AWS VPC Endpoint 개념

VPC Endpoints

VPC ↔ AWS Public Service 간 통신은 기본적으로 인터넷을 통한다구요?  

 VPC가 AWS Public Service와 통신을 해야하거나 다른 VPC와 통신이 필요한 경우, Public Network(인터넷)를 통해 통신이 이루어진다. Public Subnet에 위치한 EC2 Instance에서 AWS S3를 접근하고자 하는 경우, 아래와 같이 Public Network를 통해 S3에 접근하게 된다.  (그림1)

그림1. Public Network(인터넷)를 통한 AWS Service 접근

 Private하게 통신할 수 있는 방법은 없는가?

  보안상 Public Network(인터넷)이 아닌 Private Network 통신이 필요하다면 VPC Endpoint 서비스를 이용하면 된다. 

S3 Endpoint를 생성하면 AWS S3에 Private하게 접근할 수 있는 S3 전용문(Endpoint)이 만들어지고, Route table에 S3 Endpoint로 가려면 어느 길로 가야하는지를 알려주는 routing 정보(s3 prefix list id -> VPC Endpoint)가 기록된다.

 VPC Endpoint를 이용하면 Public Network(인터넷)의 접근 없이(internet gateway가 필요 없다) 오직 private Network 내에서 통신이 가능하다. 

그림2. Endpoint를 이용하여 S3에 Private하게 접근

 
VPC Endpoint의 특징은?

- 하나의 VPC 범위에서 동작

VPC Endpoint는 다른 VPC에서는 접근이 불가하다. 예를 들어, A VPC의 Endpoint는 A VPC에서만 사용이 가능하며 B VPC라는 다른 VPC에서는 A VPC의 Endpoint를 사용할 수 없다.
그러므로 VPN, Direct Connect, VPC peering 로 VPC간 통신이 가능하더라도 다른 VPC의 Enpoint에는 접근이 불가하다.

- 리전-범위의 서비스

Endpoint는 리전-범위의 서비스이다.
즉, 다른 리전의 AWS 서비스를 이용하기 위한 VPC Endpoint는 생성할 수 없다. 본인 VPC 속한 리전의 Endpoint만을 생성할 수 있다.