[AWS] VPC: Private Link

#AWS

Private Link는 다른 VPC가 접근할 수 있는 엔드포인트를 뚫어주는 기능이다.

단일 리전 내에서 하나의 private 엔드포인트를 여러 VPC에 공유하고 싶을때 유용하다.
만약 A VPC에 private한 내부 server가 있는데, 이걸 B VPC, C VPC 등 여러 client 역할의 VPC에서 호출해서 사용하고 싶다면 선택할 수 있는 방법이다.

단일 리전 내에서 VPC를 넘나드는 정도의 접합만 가능하고, 멀티리전이나 멀티어카운트 설정은 불가능하다.

이런 형태로 구성된다.

로드밸런서를 가리키는 VPC Endpoint를 뚫어주는 것이다.

모든 로드밸런서가 다 지원되지는 않고, 네트워크 로드밸런서와 게이트웨이 로드밸런서 앞에만 달 수 있다.
네트워크 로드밸런서 앞에 붙이는건 인터페이스 엔드포인트고, 게이트웨이 로드밸런서 앞에 붙이는건 게이트웨이 로드밸런서 엔드포인트라고 부른다.

비용

네트워크 로드밸런서와 게이트웨이 로드밸런서는 요금이 다르게 책정된다.
https://aws.amazon.com/ko/privatelink/pricing/

둘다 떠있기만 해도 시간 기준으로 요금을 뜯는건 마찬가지인데, 네트워크 로드밸런서만 처리된 데이터당 요금을 추가로 뜯는다.

시간당 0.013 달러면 한달기준 10달러=13000원을 뜯는 셈이다.

테스트 환경 구성

default-vpc와 test-vpc 2개를 두고, 각각에 EC2 인스턴스를 하나씩 만들었다.
여기서 default-vpc는 클라이언트, test-vpc는 서버가 될 것이다.

그리고 test-vpc에 있는 서버에 80 포트로 서버를 열었다.

저 서버 앞에 application load balancer를 단 다음에

그 앞에다 네트워크 로드밸런서를 다시 달아줬다.

그렇게 해서 동일 VPC 안에서는 호출이 되는 것을 확인했다.

그리고 default-vpc의 인스턴스에 들어가서 서버의 private IP로 호출하면

그냥 막힐 것이다.
당연하다. 서로 다른 VPC니까!

이런걸 뚫어주는게 private link가 하는 역할이다.

엔드포인트 서비스 만들기

먼저 엔드포인트 서비스를 생성한다.

가리킬 네트워크 로드밸런서를 선택한다.

그래서 이렇게 뜨면 된다.

이건 server당 하나씩만 만들면 되고, 연결할 client마다 "VPC 엔드포인트"를 각각 하나씩 만들어주는 형태다.
저기서 엔드포인트 연결 탭으로 이동, 엔드포인트를 만들어준다.

엔드포인트 만들기

이름은 적당히 짓고,

다른 엔드포인트 서비스를 선택한 다음, 방금 만든 엔드포인트 서비스의 "서비스 이름"을 복사해서 붙여넣고 "서비스 확인"을 누른다.

그리고 client 역할을 할 VPC를 선택하고

가용영역과 보안그룹을 필요에 따라 적절히 추가해주고, 생성을 해준다.

여기서 "수락"을 또 해줘서 활성화가 되면

엔드포인트 서비스가 아니라 엔드포인트에 있는 도메인을 통해서 접근할 수 있게 된다.
이건 default-vpc에 대해서 만든 엔드포인트라서, 저 도메인들은 default-vpc 내에서만 사용할 수 있다.

default-vpc 인스턴스에 들어가서 쏴보면

잘 쏴질 것이다.

이런 느낌으로 쓰면 된다.

참조
https://docs.aws.amazon.com/vpc/latest/privatelink/concepts.html
https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html