확인합니다.
+ 인터넷 트래픽을 가상 프라이빗 게이트웨이 또는 인터넷 게이트웨이와 같은 다른 디바이스로 보내는 보다 구체적인 경로가 없는지 확인합니다.

## 350초 후 인터넷 연결이 끊어짐
<a name="nat-gateway-troubleshooting-timeout"></a>

**문제**  
인스턴스에서 인터넷에 액세스할 수 있지만 350초 후에 연결이 끊어집니다.

**원인**  
NAT 게이트웨이를 사용하는 연결이 350초 이상 유휴 상태인 경우 연결이 시간 초과됩니다.

연결 제한 시간이 초과하면 NAT 게이트웨이는 연결을 계속하려고 하는 NAT 게이트웨이 뒤의 리소스로 RST 패킷을 반환합니다(FIN 패킷을 보내지 않음).

**Solution**  
연결이 끊어지지 않도록 하려면 연결을 통해 더 많은 트래픽을 시작합니다. 또는 인스턴스에서 350초 미만의 값으로 TCP keepalive를 활성화할 수 있습니다.

## IPSec 연결을 설정할 수 없음
<a name="nat-gateway-troubleshooting-ipsec"></a>

**문제**  
대상에 대한 IPsec 연결을 설정할 수 없습니다.

**원인**  
NAT 게이트웨이는 현재 IPSec 프로토콜을 지원하지 않습니다.

**Solution**  
NAT-Traversal(NAT-T)을 사용하여 NAT 게이트웨이에 대해 지원되는 프로토콜인 UDP의 IPsec 트래픽을 캡슐화할 수 있습니다. NAT-T 및 IPsec 구성을 테스트하여 IPsec 트래픽이 삭제되지 않는지 확인하세요.

## 추가 연결을 시작할 수 없음
<a name="nat-gateway-troubleshooting-simultaneous-connections"></a>

**문제**  
대상에 대해 NAT 게이트웨이를 통한 기존 연결이 있지만 추가 연결을 설정할 수 없습니다.

**원인**  
단일 NAT 게이트웨이에 대한 동시 연결 제한에 도달했을 수 있습니다. 자세한 내용은 [NAT 게이트웨이 기본 사항](nat-gateway-basics.md) 단원을 참조하세요. 프라이빗 서브넷의 인스턴스가 많은 수의 연결을 생성하는 경우 이 제한에 도달할 수 있습니다.

**Solution**  
다음 중 하나를 수행하세요.
+ 가용 영역당 하나의 NAT 게이트웨이를 만들고 해당 영역에 클라이언트를 분산합니다.
+ 퍼블릭 서브넷에서 추가 NAT 게이트웨이를 만들고 각각 다른 NAT 게이트웨이에 대한 경로가 있는 여러 프라이빗 서브넷으로 클라이언트를 분할합니다.
+ 클라이언트가 대상에 대해 생성할 수 있는 연결 수를 제한합니다.
+ CloudWatch의 [`IdleTimeoutCount`](vpc-nat-gateway-cloudwatch.md) 지표를 사용하여 유휴 접속의 증가를 모니터링합니다. 유휴 상태의 연결을 닫아서 용량을 확보합니다.
+ 다양한 IP 주소를 이용하여 NAT 게이트웨이를 생성하거나 보조 IP 주소를 기존의 NAT 게이트웨이에 추가합니다. 각각의 신규 IPv4 주소에서는 최대 55,000개의 동시 연결이 지원됩니다. 자세한 내용은 [NAT 게이트웨이 만들기](nat-gateway-working-with.md#nat-gateway-creating) 또는 [보조 IP 주소 연결 편집](nat-gateway-working-with.md#nat-gateway-edit-secondary) 섹션을 참조하세요.

# NAT 게이트웨이 요금
<a name="nat-gateway-pricing"></a>

NAT 게이트웨이를 프로비저닝하면 NAT 게이트웨이를 사용할 수 있는 시간당 요금 및 처리하는 데이터 기가바이트당 요금이 부과됩니다 자세한 내용은 [Amazon VPC 요금](https://aws.amazon.com/vpc/pricing/)을 참조하세요.

다음 전략은 NAT 게이트웨이에 대한 데이터 전송 요금을 줄이는 데 도움이 될 수 있습니다.
+ AWS 리소스가 가용 영역에서 상당한 양의 트래픽을 전송하거나 수신하는 경우 리소스가 NAT 게이트웨이와 동일한 가용 영역에 있는지 확인합니다. 또는 리소스가 있는 각 가용 영역에 NAT 게이트웨이를 생성합니다.
+ NAT 게이트웨이를 통과하는 대부분의 트래픽이 인터페이스 엔드포인트 또는 게이트웨이 엔드포인트를 지원하는 AWS 서비스를 사용하는 경우 이러한 서비스에 대한 인터페이스 엔드포인트 또는 게이트웨이 엔드포인트를 만드는 것이 좋습니다. 잠재적인 비용 절감에 관한 자세한 내용은 [AWS PrivateLink 요금](https://aws.amazon.com/privatelink/pricing/)을 참조하세요.