Split View: 네트워크 트러블슈팅 완벽 가이드 — 6부작 시리즈 개요
네트워크 트러블슈팅 완벽 가이드 — 6부작 시리즈 개요
시리즈를 시작하며
네트워크 장애는 서비스 운영에서 가장 빈번하면서도 진단이 까다로운 영역입니다. "서버가 응답하지 않습니다"라는 단순한 증상 뒤에는 DNS 해석 실패, TCP 핸드셰이크 타임아웃, TLS 인증서 만료, 컨테이너 네트워크 격리 문제 등 다양한 원인이 숨어 있습니다.
이 시리즈는 DevOps 엔지니어, SRE, 백엔드 개발자가 실무에서 네트워크 문제를 체계적으로 접근할 수 있도록 OSI 모델의 하위 계층부터 클라우드 아키텍처까지 단계별로 정리한 가이드입니다.
시리즈 구성
총 6편으로 구성되어 있으며, 각 편은 독립적으로 참고할 수 있지만 순서대로 읽으면 네트워크 트러블슈팅의 전체 흐름을 이해하는 데 도움이 됩니다.
Part 1. DNS 트러블슈팅 심층 분석
DNS는 모든 네트워크 통신의 출발점입니다. 도메인 이름을 IP 주소로 변환하는 과정에서 발생하는 문제는 서비스 전체에 영향을 미칩니다.
다루는 내용:
- DNS 해석 과정의 전체 흐름 (재귀 질의 vs 반복 질의)
dig,nslookup,host명령어를 활용한 단계별 진단- DNS 캐시 문제와 TTL 관련 트러블슈팅
- DNSSEC 검증 실패 디버깅
- 사내 DNS 서버 / CoreDNS 장애 대응
- DNS 기반 서비스 디스커버리 문제 해결
이런 상황에서 유용합니다:
- "도메인이 갑자기 해석되지 않습니다"
- "특정 DNS 서버에서만 다른 결과가 나옵니다"
- "Kubernetes Pod에서 외부 도메인 접근이 안 됩니다"
Part 2. TCP/IP 연결 디버깅
TCP/IP는 인터넷 통신의 기본 프로토콜 스택입니다. 연결 수립, 데이터 전송, 연결 종료의 각 단계에서 발생하는 문제를 진단하는 방법을 다룹니다.
다루는 내용:
- TCP 3-way handshake / 4-way teardown 분석
tcpdump,Wireshark를 활용한 패킷 캡처 및 분석ss,netstat으로 소켓 상태 점검- TCP 재전송, 윈도우 크기, Nagle 알고리즘 관련 이슈
- TIME_WAIT, CLOSE_WAIT 상태 과다 문제 해결
- MTU / MSS 불일치로 인한 패킷 분할 문제
이런 상황에서 유용합니다:
- "연결이 간헐적으로 타임아웃됩니다"
- "CLOSE_WAIT 상태의 소켓이 계속 쌓입니다"
- "특정 크기 이상의 패킷이 전송되지 않습니다"
Part 3. HTTP/HTTPS 트러블슈팅
애플리케이션 계층에서 가장 많이 사용되는 HTTP/HTTPS 프로토콜의 문제를 진단합니다. TLS 핸드셰이크, 인증서 관리, HTTP/2 및 gRPC 관련 이슈까지 포함합니다.
다루는 내용:
- HTTP 상태 코드별 원인 분석 (4xx, 5xx 심층 해석)
- TLS/SSL 핸드셰이크 과정과 인증서 체인 검증
curl,openssl s_client를 활용한 HTTPS 디버깅- HTTP/2 프로토콜 문제 (스트림 멀티플렉싱, HPACK)
- CORS, 리다이렉트 루프, 프록시 설정 문제
- Let's Encrypt / ACME 자동 인증서 갱신 장애
이런 상황에서 유용합니다:
- "SSL 핸드셰이크가 실패합니다"
- "인증서가 만료되어 서비스에 접근할 수 없습니다"
- "HTTP/2로 전환 후 특정 클라이언트에서 오류가 발생합니다"
Part 4. 네트워크 성능 분석
네트워크 문제가 "장애"가 아닌 "성능 저하"로 나타나는 경우, 정량적인 분석이 필요합니다. 대역폭, 지연 시간, 패킷 손실을 측정하고 병목을 찾는 방법을 다룹니다.
