プログラミング勉強日記
2021年5月12日
VPCエンドポイント
VPCエンドポイントはグローバルIPを持つAWSサービスに対してVPCの中から直接アクセスするための出口。S3はグローバルアドレスを持っていて特有の名前をつけないといけない。特にVPCやAZを指定しなくても作ることができる。そのため、VPCの外にあるS3にアクセスしたいときにエンドポイントを使って設定できる。
VPCエンドポイントはGateway型とPrivateLink型の2種類の接続形式がある。
Gateway型
Gateway型はサブネットに特殊なルーティングを設定して、VPC内部から直接外のサービスと通信する。ルートテーブルからVPCエンドポイントでエンドポイントポリシーを作ってそこで制御する。基本的には無料で冗長性はAWS側が対応しているマネーシド型サービス。
PrivateLink型
PrivateLink型はサブネットにエンドポイント用のプライベートIPアドレスを作って、そのアドレスをDNSが名前ルーティングする。通常のIPアドレスがVPCエンドポイントにも付与されるというやり方。アクセス制御はセキュリティグループを設定する。料金は有料で冗長性はマルチAZ設計になっている。
VPCの設定上限
VPCにはそれぞれの設定において上限数がある。そのため、大規模運用する場合は考慮しなくてはいけない。
| リソース | 上限数 |
|---|---|
| リージョン当たりのVPC | 5 |
| VPC当たりのサブネット | 200 |
| VPC当たりのセキュリティグループ | 500 |
| AWSアカウント当たりの1リージョン内のElasticIPの数 | 5 |
| ルートテーブル当たりのルート | 100 |
| セキュリティグループ当たりのルール | 50 |