AWS VPCエンドポイントについて解説!メリット・料金体系・利用シーンもご紹介
AWSのVPCエンドポイントとは
AWSのVPCエンドポイントとは、異なるVPCまたは異なるリージョンに配置されたAWSサービス同士の通信を、インターネットを経由することなくAmazonのネットワーク内で繋ぐサービスのことです。
前提となるAWSサービスエンドポイントの概念について触れた後、VPCエンドポイントの機能やメリット、料金体系・利用シーンについても紹介します。
AWSサービスエンドポイント
AWSサービスエンドポイントは、AWSにおけるウェブサービスのエントリポイントとなるURLのことです。
URLのフォーマットは”<protocol>://<service-code>.<region-code>.amazonaws.com”となっており、東京リージョンに配置したEC2にHTTPSでアクセスする時は”https://ec2.ap-northeast-1.amazonaws.com”となります。
EC2・RDS・ECSなどのリージョンがサポートされているサービスでは、上述のようにリージョン・サービスごとにエントリポイントとなるURLが異なります。
リージョンを省略してアクセスすることもでき、その場合はデフォルトでバージニア北部(us-east-1)にルーティングされます。
これらは、AWS SDKまたはAWS CLIからプログラム経由でAWSのサービスに接続する際に利用できます。
AWSのVPCエンドポイントの機能
VPCエンドポイントではゲートウェイエンドポイントとインターフェイスエンドポイントの2つの機能が提供されています。
それぞれ、どのような違いがあるでしょうか。機能の特徴について紹介していきます。
ゲートウェイエンドポイント
ゲートウェイエンドポイントとは、VPCにゲートウェイ(門)を設置することで、インターネットを介さずに、VPC内のサービスとVPC外(AWS通信網内)のサービスの通信を実現する機能のことです。
NATゲートウェイを設置しなくても、プライベートサブネットのサービスからVPC外のサービスに対してセキュアにアクセスできるのが特徴の1つです。
ただし、エンドポイントで接続するサービスはあくまでグローバルIPとなるため、ネットワークACLで通信をローカルのアドレス範囲に制限すると通信が出来なくなる特徴もあります。
なお、ゲートウェイエンドポイントで指定できるサービスはS3とDynamoDBの2つのみで、他のサービスは後述するインターフェイスエンドポイントで設置が可能です。
インターフェイスエンドポイント
インターフェイスエンドポイント(=AWS PrivateLink)とは、VPC内にインターフェイスを設置して、インターネットゲートウェイを介さずに、VPC外(AWS通信網内)のサービスにアクセスするための機能のことです。
インターフェイスエンドポイントのプライベートDNS名として、”<vpce-code>.<service-code>.<region-code>.amazonaws.com”が割り当てられます。
これは、固有のVPCエンドポイント識別子にデフォルトのAWSサービスエンドポイントを繋げた形式となります。
プライベートDNS設定の有効・無効に関わらず、プライベートサブネットのサービスからはプライベートDNS・デフォルトのAWSサービスエンドポイントの両方でインターネットゲートウェイを介さずVPC外のサービスへ通信が可能となります。
AWSのVPCエンドポイントを利用するメリット
VPCエンドポイントを利用するメリットについて、2つの観点で紹介します。
VPCエンドポイントにはどのような利用上のメリットがあるでしょうか。メリットを理解した上でVPCエンドポイントを活用しながら、要件に応じたAWSネットワークにおけるアーキテクチャのベストプラクティスを実現していきましょう。
1. インターネットを経由しないセキュアな経路が実現できる
1つ目のメリットは、インターネットを経由しないセキュアな経路が実現できることです。
VPCエンドポイントがリリースされる以前は、ゲートウェイエンドポイント経由でS3やDynamoDBへアクセスすることができなかったため、通信経路にインターネットを挟む必要がありました。
Direct Connectで社内システムのWANと接続している企業においても、データの送信・取得の過程でインターネット経由を禁止する要件があった場合、格納先としてS3を選択することができませんでした。
VPCエンドポイントのリリースにより、S3を始めとしたAWSサービスがAWSのネットワーク網で完結できるようになったため、インターネット経由が禁止のセキュアな要件も満たせるようになりました。