다루는 내용:
iperf3를 활용한 대역폭 측정과 벤치마킹mtr,traceroute로 네트워크 경로 분석- 지연 시간(Latency) vs 처리량(Throughput) 개념 정리
- TCP 윈도우 스케일링과 버퍼 튜닝
- QoS 정책과 트래픽 셰이핑
- 네트워크 모니터링 도구 구축 (Prometheus + Grafana)
이런 상황에서 유용합니다:
- "API 응답이 평소보다 느립니다"
- "특정 리전 간 통신에서 지연이 발생합니다"
- "트래픽이 급증하면 패킷 손실이 일어납니다"
Part 5. 컨테이너 / Kubernetes 네트워크 디버깅
컨테이너 환경은 네트워크 계층이 하나 더 추가됩니다. veth 페어, 브리지 네트워크, CNI 플러그인, Service/Ingress 등 Kubernetes 특유의 네트워크 구조를 이해하고 디버깅하는 방법을 다룹니다.
다루는 내용:
- Docker 네트워크 모드 (bridge, host, overlay) 비교
- Kubernetes 네트워크 모델과 CNI 플러그인 (Calico, Cilium, Flannel)
- Pod 간 통신, Service 통신, 외부 트래픽 흐름 추적
- NetworkPolicy를 활용한 네트워크 격리와 디버깅
- Ingress Controller (Nginx, Traefik) 문제 해결
kubectl debug,nsenter를 활용한 네트워크 네임스페이스 진입- eBPF 기반 네트워크 관측 (Cilium Hubble)
이런 상황에서 유용합니다:
- "Pod에서 다른 Pod로 통신이 안 됩니다"
- "Service의 ClusterIP로 접근이 되지 않습니다"
- "Ingress를 통한 외부 트래픽이 특정 경로에서 504를 반환합니다"
Part 6. 클라우드 네트워크 아키텍처 트러블슈팅
AWS, GCP, Azure 등 클라우드 환경에서의 네트워크는 VPC, 서브넷, 보안 그룹, 라우팅 테이블 등 추상화된 계층이 추가됩니다. 클라우드 특유의 네트워크 문제를 진단하는 방법을 다룹니다.
다루는 내용:
- VPC 설계 원칙과 서브넷 구성 전략
- Security Group / NACL 규칙 디버깅
- VPC Peering, Transit Gateway, PrivateLink 연결 문제
- Route Table과 Internet Gateway / NAT Gateway 설정 검증
- AWS VPC Flow Logs / GCP Flow Logs를 활용한 트래픽 분석
- 멀티 리전 / 하이브리드 클라우드 네트워크 문제 해결
- DNS 통합 (Route 53 Private Hosted Zone, Cloud DNS)
이런 상황에서 유용합니다:
- "VPC 피어링 설정 후 상대 VPC의 리소스에 접근이 안 됩니다"
- "프라이빗 서브넷에서 인터넷 접근이 되지 않습니다"
- "Security Group은 열려 있는데 연결이 거부됩니다"
시리즈 학습 로드맵
이 시리즈를 최대한 효과적으로 활용하려면 다음 순서를 추천합니다.
┌──────────────────────────┐
│ Part 1. DNS 트러블슈팅 │
└────────────┬─────────────┘
│
┌────────────▼─────────────┐
│ Part 2. TCP/IP 디버깅 │
└────────────┬─────────────┘
│
┌────────────▼─────────────┐
│ Part 3. HTTP/HTTPS │
└────────────┬─────────────┘
│
┌────────────▼─────────────┐
│ Part 4. 성능 분석 │
└────────────┬─────────────┘
│
┌─────────────────┴───────────────────┐
│ │
┌──────────▼──────────┐ ┌────────────▼───────────┐
│ Part 5. 컨테이너/K8s│ │ Part 6. 클라우드 │
└─────────────────────┘ └────────────────────────┘
추천 학습 경로
| 대상 | 추천 경로 |
|---|---|
| 백엔드 개발자 | Part 1 → Part 3 → Part 2 → Part 4 |
| DevOps / SRE | Part 1 → Part 2 → Part 3 → Part 4 → Part 5 → Part 6 |
| 클라우드 엔지니어 | Part 1 → Part 2 → Part 6 → Part 5 |
| 쿠버네티스 관리자 | Part 1 → Part 2 → Part 5 → Part 4 |
사전 준비
시리즈를 따라가기 위해 다음 환경과 도구가 필요합니다.
