VPC 엔드포인트

정의

내부 트래픽을 외부 인터넷 전송 서비스를 타지 않고 내부 네트워크를 통해 접근할 수 있도록 해주는 서비스로 S3같은 서비스에 접근할때 외부 트래픽을 타게 되는데 이를 Endpoint를 통해 내부로 처리하여 비용적으로, 보안적으로 더 좋게 사용하는 방법입니다.

VPC 엔드포인트 종류

Interface Endpoint

인스턴스의 ENI처럼 Endpoint의 인터페이스에 IP가 할당되고 해당 IP로 Access하는 방식(대부분의 서비스 지원)

Gateway Endpoint

라우팅 테이블에서 경로의 대상으로 지정하여 사용(S3,DynamoDB 일부만 지원)하는 엔드포인트 → 우선 순위가 정해져 해당 서비스에 대한 트래픽은 모두 Gateway Endpoint로 보낸다는 얘기

특징

하나의 엔드포인트는 하나의 VPC에만 연결 가능

엔드포인트는 동일한 리전에서만 지원, VPC와 다른 리전의 서비스 간에 엔드포인트를 생성할 수 없음

Interface Endpoint VS Gateway Endpoint

Interface Endpoint	Gateway Endpoint
온프레미스 액세스 허용	온프레미스 액세스 허용 안함
VPC피어링, AWS Transit Gateway를 사용하여 다른 AWS 리전의 VPC에서 액세스 허용	다른 AWS 리전에서 액세스 허용 안함
Endpoint 사용 비용 발생	Endpoint 사용 비용 무료

실습

VPC → 엔드포인트 → 엔드포인트 생성

중요 서비스에서 유형을 선택해 Gateway endpoint 인지 interface endpoint인지 설정 → 설정에서 라우팅 테이블에 알아서 추가됩니다.

인스턴스에 S3fullaccess 주고 aws cli 통해 s3 정보 요청하는 방법 또는 ping s3.ap-northeast-2.amazonaws.com 을 통해 통신되는 것을 확인할 수 있습니다.