Alibaba Cloud データソースのアカウント間ネットワーク接続 - DataWorks

このトピックでは、ApsaraDB RDS for MySQL インスタンスを例として、データソースと DataWorks が異なる Alibaba Cloud アカウントに属している場合に、それらの間でネットワーク接続を確立する方法について説明します。

ユースケース

データソースと DataWorks ワークスペースが次の条件を満たす場合は、このソリューションを使用します。

データソースは Alibaba Cloud プロダクトです。
データソースと DataWorks ワークスペースは、異なる Alibaba Cloud アカウントに属しています。

ソリューションの説明

異なるアカウントが関わるシナリオでは、VPC 接続を使用できます。Cloud Enterprise Network (CEN) や VPC ピアリング接続などのネットワーク接続ツールを使用して、アカウント A のデータソースをアカウント B の DataWorks ワークスペースリソースグループに接続できます。これにより、ネットワーク通信が可能になります。

ネットワーク接続図

前提条件

DataWorks がサポートする Alibaba Cloud データソースが利用可能です。
ワークスペースが作成されています。
リソースグループが作成され、ワークスペースにアタッチされています。
データソースと DataWorks ワークスペースは、「ユースケース」セクションの要件を満たしています。
データソースが属するアカウントに対してクロスアカウント認証が設定されています。詳細については、「クロスアカウント認証」をご参照ください。

課金

課金方法は、使用するネットワーク接続ツールによって異なります。詳細については、「CEN の課金」または「VPC ピアリング接続の課金」をご参照ください。

説明

データソースと DataWorks リソースグループが異なるアカウントに属していても、同じリージョンにある場合、VPC ピアリング接続の使用に対しては課金されません。

ネットワーク接続の設定

説明

次のセクションでは、データソースと DataWorks リソースグループ間のネットワーク接続を設定するための一般的なプロシージャについて説明します。このプロシージャは、中心となるロジックを素早く理解するのに役立ちます。設定の詳細については、このトピックの「設定例」セクションをご参照ください。

ステップ 1: 基本情報の取得

データソース側

アカウント情報: この例ではアカウント A を使用します。
リージョン情報: この例では、中国 (杭州) リージョンの ApsaraDB RDS for MySQL インスタンスを使用します。
VPC および vSwitch 情報:
説明
この例では ApsaraDB RDS for MySQL インスタンスを使用します。他の Alibaba Cloud インスタンスの VPC 情報を取得する方法については、特定のインスタンスの公式ドキュメントをご参照ください。
1. RDS 管理コンソールに移動し、ターゲットインスタンスを見つけて、[インスタンス名] をクリックして [基本情報] ページに移動します。
2. 左側のナビゲーションウィンドウで、[データベース接続] をクリックして、RDS for MySQL インスタンスの VPC および vSwitch 情報を取得します。

DataWorks 側

アカウント情報: この例ではアカウント B を使用します。
リージョン情報: この例では、中国 (上海) リージョンの DataWorks ワークスペースとリソースグループを使用します。
リソースグループにアタッチされている VPC と vSwitch に関する情報:
1. DataWorks コンソールのリソースグループページに移動し、ターゲットリソースグループを見つけて、[アクション] 列の [ネットワーク設定] をクリックします。
2. 対応する機能モジュールで、アタッチされている [VPC] と [vSwitch] の情報を表示します。
  たとえば、データ同期のために RDS for MySQL インスタンスを DataWorks に接続するには、[データスケジューリング & データ統合] の下にある対応する [VPC] と [vSwitch] の情報を表示します。

ステップ 2: ネットワーク接続の確立

異なるアカウントに属する VPC 間にネットワーク接続を確立するには、次のいずれかのネットワーク接続ツールを選択できます。

CEN: 複雑なエンタープライズネットワーク環境や複数の VPC を相互接続する場合に適しています。設定の詳細については、「アカウント間の VPC 対 VPC 接続」をご参照ください。
VPC ピアリング接続: 2 つの VPC を相互接続する場合に適しています。設定の詳細については、「VPC ピアリング接続を使用して VPC 間のプライベート接続を有効にする」をご参照ください。

説明

ネットワーク接続の設定中に問題が発生した場合は、チケットを送信して、関連するクラウドプロダクトのテクニカルサポートにお問い合わせください。

ステップ 3: DataWorks リソースグループのルートを追加する

DataWorks がアカウントをまたいでデータソースにアクセスする場合、データソースの vSwitch CIDR ブロックを指すルートを DataWorks リソースグループに追加する必要もあります。

