SAABlog
KOEN
네트워킹중급

AWS PrivateLink: 프라이빗 네트워크로 서비스에 안전하게 연결하기

AWS PrivateLink와 VPC Endpoint의 차이를 이해하고, 프라이빗 네트워크에서 AWS 서비스와 SaaS에 안전하게 연결하는 방법을 알아봅니다.

PHILOLAMB-
PrivateLinkVPC EndpointInterface Endpoint프라이빗 연결보안

관련 시험 도메인

  • Domain 1: Design Secure Architectures

핵심 요약 (BLUF)

AWS PrivateLink는 VPC에서 AWS 서비스, SaaS, 다른 계정의 서비스에 인터넷을 거치지 않고 프라이빗하게 연결하는 기술입니다. S3/DynamoDB는 무료 Gateway Endpoint, 그 외 서비스는 유료 Interface Endpoint(PrivateLink)를 사용합니다.

시험 팁

시험 핵심: "S3, DynamoDB = Gateway Endpoint (무료)", "그 외 = Interface Endpoint (PrivateLink, 유료)", "프라이빗 서비스 노출 = Endpoint Service + NLB"

VPC Endpoint 유형

Gateway Endpoint vs Interface Endpoint

항목Gateway EndpointInterface Endpoint
지원 서비스S3, DynamoDB만대부분의 AWS 서비스 + SaaS
동작 방식라우팅 테이블에 경로 추가VPC에 ENI 생성 (프라이빗 IP)
PrivateLink❌ 사용 안 함✅ PrivateLink 기반
비용무료유료 ($0.01/시간 + 데이터)
접근 범위같은 리전 VPC만온프레미스, 피어링 VPC에서도 접근
보안 그룹❌ 미지원✅ 지원
DNS기존 DNS 사용프라이빗 DNS 이름 제공

동작 방식 비교

Gateway Endpoint (S3):
[EC2] → 라우팅 테이블 → [Gateway Endpoint] → [S3]
        (접두사 목록 경로)    (VPC 내부 경로)

Interface Endpoint (SQS):
[EC2] → [ENI] → [PrivateLink] → [SQS]
         (프라이빗 IP)  (AWS 네트워크)

시험 팁

S3는 두 가지 모두 지원: Gateway Endpoint(무료, 라우팅 기반)와 Interface Endpoint(유료, ENI 기반)를 모두 사용 가능합니다. 비용 절감이 목적이면 Gateway Endpoint가 권장됩니다.

1. AWS 서비스에 프라이빗 접근

프라이빗 서브넷의 EC2 → SQS 접근:

NAT Gateway 경유 (비추천):
[EC2] → [NAT GW] → [IGW] → 인터넷 → [SQS]
→ NAT GW 비용 + 데이터 전송 비용

PrivateLink (추천):
[EC2] → [Interface Endpoint] → [SQS]
→ 인터넷 미경유, 보안 강화, NAT GW 비용 절감

2. 다른 계정/VPC의 서비스에 접근

서비스 제공자 (계정 A):
[NLB] → [애플리케이션]
  │
  └── Endpoint Service (PrivateLink) 생성

서비스 소비자 (계정 B):
[EC2] → [Interface Endpoint] → [Endpoint Service] → [NLB] → [앱]
                                    계정 A의 서비스에
                                    프라이빗하게 접근

3. SaaS 서비스에 프라이빗 접근

[VPC 내 EC2] → [Interface Endpoint] → [Datadog / Snowflake / etc.]
                                       (AWS Marketplace PrivateLink)
→ 모니터링 데이터가 인터넷을 거치지 않음

Endpoint Service (서비스 제공자)

자체 서비스를 다른 VPC/계정에 PrivateLink로 노출할 때 사용합니다.

