인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 필요로 하지 않고 PrivateLink 구동 지원 AWS 서비스 및 VPC 엔드포인트 서비스에 VPC를 비공개로 연결할 수 있다. VPC의 인스턴스는 서비스의 리소스와 통신하는 데 퍼블릭 IP 주소를 필요로 하지 않다.
즉, VPC의 인스턴스는 서비스의 리소스와 통신하는 데 Public IP Address를 필요로 하지 않습니다. VPC와 기타 서비스 간의 트래픽은 Amazon Network를 벗어나지 않는 다는 의미이다.
종류
- 엔드포인트: AWS 퍼블릭 서비스 대상에 대한 프라이빗 연결
- 게이트웨이 엔드포인트: AWS 퍼블릭 서비스 중 S3와 DynamoDB에 대한 연결
- 인터페이스 엔드포인트: 위 대상 외에 나머지 AWS 퍼블릭 서비스에 대한 연결
- 엔드포인트 서비스: 사용자가 지정한 서비스 대상에 대한 프라이빗 연결
Private 영역에 위치한 서브넷은 NAT 또는 VPN 등을 통해 외부와 접근을 한다. VPC 내부의 Resource들이 S3와 같은 서비스를 이용하기 위해서는 외부 인터넷을 통해 도달해야한다는 것이다. 그 이유는 AWS 서비스는 서로 API를 통해 통신을 하기 때문이다.
그럼 외부에 트래픽이 유출이 된다는 의미이고, 이 부분에 대해서 보안을 생각하면 Endpoint를 사용하여 내부 통신을 목적으로 구축하여야한다.
VPC Endpoint에는 핵심 2개에 Endpoint 유형이 있다
Interface Endpoint
1개 이상의 Subnet에 Endpoint Network Interface를 생성한 뒤 사설 IP를 부여합니다. 즉, 공인 IP가 아니더라도 특정 서비스에 대해서 Interface Endpoint를 생성한다면 그 특정 서비스에 접근이 가능하다는 것이다. 접근이 가능하다는 것은 API 통신이 가능하다는 것이다.
Gateway Endpont
ENI를 생성하는 Interface Endpoint와는 달리 Gateway Endpoint는 생성 한 후 Subnet에서 Routing을 추가로 생성된다. 자동으로 생성되기 때문에 변경할 수 없다. 즉, 해당 Routing Table의 경로를 보고 VPC Endpoint를 통해 S3에 접근한다. Gateway Endpoint는 S3, DynamoDB 밖에 지원하지 않는다.
'AWS > VPC(Virtual Private Cloud)' 카테고리의 다른 글
| 2. VPC Security Group vs NACL (0) | 2024.01.12 |
|---|---|
| 1. VPC 무엇인가? (1) | 2024.01.12 |
