1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@Sunshine_Daydream

Gateway型はレガシー機能?AWS VPCエンドポイント(Interface型 / Gateway型)の正しい使い分け戦略

1
Posted at

1. はじめに

某ベンダで、クラウドの人材育成企画と研修トレーニングのデリバリを担当しています。

AWSでセキュアなインフラを設計するとき、必ずと言っていいほど登場するのが VPCエンドポイント(VPC Endpoint) です。

VPCエンドポイントには Interface型Gateway型 の2種類があるのですが、理解の難易度が高いのがそれぞれの使い分けのポイントです。S3、DynamoDBどっちでもいけるけど、どっちがいいの?とか。
仕組みや料金体系を正しく理解していないと、「通信は全然ないのに、想定外の固定費が数万円かかっていた……」という、いわゆる「料金の罠」にハマることがあります。

今回はそんなAWS VPCエンドポイント(Interface型 / Gateway型)の使い分けについて、掘り下げてみたいと思います。

1. そもそもVPCエンドポイントとは?

VPCエンドポイントは、「インターネットを経由せずに、VPC内からAWSの各種サービスに直接・安全にアクセスするための接続ポイント」です。企業の多くは閉域網で構築されたシステムを利用するケースが大半だと思います。AWSの各種サービスは広域網に公開されたAPIでサービスが提供されているため、システム構築時に閉域通信の要件を満たす必要があります。そこで役に立つのが、VPCエンドポイントです。

VPCエンドポイントには大きく分けて2つのタイプがあります。まずはその違いを一覧表で比較してみましょう。

項目 Gateway型(ゲートウェイ) Interface型(インターフェース)
対象サービス S3、DynamoDB のみ SSM、EFS、Kinesis、SQSなど多数
仕組み ルートテーブルにルーティングを追加 サブネット内に ENI(プライベートIP) を配置
通信経路 VPCのルーティングレイヤー AWS PrivateLink
料金 無料 時間単位の固定費+ データ処理量課金
オンプレ接続 不可(VPC内からのみ) 可能(VPNやDirect Connect経由)

2. 2つのエンドポイントの仕組みはどう違う?

① Gateway型(S3 / DynamoDB)

Gateway型は、VPCの「外側」に専用の改札口(ゲートウェイ)ができるイメージです。

image.png

  • ポイント: サブネット内のリソース(EC2など)は、ルートテーブルに記述された宛先(プレフィックスリスト:pl-xxxxxxxx)に従って、VPCのルーティングレイヤーで自動的にS3やDynamoDBへと曲げられます。既存のネットワーク構成を汚さないのが特徴です。

② Interface型(SSM / EKS / その他多数)

Interface型は、AWS PrivateLinkという技術をベースにしており、**「サブネットの中に、対象サービスへ直通するローカルIP(ENI)が入る」**イメージです。(講義ではVPC内に足を延ばす、と解説しています。)

image.png

3. 請求書で驚く前に?知っておくべき「料金の罠」

ここがこの記事で一番お伝えしたいポイントです。
「セキュリティにいいから」と、よく調べずにInterface型をポチポチ作ると、コストが跳ね上がります。

罠①:Interface型は「置いておくだけ」で固定費がかかる

Gateway型はどれだけ使っても無料ですが、Interface型は 時間単位で固定 の料金がかかります。

罠②:データ転送量(処理量)のダブル課金に注意

Interface型は、データの通信量に応じて従量課金が発生します。
例えば、KinesisやSQS、あるいはS3(※Interface型を選択した場合)に大量のログやデータを数TB単位で流す場合、エンドポイントの処理料金だけでコストが膨れ上がります。

ただし、オンプレミス環境(社内オフィスなど)から、VPN/Direct Connect経由でAWSサービスを利用したい場合、Gateway型だと通信できません。

上記を踏まえると使い分けのポイントは以下になります。

  1. S3 / DynamoDB を使うとき
    • 👉 迷わず「Gateway型」を選択。 無料なので、これを使わない手はありません。
  2. SSM / EKS / その他多数のAWSサービスをVPC内から使うとき
    • 👉 「Interface型」を選択。
    • ただし、開発環境やコストを抑えたい環境では、マルチAZにせず1つのAZだけに配置する などの「ケチる割り切り」を検討しましょう。
  3. オンプレミス環境(社内オフィスなど)から、VPN/Direct Connect経由でAWSサービスを叩きたいとき
    • 👉 「Interface型」一択。 Gateway型はVPC内部からしか届きませんが、Interface型はVPC内のプライベートIPなので、オンプレミス側からもルーティングを通せば直接アクセス可能です。

まとめ

Gateway型は古くからあるAWSサービスのS3/Dynamoだけなので、てっきりレガシーサービス向けの機能と勘違いしてしまいますが、機能として存在する意義がちゃんとあります。今年はAWSサービス開始から20周年、S3がランチして同じく20周年です。VPC Gateway Endpoint for S3は、調べてみると2015年でS3リリース後9年の機能なんですね。ちょっとしたトリビアでした。

参考リンク

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?