12.1 VPC 네트워킹의 꽃, VPC 엔드포인트
- 엔드포인트 개념을 명확히 이해하려면 앞선 모든 내용을 습득하고 있어야 한다.
- 엔드포인트 이해 수준은 VPC 네트워킹 역량을 측정하는 지표가 될 수 있다.
- VPC 엔드포인트 개요 : 트래픽 순간이동
- 엔드포인트는 네트워크의 '끝점'이다.
- VPC 엔드포인트 = VPC의 끝점
- AWS PrivateLink 기술과 엔드포인트 유형 분류
- AWS PrivateLink 분류
- Interface Endpoint
- Gateway Load Balancer Endpoint
- AWS PrivateLink 분류
- 서비스 범주별 엔드포인트 유형 매칭
- 서비스 범주
- AWS 서비스
- 다른 엔드포인트 서비스
- AWS Marketplace 서비스
- PrivateLink Ready 파트너 서비스
- 서비스 범주
- 기본 DNS 이름과 프라이빗 DNS 이름
12.2 게이트웨이 엔드포인트: 퍼블릭 액세스
- 엔드포인트 라우팅 = 접두사 목록 + 엔드포인트(GW)
- 접두사 목록 접근 제어
- 인터넷 vs. 엔드포인트 접속 비교: 비용과 보안 측면
- 게이트웨이 엔드포인트는 프라이빗 DNS 이름을 지원하지 않으므로 기본 DNS 이름으로 서비스 호출 시 퍼블릭 IP로 접속한다.
- 엔드포인트가 없어도 IGW로 서비스 액세스를 할 수 있다.
- 엔드포인트를 통과한 데이터는 리전 내 머물러 있으므로 EC2 소비자와 S3 또는 DynamoDB 사이 데이터 전송은 무료다
- IGW를 활용해 인터넷으로 S3에 접속하면 EC2와 S3 각각의 인터넷 데이터 송신 요금은 GB 단위로 부과되고, NAT 게이트웨이를 사용하면 시간당 비용까지 추가된다.
12.3 AWS PrivateLink 엔드포인트: 프라이빗 액세스
- AWS PrivateLink 엔드포인트의 4가지 유형
- AWS PrivateLink 엔드포인트는 인터페이스 엔드포인트와 게이트웨이 로드밸런서 엔드포인트로 나뉜다.
- 4가지 유형
- Type B: AWS Services - Interface
- Type C: AWS Marketplace services, PrivateLink Ready partner services - Interface
- Type D: Endpoint Service (with NLBs)
- Type E: Endpoint Service (with GWLBs)
- 엔드포인트 ENI와 NLB 노드의 관계 (feat. 교차 영역 로드밸런싱)
- 리전(Regional) DNS 이름과 가용영역(Zonal) DNS 이름
- Regional DNS 이름: 리전에 생성된 모든 가용 영역의 엔드포인트 ENI를 가리키는 DNS 이름. DNS 이름을 질의하면 가용 영역(서브넷)별 엔드포인트 ENI IP가 번갈아가며 리졸브 됨.
- Zonal DNS 이름: 각 가용 영역의 엔드포인트 ENI를 가리키는 DNS 이름.
- 공급자 서비스 제어
- NLB 노드 제어
- 소비자의 접근은 엔드포인트 수락 필수 옵션
- 엔드포인트 ENI 접근 제어: 아웃바운드 프리패스
- 엔드포인트 - 엔드포인트 서비스 - NLB의 관계
- 공급자와 소비자의 CIDR 일치
- 보안 주체 허용하기
- 엔드포인트 서비스 보호
- 수락 필수 옵션
- 리전 외부 공간에서 엔드포인트 액세스
- AWS 공간 → 리전의 엔드포인트: PCX, TGW
- 온프레미스 → 리전의 엔드포인트: DX, VPN, TGW
'⛅ Cloud Study > ☁️ Public Cloud' 카테고리의 다른 글
| [AWS VPC] 11장 연결 서비스1: 공간과 공간 연결(양방향) (0) | 2023.08.10 |
|---|---|
| [GCP GKE 스터디] Workloads - 배포, 작업, 확장 (0) | 2023.08.07 |
| [GCP GKA 스터디] Workloads - Kubernetes 작업 (0) | 2023.08.06 |
| [GCP] Foundations - Kubernetes 아키텍처 (0) | 2023.08.06 |
| [GCP] Foundations - 컨테이너 및 Kubernetes 소개 (0) | 2023.08.06 |
