🕰️ 작성일 : 2025.09.22

이 문서는 Amazon Network Firewall의 기능 관련하여 질의 응답 및 테스트 결과 자료입니다.

Index

1. Calico CNI 기반 Overlay_IP 사용 시 Pod에 대한 Outbound 제어 방안
2. Amazon Network Firewall 로그의 온프레미스 ElasticSearch로의 저장 방안
3. Amazon Network Firewall의 정책 정보 백업 방안
4. Amazon Network Firewall의 세션 공유를 위해서는 TGW의 Appliance 모드를 활성화 여부
5. ANFW로 가는 패킷에 대해서 미러링이 가능 여부

1. Calico CNI 기반 Overlay_IP 사용 시 Pod에 대한 Outbound 제어 방안

결론 : Amazon EKS 환경에서 Calico CNI을 Overaly_IP 모드로 사용할 경우에도 Pod의 Outbound 통신 시 Pod의 IP 주소는 노드의 IP로 SNAT처리 됩니다. 이로 인해 Outbound 제어가 필요한 Pod의 경우 일부 Worker Node로 Pod를 스케줄링하고 Node의 IP 주소를 기반으로 Outbound 제어를 구성하시면 됩니다.

추가사항 : 2026년 ANFW에서 Tag-based resource group 적용(pod name 등으로 접근제어)이 예정되어 있습니다.

1.1 테스트 환경

• Network Firewall Endpoint용 Subnet을 설정하고 Outbound 정책을 통해 특정 Domain에 대해서만 허용 정책을 설정합니다.
• Amazon EKS에는 Calico CNI을 설치하여 Overlay_IP 기반으로 Pod의 IP를 할당 합니다.

1.2 www.google.com으로의 Outbound 테스트

• 현재 www.google.com으로의 Outbound 허용 정책은 구성되지 않았습니다.
• Amazon EKS에 생성한 Pod을 통해 https://www.google.com으로의 outbound 통신을 테스트해봅니다.