VPCエンドポイントについてまとめてみた。
こんにちは!たいきゅんです!
今回はVPCエンドポイントについて簡単にまとめてみようと思います。
VPCエンドポイントとは
VPCエンドポイントはVPCとサポートされているサービスの間のプライベート通信を有効にするためのエンドポイントのことです。セキュリティの問題でインターネットに接続せずにサービスを繋げたい時に使用します。
インターフェイスエンドポイント・ゲートウェイエンドポイント・ゲートウェイロードバランサーエンドポイントの三種類が存在します。
インターフェイスエンドポイント
一部AWSサービスやNLBを介した独自サービス、サポートされているAWS Marketplaceサービスにプライベート接続するためのエンドポイントです。作成するとVPC内にプライベートアドレスを持つENIが作成されます。
ゲートウェイエンドポイント
s3およびDynamoDBへのアクセスをプライベートに接続することができます。
VPCエンドポイントは作成されないが、サービス利用側のルートテーブルにエンドポイントのルーティングを設定します。
ゲートウェイロードバランサーのエンドポイント
ゲートウェイロードバランサーを介してサービスにプライベート接続するためのエンドポイント。VPC内にプライベートアドレスを持つENIが作成されます。
VPCエンドポイントのメリット
1.インターネットゲートウェイが不要
インターネットとの出入り口を作成せずとも外部サービスと通信することができます。通信をプライベートに実行したい時に使用します。
2. NATゲートウェイが不要に
NATゲートウェイなしでインターネットに出られる構成を作ることが可能になります。
3. セキュリティーグループによる制限
VPCエンドポイント作成時にはセキュリティグループも同時に作成するため、インバウンド、アウトバウンドルールを使用して通信を制限できます。
利用例
1.AWS Session Maneger用のエンドポイント作成
セッションマネージャーを使ってプライベートサブネット内にあるEC2インスタンスにSSHしたい場合にVPCエンドポイントが使えます。
インターネットゲートウェイ・NATゲートウェイなしでSSHできるので便利です。
2. ECRのイメージをpull
ECSをプライベートサブネットで作成する場合、ECRからイメージをpullするためインターネット通信が必要になります。こちらをプライベートに実行するためにVPCエンドポイントが利用できます。
AWS内での通信で事足りるのでセキュアな環境が作成できます。
今回はVPCエンドポイントについてまとめてみました。VPCは作ったことがあってもVPCエンドポイントまで作成したり考えたことが無かったのでとても勉強になりました!
SSMを使ってプライベートサブネットのEC2インスタンスにSSHするハンズオンをやればなんとなくイメージが湧くと思いますので是非やってみて欲しいです。
最後まで読んで頂きありがとうございました!