Alibaba Cloud DNS PrivateZone (PrivateZone) は、仮想プライベートクラウド (VPC) を基盤とする Alibaba Cloud のプライベートドメイン名の名前解決および管理サービスです。仮想ボーダールータ (VBR)、IPsec 接続、またはクラウド相互接続ネットワーク (CCN) インスタンスをトランジットルーターに接続すると、これらのネットワークインスタンスに接続されたオンプレミスネットワークから、トランジットルーターを経由して PrivateZone へアクセスし、DNS 名前解決が可能になります。
仕組み
オンプレミスネットワークからプライベートドメイン名に対する DNS クエリが送信された場合の処理手順は以下のとおりです:
DNS クエリがオンプレミスネットワークからトランジットルーターに送信されます。
トランジットルーターは、お客様が設定したルートエントリ(宛先 CIDR ブロック:
100.100.2.136/32および100.100.2.138/32)に基づき、クエリを PrivateZone へルーティングします。PrivateZone がドメイン名を名前解決し、結果を返します。
結果がトランジットルーターを経由してオンプレミスネットワークに返されます。
使用するトランジットルーターのエディションの選択
PrivateZone へのアクセスを設定する前に、ご環境に適合するトランジットルーターのエディションを確認してください。
| 接続タイプ | 対応するトランジットルーターのエディション |
|---|---|
| VBR | Basic Edition または Enterprise Edition |
| IPsec 接続 | Enterprise Edition のみ |
| CCN インスタンス | Basic Edition または Enterprise Edition |
IPsec 接続では、Basic Edition トランジットルーターは VPN ゲートウェイの添付をサポートしないため、Enterprise Edition トランジットルーターが必要です。また、Basic Edition トランジットルーターはクロスリージョンでの PrivateZone アクセスもサポートしていません。つまり、オンプレミスネットワークは VBR と同じリージョンに展開された PrivateZone にのみアクセス可能です。
例: 中国 (北京) リージョンに展開された VBR は、Basic Edition トランジットルーターおよび中国 (北京) リージョン内の VPC を介してのみ PrivateZone にアクセスできます。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
デプロイ済みの PrivateZone インスタンスです。詳細については、「クイックスタート」をご参照ください。「Alibaba Cloud DNS PrivateZone クイックスタート」をご参照ください。
PrivateZone に関連付けられた VPC、およびオンプレミスネットワークに接続される VBR、IPsec 接続、または CCN インスタンスが、トランジットルーターにアタッチ済みであること。詳細については、「VPC 接続の作成」「VBR 接続の作成」「VPN 接続の作成」または「CCN 接続の作成」をご参照ください。
(クロスリージョンアクセスの場合)関連する各リージョンで展開されたトランジットルーター間のリージョン間接続が構成済みであること。詳細については、「リージョン間接続の管理」をご参照ください。
(異なる Alibaba Cloud アカウントで運用される CCN の場合)CCN インスタンスと VPC またはトランジットルーターが異なる Alibaba Cloud アカウントに属している場合は、CCN インスタンスに必要な権限が付与済みであること。詳細については、「CCN インスタンスによる PrivateZone サービスの利用許可」をご参照ください。
Enterprise Edition トランジットルーターを用いたアクセスの有効化
PrivateZone アクセスの有効化
CEN コンソールにログインします。
[インスタンス] ページで、Cloud Enterprise Network (CEN) インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブで、PrivateZone が展開されているリージョンのトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックします。
左側のリストから管理対象のルートテーブルの ID をクリックします。[ルートテーブルの詳細] セクションで、[ルートエントリ] タブをクリックし、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] ダイアログボックスで、以下のパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 ルートテーブル 現在のルートテーブルがデフォルトで選択されます。 トランジットルーター 現在のトランジットルーターがデフォルトで選択されます。 [名前] ルートエントリの名前を入力します。 宛先 CIDR PrivateZone の CIDR ブロックのいずれかを入力します: 100.100.2.136/32または100.100.2.138/32。両方の CIDR ブロックを追加するには、この手順を繰り返します。ブラックホール ルート ルートにネクストホップを指定する場合は、[いいえ] を選択します。 次のホップ トランジットルーター上の VPC 接続の ID を選択します。 [説明] (任意)ルートエントリの説明を入力します。
PrivateZone アクセスの無効化
CEN コンソールにログインします。
[インスタンス] ページで、CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブで、PrivateZone が展開されているリージョンのトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックします。
左側のリストから管理対象のルートテーブルをクリックします。[ルートテーブルの詳細] セクションで、[ルートエントリ] タブをクリックし、PrivateZone を指すルートエントリ(
100.100.2.136/32および100.100.2.138/32)を検索します。[削除] を [操作] 列でクリックします。[ルートエントリの削除] ダイアログボックスで、[OK] をクリックします。
API リファレンス
プログラムによるルート管理には、Alibaba Cloud SDK(推奨)、Alibaba Cloud CLI、Terraform、または Resource Orchestration Service (ROS) を使用します。
CreateTransitRouterRouteEntry:Enterprise Edition トランジットルーターのルートテーブルにルートエントリを追加します。
DeleteTransitRouterRouteEntry:Enterprise Edition トランジットルーターのルートテーブルから静的ルートエントリを削除します。
Basic Edition トランジットルーターを用いたアクセスの有効化
PrivateZone アクセスの有効化
CEN コンソールにログインします。
[インスタンス] ページで、CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブで、PrivateZone と関連付けられた VPC のリージョンにあるトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[PrivateZone] タブをクリックします。初めて PrivateZone を構成する場合は、[今すぐ承認] をクリックします。[RAM クイック承認] ページで、[承認] をクリックします。これにより、Smart Access Gateway (SAG) サービスが PrivateZone にアクセスする権限を取得し、SAG と関連付けられた CCN インスタンスがプライベートドメイン名の名前解決を実行できるようになります。
[PrivateZone の構成] をクリックします。[PrivateZone の構成] ダイアログボックスで、以下のパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 ホストリージョン PrivateZone がデプロイされているリージョンを選択します。 サービス VPC PrivateZone に関連付けられた VPC を選択します。 アクセスリージョン PrivateZone にアクセスする必要がある VBR または CCN インスタンスがデプロイされているリージョンを選択します。 
PrivateZone アクセスの無効化
CEN コンソールにログインします。
[インスタンス] ページで、CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブで、PrivateZone が展開されているリージョンのトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[PrivateZone] タブをクリックし、削除対象の構成レコードを検索して、[削除] を [操作] 列でクリックします。
[PrivateZone の削除] ダイアログボックスで、[OK] をクリックします。
API リファレンス
PrivateZone のアクセスをプログラムによって管理するには、Alibaba Cloud SDK(推奨)、Alibaba Cloud CLI、Terraform、または Resource Orchestration Service (ROS) を使用します:
RoutePrivateZoneInCenToVpc:PrivateZone へのアクセスを有効化します。
DescribeCenPrivateZoneRoutes:PrivateZone 接続を照会します。
UnroutePrivateZoneInCenToVpc:PrivateZone へのアクセスを無効化します。