프라이빗 Amazon VPC에서 NAT 게이트웨이를 사용할 때 연결 문제를 해결하려면 어떻게 해야 하나요?

3분 분량
0

프라이빗 Amazon Virtual Private Cloud(VPC)에서 NAT 게이트웨이를 사용할 때 발생하는 연결 문제를 해결하려고 합니다.

간략한 설명

프라이빗 서브넷 리소스는 다음과 같은 이유로 연결 시간 초과, 갑작스러운 연결 끊김 또는 연결 속도 저하가 발생할 수 있습니다.

  • 네트워크 액세스 제어 목록(네트워크 ACL) 규칙
  • NAT 게이트웨이의 ErrorPortAllocation 오류
  • 클라이언트 인스턴스 포트 소진
  • 용량 해제에 대한 IdleTimeoutCount 오류
  • NAT 게이트웨이당 대역폭 제한

해결 방법

다음 원인에 따라 연결 시간 초과, 갑작스러운 연결 끊김 또는 연결 속도 저하 문제를 해결하세요.

네트워크 ACL 규칙

NAT 게이트웨이의 퍼블릭 서브넷에 연결된 네트워크 ACL이 임시 포트 범위(1024-65535)의 트래픽을 허용하는지 확인하세요. 네트워크 ACL에서 해당 포트 범위의 하위 세트를 허용하고 인스턴스가 범위를 벗어난 소스 포트를 사용하는 경우 트래픽이 끊깁니다. 자세한 내용을 보려면 예시: 프라이빗 서브넷 및 NAT에 서버가 있는 VPC를 참조하세요.

NAT 게이트웨이의 ErrorPortAllocation 오류

NAT 게이트웨이는 각 대상에 대해 최대 55,000개의 동시 연결을 지원합니다. 이 임계값을 초과하면 해당 대상에 대한 새 연결이 실패하고 Amazon CloudWatch에서 이 NAT 게이트웨이에 대한 ErrorPortAllocation 지표가 증가합니다. 이 문제를 해결하려면 최대 8개의 IPv4 주소를 NAT 게이트웨이에 연결하여 한도를 늘리세요. 하나의 기본 IPv4 주소와 7개의 보조 IPv4 주소를 연결할 수 있습니다.

참고: 보조 IPv4 주소는 사용 가능한 포트 수를 늘립니다. 즉, 워크로드가 NAT 게이트웨이에 연결하여 설정하는 데 사용할 수 있는 동시 연결 수도 늘어납니다.

자세한 내용을 보려면 NAT 게이트웨이의 ErrorPortAllocation 오류를 해결하려면 어떻게 해야 하나요?를 참조하세요.

클라이언트 인스턴스 포트 소진

프라이빗 서브넷의 클라이언트 인스턴스가 운영 체제(OS) 연결 한도에 도달했는지 확인합니다.

활성 연결 수 보기:

Linux:

netstat -ano | grep ESTABLISHED | wc --lnetstat -ano | grep TIME_WAIT | wc --l

Windows:

netstat -ano | find /i "estab" /cnetstat -ano | find /i "TIME_WAIT" /c

이전 명령이 허용된 로컬 포트 범위(클라이언트 연결용 소스 포트)에 가까운 값을 반환하면 포트 고갈이 발생할 수 있습니다.

포트 소모를 줄이려면 다음 작업을 완료하세요.

  • 사용 가능한 연결을 고갈시키는 모든 애플리케이션 수준 문제를 해결하세요.
  • 다음과 같이 운영 체제 로컬(임시) 포트 범위를 늘리세요.
net.ipv4.ip_local_port_range = 1025 61000

참고: 전체 포트 범위 번호는 연결이 자동으로 종료되어 발생하는 포트 할당 문제를 해결하는 데 도움이 될 수도 있고 그렇지 않을 수도 있습니다.

용량 해제에 대한 IdleTimeoutCount 오류

NAT 게이트웨이를 사용하는 연결이 350초 이상 유휴 상태인 경우 연결 시간이 초과됩니다. 또한 IdleTimeoutCount 지표가 급증하는 것을 확인할 수 있습니다. 연결 시간이 초과되면 NAT 게이트웨이는 연결을 계속하려는 NAT 게이트웨이 뒤의 모든 리소스에 RST 패킷을 반환합니다. NAT 게이트웨이는 FIN 패킷을 전송하지 않습니다.

IdleTimeoutCount 오류를 해결하려면 다음 작업을 완료하세요.

  • Amazon CloudWatch의 IdleTimeoutCount 지표를 사용하여 유휴 연결의 증가를 모니터링할 수 있습니다. 프로세스가 유휴 상태인 클라이언트의 상위 기여자를 파악할 수 있도록 CloudWatch Contributor Insights를 구성해야 합니다.
  • 클라이언트의 유휴 연결을 종료하여 용량을 확보합니다.
  • 연결을 통해 더 많은 트래픽을 시작하세요.
  • 값이 350초 미만인 인스턴스에서 TCP keepalive를 켜세요.

NAT 게이트웨이의 대역폭 제한

NAT 게이트웨이는 5Gbps의 대역폭을 지원하며 자동으로 최대 100Gbps까지 스케일 업 됩니다. NAT 게이트웨이의 모든 인스턴스에서 네트워킹 처리량 지표가 100Gbps 이상이면 트래픽 속도가 느려집니다. 자세한 내용을 보려면 NAT 게이트웨이 지표 및 차원을 참조하세요.

NAT 게이트웨이의 대역폭 제한을 해결하거나 우회하려면 리소스를 여러 서브넷 간에 분할하고 여러 NAT 게이트웨이를 생성하세요.

자세한 내용을 보려면 Amazon CloudWatch 지표를 사용하여 NAT 게이트웨이 대역폭 문제를 식별하려면 어떻게 해야 하나요?를 참조하세요.

관련 정보

NAT 인스턴스 사용 시 간헐적인 연결 문제를 해결하려면 어떻게 해야 하나요?

NAT 게이트웨이 문제 해결

AWS 공식
AWS 공식업데이트됨 일 년 전