NAT Gateway 비용 폭탄, S3 Gateway Endpoint로 해결한 기록

Context

Bedrock AgentCore Runtime을 VPC 모드로 배포 후 예상치 못한 NAT Gateway 비용 발생. 사용자 활동이 없는 상태에서도 지속적인 데이터 유입과 비용 증가 현상 발견.

Technical Solution

• CloudWatch의 BytesInFromDestination 메트릭 분석을 통해 외부에서 내부로 유입되는 트래픽의 비정상적 증가 확인
• VPC Flow Logs와 CloudWatch Logs Insights를 활용하여 트래픽 발생지와 목적지 IP 주소 추적
• 트래픽 소스가 Amazon S3임을 식별하고 ECR 컨테이너 이미지를 다운로드하는 Bedrock AgentCore의 Warm Pool 재프로비저닝 메커니즘 분석
• S3 Gateway VPC Endpoint를 생성하여 S3 트래픽이 NAT Gateway를 거치지 않고 AWS 내부 네트워크로 직접 라우팅되도록 경로 수정
• Terraform을 통한 인프라 코드 정의로 private 및 public 서브넷 라우팅 테이블에 S3 엔드포인트 일괄 적용

Impact

• 6일간 659 Go의 데이터 전송 발생 및 29 $의 예상치 못한 비용 청구
• S3 Gateway Endpoint 적용 후 NAT Gateway 데이터 전송 비용 거의 0 $ 수준으로 감소
• 435 Mo 크기의 컨테이너 이미지와 10대 규모의 VM Warm Pool 구성이 비용 상승의 주요 원인임을 확인

Key Takeaway

클라우드 네이티브 환경에서 관리형 서비스의 내부 동작 방식(Warm Pool 등)이 인프라 비용에 직접적인 영향을 줄 수 있음을 인지하고, 서비스 간 통신 최적화를 위한 전용 엔드포인트 설계를 기본 원칙으로 적용해야 함.