필수 도구
| 도구 | 용도 | 설치 확인 |
|---|---|---|
dig / nslookup | DNS 진단 | dig -v |
curl | HTTP 요청 테스트 | curl --version |
tcpdump | 패킷 캡처 | tcpdump --version |
ss / netstat | 소켓 상태 확인 | ss -v |
traceroute / mtr | 경로 추적 | mtr --version |
iperf3 | 대역폭 측정 | iperf3 --version |
openssl | TLS 인증서 검사 | openssl version |
권장 도구
| 도구 | 용도 |
|---|---|
| Wireshark | GUI 기반 패킷 분석 |
kubectl | Kubernetes 클러스터 관리 |
nsenter | 네트워크 네임스페이스 진입 |
| Cilium Hubble | eBPF 기반 네트워크 관측 |
실습 환경
- Linux 기반 서버 (Ubuntu 22.04 / Rocky Linux 9 권장)
- Docker 및 Docker Compose
- Kubernetes 클러스터 (minikube, kind, 또는 관리형 클러스터)
- 클라우드 계정 (AWS Free Tier 또는 GCP Free Tier)
트러블슈팅 기본 원칙
시리즈 전체를 관통하는 트러블슈팅의 기본 원칙을 먼저 소개합니다.
1. 계층별로 접근하라
네트워크 문제는 반드시 아래 계층부터 위로 확인합니다.
물리 계층 → 데이터링크 → 네트워크(IP) → 전송(TCP/UDP) → 애플리케이션(HTTP)
DNS가 해석되지 않는데 HTTP 응답 코드를 분석하는 것은 시간 낭비입니다.
2. 변경 사항을 확인하라
문제가 발생하기 직전에 무엇이 변경되었는지 파악하는 것이 가장 빠른 진단 경로입니다.
- 배포가 있었는가?
- 인프라 변경이 있었는가?
- 인증서 갱신 주기가 도래했는가?
- DNS 레코드가 수정되었는가?
3. 격리하여 재현하라
문제를 재현할 수 있다면 절반은 해결된 것입니다.
- 특정 서버에서만 발생하는가?
- 특정 시간대에만 발생하는가?
- 특정 요청 패턴에서만 발생하는가?
4. 로그와 메트릭을 활용하라
주관적인 판단 대신 데이터에 기반하여 의사결정합니다.
# 예시: 네트워크 관련 커널 로그 확인
dmesg | grep -i -E "net|eth|tcp|drop"
# 예시: 시스템 네트워크 통계
cat /proc/net/snmp | grep -i tcp
시리즈 전체 링크
| 편 | 제목 | 링크 |
|---|---|---|
| Part 1 | DNS 트러블슈팅 심층 분석 | 바로가기 |
| Part 2 | TCP/IP 연결 디버깅 | 바로가기 |
| Part 3 | HTTP/HTTPS 트러블슈팅 | 바로가기 |
| Part 4 | 네트워크 성능 분석 | 바로가기 |
| Part 5 | 컨테이너/K8s 네트워크 디버깅 | 바로가기 |
| Part 6 | 클라우드 네트워크 트러블슈팅 | 바로가기 |
각 편은 독립적으로 참고할 수 있도록 구성되어 있습니다. 특정 문제에 직면했다면 해당 편으로 바로 이동하여 필요한 내용을 확인하세요. 전체적인 네트워크 트러블슈팅 역량을 높이고 싶다면 Part 1부터 순서대로 학습하는 것을 추천합니다.
Network Troubleshooting Complete Guide — 6-Part Series Overview
- Introduction
- Series Structure
- Series Learning Roadmap
- Prerequisites
- Core Troubleshooting Principles
- Full Series Links
- Quiz
Introduction
Network failures are among the most frequent and challenging issues in service operations. Behind a simple symptom like "the server is not responding" lie a multitude of potential root causes: DNS resolution failures, TCP handshake timeouts, TLS certificate expiration, container network isolation misconfigurations, and more.
This series is designed to help DevOps engineers, SREs, and backend developers take a systematic approach to network troubleshooting, covering each layer from the lower levels of the OSI model all the way up to cloud architecture.
Series Structure
The series consists of 6 parts. Each part can be referenced independently, but reading them in order will give you a comprehensive understanding of the entire network troubleshooting workflow.
Part 1. DNS Troubleshooting Deep Dive
DNS is the starting point of all network communication. Issues in the process of translating domain names to IP addresses can impact your entire service.
