일반적인 EC2 인스턴스 연결 문제 진단 및 해결
Amazon Elastic Compute Cloud (EC2) 인스턴스에 연결하는 것은 클라우드 인프라를 관리하기 위한 기본적인 작업입니다. 그러나 네트워크 연결 문제가 발생하여 인스턴스에 액세스하지 못하거나 인스턴스가 서로 또는 외부 리소스와 통신하지 못할 수 있습니다. 이 가이드는 필수 네트워크 구성 요소 및 잠재적인 잘못된 구성을 다루면서 일반적인 EC2 연결 문제를 진단하고 해결하기 위한 체계적인 접근 방식을 제공합니다.
이러한 잠재적 장애물을 이해하는 것은 건강하고 접근 가능한 AWS 환경을 유지하는 데 중요합니다. 아래에 설명된 단계를 따르면 연결 문제의 원인을 효율적으로 찾아내고 필요한 수정 사항을 구현하여 EC2 인스턴스가 예상대로 도달 가능하고 통신할 수 있도록 할 수 있습니다.
EC2 연결 문제의 일반적인 원인
연결 문제는 AWS 네트워킹 스택의 다양한 계층에서 발생할 수 있습니다. 근본 원인을 식별하려면 종종 이러한 요소의 조합을 확인해야 합니다:
- 보안 그룹(Security Groups): 인스턴스에 대한 가상 방화벽 역할을 하며, 인스턴스 수준에서 인바운드 및 아웃바운드 트래픽을 제어합니다.
- 네트워크 ACL(NACLs): 서브넷 수준에서 작동하며, 서브넷으로 들어오고 나가는 트래픽에 대한 추가적인 무상태(stateless) 필터링 계층을 제공합니다.
- 라우팅 테이블(Route Tables): 네트워크 트래픽이 어디로 향할지 지정하여 VPC(Virtual Private Cloud) 내에서 네트워크 트래픽을 지시합니다.
- 인스턴스 상태 및 네트워킹 구성: EC2 인스턴스 자체의 문제(예: 중지되었거나 네트워크 인터페이스 설정이 잘못된 경우).
- 인터넷 게이트웨이(IGW) / NAT 게이트웨이: 인터넷 액세스가 필요한 인스턴스의 경우, IGW(퍼블릭 서브넷용) 또는 NAT 게이트웨이(프라이빗 서브넷용) 구성이 중요합니다.
- VPC 피어링(VPC Peering) / 트랜짓 게이트웨이(Transit Gateway): VPC 간 연결이 필요한 경우, 이러한 VPC 간 연결 서비스가 올바르게 구성되어야 합니다.
단계별 진단 및 해결
일반적인 연결 문제를 해결하기 위한 실질적인 단계를 살펴보겠습니다.
1. 인스턴스 상태 및 기본 네트워크 도달 가능성 확인
복잡한 네트워크 구성에 들어가기 전에, 인스턴스 자체가 정상 상태이고 기본 네트워크 구성이 되어 있는지 확인하십시오:
- 인스턴스 상태 확인: EC2 콘솔에서 인스턴스를 선택하고 "상태 확인(Status checks)" 탭을 확인하십시오. "시스템 상태 확인(System status checks)" 및 "인스턴스 상태 확인(Instance status checks)"이 모두 통과되었는지 확인하십시오. 그렇지 않은 경우, 기본 시스템 또는 인스턴스 문제를 조사하십시오.
- 퍼블릭 IP / 프라이빗 IP: 인스턴스에 예상되는 퍼블릭 IP 주소(퍼블릭 서브넷에 있고 인터넷 액세스가 필요한 경우) 또는 프라이빗 IP 주소가 있는지 확인하십시오.
- DNS 확인: IP 주소로 외부 리소스를 핑하고, 그 다음 호스트 이름으로 핑을 시도하십시오. 호스트 이름 확인이 실패하지만 IP 주소 핑이 작동한다면, VPC 내에 DNS 구성 문제가 있을 수 있습니다.
2. 보안 그룹 검토
보안 그룹은 EC2 인스턴스로 들어오고 나가는 트래픽을 제어하는 상태 저장 방화벽입니다. 이는 연결 문제의 매우 일반적인 원인입니다.
2.1. 인바운드 규칙
인스턴스에 연결할 수 없는 경우(예: SSH 또는 RDP를 통해):
- EC2 인스턴스에 연결된 보안 그룹을 확인하십시오.
- 인바운드 규칙 확인: 필요한 포트(예: SSH의 경우 포트 22, RDP의 경우 포트 3389)에 대한 트래픽을 소스 IP 주소 또는 신뢰할 수 있는 IP 범위(예:
0.0.0.0/0은 모든 곳에서 허용하지만 주의 필요)에서 허용하는 인바운드 규칙이 있는지 확인하십시오. 개발 또는 테스트의 경우, 특정 IP 주소(<your_ip>/32)를 사용하는 것이 더 안전한 방법입니다. - 예시: 귀하의 IP 주소에서 SSH 액세스를 허용하려면:
유형: SSH 프로토콜: TCP 포트 범위: 22 소스: <your_ip>/32
2.2. 아웃바운드 규칙
인스턴스가 외부 리소스에 도달할 수 없는 경우(예: 패키지 다운로드, 다른 AWS 서비스에 연결):
- EC2 인스턴스에 연결된 보안 그룹을 확인하십시오.
