すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:専用回線アクセスのための PrivateLink の設定

    ドキュメントセンター

    Container Service for Kubernetes:専用回線アクセスのための PrivateLink の設定

    最終更新日:Sep 13, 2025

    このトピックでは、PrivateLink を使用して、ACK Edge ノードから Container Service for Kubernetes (ACK) や Container Registry (ACR) などのクラウドサービスへの安全で効率的なプライベート接続を確立する方法について説明します。このソリューションは、IP アドレスの競合やコントロールプレーンの固定 IP がないなどの問題を解決します。

    背景

    ACK Edge クラスターを専用接続でクラウドに接続する場合、オンプレミスのデータセンターのエッジノードはさまざまなクラウドサービスにアクセスする必要があります。これにより、一般的に 2 つの課題が生じます。

    • IP アドレスの競合: 多くのクラウドサービスは 100.64.0.0/10 範囲の IP アドレスを使用します。オンプレミスのデータセンターが同じ IP 範囲を使用している場合、アドレスの競合が発生し、ネットワークトラフィックが中断されます。

    • コントロールプレーンの固定 IP がない: ACK マネージドクラスターのコントロールプレーンには固定 IP アドレスがないため、直接アクセスのためのファイアウォールルールを設定することが困難です。

    PrivateLink は、VPC (Virtual Private Cloud) 内にプライベートエンドポイントを作成できるようにすることで、これらの問題を解決します。このエンドポイントは、パブリックインターネットに公開したり、複雑なネットワークルーティングを必要とすることなく、クラウドサービスへの安全で安定したアクセスを提供します。

    ACK Edge に関連するすべてのクラウドサービスは PrivateLink をサポートしています。このトピックでは、ACR と ACK の PrivateLink を設定する方法について説明します。その他のサービスについては、次の表をご参照ください。

    クラウドサービス

    ユースケース

    ドキュメント

    ACR

    エッジノードは ACR からシステムコンポーネントイメージをプルする必要があります。

    ACR のエンドポイントを作成する

    ACK Edge クラスター

    エッジノードは ACK コントロールプレーンに接続する必要があります。

    ACK クラスターのコントロールプレーンのエンドポイントを作成する

    Object Storage Service (OSS)

    • エッジノードはセットアップ中に OSS から依存関係をダウンロードします。

    • ACR はイメージストレージに OSS を使用します。

    詳細については、「PrivateLink を使用して OSS にアクセスする」をご参照ください。

    Simple Log Service (SLS)

    ロギングコンポーネントがインストールされている場合、ノードは SLS コントロールプレーンにアクセスする必要があります。

    PrivateLink を使用して SLS に安全にアクセスできます。

    詳細については、「PrivateLink を使用して Simple Log Service にアクセスする」をご参照ください。

    前提条件

    専用回線接続を介してオンプレミスのデータセンターに接続された ACK Edge クラスター があること。課金の詳細については、「PrivateLink の課金」をご参照ください。

    説明

    ACK および ACR の PrivateLink 機能は、ホワイトリストに登録されたユーザーのみが利用できます。この機能を有効にするには、チケットを送信してください。リクエストが承認されると、エンドポイントの作成時に ACK および ACR のエンドポイントサービスが表示されるようになります。

    手順

    ACR のエンドポイントを作成する

    次の手順を実行して、システムコンポーネントのコンテナイメージのエンドポイントを作成します。作成後、対応するゾーンのドメイン名と IP アドレスを取得できます。

    説明

    このセクションで設定するエンドポイントは、OSS へのリクエストをプロキシしません。PrivateLink を使用して OSS リソースにアクセスする方法については、「PrivateLink を使用して OSS にアクセスする」をご参照ください。

    1. エンドポイントコンソールにログインします。

    2. 上部のナビゲーションバーで、エンドポイントサービスがデプロイされているリージョンを選択します。

      説明

      選択したリージョンは、ACK Edge クラスターのリージョンと一致する必要があります。このトピックでは、中国 (杭州) を例として使用します。

    3. [Endpoints] ページで、[Interface Endpoint] タブをクリックし、[Create Endpoint] をクリックします。

    4. [Create Endpoint] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      エンドポイント名

