PrivateLink 接続を介してクラウドコントロール API を呼び出し、クラウドサービスにアクセスできます。これにより、インターネットアクセスから生じる潜在的なセキュリティリスクを回避できます。
概要
PrivateLink とは
PrivateLink は、VPC (Virtual Private Cloud) と他の Alibaba Cloud サービスとの間にプライベートな接続を確立するサービスです。これらの接続はインターネットアクセスを回避し、セキュリティと安定性を向上させます。
利用シーン
ご利用のアプリケーションが Alibaba Cloud の本番環境で実行されており、クラウドコントロール API を呼び出す必要がある場合、PrivateLink を使用して内部ネットワーク経由で呼び出すことができます。このソリューションは、以下のユースケースに適しています:
高いセキュリティとコンプライアンス要件:企業のセキュリティポリシーにより、インターネットアクセスが禁止または制限されている場合。
コストの最適化:データ転送コストを削減し、総所有コスト (TCO) を低減したい場合。
リージョン間デプロイメント:複数のリージョンにアプリケーションをデプロイする必要があり、統一されたネットワークアーキテクチャが求められる場合。
メリット
メリット | 説明 |
低レイテンシー | イントラネットアクセスにより、インターネットアクセスと比較してネットワーク遅延が 30% から 50% 削減されます。 |
高い安定性 | インターネットの変動性を回避することで、一貫したパフォーマンスを提供します。 |
セキュリティ分離 | トラフィックはインターネットを経由しません。 |
前提条件
権限要件
PrivateLink エンドポイントを設定するには、以下の権限が必要です:
AliyunVPCFullAccess:VPC へのフルアクセスを提供します。AliyunPrivateLinkFullAccess:PrivateLink へのフルアクセスを提供します。
VPC リージョンの要件
サポートされる VPC リージョンは、使用したいクラウドコントロール API サービスがデプロイされているリージョンによって異なります:
クラウドコントロール API サービス | パブリックドメイン名 | サポートされる VPC リージョン |
中国国内 | cloudcontrol.aliyuncs.com | 中国 (張家口) (リージョン ID: cn-zhangjiakou) |
中国国外 | cloudcontrol.ap-southeast-1.aliyuncs.com | シンガポール (リージョン ID: ap-southeast-1) |
リソースのチェックリスト
ターゲットリージョン内の VPC。
VPC 内に少なくとも 1 つの利用可能な vSwitch。
vSwitch には十分な数の利用可能な IP アドレスが必要です。
サービスリージョンの詳細
クラウドコントロール API サービスは、以下のリージョンで利用可能です。必要に応じてリージョンを選択できます。
中国国内 (cn-zhangjiakou)
エンドポイントサービス:
com.aliyuncs.privatelink.cn-zhangjiakou.cloudcontrol-apiパブリックドメイン名:
cloudcontrol.aliyuncs.comプライベートドメイン名:
cloudcontrol.vpc-proxy.aliyuncs.com
中国国外 (ap-southeast-1)
エンドポイントサービス:
com.aliyuncs.privatelink.ap-southeast-1.cloudcontrolパブリックドメイン名:
cloudcontrol.ap-southeast-1.aliyuncs.comプライベートドメイン名:
cloudcontrol-vpc.ap-southeast-1.aliyuncs.com
PrivateLink 接続を設定した後、アプリケーションコード内のクラウドコントロール API のパブリックドメイン名を、対応するプライベートドメイン名に変更する必要があります。
操作手順
同一リージョン内の設定
ご利用のアプリケーションが cn-zhangjiakou または ap-southeast-1 にデプロイされている場合、同一リージョン内に直接エンドポイントを作成できます。
ステップ 1:コンソールへのログイン
VPC コンソールにログインします。
左側のナビゲーションウィンドウで、[エンドポイント] をクリックします。
[インターフェイスエンドポイント] タブで、[エンドポイントの作成] をクリックします。
ステップ 2:リージョンの選択
[リージョン] ドロップダウンリストから、以下のいずれかのリージョンを選択します:
中国国内のクラウドコントロール API サービスを使用する場合は、[中国 (張家口)] を選択します。
中国国外のクラウドコントロール API サービスを使用する場合は、[シンガポール] を選択します。
ステップ 3:基本情報の設定
パラメーター | 説明 | 例 |
エンドポイント名 | エンドポイントの名前を入力します。分かりやすい名前を使用してください。 |
|
エンドポイントタイプ | インターフェイスエンドポイントを選択します。 | インターフェイスエンドポイント |
エンドポイントサービス | Alibaba Cloud サービスを選択します。 | Alibaba Cloud サービス |
ステップ 4:エンドポイントサービスの選択
エンドポイントサービスの検索ボックスに、ターゲットサービスの名前を入力します:
中国国内のクラウドコントロール API サービスを使用する場合:
com.aliyuncs.privatelink.cn-zhangjiakou.cloudcontrol-api中国国外のクラウドコントロール API サービスを使用する場合:
com.aliyuncs.privatelink.ap-southeast-1.cloudcontrol
検索により一意のエンドポイントサービスが返されます。そのサービスを選択します。
ステップ 5:カスタムドメイン名の有効化
[カスタムドメイン名の有効化] を選択します。システムによってプライベートドメイン名が自動的に割り当てられます。手動で入力する必要はありません。
中国国内のクラウドコントロール API サービス:
cloudcontrol.vpc-proxy.aliyuncs.com中国国外のクラウドコントロール API サービス:
cloudcontrol-vpc.ap-southeast-1.aliyuncs.com
ステップ 6:ネットワーク設定
パラメーター | 説明 | ベストプラクティス |
