퍼블릭 IPv4와 NAT 없이 AWS EKS 워커 노드만 프라이빗 네트워크로 구성 가능할까요?

Ask a Question
, ,
1

EKS 워커 노드를 퍼블릭 IPv4 없이, NAT 게이트웨이 없이 오직 프라이빗 서브넷에만 두면 클러스터 구성을 하고 싶은데요. 가능한거 같기는한데… 자세한 안내를 받아볼 수 있을까요?

1 Like
2

[CloudBro AI Bot Response]
네, AWS EKS 워커 노드를 퍼블릭 IPv4 없이, NAT 게이트웨이 없이 오직 프라이빗 서브넷에만 두고 클러스터를 구성하는 것이 가능합니다. 다만, 몇 가지 중요한 점을 고려하셔야 합니다.

  1. 인터넷 접근 필요성
    워커 노드가 인터넷에 직접 접근하지 못하므로, 외부 패키지 설치, 이미지 풀링(특히 Docker Hub 등 퍼블릭 레지스트리에서), 또는 AWS API(예: SSM, CloudWatch 등)에 접근해야 할 경우 제한이 생깁니다.
    이를 해결하려면 다음과 같은 대안이 있습니다.
    • 프라이빗 ECR(Elastic Container Registry) 사용 또는 사내 프록시/미러 레지스트리 구축
    • VPC 엔드포인트(VPC Interface Endpoint, Gateway Endpoint) 활용해 S3, ECR, SSM 등 AWS 서비스에 사설 네트워크로 접근
  2. 컨트롤 플레인과의 통신
    EKS의 컨트롤 플레인(마스터)은 AWS가 관리하며, 워커 노드는 사설 IP만 사용해도 클러스터에 정상적으로 조인할 수 있습니다. 단, 클러스터 생성 시 EKS API 엔드포인트를 프라이빗 액세스만 허용하도록 설정하시는 것이 좋습니다.
  3. 클러스터 관리 및 유지보수
    워커 노드의 SSH 접속 등 운영상 접근이 필요하다면, Bastion Host(점프 서버)를 두고 프라이빗 네트워크 내에서만 접근하거나, SSM(세션 매니저) 같은 AWS 서비스를 활용해야 합니다.
  4. 실제 구성 방법
    • VPC 생성 시 퍼블릭 서브넷 없이 프라이빗 서브넷만 생성
    • NAT 게이트웨이, 인터넷 게이트웨이 없이 VPC 엔드포인트만 생성
    • EKS 클러스터 생성 시 워커 노드 그룹을 프라이빗 서브넷에만 할당
    • 필요한 AWS 서비스에 대해 VPC 엔드포인트 추가

실제 사례와 공식 문서는 아래에서 참고하실 수 있습니다.

정리하면, 퍼블릭 IPv4와 NAT 없이도 EKS 워커 노드를 프라이빗 네트워크에서만 운영할 수 있지만, 외부 접근이 필요한 워크로드라면 반드시 VPC 엔드포인트 등 대체 경로를 마련해주셔야 합니다. 궁금한 점 추가로 있으시면 언제든 질문 주세요!

3

안녕하세요
통신 부분은 aws transit gateway 좀 찾아보시면 도움이되실 듯 합니다
그리고 이미지는 ecr이나 프라이빗 레지스트리에 필요한 (보안 검사 된) 이미지를 업로드하는 작업이 필요한데, 이부분은 자동화나 다른 대안이 필요할거 같습니다
(헬름 쓰시면 차트 내부에서 외부 이미지를 참조하는 경우가 있는 듯 합니다)

2 Likes
4

NAT를 피하고 Pod의 고유 IP를 그대로 외부로 노출하여 통신 문제를 최소화하고, 특히 외부 서비스가 클라이언트 IP 기반 세션 관리를 하는 경우에 효과적입니다. :slight_smile:

1 Like
5

감사합니다. ^^

1 Like
6

감사합니다. ^^

1 Like
7

다른 분들에게 도움이 될까하는 마음에…

AWS에서 IPv4 기반의 EKS 클러스터를 운영하는데 현재 워커 노드들이 퍼블릭 IPv4 주소를 가지고 있어서, AWS에서 해당 퍼블릭 IPv4 사용에 요금을 부과되는 부담이 있어고, NAT 게이트웨이를 사용하여 워커 노드에 프라이빗 IPv4만 할당하는 방식도 고려했지만, NAT 게이트웨이 역시 비용이 발생해서 문의한 내용입니다. @H11 @paul 두분께서 알려주신 방법으로 오늘 한번 확인해보겠습니다.

감사합니다.

4 Likes
8

EKS 워커 노드는 보안 관점에서 Public IPv4 없이 Private Subnet에 구성되어야 합니다. EKS 클러스터 외부와 통신할 경우에는 Ingress/Service 객체를 통해 외부 인터넷으로 노출하여 통신하도록 해야 합니다. NAT G/W는 EKS 노드에서 필요한 도구/라이브러리/패키지 설치하는게 아니라면 연결하지 않으셔도 됩니다.

금융권 환경에서는 fully private network 환경이 필수 요건 입니다. 즉, VPC에 어떠한 인터넷 통신이 없이 오직 Private network 로만 구성해야 합니다.

먼저, EKS 클러스터 public/private 엔드포인트 아키텍처에 대해 좀 더 살펴보신 후에 접근하시는게 좋을 것 같습니다. 일반적으로 public/private endpoint 로 사용하고 금융권 처럼 fully private network 요건이 있는 경우 private endpoint만 활성화 해서 구성해야 합니다.

Public Endpoint → Private Endpoint로 전환 됨에 따라 VPC 내에서 접근 가능한 bastion 서버 에서 IaC(Terraform), kubectl, k9s 등과 같이 작업 환경을 미리 셋팅이 필요합니다.

AWS 서비스간 Private 연결을 위해서는 VPC Endpoint 로 모두 구성해야 합니다. 아래 블로그 참고 바랍니다. VPC Endpoint를 사용해서 ECR에 Private 접근하는 구성을 설명하고 있습니다.

그 외에도 고려해야 할 부분이 많은데.. 하나하나 설명을 드리긴 어려울 것 같네요. 궁금하신 부분에 대해 물어보시면 답변 가능할 것 같습니다.//

3 Likes
9

@sepiros62 님! 자세한 설명에 너무 감사드립니다. 내부 팀원들에게 공유할께요.

3 Likes