VPCエンドポイント
問題
オンプレから安全に移行するために必要なこと
- VPCエンドポイントとは
RouteTableに追加するルートとして追加される。 その向き先がs3であり、ターゲットがvpce-で始まるエンドポイント
ルートテーブルは
「パケットの宛先(IPアドレス)を見て、どこに通信を流すかが書かれている表です。この表をみてパケットを運ぶ」
という形を取っているので、表にない宛先のものはパケットを送らない
この場合、 宛先がs3になっていて、ターゲットがVPCエンドポイントなので、
EC2が特定のs3(送信先)に送ろうとした通信はVPCエンドポイント(ターゲット)に向かうよ!
という設定を施した場合それが現実に起きるということが理解できる。
その設定をするとs3へのアクセスはインターネットを経由せずセキュアに通信ができるということになる。
VPCエンドポイントの方式
- Gateway
- Interface
Gatewayはs3とdynamodのみ
AWS PrivateLinkの使い方と注意点 ~VPCピアリングとの使い分け~ | そるでぶろぐ
インターフェースタイプ
- PrivateLinkと呼んでいる
- 実態はプライベートアドレスをもつENI
ゲートウェイタイプ
- ルートテーブルで送信先に対するターゲットとして指定する(つまりルートテーブルのルート)
ENI
ENIとは仮想のネットワークインターフェース
EC2が一つあるとして、ENIはひとつ。それがそのEC2のプライマリーIPとなる。
EC2にはENIをもう一つ追加できる。それがセカンダリプライベートIP
まとめ
- セキュアな接続をしたい場合は、VPCエンドポイントを使って内部通信するといいよ