사설망에 공인IP를 가진 LB를 구성할 수 있을까?

가능함
다만 “어디에 두는 LB인가(사설망/DMZ/퍼블릭)”와 “어떤 방식으로 트래픽을 실어 나를 건가(L2 ARP, L3 라우팅, NAT)”에 따라 방법이 달라집니다. 핵심 시나리오만 깔끔하게 정리할게요.


---

1) 사설망(내부) LB인데 공인 IP로 노출하고 싶을 때

A. 방화벽/게이트웨이에서 1:1 NAT

LB VIP: 사설 IP (예: 10.0.1.50)

엣지 방화벽에서 공인 IP ↔ 사설 VIP 정적 NAT(DNAT/SNAT) 설정

장점: LB는 계속 내부망에만 존재. 단순·안전.

유의: X-Forwarded-For/Proxy Protocol 등 원본 IP 보존 고려, 방화벽에 포트/보안정책 필요.


B. 퍼블릭(또는 DMZ) 인터페이스를 LB에 추가 (듀얼홈)

LB 장비/VM에 공인 대역(또는 DMZ 사설 대역) NIC/VLAN을 추가하고 퍼블릭 VIP를 직접 바인딩

장점: 중간 NAT 없음, 기능 제약 적음.

유의: 분리된 보안 정책/ACL, 관리망과 데이터망 분리, L3 라우팅/리턴 경로 정확히.


C. 퍼블릭 LB → 내부 LB 2계층(Two-Tier)

앞단: 퍼블릭 LB/WAF/CDN, 뒷단: 내부 전용 LB

장점: 확장성·보안 기능( WAF/봇차단/캐시 ) 극대화.

유의: 헬스체크/타임아웃, 헤더 전달(Host/XFF) 일관성.



---

2) LB가 다른 사설 IP 대역을 가지도록 만들기

L2(동일 브로드캐스트)일 때

대부분의 LB(F5/HAProxy/NGINX Plus/Citrix ADC)는 VIP가 붙은 VLAN/서브넷에서 ARP 응답이 가능해야 해요.

보통 VIP는 그 VLAN의 대역에서 뽑는 게 정석.


L3(라우팅) 또는 Proxy ARP 지원일 때

LB에 추가 VLAN/서브넷 인터페이스(Self-IP)나 VRF를 만들고 다른 대역 VIP를 바인딩 가능.

혹은 라우팅 광고(BGP) 또는 정적 경로로 “VIP → LB” 경로를 네트워크에 알려 서브넷이 달라도 운용.

유의: 리턴 경로 비대칭 방지, DSR/풀프록시/NAT 모드에 따라 SNAT 사용 여부 결정.



---

3) 클라우드별 정석(요약)

AWS

Internet-facing ALB/NLB: 퍼블릭 서브넷에서 공인 IP(EIP 가능, NLB)

Internal ALB/NLB: 사설 서브넷 프라이빗 IP만

내부 서비스에 공인 노출 필요 시 퍼블릭 NLB/ALB + 라우팅/프록시 또는 NAT/Firewall 조합.


Azure

Public Load Balancer(공인 IP 프런트엔드) vs Internal Load Balancer(사설) 서로 전환 불가.

필요하면 Public LB를 앞에 두고 Internal로 포워딩.


GCP

External LB는 공인, Internal LB는 사설 전용. 목적에 맞는 유형을 선택.


Kubernetes(On-Prem)

MetalLB: 주소 풀을 원하는 대역으로 구성(L2/ARP 또는 BGP).

BGP 모드면 클러스터 외부 라우터에 VIP 경로를 광고해 서브넷이 달라도 가능.




---

4) 빠른 의사결정 체크리스트

퍼블릭 노출이 꼭 필요? → NAT(간단) vs 퍼블릭 인터페이스(더 직접적) vs 퍼블릭 LB 앞단

원본 IP 보존 필요? → Proxy Protocol / X-Forwarded-For / SNAT 여부 결정

네트워크 도메인 분리? → DMZ/VLAN/VRF 설계

라우팅 책임 소재? → 정적경로 vs BGP, 리턴 경로 검증

인증/암호화? → TLS 종료 위치(LB/백엔드), HSTS/ALPN, WAF