2. VPC 엔드포인트

[ 목차 ]

1. VPC Endpoints

엔드포인트는 private network 를 통해 AWS 서비스에 연결되도록 한다.
향상된 보안성과 낮은 지연성을 갖고 AWS 서비스에 접근할 수 있다.
예를 들어 EC2 인스턴스가 S3, DB 에 접근할 때 VPC Endpoint Gateway 를 통해 접속할 수 있다.
 

VPC Endpoint GateWay 와 VPC Endpoint Interface 가 있다.

 

엔드 포인트 : AWS 퍼블릭 서비스 대상에 대한 프라이빗 연결

엔드포인트 서비스 : 사용자가 지정한 서비스 대상에 대한 프라이빗 연결

엔드포인트	게이트웨이 엔드포인트	aws 퍼블릭 서비스 중 s3, dynamo db 에 대한 연결
	인터페이스 엔드포인트	위 대상 외 나머지 aws 퍼블릭 서비스에 대한 연결
엔드포인트 서비스

VPC 엔드포인트 유형 중에 인터페이스 엔드포인트와 엔드포인트 서비스를 통한 연결을 AWS 에서는 프라이빗 링크라고 부릅니다.

엔드포인트를 적용하지 않으면 인터넷을 통해 AWS 서비스에 접근한다.

엔드포인트를 이용해 외부 구간으로 노출 방어함으로써 보안 측면 강화를 이룰 수 있다.

 리전에 속한 서비스만 연결 대상 서비스이며, 오직 하나의 VPC 에만 연결할 수 있다는 제약이 있다.

IAM 기능으로 엔드포인트에 대한 권한 부여가 가능하다. 

 

VPC 엔드포인트 특징

 

게이트웨이 엔드포인트

 

인터페이스 엔드포인트

가상 네트워크 인터페이스 형식으로 프라이빗 서브넷에 배치된다.

AWS 서비스는 리전별로 기본 DNS 호스트를 가진다.

여기에 VPC 인터페이스 엔드포인트를 생성하면, 엔드포인트 전용 DNS 호스트가 생성된다. 

DNS A: 기본 DNS 호스트

DNS B: 엔드포인트 전용 DNS 호스트

인터페이스 엔드포인트 설정 값 중 '프라이빗 DNS 활성화' 설정여부에 따라 통신 흐름이 달라지게 된다.

설정		통신흐름
프라이빗 DNS 비활성화	기본 DNS호스트	인터넷 구간을 통한 퍼블릿 통신
	엔드포인트 전용 DNS 호스트	인터페이스 엔드포인트를 통한 프라이빗 통신
프라이빗 DNS 활성화	기본 DNS호스트	인터페이스 엔드포인트를 통한 프라이빗 통신
	엔드포인트 전용 DNS 호스트	인터페이스 엔드포인트를 통한 프라이빗 통신

 

 

엔드포인트 서비스 

아래는 원래 MYVPC 에 속한 EC2 인스턴스에서 CustomVPC 에 속한 웹서버 접근 시 모두 퍼블릿 서브넷에 존재하기 때문에 외부 인터넷 구간을 통해 VPC 간 통신이 이뤄지고 있지만, 

보안 측면으로 외부 인터넷 구간이 아닌 프라이빗 네트워크를 통해 VPC 통신을 하고 싶다면 

CustomVPC 쪽 엔드포인트 서비스 + MyVPC 쪽 인터페이스 엔드포인트 생성을 통해 할 수 있다.

* 엔트포인트 서비스를 생성할 때 NLB 는 필수 요소이다. 

2. 로드밸런서 종류 

생성된 로드밸런서 타입 확인 

유형에 application -> ALB, network -> NLB

 

3. 온프로미스 데이터 센터와 VPC 연결방법

1. Site to Site VPN 
온프로미스 VPN 장치를  AWS 를 연결한다.
통신망은 자동으로 암호화된다.
public 네트워크를 통해 vpc 에 연결된다.
몇 분안에 설치 가능하다.

2. Direct Connect(DX)
물리적인 연결이다.
연결은 private 이라 보안이 좋고 빠르다.
private network 로 이용할 수 있다.
설치되는데 적어도 한달이 걸린다.

이 둘은 VPC Endpoint 에 접근할 수 없다.

 VPC Endpoint 는 VPC 에 있는 aws 서비스로 비공개로 접근하게 한다.

VPC 는 region 마다 하나씩 있어, ec2 를 만들때 default vpc 를 사요했다.
서브넷은 az안에 있고, vpc 네트워크 분할을 담당한다.
게이트웨이: 서브넷에 인스턴스가 인터넷에 연결할 수 있게 해줘
nat : 인터넷과 private 서브넷을 연결 , ec2인스턴스와 private 서브넷 사이 
nascl  무상태 서브넷 방화벽 
시큐리티 그룹 : 상태 유지, ec2인스턴스 ,eni 에 동작 , 다른 보안그룹참조
vpc 피어링:  2개의 vpc 연결, 전이 안됨 
vpc endpoint :다른 서비스에  private access 를 제공한다.
vpc flow logs : 

3계층 아키텍처

ELB 여러 가용역영에 걸펴 공개 접근 가능하게 해 , 공용 서브넷에 배포 
DNS 쿼리를 통해 route 53으로 elb 주소를 알아내 
ELB 가 접근하는 자원은 public 일 필요 없어 private subnet 에 auto scailing group 을 가져 
private subnet 에서 db, cache 가 있는 data subnet 으로 접근해 

public-private -subnet 구성이 3계층 아키입

LAMP
Linux OS
Apach  Web Server
MySQL database
PHP Application logic 

can add Redis / MemCache 
local application data 를 저장하기 위해 ESB 드라이브를 EC2 인스턴스에 연결할 수 있다.

워드프레스 사용 
aws워드프레스 배포 
2계층 
ec2 인스턴스는 사용자가 업로드한 이미지를 다른 az와 공유하기 위해 
네트워크 파일 시스템/드라이브인 EFS 를 사용 
AZ마다 ENI 를 생성해 EC2 인스턴스가 EFS에 이미지를 저장 

IPv4를 사용하여 프라이빗 서브넷의 EC2 인스턴스에 대한 인터넷 액세스를 제공하는 동시에 이 솔루션에 최소한의 관리가 필요하고 원활하게 확장되도록 하고 싶습니다. 다음 중 무엇을 사용해야 할까요
> NAT gateway
VPC 엔드포인트를 사용할 때 인터페이스 엔드포인트 대신 게이트웨이 엔드포인트가 있는 유일한 두 AWS 서비스는 무엇일까요? > amazone s3 & DynamoDB
이 두 서비스에는 VPC 게이트웨이 엔드포인트(기억해야 함)가 있고 다른 모든 서비스에는 인터페이스 엔드포인트(프라이빗 링크로 구동됨 - 프라이빗 IP를 의미함)가 있습니다.