VPC Endpoints 자세-히 알아보기 실무 ver.
Global Scope- 말 그대로 global한 scope
- ex)
- IAM
AZ Scope- 만들면 우리 VPC의 IP를 소모하는 것들
- ex)
- ENI
- ELB
- ElastiCache
Region Scope- 만든다고 우리 VPC의 IP를 소모하지 않는 resource들의 scope
- 완전 관리형 services
- Internet 통신을 하게 된다
- why?
- 우리 VPC 밖에 있으니까!
- 그렇기 때문에 Outbound Traffic, 보안/네트워크 구성 등을 고려해야 한다
- 이때 사용하는 service가 바로
VPC Endpoints다!!
- 이때 사용하는 service가 바로
- why?
- ex)
- SQS
- Kinesis
- S3
- AWS Console에서는 Global이라고 나온다
- S3는 3중 복제가 기본이다
- 즉, 예전에 Seoul Region에 AZ가 a, c zone 두 개 였을 때도 hidden AZ가 있던 것이다!
- 그래서 3중 복제가 기본인 S3 service를 제공할 수 있었다
- S3는 3중 복제가 기본이다
- AWS Console에서는 Global이라고 나온다
- 만든다고 우리 VPC의 IP를 소모하지 않는 resource들의 scope
- VPC 내부에서 통신하는 것 처럼 일종의 통로를 만들어 주는 service
- 만약 이렇게 통로를 만들면, 외부 통신 설정을 하지 않은 EC2여도 Endpoint로 나갈 수 있다!
- 다른 쪽으로 traffic을 흘려준다
- 우리 VPC IP를 소모하되,
- SG등 방화벽으로 접근을 제어하지 않는다
- 규칙을 아래 두 가지에서만 탄다
Routing TableACL- ACL은 Subnet에 종속적이지 않다!
- 즉, AZ의 영향을 받지 않는다
- 요청자 Destination만 맞으면 해당 Endpoint로 보내준다
- ACL은 Subnet에 종속적이지 않다!
- 각 VPC별로 resource (ex. S3)마다 한 개씩 필요하다
- ex)
- S3
- DynamoDB
- Gateway Type의 장점
- 비용
내부 통신비용이 나가므로 경제적이다
- 보안
내부 통신이므로 외부 통신보다 고려할 사항이 줄어든다
- 비용
- Interface는
Network Interface를 말한다- Network Interface Card라고 생각하면 편하다
- 우리 VPC의 IP를 소모한다
- SG등 방화벽으로 접근 제어가 가능하다
NAT Gateway도 Interface Type이다!
- SG등 방화벽으로 접근 제어가 가능하다
- Interface Type은 Routing Table을 설정하지 않는다