AWS試験対策

AWS試験用に触ってます

VPCエンドポイント

問題

オンプレから安全に移行するために必要なこと

  • VPCエンドポイントとは

RouteTableに追加するルートとして追加される。 その向き先がs3であり、ターゲットがvpce-で始まるエンドポイント

ルートテーブルは 「パケットの宛先(IPアドレス)を見て、どこに通信を流すかが書かれている表です。この表をみてパケットを運ぶ」
という形を取っているので、表にない宛先のものはパケットを送らない

この場合、 宛先がs3になっていて、ターゲットがVPCエンドポイントなので、

f:id:gari927:20191121190439p:plain

EC2が特定のs3(送信先)に送ろうとした通信はVPCエンドポイント(ターゲット)に向かうよ!

という設定を施した場合それが現実に起きるということが理解できる。
その設定をするとs3へのアクセスはインターネットを経由せずセキュアに通信ができるということになる。

VPCエンドポイントの方式

Gatewayはs3とdynamodのみ

AWS PrivateLinkの使い方と注意点 ~VPCピアリングとの使い分け~ | そるでぶろぐ

インターフェースタイプ
  • PrivateLinkと呼んでいる
  • 実態はプライベートアドレスをもつENI
ゲートウェイタイプ
  • ルートテーブルで送信先に対するターゲットとして指定する(つまりルートテーブルのルート)
ENI

ENIとは仮想のネットワークインターフェース EC2が一つあるとして、ENIはひとつ。それがそのEC2のプライマリーIPとなる。
EC2にはENIをもう一つ追加できる。それがセカンダリプライベートIP

まとめ

  • セキュアな接続をしたい場合は、VPCエンドポイントを使って内部通信するといいよ