AWS VPC Endpoint

본문 VPC

VPC Endpoint

VPC 내에 Recource들이 VPC 외부의 서비스(S3, Dynamo DB, Cloudwatch 등)에 접근할 때 외부 인터넷 전송 서비스(IGW, NAT 등)를 타지 않고, 내부 네트워크를 통해 접근할 수 있도록 하는 서비스이다.

기능 및 특징

• VPC 외부의 서비스(S3 등)에 접근할 때, IGW, NAT을 통해 인터넷 통신을 하지 않고, 내부 네트워크를 통해 접근할 수 있도록 지원하는 서비스
• 만약 내부 네트워크가 아닌, Private Subnet에서 NAT > IGW > 인터넷 > S3와 같은 식으로 트래픽 처리를 하게 되면, 보안 문제와 AWS 트래픽 통신료가 발생한다. 이를 해결하기 위해 VPC Endpoint가 있는 것이다.
• 외부 서비스와 VPC를 연결해 주는 매개체인 셈이다.

 

VPC 외부의 서비스란, AWS의 Resion 내에 존재하지만, VPC 내부가 아닌 바깥에 설치하는 서비스이다. 즉, 공인IP를 가지고 있는, 외부에서 접근가능한 서비스이다. S3, Dynamo DB, Cloudfront, Cloudwatch, API Gateway 등이 외부 서비스이다.

VPC Endpoint는 Private Subnet에 위치한 Resource와 이 외부 서비스들이 직접적으로, 바로 통신할 수 있도록 해준다.

만일, VPC Endpoint가 없이 Private Subnet 안의 src와 외부 서비스가 통신하려고 하면 아래와 같이 AWS Cloud를 벗어나 외부 인터넷까지 거쳐서 통신을 하게 된다.

출처 : https://inpa.tistory.com/entry/AWS-%F0%9F%93%9A-VPC-End-Point-%EA%B0%9C%EB%85%90-%EC%9B%90%EB%A6%AC-%EA%B5%AC%EC%B6%95-%EC%84%B8%ED%8C%85?category=947440

이렇게 했을 때 생기는 문제가 있다.

• 외부 인터넷을 거치기 때문에 트랙픽 노출이 되고, 이는 보안이 취약함을 의미
• 네트워크 통신 속도 지연 발생
• AWS 서비스들은 유료 서비스이다. VPC 외부에서 들어오는 트래픽은 과금이 되기 때문에 비용 발생

VPC Endpoint가 이 문제들을 해결해준다.

VPC Enpoint 종류

종류 2가지와 차이점

	Interface Endpoint	Gateway Endpoint
목적지 설정 방법	ENI(Elastic Network Interface)를 이용하여 IP가 할당되고, 해당 IP로 Access하는 방식	Routing Table에 경로의 대상으로 지정하여 Access하는 방식.
	ENI란	Routing Table에 Gateway Endpoint를 목적지로 설정해야 한다.
위치	Private Subnet 내	Subnet 외, VPC 내
지원 서비스	SQS, SNS, Kinesis, Sagemaker 등 많은 서비스 지원	S3, DynamoDB 일부 서비스만지원

Interface Endpoint

Gateway Endpoint

Private Subnet 내부의 Resource에서 S3 트래픽 요청을 발생시키면, Routing Table에서 목적지 확인을 하고, 라우터를 거쳐 Gateway Endpoint로 보내고, S3에 도달하게 된다.

실습

IAM 생성 및 부여

IAM 역할을 할 EC2를 생성한다

기존 생성해둔 private 인스턴스에 IAM 부여하기. 위와 똑같이 진행하면 된다.

S3 생성

 

Endpoint  생성

생성 후 라우팅 테이블 서비스로 가서 확인해 보면, '라우팅'에 자동 추가된 것을 확인할 수 있다.

이제 private 인스턴스에 접근한 후 아래 명령어를 실행해보자. S2 이름이 표시되면 정상적으로 연결이 되었다는 뜻이다.

> aws s3 ls --region [region명칭]