안녕하세요, 오래간만에 인사드립니다.
오늘은 NAT 관련 조치사항에 대해서 Noti 받으신 분들이 취하실 내용에 대해서 설명드리겠습니다.
보통 아래와 같은 메일 받으셨을 텐데요,
내용은 다음과 같습니다.
현재의 NAT 구성이 단일 구성으로 되어 있으니,
리소스 확인하시고 NAT 게이트웨이를 추가하십시오.
NAT 게이트웨이에 대한 AWS 공식 문서입니다.
참조 링크 : https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html
NAT 게이트웨이는 하나의 가용 영역에서만 고가용성입니다.
여러 가용 영역에 리소스가 있고 리소스가 하나의 NAT 게이트웨이를 공유하는 경우 NAT 게이트웨이의 가용 영역이 다운되면 다른 가용 영역의 리소스가 인터넷에 액세스 할 수 없게 되므로 서비스 장애로 이어질 수 있습니다.
아래의 예에서 만약 Zone B와 C에 그림과 다르게 NAT Gateway 리소스 구성이 없다면,
Availability Zone A가 다운될 경우 다른 AZ의 인스턴스가 인터넷 액세스를 잃습니다.
비즈니스 요구 사항 및 내결함성 아키텍처에 따라 2개 이상의 가용 영역에 NAT 게이트웨이를 생성해야 합니다.
참조 링크 : https://www.packetswitch.co.uk/aws-nat-gateway-high-availability/
다만 해당 내용대로 구성할 시, Nat Gateway에 대한 리소스 비용 및 네트워크 아웃바운드 비용 발생할 수 있으며,
할당 가능한 Nat Gateway 자원 할당량 제한 역시 있다는 점 알려드립니다.
기본 할당량은 가용 영역당 5개입니다.
참조 링크 : https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html
아래는 메일 원문입니다.
[조치 권장] 계정의 NAT 게이트웨이에 대한 중요 정보 | [Action Recommended] Important Information about NAT Gateway in your Account [Account ID: xxxxxxxxxxxx] [AP-NORTHEAST-2]
Amazon VPC 리소스가 여러 가용 영역 (AZ)에서 공유 NAT 게이트웨이를 사용하고 있는 것으로 확인했습니다. 고가용성을 보장하고 AZ 간 데이터 전송 비용을 최소화하기 위해 각 AZ에서 별도의 NAT 게이트웨이를 사용하고 동일한 AZ 내에서 로컬로 트래픽을 라우팅 하도록 권장드립니다.
각 NAT 게이트웨이는 지정된 AZ 내에서 작동하며 해당 zone에서만 이중화를 사용하여 구축됩니다. 따라서 NAT 게이트웨이 또는 AZ에 장애가 발생하면 다른 AZ에서 해당 NAT 게이트웨이를 사용하는 리소스도 영향을 받습니다. 또한 한 AZ에서 다른 AZ의 NAT 게이트웨이로 트래픽을 라우팅 하면 AZ 간 데이터 전송 요금이 추가로 발생합니다. Amazon VPC의 아키텍처 변경을 위한 유지 관리 기간 사용을 권장드립니다.
다음은 AZ에서 공유되는 VPC 및 NAT 게이트웨이의 목록입니다. 형식은 'VPC | NAT Gateway' 형식입니다.
vpc-xxxxxxxxxxxxxxxxx | nat-xxxxxxxxxxxxxxxxx
NAT 게이트웨이 [1]를 생성하는 방법과 다른 NAT 게이트웨이로 라우팅을 설정하는 사례 [2]에 대해 AWS 공식 문서를 참조하시기 바랍니다.
질문이나 우려 사항이 있는 경우 AWS Support 팀 [3]에 문의하십시오.
[1] https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with
[2] https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html
[3] https://aws.amazon.com/support
---
Hello,
We have observed that your Amazon VPC resources are using a shared NAT Gateway across multiple Availability Zones (AZ). To ensure high availability and minimize inter-AZ data transfer costs, we recommend utilizing separate NAT Gateways in each AZ and routing traffic locally within the same AZ.
Each NAT Gateway operates within a designated AZ and is built with redundancy in that zone only. As a result, if the NAT Gateway or AZ experiences failure, resources utilizing that NAT Gateway in other AZ(s) also get impacted. Additionally, routing traffic from one AZ to a NAT Gateway in a different AZ incurs additional inter-AZ data transfer charges. We recommend choosing a maintenance window for architecture changes in your Amazon VPC.
The following is a list of your VPCs and NAT Gateways that are shared across AZ(s), in the format: 'VPC | NAT Gateway':
vpc-xxxxxxxxxxxxxxxxx | nat-xxxxxxxxxxxxxxxxx
Please refer to the AWS public documentation on how to create a NAT Gateway [1], and how to configure routes for different NAT Gateway use cases [2].
Should you have any questions or concerns, please reach out to the AWS Support team [3].
[1] https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html#nat-gateway-working-with
[2] https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-scenarios.html
[3] https://aws.amazon.com/support
Sincerely,
Amazon Web Services
Amazon Web Services, Inc. is a subsidiary of Amazon.com, Inc. Amazon.com is a registered trademark of Amazon.com, Inc. This message was produced and distributed by Amazon Web Services Inc., 410 Terry Ave. North, Seattle, WA 98109-5210
https://health.aws.amazon.com/health/home?region%3Dus-east-1
health.aws.amazon.com
'IT > AWS' 카테고리의 다른 글
| [AEWS] Wk1-1. EKS에 대해서 (2) | 2023.04.30 |
|---|---|
| [AWS] MSK Unable to load credentials from any of the providers in the chain AwsCredentialsProviderChain 이슈 해결 방법 (0) | 2023.03.17 |
| Amazon Inspector란 (0) | 2023.02.01 |
| EKS란 #3 Deep Dive on to EKS - 보안편 (0) | 2023.01.30 |
| EKS란 #2 Deep Dive on to EKS - 보안편 (0) | 2023.01.27 |
