WiseN

NAVER CLOUD PLATFORM "NAT Gateway" 서비스 소개

Jan 12,2018   |   NCP

작성자_최준승

페이스북 공유하기 트위터 공유하기
Blog thumbnail








- NAVER CLOUD PLATFORM (NCP) NAT Gateway 서비스 소개

- NAVER CLOUD PLATFORM (NCP) NAT Gateway 생성


 

NAVER CLOUD PLATFORM은 매월 새로운 상품 출시와 기존 상품에 대한 업데이트를 진행하고 있습니다.

서비스를 시작한 2017년 4월 28개에서 출발한 서비스가 2018년 1월 현재 90개가 넘었으니 얼마나 빠르게 성장하고 있는지 느껴지시나요? ^^

오늘은 여러 서비스 중 12월에 신규로 발표된 NCP NAT Gateway 서비스를 소개해드리려 합니다.

 




NAVER CLOUD PLATFORM (NCP) NAT Gateway 서비스 소개





VM이 외부에 데이터를 보내야 할 경우, 공인IP를 할당하는 방법도 있고, 비용 혹은 보안 이슈로 공인IP를 사용할 수 없는 경우에는 virtual router(snat namespace)에 설정된 snat에 대한 rule에 따라 다수의 VM이 share 하는 IP를 이용해서 외부와 통신을 하게 됩니다. (물론 이때는 VM 기준 인바운드 통신은 불가능합니다)

NCP 계정 A의 VM 1,2와 계정 B의 VM3에서 타 클라우드 VM4로 테이터 전송을 했을 때 VM4에서의 tcpdump 결과는 아래와 같습니다. (NCP VM 모두 공인IP를 할당하지 않음)

  1. VM1 (NCP, 계정A)  --> VM4 (타 클라우드)
    220.230.115.52.11204 > 192.168.0.30.EtherNet/IP-1: Flags [.], cksum 0x0f9d (correct), ack 1096816692, win 2047, length 011:12:46.561420 IP (tos 0x0, ttl 245, id 5324, offset 0, flags [DF], proto TCP (6), length 40)


  2. VM2 (NCP, 계정A) --> VM4 (타 클라우드)
    1.255.51.99.42321 > 192.168.0.30.EtherNet/IP-1: Flags [.], cksum 0x5ad4 (correct), seq 19444:20904, ack 257, win 4928, length 146011:14:46.737653 IP (tos 0x8, ttl 245, id 61876, offset 0, flags [DF], proto TCP (6), length 592)


  3. VM3 (NCP, 계정 B) --> VM4 (타 클라우드)
    1.255.51.99.53086 > 192.168.0.30.EtherNet/IP-1: Flags [.], cksum 0x8b8b (correct), ack 894963630, win 2047, length 0
    15:33:13.364421 IP (tos 0x0, ttl 245, id 15639, offset 0, flags [DF], proto TCP (6), length 40)



소스 IP를 보시면 같은 계정이지만 VM 마다 다르고, 계정은 다른데 소스 IP는 같은 것을 볼 수 있습니다. 이 경우 NCP SNAT IP 대역을 사전에 확인하여 VM4 ACL에 모두 오픈하거나, NCP VM을 생성할 때마다 확인된 IP를 매번 VM4 ACL에서 오픈해줘야 하는 보안상, 편의상 문제가 생길 수 있습니다.

이럴 때 필요한 것이 바로 NAT Gateway입니다.

NAT Gateway를 이용하면 공인IP가 할당되지 않은 다수 VM의 SNAT IP를 하나로 통일할 수 있습니다.




NAVER CLOUD PLATFORM  NAT Gateway 생성






  1. NAT Gateway를 생성합니다.
    - 공인IP를 확인합니다.


  2. Peer Host를 생성합니다.
    - peer향 비공인 IP를 확인합니다.




 

NCP VM1,2에서 Peer향 비공인 IP로 접속을 시도했을때 VM4에서의 tcpdump 결과는 아래와 같습니다.

  1. VM1 (NCP)  --> VM4 (타 클라우드)
    49.236.148.196.33880 > 192.168.0.30.EtherNet/IP-1: Flags [P.], cksum 0x7470 (correct), seq 3042095732:3042095748, ack 461313623, win 154, options [nop,nop,TS val 239420477 ecr 1959953041], length 16


  2. VM2 (NCP) --> VM4  (타 클라우드)
    49.236.148.196.33880 > 192.168.0.30.EtherNet/IP-1: Flags [P.], cksum 0x7470 (correct), seq 3042095732:3042095748, ack 461313623, win 154, options [nop,nop,TS val 239420477 ecr 1959953041], length 16



NAT Gateway 공인IP가 소스 IP로 확인이 됩니다.
VM4쪽에서는 NAT Gateway 공인IP 만 ACL에서 허용시켜 주면 되니 보안상 관리도 쉽고, VM 모두에 공인IP를 할당할 필요도 없으니 비용도 절약할 수 있습니다.

그리고 NAT Gateway는 Auto Scaling 과의 연동도 가능해서 scale out 된 VM들도 VM4 ACL 설정 변경 없이 바로 사용 가능합니다.



 




참고