DataWorks リソースグループページに移動し、ターゲットリソースグループを見つけて、[アクション] 列の [ネットワーク設定] をクリックします。
対応する機能モジュールで、アタッチされている VPC を見つけ、[アクション] 列の [カスタムルート] をクリックします。
[ルートの追加] をクリックします。接続方法を [CIDR ブロックの指定] に設定し、[宛先 CIDR ブロック] をデータソースの vSwitch CIDR ブロックに設定します。

ステップ 4: (オプション) ホワイトリストに追加する

データソースがアクセスの制御にホワイトリストを使用している場合、リソースグループにアタッチされている vSwitch の CIDR ブロックをデータソースのホワイトリストに追加する必要があります。これにより、リソースグループがデータソースにアクセスできるようになります。

このトピックでは、RDS for MySQL インスタンスの IP ホワイトリストの設定を例として、Alibaba Cloud アカウント B の DataWorks リソースグループにバインドされている [vSwitch CIDR ブロック] を [ホワイトリストとセキュリティグループ] に追加する方法を示します。

説明

他の Alibaba Cloud インスタンスをホワイトリストに追加する方法については、特定のインスタンスの公式ドキュメントをご参照ください。

ネットワーク接続のテスト

DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、データ統合 > データ統合を選択します。表示されたページで、ドロップダウンリストから目的のワークスペースを選択し、[データ統合に移動] をクリックします。
左側のナビゲーションウィンドウで、[データソース] をクリックします。[データソース] ページで、[データソースの追加] をクリックします。データソースを選択し、その接続パラメーターを設定します。
下部のリソースグループリストで、データソースに接続されているリソースグループを選択し、[接続性のテスト] をクリックします。
説明
接続性テストが [失敗] した場合は、[接続性診断ツール] を使用して問題をトラブルシューティングできます。それでもリソースグループをデータソースに接続できない場合は、チケットを送信してください。

設定例

このセクションでは、中国 (杭州) リージョンのアカウント A の ApsaraDB RDS for MySQL インスタンスと、中国 (上海) リージョンのアカウント B の DataWorks ワークスペースとの間のネットワーク接続を設定する方法の例を示します。

1. 基本情報

パラメーター	データソース (RDS for MySQL)	DataWorks リソースグループ
アカウント	アカウント A	アカウント B
リージョン	中国 (杭州)	中国 (上海)
VPC	VPC 名: `Account_A_hangzhou_VPC` VPC CIDR ブロック: `192.168.0.0/16` vSwitch 名: `Account_A_Switch_hz_h` vSwitch CIDR ブロック: `192.168.6.0/24`	VPC 名: `Account_B_shanghai_VPC` VPC CIDR ブロック: `172.16.0.0/12` vSwitch 名: `Account_B_Switch_sh_e` vSwitch CIDR ブロック: `172.16.66.0/24`

2. ネットワーク接続の確立

このソリューションは、CEN と VPC ピアリング接続を使用してデータソースと DataWorks 間のネットワーク接続を確立することをサポートしています。必要に応じてメソッドを選択できます。

説明

CEN を使用したネットワーク接続の設定

アカウント B でログインし、CEN コンソールに移動し、[CEN インスタンスの作成] をクリックします。表示されたダイアログボックスで、インスタンスの [名前] を設定し、[確認] をクリックします。
説明
ビッグデータ処理プラットフォームとして、DataWorks は、異なるアカウントに属し、異なる VPC にデプロイされているデータソースに接続する必要がある場合があります。一元管理を容易にするために、DataWorks があるアカウントに CEN インstance を作成することをお勧めします。

ダイアログボックスで、[ネットワークインスタンス接続の作成] をクリックし、DataWorks リソースグループのネットワーク情報を設定します。

次の表に、主要なパラメーターを示します。他のパラメーターはデフォルト値のままにすることができます。

パラメーター	説明と例
インスタンスタイプ	このソリューションでは、アカウント間で VPC を接続する方法について説明します。[Virtual Private Cloud (VPC)] を選択します。
リージョン	データソースのリージョンを選択します。この例では、[中国 (上海)] を選択します。
リソース所有権 UID	[同じアカウント] を選択します。
ネットワークインスタンス	DataWorks リソースグループがある VPC インスタンスを選択します。
VSwitch	リソースグループがある vSwitch を選択します。たとえば、`Account_B_Switch_sh_e` を選択します。説明 CEN を使用したネットワーク相互接続には、ゾーンレベルのディザスタリカバリが必要です。異なるゾーンに少なくとも 2 つの vSwitch を設定する必要があります。リソースグループの vSwitch が含まれていることを確認した後、任意のゾーンに別の vSwitch を設定します。vSwitch が 2 つ未満の場合は、vSwitch コンソールに移動して作成します。次に、作成した vSwitch を選択します。