Topics covered:
- End-to-end DNS resolution flow (recursive vs. iterative queries)
- Step-by-step diagnosis using
dig,nslookup, andhost - DNS cache issues and TTL-related troubleshooting
- DNSSEC validation failure debugging
- Internal DNS server / CoreDNS incident response
- DNS-based service discovery problem resolution
Useful when you encounter:
- "The domain suddenly stopped resolving"
- "Different DNS servers are returning different results"
- "Kubernetes Pods cannot reach external domains"
Part 2. TCP/IP Connection Debugging
TCP/IP is the fundamental protocol stack for internet communication. This part covers how to diagnose problems at each stage: connection establishment, data transfer, and connection teardown.
Topics covered:
- TCP 3-way handshake / 4-way teardown analysis
- Packet capture and analysis with
tcpdumpand Wireshark - Socket state inspection using
ssandnetstat - TCP retransmission, window size, and Nagle algorithm issues
- Resolving TIME_WAIT and CLOSE_WAIT accumulation
- Packet fragmentation caused by MTU / MSS mismatch
Useful when you encounter:
- "Connections intermittently time out"
- "CLOSE_WAIT sockets keep accumulating"
- "Packets above a certain size fail to transmit"
Part 3. HTTP/HTTPS Troubleshooting
This part focuses on diagnosing issues with HTTP/HTTPS, the most widely used application-layer protocols. It covers TLS handshakes, certificate management, HTTP/2, and gRPC-related problems.
Topics covered:
- Root cause analysis by HTTP status code (deep dive into 4xx, 5xx)
- TLS/SSL handshake process and certificate chain verification
- HTTPS debugging with
curlandopenssl s_client - HTTP/2 protocol issues (stream multiplexing, HPACK)
- CORS, redirect loops, and proxy configuration problems
- Let's Encrypt / ACME automatic certificate renewal failures
Useful when you encounter:
- "SSL handshake is failing"
- "Certificate has expired and the service is unreachable"
- "Errors appear on certain clients after switching to HTTP/2"
Part 4. Network Performance Analysis
When network problems manifest as performance degradation rather than outright failures, quantitative analysis is required. This part covers how to measure bandwidth, latency, and packet loss, and how to identify bottlenecks.
Topics covered:
- Bandwidth measurement and benchmarking with
iperf3 - Network path analysis using
mtrandtraceroute - Understanding latency vs. throughput
- TCP window scaling and buffer tuning
- QoS policies and traffic shaping
- Building network monitoring with Prometheus + Grafana
Useful when you encounter:
- "API responses are slower than usual"
- "There is high latency between specific regions"
- "Packet loss occurs when traffic spikes"
Part 5. Container / Kubernetes Network Debugging
Container environments add an additional networking layer. This part helps you understand and debug Kubernetes-specific network constructs including veth pairs, bridge networks, CNI plugins, Services, and Ingress.
Topics covered:
- Comparison of Docker network modes (bridge, host, overlay)
- Kubernetes network model and CNI plugins (Calico, Cilium, Flannel)
- Tracing Pod-to-Pod, Service, and external traffic flows
- Network isolation and debugging with NetworkPolicy
- Ingress Controller troubleshooting (Nginx, Traefik)
- Entering network namespaces with
kubectl debugandnsenter - eBPF-based network observability (Cilium Hubble)
Useful when you encounter:
- "A Pod cannot communicate with another Pod"
- "Cannot access the Service via its ClusterIP"
- "External traffic through Ingress returns 504 on certain paths"
Part 6. Cloud Network Architecture Troubleshooting
Networking in cloud environments such as AWS, GCP, and Azure introduces abstracted layers including VPCs, subnets, security groups, and routing tables. This part covers how to diagnose cloud-specific network issues.
Topics covered:
- VPC design principles and subnet architecture strategies
- Security Group / NACL rule debugging
- VPC Peering, Transit Gateway, and PrivateLink connectivity issues
- Route Table and Internet Gateway / NAT Gateway configuration validation
- Traffic analysis with AWS VPC Flow Logs / GCP Flow Logs
- Multi-region and hybrid cloud network troubleshooting
- DNS integration (Route 53 Private Hosted Zones, Cloud DNS)
Useful when you encounter:
- "Resources in the peered VPC are unreachable after setting up VPC Peering"
- "Instances in a private subnet cannot access the internet"
- "The Security Group is open but the connection is being refused"
Series Learning Roadmap
For the most effective learning experience, we recommend the following progression.