- 아웃바운드 규칙 확인: 기본적으로 보안 그룹은 모든 아웃바운드 트래픽을 허용합니다. 사용자 지정 아웃바운드 규칙이 생성된 경우, 대상 포트 및 IP로 필요한 트래픽을 허용하는지 확인하십시오.
- 예시: 모든 아웃바운드 트래픽을 허용하려면:
유형: 모든 트래픽 프로토콜: 모두 포트 범위: 모두 대상: 0.0.0.0/0
3. 네트워크 ACL(NACL) 조사
NACL은 서브넷 수준에서 작동하는 무상태 방화벽입니다. 보안 그룹이나 인스턴스에 도달하기 전에 트래픽을 필터링합니다.
- 인스턴스 서브넷과 연결된 NACL을 식별하십시오.
- 인바운드 규칙 확인: NACL은 규칙 번호 순서대로 평가됩니다. 소스 IP에서 필요한 포트의 트래픽을 허용하는 인바운드 규칙이 있는지 확인하십시오.
- 아웃바운드 규칙 확인: 마찬가지로, 아웃바운드 규칙이 대상에 대한 트래픽을 허용하는지 확인하십시오.
- 무상태 특성: NACL은 무상태(stateless)라는 것을 기억하십시오. 즉, 양방향으로 트래픽이 흐르려면 인바운드 및 아웃바운드 규칙을 모두 정의해야 합니다. 예를 들어, 인바운드 SSH(포트 22)를 허용하는 경우, 응답이 돌아오도록 임시 포트(일반적으로 1024-65535)에서 아웃바운드 트래픽도 허용해야 합니다.
- 규칙 번호 매기기: 낮은 규칙 번호가 먼저 평가됩니다. 명시적인 거부 규칙(예: 특정 트래픽을 거부하는 규칙
100)과 허용 규칙(예: 더 광범위한 트래픽을 허용하는 규칙200)을 신중하게 사용하십시오.
4. 라우팅 테이블 검토
라우팅 테이블은 서브넷에서 네트워크 트래픽이 어디로 향할지 결정합니다. 잘못된 라우팅은 트래픽이 목적지에 도달하는 것을 방해할 수 있습니다.
- 인스턴스 서브넷과 연결된 라우팅 테이블을 찾으십시오.
- 기본 경로 확인: 퍼블릭 서브넷의 인스턴스가 인터넷에 액세스하려면
0.0.0.0/0경로가 인터넷 게이트웨이(IGW)를 가리켜야 합니다.
대상 | 타겟 ----------------|-------- 10.0.0.0/16 | local 0.0.0.0/0 | igw-xxxxxxxxxxxxxxxxx - 프라이빗 서브넷 및 NAT 게이트웨이: 프라이빗 서브넷의 인스턴스가 인터넷에 액세스하려면, 해당 서브넷의 라우팅 테이블에 NAT 게이트웨이 또는 NAT 인스턴스를 가리키는
0.0.0.0/0경로가 필요합니다.
대상 | 타겟 ----------------|-------- 10.0.0.0/16 | local 0.0.0.0/0 | nat-xxxxxxxxxxxxxxxxx - VPC 피어링 / VPN: 인스턴스가 다른 VPC 또는 온프레미스의 리소스와 통신해야 하는 경우, 해당 CIDR 블록에 대한 적절한 경로가 존재하고 올바른 피어링 연결 또는 VPN 게이트웨이를 가리키는지 확인하십시오.
5. 인터넷 게이트웨이(IGW) 및 NAT 게이트웨이 연결 문제 해결
-
인터넷 게이트웨이(IGW):
- IGW가 생성되어 VPC에 연결되어 있는지 확인하십시오.
- 퍼블릭 서브넷의 라우팅 테이블에 IGW를 가리키는
0.0.0.0/0경로가 있는지 확인하십시오. - 인스턴스에 퍼블릭 IP 주소 또는 탄력적 IP 주소가 할당되어 있는지 확인하십시오.
- 보안 그룹 및 NACL 규칙은 인터넷 액세스를 위해
0.0.0.0/0으로/부터의 트래픽을 허용해야 합니다.
-
NAT 게이트웨이:
- NAT 게이트웨이가 생성되어 퍼블릭 서브넷에 있는지 확인하십시오.
- NAT 게이트웨이에 탄력적 IP 주소가 연결되어 있는지 확인하십시오.
