[aws]VPC 엔드 포인트(End Point)
VPC 엔드포인트는 VPC 내 Resource들이 VPC 외부의 서비스(S3, Dynamo DB, Cloudwatch) 등에 접근할 때 Internet Gateway, NAT Gateway 등의 외부 인터넷 전송 서비스를 타지 않고 내부 네트워크를 통해 접근할 수 있도록 지원하는 서비스이다.
AWS VPC는 사설 네트워크로 이루어진 사용자 정의 네트워크이다.
VPC 내 EC2, RDS, ELB 등을 탑재하고 ENI(Elastic Network Interface)에 사설 IP 혹은 공인 IP를 부여하여 사용한다.
그럼 다른 AWS 서비스 S3, Cloudwatch, Cloudfront, Dynamo DB, API Gateway ..등은 어떨까?
이들은 내가 설정한 AWS의 Region 내에 존재하지만, VPC 내부에 설치하는 서비스들이 아니다.
즉, 따로 공인 IP를 가지고 외부에서 접근하는 서비스들이다.
VPC 엔드포인트 이점
- 보안 측면 강화
- 비용 절감 효과
- 서비스 제약
- VPC 종속
- 권한 제어
VPC 엔드 포인트 종류
VPC 엔드포인트는 Interface Endpoint와 라우팅 테이블 기반의 Gateway Endpoint 그리고 Gateway Loadbalancer Endpoint 총 3가지 종류가 있습니다
이 2개 유형의 차이점은 Access 방식의 부분이다.
"Interface Endpoint"가 ENI(Elastic Network Interface)를 이용하여 IP가 할당되고 해당 IP로 Access를 하는 방식이라면,
"Gateway Endpoint"는 Route Table을 이용하여 Endpoint에 Access 한다는 것이 다른 점이다.
AWS 서비스마다 사용할 수 있는 VPC Endpoint 유형이 정해져 있으므로 확인 후 선택 해야 한다.
- Interface Endpoint : Private IP를 만들어서 서비스로 연결해줌 (SQS, SNS, Kinesis, Sagemaker등 많은 서비스를 지원한다)
- Gateway Endpoint: 라우팅 테이블에서 경로의 대상으로 지정하여 사용(S3, DynamoDB등
일부만 지원한다.)
인터페이스 엔드포인트
각 서브넷마다 Elastic network interface(ENI)를 생성하여 외부 서비스에 접근하기 위한 VPC 엔드포인트가 바로 인터페이스 엔드포인트(Interface endpoint)이다.
외부 인터넷을 사용하지 않고 해당 ENI를 통해 외부 서비스로 접근이 가능하게 된다.
게이트웨이 엔드포인트
게이트웨이 엔드포인트는 Gateway endpoint를 생성한 후, Subnet에서 Routing만을 추가로 생성한다.
자동으로 생성되므로 변경할 수 없다.
따라서 해당 Routing table 경로를 보고 VPC Endpoint를 통해 S3에 접근 가능하는 형태이다.
게이트웨이 로드밸런서 엔드포인트
참고문헌
