AWS - VPC 엔드포인트

 

 

 

VPC 엔드포인트

 

● VPC Endpoint 는 AWS 의 퍼블릭 서비스나 직접적으로 생성한 AWS 서비스에 대해 외부 인터넷 구간을 통한 접근이 아닌 직접적으로 접근할 수 있는 프라이빗 액세스 기능이다

 

>> S3 라는 AWS 스토리지 서비스에 대해 우리가 생성한 VPC 에서 접근을 하려고 할 때 인터넷 게이트웨이나 NAT 게이트웨이를 통해 외부 인터넷으로 접근하는 방식이 아닌 VPC 엔드포인트 기능을 통해 AWS 내부의 프라이빗 연결이 가능하다

 

 

○ 사용자가 생성한 VPC 에서 AWS 퍼블릭 서비스와 통신하거나 다른 VPC 로 통신이 필요한 경우 일반적으로 외부 인터넷 구간인 퍼블릭  네트워크를 통해 통신이 이루어진다

○ AWS 에서 제공하는 대부분의 서비스에 접근하기 위해서는 퍼블릭 네트워크 통신이 필요

 

○ 프라이빗 네트워크와의 구성은 보안을 위한 것 ( == endpoint 는 보안상의 장점이 존재 )

 

엔드포인트	AWS 퍼블릭 서비스 대상에 대한 프리이빗 연결
게이트웨이 엔드포인트	AWS 퍼블릭 서비스 중 S3 과 DynamoDB 에 대한 연결
인터페이스 엔드포인트	위 대상 외에 나머지 AWS 퍼블릭 서비스에 대한 연결 ( ex> CloudFormation )
엔드포인트 서비스 [ private link ]	사용자가 지정한 서비스 대상에 대한 프라이빗 연결

 

 

 

 

 

 

실습

 

● 파워셀로 템플릿 다운로드

PS C:\Users\soldesk\aws_book> wget http://bit.ly/cnbl0301 -OutFile cnbl0301

 

 

 

○ CloudFormation 템플릿 생성

 

 

 

 

# 파라미터 key 설정 안하면 계속 롤백한다;;

 

 

 

 

# 계속 롤백하길래 권한 풀로 땡겨줬다

 

 

 

 

 

 

● 스택 생성이 완료되면, public / private 하나씩 인스턴스 생성된다 + VPC/볼륨 생성 + 

 

 

 

 

○ public 서버는 외부 통신이 잘 된다

 

 

 

 

 

○ private 서버로 접속하기 위해서 cnbl0301 파일 확인

 

 

○ ping 이 가지 못한다 [ public 에서 ssh 명령어로 private 접속 ]

 

 

 

 

 

 

 

endpoint 생성

 

 

○ 리전 이름과 서비스 이름 확인하여 서비스 선택

 

 

 

 

○ 서비스는 S3 를 사용하기 때문에 Gateway 로 체크한다

 

 

 

 

○ 일단 private 라우팅 테이블만 선택

 

 

 

◎ 여기서는 라우팅 대상이 1개만 존재한다

 

 

 

 

◎ 서브넷을 누른뒤에 라우팅 테이블을 체크해보면 라우팅이 2개가 존재한다

 

 

 

 

 

▩ 하지만 여전히 private 에서는 핑이 가지 않는다

 

 

 

 

◎ private 라우팅 테이블도 추가해준다

 

 

 

 

 

 

○ VPC 에서 라우팅 테이블을 들어가보면 각각 경로가 추가되어있다

 

 

 

▩ ..... 오타 때문에 안되는 거였다

# s3.ap-northeast-2.amazonaws.com

 

# public 은 원래 잘 가지는게 맞고..

 

 

 

인터페이스 엔드포인트 실습

● dig 명령어를 통해 CloudFormation DNS 주소에 대한 IP 주소 정보를 확인

[ 현재 퍼블릭 IP 주소로 매핑되어 있어 외부 인터넷 구간을 통하여 통신하는 환경 ]

dig +short cloudformation.ap-northeast-2.amazonaws.com

 

>> 퍼블릭 EC2 인스턴스는 인터넷 구간을 통해 통신 가능

>> 프라이빗 EC2 인스턴스는 통신이 불가

 

 

 

 

 

 

설정	통신흐름
프라이빗 DNS 비활성화	기본 DNS 호스트	인터넷 구간을 통한 퍼블릭 통신
	엔드포인트 전용 DNS 호스트	인터페이스 엔드포인트를 통한 프라이빗 통신
프라이빗 DNS 활성화	기본 DNS 호스트	인터페이스 엔드포인트를 통한 프라이빗 통신
	엔드포인트 전용 DNS 호스트	인터페이스 엔드포인트를 통한 프라이빗 통신

 

 

 

◎ VPC 에서 DNS 호스트 이름 활성화 체크

 

 

 

 

 

 

○ 엔드포인트 생성

 

 

 

 

○ VPC 설정

 

 

 

 

 

○ 보안그룹 생성

 

 

 

 

 

○ 시간이 지나서 endpoint3 ( interface endpoint 생성 )

 

 

>> DNS 주소 확인이 가능하다

 

 

○ 기본 DNS host 는 동일한 형태지만 엔드포인트 전용 DNS 호스트는 개별적으로 다른 형태

 

 

 

>> public

 

>> private

 

 

 

◎ DNS 호스트 이름이 비활성화 되어있다면, 기본 DNS 호스트는 퍼블릭 IP 로 퍼블릭 통신을 하고, 엔드포인트 전용 DNS 호스트는 프라이빗 IP 로 프라이빗 통신을 하게 된다

# 기존에 있던 엔드포인트 삭제하고 재생성

 

 

 

>>>> 그냥 비활성화 하면 만들어지지도 않음