[作成] をクリックします。

VPC インstance のクロスアカウント認証を付与します。

Alibaba Cloud アカウント A にログインし、VPC コンソールに移動します。データソースを含む VPC (この例では Account_A_hangzhou_VPC) を見つけ、その名前をクリックして [基本情報] ページに移動します。

[クロスアカウント認証] タブをクリックし、[CEN 認証] をクリックします。次のように情報を設定します。

パラメーター	説明と例
ピアアカウント UID	Alibaba Cloud アカウント B の UID。
ピア CEN インスタンス ID	ステップ 1 で作成した CEN インスタンスの ID。
支払人	支払人を選択します。 [CEN インスタンス所有者が請求を支払う] (デフォルト): VPC インスタンスによって生成される接続料金とトラフィック処理料金は、CEN インスタンスが属するアカウントによって支払われます。 [VPC ユーザーが請求を支払う]: VPC インスタンスによって生成される接続料金とトラフィック処理料金は、VPC インスタンスが属するアカウントによって支払われます。この例では、デフォルト値を使用します。重要支払人は慎重に選択してください。後で支払人を変更すると、サービスに影響する可能性があります。詳細については、「クロスアカウントネットワークインスタンスの権限付与」をご参照ください。

[OK] をクリックします。

クロスアカウント VPC 接続を作成します。

アカウント B でログインし、CEN コンソールに移動し、作成した CEN インスタンスの ID をクリックして [基本情報] ページに移動します。

[トランジットルーター] タブで、作成した [トランジットルーター] を見つけ、[操作] 列の [ネットワークインスタンス接続の作成] をクリックします。データソースのネットワーク情報を設定します。

次の表に、主要なパラメーターを示します。他のパラメーターはデフォルト値のままにすることができます。

パラメーター	説明と例
インスタンスタイプ	このソリューションでは、アカウント間で VPC を接続する方法について説明します。[Virtual Private Cloud (VPC)] を選択します。
リージョン	データソースのリージョンを選択します。[中国 (杭州)] を選択します。
リソース所有権 UID	[クロスアカウント] を選択し、[UID] フィールドに Alibaba Cloud アカウント A の UID を入力します。
ネットワークインスタンス	データソースがある VPC インスタンスを選択します。
VSwitch	データソースがある vSwitch を選択します。たとえば、`Account_A_Switch_hz_h` を選択します。説明 CEN を使用したネットワーク相互接続には、ゾーンレベルのディザスタリカバリが必要です。異なるゾーンに少なくとも 2 つの vSwitch を設定する必要があります。データソースの vSwitch が含まれていることを確認した後、任意のゾーンに別の vSwitch を設定します。vSwitch が 2 つ未満の場合は、vSwitch コンソールに移動して作成します。次に、作成した vSwitch を選択します。

[作成] をクリックします。

リージョン間接続を作成します。
説明
この例では、データソースと DataWorks は異なるアカウントと異なるリージョンにあります。したがって、リージョン間接続も設定する必要があります。データソースと DataWorks が異なるアカウントにあるが同じリージョンにある場合は、このステップをスキップしてください。
1. アカウント B でログインし、CEN コンソールに移動し、作成した CEN インスタンスの ID をクリックして [基本情報] ページに移動します。
2. [トランジットルーター] タで、[中国 (杭州)] (データソースリージョン) の [トランジットルーター] を見つけ、[操作] 列の [ネットワークインスタンス接続の作成] をクリックします。リージョン間接続情報を設定します。
  パラメーター
  説明と例
  リージョン
  [中国 (杭州)] を選択します。
  ピアリージョン
  [中国 (上海)] を選択します。
3. [作成] をクリックします。

VPC ピアリング接続を使用したネットワーク接続の設定

アカウント A でログインし、VPC ピアリング接続コンソールに移動し、上部のナビゲーションバーでリージョンを [中国 (杭州)] に切り替えてから、[ピアリング接続の作成] をクリックします。パラメーターを設定します。

次の表に、主要なパラメーターを示します。他のパラメーターはデフォルト値のままにすることができます。

パラメーター	説明と例
ピアリング接続名	名前を指定します。この例では、`Account_A to Account_B` に設定します。
リクエスト元 VPC インスタンス	アカウント A の RDS for MySQL データソースがある VPC を選択します。この例では、`Account_A_hangzhou_VPC` を選択します。
リクエスト先アカウントタイプ	この例では、`Cross-account` を選択します。
リクエスト先 Alibaba Cloud アカウント UID	アカウント B の UID を入力します。
リクエスト先リージョンタイプ	この例では、`Inter-region` を選択します。
リクエスト先リージョン	アカウント B の DataWorks ワークスペースとリソースグループがあるリージョンを選択します。`China (Shanghai)` を選択します。
リクエスト先 VPC インスタンス	Alibaba Cloud アカウント B の DataWorks リソースグループを含む VPC の ID を入力します (例: `Account_B_shanghai_VPC`)。

