NAT (Network Address Translation)

#네트워크/웹

NAT은 네트워크 계층의 주요 구성 요소 중 하나다.

NAT 자체는 환경에 따라서 조금씩 다른 의미를 가질 수 있는데, 기본적인 역할은 개별 장치들이 외부 인터넷과 소통하기 위한 일종의 중계기다.

가정용 환경을 생각해보자.
Public 인터넷과 소통하기 위해서는 당연히 Public IP가 있어야 한다.
하지만 개별 장치들은 공유기가 할당한 내부 IP를 갖고있을뿐, Public IP를 갖고있진 못한다. 공유기가 하나의 Public IP를 갖고 있을 뿐이다.

그래서 공유기가 개별 장치들의 요청을 모아서 외부 인터넷과 소통할 수 있게 해주는 일종의 멀티플렉싱 레이어가 생긴 것이고, 이게 바로 NAT인 셈이다.

상세

NAT은 기본적으로 IP 레벨에서 패킷을 처리하므로 때문에 L3 계층 레이어라고 볼 수 있다.

공유기를 쓰는 일반적인 가정용 환경이라면 NAT의 역할은 라우터, 즉 공유기가 수행한다.

공유기가 혼자 몸빵하면서 실제 외부 인터넷과의 통신을 대신 맡아 처리하는 것이다.
공유기의 처리 성능에 따라 전체적인 네트워크 처리량이나 속도가 달라지는 것도 다 이 때문이다.

NAT에도 방식이 여러가지가 있는데, 가장 널리 쓰이는 것은 PAT(Port Address Translation)이다.
이건 다음과 같은 흐름으로 네트워크를 변환한다.

내 장비(192.168.0.222)에서 naver.com으로 HTTP 요청
공유기가 NAT Table에 192.168.0.222에 랜덤 포트로 NAT 테이블을 기록한다. (예: 192.168.0.222:44444 => 공유기IP:33333)
공유기가 HTTP 요청을 대신 전송한다. (공유기IP:33333 => naver.com)
HTTP 요청에 대한 응답이 올 경우, 공유기는 NAT 테이블을 조회해서 역변환을 수행한다. (예: naver.com => 192.168.0.222:44444)
내 장비(192.168.0.222)에 naver.com에서 보내준 HTTP 응답을 받는다.

포트를 붙여서 통신을 중재하는 이유는, 하나의 공유기가 여러개의 장비를 매개해야 하기 때문이다.
장비 하나당 하나의 포트를 부여해서 처리한다.

Cloud 환경

AWS 같은 Public Cloud 환경의 경우에는 NAT Gateway라는 시스템이 별도로 존재한다. 위에서 언급한 NAT(PAT)과 동작 방식, 원리가 거의 동일하다.

이건 private 리소스에서 외부 인터넷 접근을 시도할 경우에 필요한 처리를 담당한다.
당연히 public 인터넷에 접근하려면 public IP가 있어야 하는데, private 리소스로 프로비저닝된 경우에는 public IP가 없다. 이런 경우에 외부 통신을 중계해주는 것이다.

클라우드의 NAT은 기본적으로 비용이 꽤나 비싼 편이다. 보통 트래픽당 비용과 프로비저닝 비용을 둘 다 뜯는다.

용도

NAT의 시작점은 그냥 Public IP 하나를 돌려써서 IP 비용을 아끼고, 개별 장치들의 내부 IP 정보를 은닉하는 정도였다.

하지만 다른 용도도 두각을 드러내기 시작했는데, 그게 바로 IP를 고정하는 것이다.
일부 서드파티 서비스들은 미리 "안전한" IP를 할당해놓고 그 IP를 통해서 요청해야만 동작하게끔 Ingress 보안 계층을 구성해놓는 경우가 드물지 않게 있다. 특히 보안이 중요한 금융 쪽 같은 경우에는 대부분 들어가는 것 같더라.

이렇게 되면 개별 서버들이 Public IP를 갖게 할 수 있더라도, 고정된 IP를 통해서 통신이 이루어지게 만들어야만 한다. NAT 패턴은 이런 상황에서 유용하게 사용된다.

쿠버네티스에서

위 단락과 같은 이유에서, 쿠버네티스 환경에서도 NAT 패턴을 구현해야 할 수 있다.

이건 방법이 좀 다양한데, CNI를 어떤걸 쓰는지에 따라서 좀 달라진다. 가장 단순한 방법은 EgressGateway를 사용하는 것이다.

CNI로 cilium이나 Calico를 쓸 경우에는 EgressGateway라는 것을 지원한다. 이걸 세팅하면 외부 통신에 사용되는 IP를 가로채서 특정 IP로 교체해버릴 수 있다.

다음은 Calico를 사용한 간단한 구성 예제다.

apiVersion: projectcalico.org/v3
kind: EgressGateway
metadata:
    name: tosspayments-egress
    namespace: payment
spec:
    egressIP: 3.35.123.45 # 고정할 NAT IP
    selector: "app == 'payment-api'" # 이것과 일치하는 Pod에 Egress Gateway 적용
    replicas: 2
---
apiVersion: apps/v1
kind: Deployment
metadata:
    name: payment-api
    namespace: payment
spec:
    replicas: 10 # Pod 수 자유롭게 변경 가능
    template:
        metadata:
            labels:
                app: payment-api
        spec:
            containers:
                - name: api
                  image: payment-api:latest

이러면 저 payment-api라는 Pod들은 실제 IP와 관련없이 egressIP라는 IP로 변환되어서 통신을 하게 된다.

참조
https://incodom.kr/NAT%28Network_Address_Translation%29
https://tech.kakaopay.com/post/cilium-egress-gateway/