728x90
728x90
VPC Endpoint
- 인터넷을 거치지 않고 AWS 서비스를 프라이빗 네트워크로 연결
- 종류
- Gateway Endpoint
- 대상: S3, DynamoDB 전용
- 라우팅 테이블에 엔트리 추가 필요
- DNS 변환 필수 (퍼블릭 호스트 이름을 그대로 사용)
- VPC 내부 전용 -> 피어링, TGW, DX, VPN에서는 불가
- Interface Endpoint
- ENI 기반 (AZ별로 생성)
- 대상: 대부분의 AWS 서비스 (CloudWatch, SQS, SNS 등)
- 보안 그룹 적용 가능
- Private DNS 활성화 시, 기존 퍼블릭 DNS -> 엔드포인트 ENI로 자동 변환
- DX/VPN/피어링 경유 가능
- 보안
- VPC 엔드포인트 정책: JSON 기반 접근 제어 (IAM 정책과 별도)
- S3 버킷 정책과 조합 -> aws:SourceVpce 또는 aws:SourceVpc 조건으로 특정 엔드포인트에서만 접근 허용
- 퍼블릭 IP 제한= aws:SourceIp 사용
- Gateway Endpoint
PrivateLink
- AWS 서비스나 자체 서비스(VPC Endpoint Service)를 퍼블릭 인터넷을 거치지 않고, 다른 VPC에서 안전하게 접근할 수 있게 해주는 네트워크 연결 방식
- 서비스 VPC를 외부에 직접 노출하지 않고, NLB(Network Load Balancer)와 ENI(Elastic Network Interface)를 통해 특정 서비스만 프라이빗하게 노출
- 서비스 VPC에서 애플리케이션을 실행하고 NLB 앞단에 둠.
- 이 NLB를 VPC Endpoint Service로 등록.
- 다른 계정이나 다른 VPC의 사용자가 Interface Endpoint(ENI)를 생성 → 서비스 VPC의 NLB에 연결.
- 트래픽은 인터넷을 거치지 않고, AWS 내부 네트워크에서만 흐름.
- 장점
- 수천 개 VPC 연결 가능
- 서비스 VPC를 외부에 안전하게 노출
- VPC 피어링보다 안전
- 피어링은 VPC 전체 네트워크가 노출
- PrivateLink는 특정 서비스 엔드포인트만 노출
- 활용
- SaaS 제공 시 고객 VPC에서 PrivateLink로 접근 가능
- DX와 함께 사용 가능 (사설 VIF 필요)
- 리전 간 엑세스: 인터페이스 엔드포인트 + VPC 피어링 활용 (PrivateLink 자체는 리전 간 연결 불가)
VPN (Site-to-Site VPN)
- AWS 관리형 VPN = 온프레미스 <-> VPC (인터넷 경우, IPsec 암호화)
- 온프레미스 네트워크나 다른 VPC와 암호화된 터널(IPSec 기반) 을 통해 연결하는 방식
- 구성
- VGW (Virtual Private Gateway): AWS 측
- CGW (Customer Gateway): 온프레미스 장비 (공인 IP 필요)
- 중복성 확보: 자동으로 2개 터널 생성
- 라우팅
- 정적 라우팅: 라우트 수동 입력
- 동적 라우팅(BGP): 자동 학습, ASN 필요
- 제한
- VPN/DX에서 들어온 트래픽 -> NAT Gateway 통해 인터넷으로 못 나감
- NAT Instance는 가능 (직접 제어 가능하기 때문)
- VPN CloudHub
- 하나의 VGW <-> 여러 CGW 연결 (최대 10개)
- hub-and-spoke 아키텍처
- 서로 다른 온프레미스 지점 간 백업 네트워크 용도로 사용
- 주용도
- 온프레미스 ↔ AWS VPC 연결
- 빠르게 VPC 간 보안 통신 구성할 때
| Site-to-Site VPN | VPC Peering | |
| 통신 경로 | 퍼블릭 인터넷(기본), DX와 조합 가능 | AWS 내부 네트워크 |
| 보안 | IPSec 암호화 | 암호화 없음 (내부망 보장) |
| 속도/지연 | 인터넷 품질 의존, 대역폭 제한 | 빠르고 안정적 |
| CIDR 겹침 | 가능 (정책 기반 VPN 사용 시 우회 가능) | 불가능 |
| 트랜싯 라우팅 | 가능 (Transit Gateway 이용 시) | 불가능 (직접 연결만) |
| 주 용도 | 온프레미스 ↔ VPC, 빠른 보안 연결 | VPC 간 빠른 내부 통신 |
AWS 클라이언트 VPN
- 사용자 PC <-> VPC 연결 (OpenVPN 기반, 인터넷 경유)
- 특징
- IAM, AD, SAML 인증 통합 가능
- 연결된 VPC -> 피어링 VPC, TGW, 온프레미스 네트워크 모두 액세스 가능
- 인터넷 브라우징도 VPC 경우 가능 (NAT Gateway 필요)
- 활용 사례
- 재택/원격 근무자 -> 안전하게 AWS VPC 리소스 접근
- 온프레미스와 연결된 경우, 회사 내부 리소스까지 접근 가능
728x90
300x250
'AWS' 카테고리의 다른 글
| AWS Machine Learning & Developer Services (0) | 2025.08.31 |
|---|---|
| AWS VPC -3 (0) | 2025.08.31 |
| AWS VPC -1 (1) | 2025.08.30 |
| AWS Migration -2 (1) | 2025.08.30 |
| AWS Migration -1 (1) | 2025.08.30 |