2. NATの通信負荷を軽減できる
2つ目のメリットは、NATゲートウェイまたはNATインスタンスに掛かる通信負荷を軽減できることです。
S3のエンドポイントはグローバルIPに解決されるため、VPCエンドポイントを利用しなかった場合、プライベートサブネットに配置したサービスからはNATゲートウェイもしくはNATインスタンス経由でS3とデータ通信をすることになります。
VPCエンドポイントを設置することで、他のNATを利用した通信を逼迫させることなく、通信負荷も軽減できます。
また、NATの通信利用料がS3・DynamoDBが大半を占める場合は、ゲートウェイエンドポイントに経路を切り替えることでコスト削減も見込めます。
AWSのVPCエンドポイントの料金
VPCエンドポイントの料金について紹介します。
はじめに、ゲートウェイエンドポイントは追加料金なしで使用することができます。ゲートウェイエンドポイントを経由したS3・DynamoDBとの通信は無料となります。
東京リージョンにおけるインターフェイスエンドポイントの料金は、エンドポイントが作成されてから各アベイラビリティゾーンで1時間ごとに0.014USD課金されます。
そのため、同じAWSサービスエンドポイントを2つのアベイラビリティゾーンで設定した場合、単価の2倍課金されるため注意が必要です。
また、VPCで処理されたデータに対しても0.01USD/GB課金されます。
AWSのVPCエンドポイントの利用シーン
VPCエンドポイントの利用シーンについて紹介します。
利用シーンの一例として、EC2 APIを利用した仮想IP制御によるHAクラスター構成に、VPCエンドポイントを活用できます。
この一例では、本番系と待機系の2ノードによる仮想IPクラスターで、本番系に異常が発生すると待機系にフェイルオーバーする構成を想定しています。
仮想IP制御はEC2インスタンス内のAWS CLIからVPC外のEC2 APIを呼び出す構成としており、VPCエンドポイントを設置しない場合インターネットゲートウェイ経由で制御する必要があります。
そこでEC2のインターフェイスエンドポイントを設置することで、インターネットゲートウェイを介すことなく本番・待機系のEC2インスタンスの仮想IP制御ができ、NATの通信負荷低減も実現できます。
まとめ
インターネットを介さず、AWSネットワーク網内でサービス間の通信を実現するVPCエンドポイントについて紹介しました。
VPCエンドポイントの機能のうち、ゲートウェイエンドポイントはS3とDynamoDBで利用でき、インターフェイスエンドポイントはその他のAWSサービスで利用できることを解説しました。
ゲートウェイエンドポイント・インターフェイスエンドポイントを利用することでNATに通信負荷をかけないセキュアなネットワークアーキテクチャを実現していきましょう。
この記事の監修者・著者
-
ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。
・2021年:AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月:人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名(2024年6月現在)
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍(2024年5月現在)
・LPIC+CCNA 認定資格者:472 名(2024年6月時点)
最新の投稿
- 2024-07-01営業インタビュー最短で当日にご提案可能。 OPE営業の対応が早い3つの理由
- 2024-07-01営業インタビュー研修見学ツアーが高評価!「お客様のOPEに対する期待を高め、継続に貢献できればと思います。」
- 2024-07-01営業インタビュー信頼関係を構築し、エンジニアの長期就業へ
- 2024-06-30キャリアインフラエンジニアはやめとけって本当?きつい理由を口コミを交えて解説
- 求人・転職サイトや自社採用サイトを使っているが、自社に合ったITエンジニアが応募してこない…
- すぐに採用したいが、応募がぜんぜん集まらない
オープンアップITエンジニアをご検討ください!
当社のITエンジニア派遣サービスは
- 派遣スピードが速い!(最短即日)
- 4,500名のエンジニアから貴社にマッチした人材を派遣
- 正社員雇用も可能
こんな特長があり、貴社の事業やプロジェクトに合った最適なITエンジニアを派遣可能です。
まずは下記ボタンから無料でご相談ください。