何
- AWSでprivate subnetからのインターネットサービスを利用する方法について、簡単に列挙する。
前提
- private subnet(インターネットゲートェイへのルート定義を持たないサブネット)は、内部からインターネットに接続できない。
- そのため、そのままでは、S3やDynamoDbを使うことができない。ヤフーやグーグルも見れない。
改善するために方法が3つある。
NATインスタンス
- メリット:EC2インスタンスを立てるため、柔軟な構成を取れる。
- デメリット:フェイルオーバーを自分で考慮しないといけない。
NATゲートウェイ
- メリット:管理が楽。
- デメリット:マネージドサービスのため、柔軟な構成が取れない。
VPCエンドポイント
- メリット:インターネット、NAT デバイス、VPN 接続、または AWS Direct Connect を経由せずに、VPC と他の AWS サービスとをプライベートに接続できる。
- デメリット:S3のみ!DynamoDbがパブリックプレビューに(2017/4/19)
その他
- SQS,SES,SNSなどのサービスもprivate subnetからだと使えない?使える? 要調査。
- 料金的な比較もしたいが、嘘つきそうなので省略。
- 疑問)セキュリティグループで外部からのアクセスを制限だけなのと、VPCサブネットを別にしてルート定義を分けるのと、どれくらいセキュリティ効果が違うものなのか?