┌───────────────────────────────┐
│ Part 1. DNS Troubleshooting │
└──────────────┬────────────────┘
│
┌──────────────▼────────────────┐
│ Part 2. TCP/IP Debugging │
└──────────────┬────────────────┘
│
┌──────────────▼────────────────┐
│ Part 3. HTTP/HTTPS │
└──────────────┬────────────────┘
│
┌──────────────▼────────────────┐
│ Part 4. Performance Analysis │
└──────────────┬────────────────┘
│
┌───────────────────┴─────────────────────┐
│ │
┌──────────▼───────────┐ ┌──────────────▼──────────┐
│ Part 5. Container/K8s│ │ Part 6. Cloud Network │
└──────────────────────┘ └─────────────────────────┘
Recommended Learning Paths
| Role | Recommended Path |
|---|---|
| Backend Developer | Part 1 → Part 3 → Part 2 → Part 4 |
| DevOps / SRE | Part 1 → Part 2 → Part 3 → Part 4 → Part 5 → Part 6 |
| Cloud Engineer | Part 1 → Part 2 → Part 6 → Part 5 |
| Kubernetes Administrator | Part 1 → Part 2 → Part 5 → Part 4 |
Prerequisites
The following environments and tools are needed to follow along with the series.
Required Tools
| Tool | Purpose | Installation Check |
|---|---|---|
dig / nslookup | DNS diagnostics | dig -v |
curl | HTTP request testing | curl --version |
tcpdump | Packet capture | tcpdump --version |
ss / netstat | Socket state inspection | ss -v |
traceroute / mtr | Route tracing | mtr --version |
iperf3 | Bandwidth measurement | iperf3 --version |
openssl | TLS certificate inspection | openssl version |
Recommended Tools
| Tool | Purpose |
|---|---|
| Wireshark | GUI-based packet analysis |
kubectl | Kubernetes cluster management |
nsenter | Network namespace entry |
| Cilium Hubble | eBPF-based network observability |
Lab Environment
- Linux-based server (Ubuntu 22.04 / Rocky Linux 9 recommended)
- Docker and Docker Compose
- Kubernetes cluster (minikube, kind, or a managed cluster)
- Cloud account (AWS Free Tier or GCP Free Tier)
Core Troubleshooting Principles
Before diving into the individual parts, here are the fundamental troubleshooting principles that apply throughout the entire series.
1. Work from the Bottom Up
Always verify network issues from the lowest layer upward.
Physical → Data Link → Network (IP) → Transport (TCP/UDP) → Application (HTTP)
Analyzing HTTP response codes when DNS resolution is failing is a waste of time.
2. Identify What Changed
Determining what changed just before the problem occurred is often the fastest path to diagnosis.
- Was there a deployment?
- Were infrastructure changes made?
- Has a certificate renewal cycle arrived?
- Were DNS records modified?
3. Isolate and Reproduce
If you can reproduce the problem, you are halfway to solving it.
- Does it occur on a specific server only?
- Does it occur only at certain times?
- Does it occur only with certain request patterns?
4. Rely on Logs and Metrics
Make decisions based on data, not assumptions.
# Example: check kernel logs for network-related events
dmesg | grep -i -E "net|eth|tcp|drop"
# Example: system network statistics
cat /proc/net/snmp | grep -i tcp
Full Series Links
| Part | Title | Link |
|---|---|---|
| Part 1 | DNS Troubleshooting Deep Dive | Read |
| Part 2 | TCP/IP Connection Debugging | Read |
| Part 3 | HTTP/HTTPS Troubleshooting | Read |
| Part 4 | Network Performance Analysis | Read |
| Part 5 | Container/K8s Network Debugging | Read |
| Part 6 | Cloud Network Troubleshooting | Read |
Each part is designed to be used as a standalone reference. If you are facing a specific issue, jump directly to the relevant part. If you want to build comprehensive network troubleshooting skills, we recommend reading from Part 1 in sequence.
Quiz
Q1: What is the main topic covered in "Network Troubleshooting Complete Guide — 6-Part Series
Overview"?
An index post for a 6-part series on systematically diagnosing and resolving real-world network issues. Covers every layer from DNS resolution to cloud network architecture.
Q2: What is Series Structure?
The series consists of 6 parts. Each part can be referenced independently, but reading them in
order will give you a comprehensive understanding of the entire network troubleshooting workflow.
Part 1.
Q3: Explain the core concept of Series Learning Roadmap.
For the most effective learning experience, we recommend the following progression. Recommended
Learning Paths
Q4: What approach is recommended for Core Troubleshooting Principles?
Before diving into the individual parts, here are the fundamental troubleshooting principles that
apply throughout the entire series. 1. Work from the Bottom Up Always verify network issues from
the lowest layer upward.