$100k AWS 라우팅 함정: S3 + NAT 게이트웨이 (그리고 Terraform으로 해결하는 방법)

Source: Dev.to

$100k AWS 라우팅 함정: S3 + NAT 게이트웨이

귀하의 “기본적으로 보안” AWS 아키텍처가 비용을 새는 중일 수 있으며, 이는 드물게 과다 프로비저닝된 EC2 인스턴스 때문이 아닙니다. 클라우드 비용이 급증하는 경우는 대부분 의도하지 않은 데이터 전송 경로 때문입니다.

NAT 게이트웨이의 숨은 비용

• 컴퓨트 인스턴스는 퍼블릭 IP가 없는 프라이빗 서브넷에 배치됩니다.
• 아웃바운드 트래픽은 관리형 NAT 게이트웨이를 통해 인터넷으로 라우팅됩니다.
• 해당 인스턴스가 Amazon S3에서 데이터를 가져와야 할 때, 트래픽은 퍼블릭 S3 엔드포인트로 전송되고, 인터넷 게이트웨이를 통해 VPC를 빠져나간 뒤 다시 NAT 게이트웨이를 거칩니다.

S3가 퍼블릭 서비스 엔드포인트이기 때문에 데이터가 AWS 백본을 떠나 두 번 측정됩니다. 하루에 10 TB를 다운로드하는 파이프라인이라면 실제로는 20 TB의 아웃바운드에 대해 청구됩니다.

결과적으로 지불하게 되는 비용은:

1. NAT 게이트웨이 시간당 가동 비용
2. NAT 게이트웨이 처리 수수료 – GB당 $0.045
3. 표준 인터넷 아웃바운드 요금

해결책: S3용 VPC 게이트웨이 엔드포인트

VPC 게이트웨이 엔드포인트를 S3에 대해 생성하여 라우팅 경로를 축소합니다. 트래픽이 완전히 AWS 백본 내에 머무르게 되어 NAT 게이트웨이를 우회하고, 내부 전송 비용이 $0.00으로 감소합니다.

Terraform 예시

resource "aws_vpc_endpoint" "s3" {
  vpc_id            = aws_vpc.main.id
  service_name      = "com.amazonaws.${var.region}.s3"
  vpc_endpoint_type = "Gateway"
}

왜 중요한가

• 데이터 중력이 기본 비용을 결정합니다.
• 라우팅이 그 기본 비용에 곱해지는 배수를 결정하여 비용을 폭발시킬 수 있습니다.

추가 자료

• 오픈소스 라우팅 완화 모델: cloud‑egress‑patterns (GitHub)
• 크로스‑리전 VPC 피어링 비용에 대한 전체 아키텍처 심층 분석: The Physics of Data Egress (Rack2Cloud Control Plane)