⑥편. EKS 네트워크 심층: conntrack과 Pod NAT 흐름

들어가며

EKS에서 NLB나 ALB를 붙이면 종종 이런 증상이 생긴다.
"Pod로 요청이 들어오는데 일부만 응답이 안 와요."

그 원인은 대부분 conntrack과 NAT 복원 실패다.

---

NodePort 기반 흐름

Client → NLB (DNAT) → Node (DNAT) → Pod
Pod → Node (SNAT 복원) → NLB (SNAT 복원) → Client

두 번 NAT이 발생하고, 모든 상태는 conntrack이 추적한다.

---

IP 모드 (nlb-ip) 구조

Client → NLB → Pod (직접 IP Target)

홉 1단계 제거, NAT 1회 축소 → 성능 향상.

---

eBPF 기반 구조

eBPF는 커널의 conntrack을 우회하여 패킷을 직접 리디렉션한다.

• NAT 제거
• CPU 부하 감소
• 고성능 트래픽 처리 가능

---

요약

• EKS 트래픽은 NAT 2회, conntrack 1회 최소 발생.
• IP 모드 + eBPF로 홉과 NAT을 줄이면 성능 극대화.

---

시리즈 완결
AWS의 네트워크는 단순한 트래픽 전달이 아니라,
계층별 역할과 NAT / 세션 구조를 정확히 이해해야
성능, 보안, 확장성을 동시에 잡을 수 있다.