전통적인 네트워크에서 두 시스템이 통신하려면 IP 라우팅이 필요하다. 라우팅 테이블에 경로가 있어야 하고, CIDR이 겹치지 않아야 하며, 방화벽 규칙이 허용해야 한다. AWS PrivateLink는 이 패러다임을 근본적으로 바꾼다. IP 라우팅 대신 서비스 이름으로 통신하고, CIDR이 겹쳐도 동작하며, 단방향이기 때문에 서비스를 소비하는 쪽이 서비스를 제공하는 쪽의 내부 네트워크 구조를 전혀 알 수 없다. 오늘은 PrivateLink의 내부 동작 원리부터 Gateway/Interface/GWLB Endpoint의 차이, DNS 해석 메커니즘, 보안 어플라이언스 체인 패턴까지 SAP-C02 수준으로 깊이 다룬다.
AWS PrivateLink가 해결하려는 문제는 분명하다. 두 조직이 서비스를 공유하고 싶을 때 기존의 선택지는 크게 두 가지였다. 첫째, 공인 IP를 인터넷에 노출하는 것. 보안 위험과 DDoS 취약성이 따른다. 둘째, VPC Peering이나 TGW로 네트워크 레벨에서 연결하는 것. CIDR 충돌 문제와 과도한 접근 권한 부여가 따른다.
PrivateLink는 세 번째 길을 제시한다. 서비스를 네트워크 레벨이 아닌 Endpoint 레벨에서 노출한다. Producer는 자신의 VPC에 NLB(Network Load Balancer)를 두고 그 앞에 Endpoint Service를 생성한다