이 게시물은 Amazon EFS의 NFS I/O hang과 Security Group Outbound 규칙의 상관관계를 정리한 글입니다.

핵심 발견

• EFS 유지보수 시 백엔드 교체로 새 서버가 ACK 없는 TCP RST 전송 → SG에서 차단될 경우 클라이언트 미수신
• RST 차단 시 클라이언트는 연결 끊김을 인지하지 못해 지수적 재전송으로 약 1~2분간 I/O hang
• 문제는 mount target에 연결된 SG의 기본 Outbound Allow All 제거 환경에서 발생, NFS 2049 포트만 허용하면 불충분
• 해결책은 mount target SG에 EC2 인스턴스 SG를 목적지로 All TCP(0-65535) Outbound 규칙 추가 또는 기본 Outbound 유지
• 진단은 tcpdump로 RST 수신 여부 확인이 필수, VPC Flow Logs는 REJECT 기록을 제공하지 않음