セキュアな VPC アクセス用の PrivateLink エンドポイント設定 - ApsaraMQ for RabbitMQ

PrivateLink エンドポイントを作成すると、指定された仮想プライベートクラウド (VPC) 内で、ご利用のインスタンスと ApsaraMQ for RabbitMQ リソースとの間で、プライベート接続を介してメッセージの送受信が可能になります。

シナリオ

以下のシナリオにおいて、指定された VPC から ApsaraMQ for RabbitMQ に PrivateLink エンドポイント経由でアクセスできます。

インスタンスベースのプロダクトでは、ネットワークアクセスに対するネットワークリンクの隔離が必要です。
Cloud Enterprise Network (CEN) を使用して、クラウド内ネットワークおよびクロスリージョンネットワークを構築する場合。
ルーティングルールは、CEN ネットワーク内のクラウドプロダクトにアクセスするために使用できません。

PrivateLink エンドポイントを作成後も、従来の VPC エンドポイントを用いて ApsaraMQ for RabbitMQ サービスに引き続きアクセスできます。

課金

ApsaraMQ for RabbitMQ がお客様に代わって PrivateLink エンドポイントを作成・ホストします。ApsaraMQ for RabbitMQ はこのサービスに対して課金しません。ただし、PrivateLink サービス自体には利用料金が発生します。これらの料金は、サービスを有効化した Alibaba Cloud アカウント ID に対して時間単位で課金され、インスタンス料金およびデータ転送料金が含まれます。詳細については、「課金」をご参照ください。

PrivateLink エンドポイントのライフサイクルは、関連付けられた RabbitMQ インスタンスと連動しています。PrivateLink コンソールからエンドポイントを手動で削除することはできません。RabbitMQ インスタンスの有効期限切れまたは手動による削除が発生すると、ApsaraMQ for RabbitMQ サービスが自動的に PrivateLink エンドポイントを削除します。

リージョン対応状況

アカウントがホワイトリストに追加されると、次のリージョンでこの機能を使用できます。中国 (杭州)、中国 (上海)、中国 (北京)、中国 (張家口)、中国 (深セン)、中国 (広州)、中国 (成都)、中国 (ウランチャブ)、シンガポール、ドイツ (フランクフルト)、米国 (シリコンバレー)、インドネシア (ジャカルタ)、マレーシア (クアラルンプール)、中国 (香港)、SAU (リヤド - パートナーリージョン)、フィリピン (マニラ)、およびタイ (バンコク)。その他のリージョンについては、チケットを送信してアクセスをリクエストしてください。

前提条件

PrivateLink エンドポイントのホワイトリストにお使いのアカウントを追加するために、チケットを送信していること。チケットには、インスタンスの購入に使用した Alibaba Cloud アカウント ID とインスタンスリージョンを記載する必要があります。

操作手順

ApsaraMQ for RabbitMQ コンソールにログインします。ApsaraMQ for RabbitMQ コンソールの左側のナビゲーションウィンドウで、インスタンスリスト をクリックします。
インスタンスリスト ページ上部のナビゲーションバーから、管理対象のインスタンスが存在するリージョンを選択します。その後、インスタンス一覧から管理対象のインスタンス名をクリックします。
「インスタンス」ページで、「アクセスポイント情報」タブをクリックします。「端末エンドポイント」セクションの「エンドポイント」列を見つけ、「有効化」をクリックします。

説明
アカウントがホワイトリストに登録された後にのみ、「プライベートエンドポイント」セクションが表示されます。

プライベートネットワーク接続エンドポイントの作成 パネルで、以下の手順を実行します。

パネル上部に表示される説明文を確認します。
サービスリンクロールを作成します。詳細については、「サービスリンクロール」をご参照ください。
PrivateLink サービスを有効化します。

次のパラメーターを設定します。次に、OK をクリックします。

重要

PrivateLink エンドポイントを作成後は、変更および削除ができません。正しい情報を入力していることをご確認ください。

パラメーター	説明	例
VPC ID	VPC ID を選択します。選択する VPC は、利用可能状態である必要があります。	vpc-degu45gufksifgiuf****
vSwitch ID	vSwitch ID を選択します。高可用性を確保するため、少なくとも 2 つのゾーンから vSwitch を選択してください。説明ゾーンを選択する際は、選択したゾーンで Network Load Balancer (NLB) インスタンスが作成可能であることを確認してください。「対応ゾーンの照会」を行うか、NLB コンソールで対応ゾーンをご確認ください。 vSwitch は利用可能状態であり、利用可能な IP アドレスが 20 個以上ある必要があります。	vsw-bewhf9uiagudie** vsw-feuo8evyidochhe**
セキュリティグループ	セキュリティグループを選択します。選択するセキュリティグループは、以下の要件を満たす必要があります。 TCP のポート 5672 または 5671 へのアクセスを許可するインバウンドルールが設定されていること。マネージドセキュリティグループはサポートされていません。	sg-uoefguo8fvyeif****

インスタンス作成後、アクセスポイント情報 タブの インスタンス詳細 ページで、エンドポイントの詳細を確認できます。

PrivateLink エンドポイントを取得後、ソフトウェア開発キット (SDK) のコード内で該当エンドポイントを設定し、プライベート接続を介してメッセージの送受信を行います。詳細については、「ステップ 3：SDK を使用したメッセージの送受信」をご参照ください。

サービスリンクロール

初めて PrivateLink エンドポイントを利用する際は、サービスリンクロール `AliyunServiceRoleForAmqpNetwork` を作成する必要があります。ロール作成前に、アカウントに必要な権限を付与する必要があります。システムポリシー `AliyunAMQPFullAccess` をアタッチできます。カスタムポリシーを使用する場合は、以下の権限を付与してください。ポリシー内の `${accountid}` は、お客様の Alibaba Cloud アカウント ID に置き換えてください。
```
{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:${accountid}:role/*",
            "Effect": "Allow",
            "Condition": {
              "StringEquals": {
              "ram:ServiceName": [
                "network.amqp.aliyuncs.com"
              ]
              }
            }
        }
    ],
    "Version": "1"
}
```
ポリシー名：`AliyunServiceRolePolicyForAmqpNetwork`
権限の説明：このロールを用いて、ApsaraMQ for RabbitMQ がお客様の PrivateLink サービスにアクセスし、VPC 関連の操作を実行できるようにします。
詳細については、「サービスリンクロール」をご参照ください。

参照

PrivateLink の詳細については、「PrivateLink とは？」をご参照ください。