VPC | ご利用のアプリケーションが配置されている VPC を選択します。 | 正しい VPC を選択していることを確認してください。 |
ゾーンと vSwitch | 少なくとも 1 つの vSwitch を選択します。高可用性 (HA) のためには、複数の vSwitch を選択してください。 | 本番環境では、2 つまたは 3 つの異なるゾーンにある vSwitch を選択します。 |
セキュリティグループ | アクセス元を制限するためにセキュリティグループを選択します。 | ご利用のアプリケーションのセキュリティグループに設定します。 |
マルチゾーン設定の例:
ゾーン A:vsw-xxxxx
ゾーン B:vsw-yyyyy 
ステップ 7:エンドポイントポリシーの設定
エンドポイントポリシーは、どの Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーがエンドポイント経由でサービスにアクセスできるかを制御します。
最小権限の原則に従い、必要なアカウントにのみアクセスを許可してください。
デフォルトのエンドポイントポリシー (すべてを許可):
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Principal":"*",
"Action":"*",
"Resource": "*"
}
]
}推奨ポリシー (現在のアカウントのみを許可):
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Principal":{
"Aliyun":[
"acs:ram::ご利用のアカウントID:root"
]
},
"Action":"*",
"Resource":"*"
}
]
}ステップ 8:エンドポイントの作成と設定の確認
[OK] をクリックしてエンドポイントを作成します。
2~5 分でエンドポイントのステータスが [アクティブ] に変わります。
接続ステータスが [接続済み] に変わります。
ステータスの説明:
作成中:エンドポイントが作成中です。
アクティブ:エンドポイントが使用可能な状態です。
異常:作成に失敗したか、接続が異常です。設定を確認してください。
リージョン間の設定
ご利用のアプリケーションが cn-zhangjiakou または ap-southeast-1 以外のリージョンにデプロイされている場合、Cloud Enterprise Network (CEN) を使用してリージョン間の接続を確立する必要があります。
ステップ 1:ターゲットリージョンでのエンドポイントの作成
cn-zhangjiakouまたはap-southeast-1にエンドポイントを作成します。詳細については、本トピックの「同一リージョン内の設定」セクションをご参照ください。エンドポイントが配置されている VPC の ID をメモしておきます。
ステップ 2:CEN インスタンスを作成してリージョンを接続
CEN の設定方法の詳細については、「異なるリージョン内の VPC を接続」をご参照ください。
検証とテスト
接続性の検証
ご利用のアプリケーションがデプロイされている ECS インスタンスまたはコンテナーにログインし、以下のコマンドを実行して接続性を検証します:
中国国内のクラウドコントロール API サービス:
curl -v cloudcontrol.vpc-proxy.aliyuncs.com中国国外のクラウドコントロール API サービス:
curl -v cloudcontrol-vpc.ap-southeast-1.aliyuncs.com検証の成功:
返された HTTP ヘッダーに x-acs-request-id が含まれている場合、リクエストは成功です。以下のコードは出力例です:
< HTTP/1.1 401 Unauthorized
< date:Thu, 09 Oct 2025 10:30:00 GMT
<content-type:application/json
<x-acs-request-id:23C12345-1234-1234-1234-123456789ABC
<x-acs-trace-id:0b12345678901234567890123456789a
...リクエストに認証情報が含まれていないため、API は 401 ステータスコードを返すことが想定されます。
このテストの目的は、リクエストが Alibaba Cloud API Gateway またはサービスによって適切に処理されていることを確認することです。これを行うには、応答ヘッダーに x-acs-request-id のような Alibaba Cloud 固有のフィールドが含まれていることを確認します。
アプリケーションの統合例
Java の例
import com.aliyun.cloudcontrol20220830.Client;
import com.aliyun.teaopenapi.models.Config;
public class PrivateLinkExample {
public static void main(String[] args) throws Exception {
// クライアントを設定します。
Config config = new Config()
.setAccessKeyId("<YOUR-ACCESS-KEY-ID>")
.setAccessKeySecret("<YOUR-ACCESS-KEY-SECRET>")
// プライベートドメイン名を使用します。
. setEndpoint("cloudcontrol.vpc-proxy.aliyuncs.com") // 中国国内のクラウドコントロール API サービスの場合
. setHost("cloudcontrol.aliyuncs.com") // 中国国内のクラウドコントロール API サービスの場合
// .setEndpoint("cloudcontrol-vpc.ap-southeast-1.aliyuncs.com") // 中国国外のクラウドコントロール API サービスの場合
.setProtocol("https");
Client client = new Client(config);
// クライアントオブジェクトを使用して API 呼び出しを行います
try {
var response = client.listResources(...);
System.out.println("Request successful: " + response.getBody().getRequestId());
} catch (Exception e) {
System.err.println("Request failed: " + e.getMessage());
}
}
}