In diesem Blogpost werde ich erklären, was VPC Endpoints eigentlich sind. Was sind die Unterschiede zwischen VPC Gateway und Interface Endpoints? Welche Vorteile bieten VPC Endpoints? Außerdem eine Kostenaufstellung, wie viel die VPC Endpoints kosten, sowie ein Vergleich der Kosten mit einem NAT Gateway.
Was sind VPC Endpoints?
Zunächst sollte man verstehen, dass eine Virtual Private Cloud (VPC) innerhalb von AWS ein isoliertes Netzwerksegment ist, in dem ich meinen gewünschten CIDR-IP-Bereich nutzen kann. Ohne ein Internet- und NAT-Gateway ist diese VPC vollständig isoliert.
Andererseits sind alle AWS-Dienste, die nicht direkt in einer VPC bereitgestellt werden, wie S3, Systems Manager, SQS, Secrets Manager usw., über eine öffentliche Adresse zugänglich. Das bedeutet, dass eine VPC mit EC2-Instanzen in einem privaten Subnetz über das NAT-Gateway mit diesen AWS-Diensten kommunizieren muss. Wenn kein NAT-Gateway vorhanden ist, gibt es keine Möglichkeit zur Kommunikation und Nutzung der AWS-Dienste aus dem privaten Subnetz.
Traffic-Diagramm ohne einen VPC Interface Endpoint:
Um dieses Problem zu lösen, sind VPC Endpoints verfügbar. Sie ermöglichen es, die Kommunikation von einer VPC zu einem gewünschten AWS-Dienst ohne ein Internet- oder NAT-Gateway herzustellen. Zusätzlich bleibt der Datenverkehr innerhalb des AWS-Netzwerks, was die Sicherheit und Effizienz weiter erhöht.
Es gibt zwei Arten von VPC Endpoints:
- Interface Endpoints
- Gateway Endpoints
Was sind VPC Interface Endpoints?
Ein Interface Endpoint verwendet die AWS PrivateLink-Technologie, um ein Elastic Network Interface (ENI) innerhalb eines privaten Subnetzes deiner VPC zu erstellen. Anschließend wird der Datenverkehr mittels eines Route 53 DNS-Eintrags umgeleitet, sodass beispielsweise der Fully Qualified Domain Name (FQDN) logs.eu-central-1.amazonaws.com für CloudWatch nicht mehr auf seine öffentlichen IP-Adressen aufgelöst wird, sondern auf die IP-Adresse des Elastic Network Interface des VPC Endpoints.
Traffic-Diagramm mit einem VPC Interface Endpoint:
Um eine hohe Verfügbarkeit sicherzustellen, ist es ratsam, einen Endpoint Network Interface für jede Availability Zone (AZ) zu erstellen. Sollte es nur ein Endpoint Network Interface geben, könnte die Kommunikation mit dem entsprechenden AWS-Dienst im Falle eines AZ- oder Network Interface-Ausfalls unterbrochen werden.
Traffic-Diagramm mit einem VPC Interface Endpoint in einer AZ:
Das folgende Traffic-Diagramm veranschaulicht zwei Endpoint Network Interfaces über zwei Availability Zones. Wenn der öffentliche FQDN, beispielsweise logs.eu-central-1.amazonaws.com, verwendet wird, wird der Datenverkehr mittels Round-Robin-Verfahren zwischen den gesunden Endpoint Network Interfaces verteilt.
Sollte es deinen Bedürfnissen besser entsprechen, haben Sie die Möglichkeit, den Datenverkehr von deinen Ressourcen direkt zu dem AWS-Dienst zu leiten, indem Sie das Endpoint Network Interface innerhalb der gleichen Availability Zone nutzen. Dazu verwenden Sie einfach den entsprechenden privaten zonalen Endpoint oder die IP-Adresse, die mit diesem speziellen Network Interface verbunden ist.
AWS stellt dann eine Liste von DNS-Namen zur Verfügung, die Sie verwenden können. Der Haupt-DNS-Name ermöglicht es Ihnen, eine Verbindung in rotierender Weise zu Interfaces in allen Availability Zones herzustellen. Die restlichen DNS-Namen sind dafür vorgesehen, eine Verbindung zu einer spezifischen Availability Zone herzustellen – beispielsweise, wenn Sie nur zu eu-central-1a verbinden möchten.
So sehen die DNS-Namen von AWS für einen VPC Interface Endpoint aus:
Um eine Verbindung zu einer beliebigen Availability Zone herzustellen:
vpce-0ad175bd696304b1f-lk6xuedu.logs.eu-central-1.vpce.amazonaws.com
Und wenn du eine Verbindung zu einer spezifischen Zone herstellen möchtest, wie eu-central-1a, eu-central-1b oder eu-central-1c, würden Sie einen dieser DNS-Namen verwenden:
Für eu-central-1a: vpce-0ad175bd696304b1f-lk6xuedu-eu-central-1a.logs.eu-central-1.vpce.amazonaws.com
Für eu-central-1b: vpce-0ad175bd696304b1f-lk6xuedu-eu-central-1b.logs.eu-central-1.vpce.amazonaws.com
Für eu-central-1c: vpce-0ad175bd696304b1f-lk6xuedu-eu-central-1c.logs.eu-central-1.vpce.amazonaws.com
Hier ist ein Beispiel, wie Sie die AWS CLI verwenden können, um Log-Gruppen unter Nutzung des VPC Endpoints von eu-central-1a zu beschreiben: aws logs describe-log-groups --endpoint-url https://vpce-0ad175bd696304b1f-lk6xuedu-eu-central-1a.logs.eu-central-1.vpce.amazonaws.com
Was sind VPC Gateway Endpoints?