구성 요소

서비스 제공자 VPC:
┌──────────────────────────────────────┐
│                                      │
│  [Target Group] → [NLB]             │
│       │              │               │
│       ▼              ▼               │
│  [EC2/ECS]    [Endpoint Service]     │
│                      │               │
└──────────────────────│───────────────┘
                       │ PrivateLink
                       ▼
┌──────────────────────────────────────┐
│  소비자 VPC:                         │
│  [EC2] → [Interface Endpoint (ENI)] │
└──────────────────────────────────────┘
구성 요소설명
NLB 또는 GWLB필수, 서비스 앞단에 배치
Endpoint ServiceNLB/GWLB를 PrivateLink로 노출
허용 목록접근 허용할 AWS 계정/IAM 지정

시험 팁

Endpoint Service 키워드: "자체 서비스를 다른 VPC/계정에 프라이빗하게 노출" → NLB + Endpoint Service(PrivateLink)

비교 항목PrivateLinkVPC PeeringTransit Gateway
연결 범위특정 서비스만VPC 전체VPC 전체
IP 겹침✅ 허용❌ 불가❌ 불가
방향단방향 (소비자→제공자)양방향양방향
확장성서비스 단위VPC 단위허브-스포크
사용 사례서비스 노출VPC 간 통신다수 VPC 연결

PrivateLink를 선택해야 하는 경우

  1. CIDR 겹침: VPC IP 범위가 겹칠 때 (Peering 불가)
  2. 최소 노출: 전체 VPC가 아닌 특정 서비스만 노출
  3. 다중 소비자: 수백 개 VPC에서 하나의 서비스 접근
  4. SaaS 제공: 고객에게 프라이빗 API 제공

비용 최적화

NAT Gateway vs VPC Endpoint 비용 비교

월 1TB S3 트래픽 기준:

NAT Gateway:
- 시간당: $0.045 × 730 = $32.85
- 데이터: $0.045/GB × 1024 = $46.08
- 합계: $78.93/월

Gateway Endpoint (S3):
- 무료
- 합계: $0/월

→ Gateway Endpoint로 연간 $947 절감

Interface Endpoint 비용

Interface Endpoint 비용 (리전별 상이):
- 시간당: ~$0.01/AZ
- 데이터 처리: $0.01/GB

월 비용 (2AZ):
$0.01 × 730시간 × 2AZ = $14.60 + 데이터 비용

SAA-C03 시험 출제 포인트

  1. Gateway vs Interface: "S3/DynamoDB = Gateway (무료), 나머지 = Interface (유료)"
  2. 프라이빗 접근: "인터넷 미경유 + 보안 = VPC Endpoint"
  3. 서비스 노출: "다른 VPC에 서비스 프라이빗 노출 = NLB + Endpoint Service"
  4. 비용 절감: "S3 트래픽 NAT Gateway 비용 절감 = Gateway Endpoint"
  5. IP 겹침: "CIDR 겹침 시 연결 = PrivateLink (Peering 불가)"

시험 팁

시험 문제 예시: "프라이빗 서브넷의 EC2가 S3에 접근해야 합니다. 인터넷을 거치지 않고 비용을 최소화하려면?" → 정답: S3 Gateway Endpoint (무료, 인터넷 미경유)

자주 묻는 질문 (FAQ)

Q: S3에 Gateway Endpoint와 Interface Endpoint 중 무엇을 써야 하나요?

대부분의 경우 무료인 Gateway Endpoint가 권장됩니다. Interface Endpoint는 온프레미스에서 DX/VPN을 통해 S3에 프라이빗하게 접근하거나, 다른 리전의 S3에 접근할 때 필요합니다.

Q: PrivateLink는 리전 간에도 작동하나요?

기본적으로 같은 리전 내에서만 작동합니다. 리전 간 PrivateLink 연결이 필요하면 Inter-Region VPC Peering이나 Transit Gateway를 함께 사용해야 합니다.

Q: Endpoint Service를 만들려면 반드시 NLB가 필요한가요?

네. Endpoint Service는 NLB(Network Load Balancer) 또는 GWLB(Gateway Load Balancer)가 필수입니다. ALB는 직접 연결할 수 없습니다.

Q: VPC Endpoint에 보안 그룹을 적용할 수 있나요?

Interface Endpoint는 보안 그룹을 지원합니다. Gateway Endpoint는 보안 그룹 대신 VPC Endpoint 정책(IAM 기반)으로 접근을 제어합니다.

Q: PrivateLink와 VPC Peering을 동시에 사용할 수 있나요?

네. 용도에 따라 함께 사용 가능합니다. 전체 VPC 통신은 Peering, 특정 서비스 노출은 PrivateLink로 구분하여 사용하는 것이 일반적입니다.

관련 글

참고 자료