[OK] をクリックしてピアリング接続の設定を完了します。ピアリング接続の基本情報ページに自動的にリダイレクトされます。ピアリング接続の [ステータス] は [承諾中] です。
アカウント B でログインし、VPC ピアリング接続コンソールに移動し、上部のナビゲーションバーでリージョンを [中国 (上海)] に切り替えます。アカウント A と同じピアリング接続が表示されます。[操作] 列の [承諾] をクリックします。接続を承諾すると、ピアリング接続の [ステータス] が [有効] に変わります。
[リクエスト先 VPC インスタンス] の下にある [ルートエントリの設定] をクリックします。[ルートエントリの設定] ダイアログボックスで、ルートエントリの [名前] を指定し、[宛先 CIDR ブロック] をリクエスト元 VPC の vSwitch CIDR ブロックに設定します。この例では、vSwitch CIDR ブロックは 192.168.6.0/24 です。
アカウント A でログインし、VPC ピアリング接続コンソールに移動し、上部のナビゲーションバーでリージョンを [中国 (杭州)] に切り替えて、作成したピアリング接続を見つけます。
[リクエスト元 VPC インスタンス] の下にある [ルートエントリの設定] をクリックします。[ルートエントリの設定] ダイアログボックスで、ルートエントリの [名前] を指定し、[宛先 CIDR ブロック] をリクエスト先 VPC の vSwitch CIDR ブロックに設定します。この例では、vSwitch CIDR ブロックは 172.16.66.0/24 です。

3. DataWorks リソースグループのルートを追加する

Alibaba Cloud アカウント B で DataWorks コンソールにログインし、DataWorks リソースグループリストページに移動します。ターゲットリソースグループを見つけ、[アクション] 列の [ネットワーク設定] をクリックします。
対応する機能モジュールで、アタッチされている VPC を見つけ、[アクション] 列の [カスタムルート] をクリックします。
[ルートの追加] をクリックし、接続方法として [指定された CIDR ブロック] を選択し、[宛先 CIDR ブロック] を Alibaba Cloud アカウント A の RDS for MySQL インスタンスの vSwitch CIDR ブロック (この例では 192.168.6.0/24) に設定します。

4. ホワイトリストの設定

Alibaba Cloud アカウント A にログインします。DataWorks リソースグループにアタッチされている [vSwitch CIDR ブロック] を RDS for MySQL インスタンスの [ホワイトリストとセキュリティグループ] に追加します。この例では、CIDR ブロックは 172.16.66.0/24 です。

5. ネットワーク接続のテスト

説明

このステップを実行する前に、データソースが属するアカウント (この例ではアカウント A) でクロスアカウント認証を設定します。

アカウント B でログインします。
DataWorks コンソールにログインします。上部のナビゲーションバーで、目的のリージョンを選択します。左側のナビゲーションウィンドウで、データ統合 > データ統合を選択します。表示されたページで、ドロップダウンリストから目的のワークスペースを選択し、[データ統合に移動] をクリックします。
左側のナビゲーションウィンドウで [データソース] をクリックして [データソースリスト] ページに移動します。次に、[データソースの追加] をクリックします。
MySQL データソースタイプを選択し、データソース情報を設定します。
- [設定モード] を [Alibaba Cloud インスタンスモード] に設定します。
- [所有者アカウント] を [他の Alibaba Cloud アカウント] に設定します。
- [他の Alibaba Cloud アカウント UID] をアカウント A の UID に設定します。
- [認証用 RAM ロール名] に、アカウント A で設定されている RAM ロールを入力します。詳細については、「クロスアカウント認証」をご参照ください。
- [リージョン] を [中国 (杭州)] に設定します。
- [インスタンス] で、アカウント A の中国 (杭州) リージョンで作成され、ネットワーク接続が確立されている RDS for MySQL インスタンスを選択します。
[接続設定] セクションで、ワークスペースにアタッチされているリソースグループの [接続性のテスト] をクリックし、結果が [接続済み] であることを確認します。
説明
接続性テストが [失敗] した場合は、[接続性診断ツール] を使用して接続の問題を特定し、解決できます。問題が解決しない場合は、チケットを送信してください。

参考資料

ネットワーク接続に関するよくある質問への回答については、「リソースグループの操作とネットワーク接続」をご参照ください。