Ein Gateway Endpoint ist ausschließlich für Amazon S3 und DynamoDB verfügbar. Wenn Sie beispielsweise einen S3-Gateway-Endpoint erstellen, wird eine Präfixliste, die alle öffentlichen IP-Adressen von S3 enthält, in die Routingtabelle Ihrer VPC eingefügt, wobei der Gateway-Endpoint als Ziel angegeben wird. Dadurch wird der Datenverkehr zu S3 an diesen Gateway-Endpoint geleitet, anstatt direkt zu den öffentlichen IP-Adressen von S3 zu gehen. Dies stellt sicher, dass der Datenverkehr durch das AWS-Netzwerk fließt, was die Sicherheit erhöht und möglicherweise die Datenübertragungskosten senkt.
Traffic-Diagramm mit einem VPC Gateway Endpoint:
Klingt gut, also warum nicht für jeden AWS-Dienst einen VPC Endpoint erstellen?
Für VPC Gateway Endpoints ist dies grundsätzlich eine gute Idee, da sie keine zusätzlichen Kosten verursachen. Insbesondere würde ich in jeder VPC standardmäßig einen S3- und DynamoDB-Gateway-Endpoint erstellen. Der AWS-Assistent zur Erstellung von VPCs bietet jetzt auch die Option an, die Erstellung des S3-Gateway-Endpoints direkt einzuschließen.
Im Gegensatz dazu sind mit VPC Interface Endpoints Kosten verbunden. Jeder VPC Interface Endpoint kostet in der Region eu-central-1 pro Availability Zone knapp 9 $. Wenn ein VPC Interface Endpoint in allen 3 Availability Zones aus Gründen der hohen Verfügbarkeit erstellt wird, betragen die Kosten für einen einzigen VPC Interface Endpoint knapp 27 $—und das ist nur für einen Dienst. Derzeit gibt es 211 verschiedene AWS-Dienste, für die ein VPC Interface Endpoint erstellt werden kann. Das wahllose Erstellen von VPC Interface Endpoints für jeden AWS-Dienst würde sich auf ungefähr 5700 $ monatlich belaufen.
Es ist auch möglich, VPC Interface Endpoints zu zentralisieren, was besonders sinnvoll ist, wenn bereits ein Netzwerk-Account mit einem Transit Gateway vorhanden ist und alle VPCs aus verschiedenen Accounts daran angeschlossen sind. In diesem Szenario würden keine zusätzlichen VPC-Anschlussgebühren anfallen. Das bestehende Transit Gateway-Attachment könnte dann genutzt werden, um zentrale VPC Endpoints für bestimmte AWS-Dienste zu erstellen.
Kostenvergleich
Es gibt vier Optionen, um AWS-Dienste aus privaten Subnetzen zugänglich zu machen:
- Ein Gateway Endpoint ist kostenlos, aber nur für S3 und DynamoDB verfügbar.
- Ein Interface Endpoint kostet etwa 8,76 $ pro Monat pro AZ plus etwa 0,01 $ pro GB und ist für die meisten AWS-Dienste verfügbar.
- Ein NAT Gateway kann verwendet werden, um auf AWS-Dienste oder andere Dienste mit einer öffentlichen API zuzugreifen. Die Kosten betragen 37,96 $ pro Monat pro AZ plus 0,052 $ pro GB.
- Ein Transit Gateway-Anschluss kostet ungefähr 43,80 $ pro Monat pro AZ plus etwa 0,02 $ pro GB. Zusätzlich, wenn du einen Interface Endpoint verwendest, betragen die Kosten etwa 8,76 $ pro Monat pro AZ plus etwa 0,01 $ pro GB.
*Die Preise basieren auf der Region eu-central-1 (Frankfurt) und sind Stand 10. Mai 2024.
Es sollte beachtet werden, dass Datenverkehr, der durch einen VPC Interface Endpoint geleitet wird, weniger kostet als Datenverkehr, der durch ein NAT Gateway geleitet wird. Für Datenverkehr, der durch einen zentralisierten VPC Interface Endpoint geht, müssen die Datenverkehrskosten des Transit Gateways und des VPC Interface Endpoints zusammengezählt werden. Allerdings sind die kombinierten Kosten immer noch niedriger als die des Datenverkehrs durch ein NAT Gateway.
Beim Entwerfen deiner Netzwerkarchitektur sollten Sie die folgenden Richtlinien berücksichtigen:
- Erstelle immer VPC Gateway Endpoints für S3 und DynamoDB – sie sind im Grunde kostenfrei und äußerst vorteilhaft.
- Wenn Sie auf Nicht-AWS-Ressourcen über das Internet zugreifen müssen, füge ein NAT Gateway hinzu. Beurteilen Sie, ob das Datenverkehrsvolumen zu AWS-Diensten die zusätzlichen Kosten von Interface Endpoints rechtfertigt.
- Wenn Sie nur von privaten Subnetzen auf AWS-Dienste zugreifen und nicht mehr als vier verschiedene Dienste nutzen, verwenden Sie Interface Endpoints. Für umfassendere Anforderungen vergleichen Sie die Kosten zwischen Interface Endpoints und einem NAT Gateway, um den kosteneffektivsten Ansatz zu finden.
- Wenn bereits ein Transit Gateway implementiert ist und alle VPCs daran angeschlossen sind, kann es sinnvoll sein, zentrale VPC Interface Endpoints für die häufig genutzten AWS-Dienste zu erstellen.
Fazit
Ich hoffe, ich konnte Ihnen einen umfassenden Überblick über VPC Endpoints und die verschiedenen Einsatzmöglichkeiten geben. Ich vertraue darauf, dass diese Informationen Ihnen bei der Entscheidungsfindung zur Implementierung von VPC Endpoints in deiner Netzwerkarchitektur hilfreich waren.