- 프라이빗 서브넷의 라우팅 테이블에 NAT 게이트웨이를 가리키는
0.0.0.0/0경로가 있는지 확인하십시오. - 보안 그룹 및 NACL 규칙은 프라이빗 서브넷에서 NAT 게이트웨이로, 그리고 외부 인터넷으로의 트래픽을 허용해야 합니다.
6. VPC 피어링 및 트랜짓 게이트웨이
VPC 간 연결 문제가 발생하는 경우:
- VPC 피어링:
- 피어링 연결이 활성 상태이며 양쪽 VPC에서 승인되었는지 확인하십시오.
- 양쪽 VPC의 라우팅 테이블에 피어링된 VPC의 CIDR 블록으로의 트래픽을 허용하는 경로가 추가되었는지 확인하십시오.
- 양쪽 VPC의 보안 그룹 및 NACL이 필요한 IP 범위 간의 트래픽을 허용하는지 확인하십시오.
- 트랜짓 게이트웨이:
- 트랜짓 게이트웨이가 생성되었고 관련 VPC가 연결되었는지 확인하십시오.
- 트랜짓 게이트웨이 라우팅 테이블이 VPC 연결 간 트래픽을 올바르게 라우팅하는지 확인하십시오.
- 각 VPC 내의 라우팅 테이블에 다른 VPC로 향하는 트래픽에 대해 트랜짓 게이트웨이를 가리키는 경로가 있는지 확인하십시오.
- 각 VPC 내의 보안 그룹 및 NACL은 VPC 간 트래픽을 허용해야 합니다.
7. AWS 네트워크 도달 가능성 도구 사용
AWS는 네트워크 문제를 진단하는 데 도움이 되는 도구를 제공합니다:
- VPC 도달 가능성 분석기(VPC Reachability Analyzer): 이 도구를 사용하면 VPC 내 또는 VPC 간 두 엔드포인트 간의 도달 가능성을 분석할 수 있습니다. 트래픽 흐름을 시뮬레이션하고 보안 그룹, NACL, 라우팅 테이블 또는 기타 네트워크 구성으로 인한 경로 실패를 식별할 수 있습니다. VPC 콘솔의 "네트워크 도달 가능성(Network Reachability)"에서 찾을 수 있습니다.
- VPC 흐름 로그(VPC Flow Logs): 연결 실패를 직접 진단하지는 않지만, VPC 흐름 로그는 VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 정보를 캡처합니다. 이러한 로그를 분석하면 차단되거나 예상치 못한 트래픽 패턴을 파악하여 보안 그룹 또는 NACL의 잘못된 구성을 식별하는 데 도움이 될 수 있습니다.
8. 기타 잠재적 문제
- 탄력적 네트워크 인터페이스(ENI): ENI가 인스턴스에 연결되어 있고 올바르게 구성되었는지 확인하십시오.
- 서브넷의 라우팅 테이블 연결: 서브넷이 의도된 라우팅 테이블과 올바르게 연결되었는지 확인하십시오.
- DNS 구성: 사용자 지정 DNS를 사용하는 경우, 올바르게 확인되는지 확인하십시오. 기본 VPC DNS의 경우, VPC에 DNS 확인이 활성화되어 있는지 확인하십시오.
- 프록시 서버: 인스턴스가 프록시를 사용하도록 구성된 경우, 프록시 자체에 액세스할 수 있고 올바르게 구성되었는지 확인하십시오.
연결 문제 방지를 위한 모범 사례
- 최소 권한: 보안 그룹 및 NACL을 최소한의 필요한 권한으로 구성하십시오. 다른 수단으로 보호되지 않는 한 민감한 포트에
0.0.0.0/0을 사용하는 것을 피하십시오. - 태그 지정: 네트워크 리소스(VPC, 서브넷, 보안 그룹, 라우팅 테이블)에 일관되게 태그를 지정하여 목적과 관련 인스턴스를 쉽게 식별할 수 있도록 하십시오.
- 문서화: 네트워크 토폴로지, IP 주소 지정 체계 및 보안 규칙에 대한 명확한 문서를 유지 관리하십시오.
- 정기 감사: 보안 그룹 및 NACL 규칙이 여전히 관련성이 있고 안전한지 정기적으로 검토하십시오.
- AWS 도구 활용: VPC 도달 가능성 분석기 및 VPC 흐름 로그를 숙지하여 사전 예방적 모니터링 및 문제 해결에 활용하십시오.
결론
EC2 인스턴스 연결 문제를 진단하려면 AWS 네트워킹 스택의 각 계층을 체계적으로 확인하는 방법론적 접근 방식이 필요합니다. 보안 그룹, NACL, 라우팅 테이블 및 게이트웨이 구성을 이해하고 확인함으로써 가장 일반적인 연결 문제를 효과적으로 식별하고 해결할 수 있습니다. VPC 도달 가능성 분석기 및 VPC 흐름 로그와 같은 도구를 활용하면 문제 해결 프로세스를 더욱 간소화하고 강력하고 액세스 가능한 클라우드 환경을 유지하는 데 도움이 될 수 있습니다.