      インターフェイスエンドポイントの名前を入力します。

      test1

      エンドポイントタイプ

      [Interface Endpoint] を選択します。

      インターフェイスエンドポイント

      エンドポイントサービス

      次のいずれかの方法でエンドポイントサービスを設定します。

      • [その他のエンドポイントサービス] をクリックし、エンドポイントサービス名を入力して、[検証] をクリックしてサービスを検証します。

      • [サービスの選択] をクリックし、エンドポイントサービスの ID を選択します。

      [サービスの選択] をクリックし、ドロップダウンリストから [エンドポイントサービス ID] を選択し、ID を入力してサービスを検索します。

      説明

      システム ACR のエンドポイントサービス ID を取得するには、チケットを送信してください。

      VPC

      インターフェイスエンドポイントを作成する VPC を選択します。

      ターゲット ACK Edge クラスターの VPC。

      セキュリティグループ

      エンドポイントの Elastic Network Interface (ENI) に関連付けるセキュリティグループを選択します。セキュリティグループは、VPC からエンドポイント ENI へのデータ転送を制御するために使用されます。

      ターゲットエンドポイント ENI に関連付けられているセキュリティグループ。

      ゾーンと vSwitch

      エンドポイントサービスのゾーンを選択し、そのゾーン内の vSwitch を選択します。システムは自動的に vSwitch 内にエンドポイント ENI を作成します。

      ゾーン:

      • 杭州ゾーン G

      • 杭州ゾーン K

      vSwitch:

      • 杭州ゾーン G の vSwitch

      • 杭州ゾーン K の vSwitch

      リソースグループ

      エンドポイントが属するリソースグループを選択します。

      ターゲットリソースグループ。

    ACK クラスターのコントロールプレーンのエンドポイントを作成する

    次の手順を実行します。エンドポイントが作成された後、対応するゾーンのエンドポイントのドメイン名と IP アドレスを取得できます。

    1. [Endpoints] ページで、[Interface Endpoint] タブをクリックし、[Create Endpoint] をクリックします。

    2. [Create Endpoint] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      エンドポイント名

      インターフェイスエンドポイントの名前を入力します。

      test2

      エンドポイントタイプ

      [Interface Endpoint] を選択します。

      インターフェイスエンドポイント

      エンドポイントサービス

      次のいずれかの方法でエンドポイントサービスを設定します。

      • [その他のエンドポイントサービス] をクリックし、エンドポイントサービス名を入力して、[検証] をクリックしてサービスを検証します。

      • [サービスの選択] をクリックし、エンドポイントサービスの ID を選択します。

      [サービスの選択] をクリックし、ドロップダウンリストから [エンドポイントサービス ID] を選択し、ID を入力してサービスを検索します。

      説明

      ACK Edge クラスターのコントロールプレーンのエンドポイントサービス ID を取得するには、チケットを送信してください。

      VPC

      インターフェイスエンドポイントを作成する VPC を選択します。

      ターゲット ACK Edge クラスターの VPC。

      セキュリティグループ

      エンドポイントの Elastic Network Interface (ENI) に関連付けるセキュリティグループを選択します。セキュリティグループは、VPC からエンドポイント ENI へのデータ転送を制御するために使用されます。

      ターゲットエンドポイント ENI に関連付けられているセキュリティグループ。

      ゾーンと vSwitch

      エンドポイントサービスのゾーンを選択し、そのゾーン内の vSwitch を選択します。システムは自動的に vSwitch 内にエンドポイント ENI を作成します。

      ゾーン:

      • 杭州ゾーン G

      • 杭州ゾーン K

      vSwitch:

      • 杭州ゾーン G の vSwitch

      • 杭州ゾーン K の vSwitch

      リソースグループ

      エンドポイントが属するリソースグループを選択します。

      ターゲットリソースグループ。

    DNS 解決の設定

    エンドポイントを作成した後、オンプレミスの DNS インフラストラクチャを設定して、必要なクラウドサービスのホスト名を新しいエンドポイントの IP アドレスまたはドメイン名に解決する必要があります。

    エッジノードがアクセスする必要のあるドメイン名のリストについては、「エッジノードからのアウトバウンドトラフィック」をご参照ください。

    オンプレミスの DNS サーバーがある場合は、CNAME (Canonical Name) レコードを設定して、ターゲットドメイン名をエンドポイントによって提供されるドメインに向けることができます。または、PrivateZone を使用してハイブリッドクラウド環境の DNS 解決を管理することもできます。詳細については、「オンプレミスサーバーを使用して Alibaba Cloud DNS にアクセスする」をご参照ください。