このトピックでは、ApsaraDB RDS for MySQL インスタンスを例に、DataWorks を別の Alibaba Cloud アカウントのデータソースに接続する方法を説明します。
ユースケース
以下のすべての条件を満たす場合に、本ソリューションをご利用ください:
データソースが Alibaba Cloud プロダクトである。
データソースと DataWorks ワークスペースが異なる Alibaba Cloud アカウントに属している。
仕組み
データソースとワークスペースが異なるアカウントにある場合、VPC(プライベートネットワーク)接続をご利用いただけます。アカウント A のデータソースの VPC とアカウント B の DataWorks リソースグループの VPC を接続するために、CEN や VPC ピアリング接続 などのネットワーク接続ツールをご利用ください。これにより、ネットワーク通信が可能になります。
前提条件
DataWorks でサポートされている Alibaba Cloud のデータソースを所有していること。
ワークスペースを作成済みであること。
リソースグループを作成し、ワークスペースにバインド済みであること。
-
データソースと DataWorks ワークスペースがユースケースのセクションに記載された要件を満たしていること。
-
データソースを所有する Alibaba Cloud アカウントでクロスアカウント認可を構成していること。
課金
料金は、選択したネットワーク接続ツールによって異なります。詳細については、「CEN の課金」または「VPC ピアリング接続の課金」をご参照ください。
データソースと DataWorks リソースグループが異なるアカウントでも、同一リージョンにある場合は、VPC ピアリング接続の使用は無料です。
ネットワーク接続の設定
以下の手順では、コアロジックを理解していただくために、設定プロセスの概要を説明します。具体的な値を使用した詳細な手順については、「設定例」セクションをご参照ください。
ステップ 1:基本情報の収集
データソース側
-
アカウント:このトピックでは、アカウント A を例とします。
-
リージョン:このトピックでは、中国 (杭州) リージョンの ApsaraDB RDS for MySQL インスタンスを例とします。
-
VPC と vSwitch の情報:
説明このトピックでは、ApsaraDB RDS for MySQL インスタンスを例とします。その他の Alibaba Cloud インスタンスの場合、VPC 情報の取得方法については製品の公式ドキュメントをご参照ください。
-
ApsaraDB RDS コンソールに移動し、対象インスタンスを見つけ、その インスタンス名 をクリックして 基本情報 ページを開きます。
-
左側のメニューで [データベース接続] をクリックし、ApsaraDB RDS for MySQL インスタンスの VPC と vSwitch の情報を取得します。
[データベース接続] ページで、[ネットワークタイプ] 行を見つけ、VPC 名 (例:
Account_A_hangzhou_VPC)、その CIDR ブロック (例:192.168.0.0/16)、および vSwitch 情報 (例:Account_A_hangzhou_vSwitch) を確認します。
-
DataWorks 側
-
アカウント:このトピックでは、アカウント B を例とします。
-
リージョン:このトピックでは、中国 (上海) リージョンの DataWorks ワークスペースとリソースグループを例とします。
-
リソースグループの VPC と vSwitch の情報:
-
DataWorks のリソースグループリストページに移動し、対象リソースグループを見つけ、ネットワーク設定 列の Operation をクリックします。
-
関連する機能モジュールの配下で、バインドされている [独自のネットワーク] と [スイッチ] の情報を確認します。
たとえば、データ同期のために ApsaraDB RDS for MySQL インスタンスを DataWorks に接続する必要がある場合は、独自のネットワーク の配下にある、対応する [スイッチ] と vSwitch の情報を確認します。
リソースグループの [ネットワーク設定] ページで、[VPC バインディング] タブをクリックします。関連するリージョンの [バインド済み VPC] 列で VPC ID を見つけます。[バインド済み vSwitch] 列で vSwitch ID を見つけます。
-
ステップ 2:ネットワーク接続の確立
異なるアカウント間で VPC を接続するには、ネットワーク接続ツールを使用する必要があります。ニーズに応じて以下のいずれかを選択してください。
-
Cloud Enterprise Network (CEN):複雑なエンタープライズネットワーク環境や、複数の VPC を相互接続する場合に適しています。設定の詳細については、「異なるアカウントに属する VPC の相互接続」をご参照ください。
-
VPC ピアリング接続:ポイントツーポイントの VPC 相互接続に適しています。設定の詳細については、「VPC ピアリング接続を使用した VPC 間のプライベート通信の実現」をご参照ください。
設定中に問題が発生した場合は、チケットを送信して、関連するクラウドサービスのテクニカルサポートにお問い合わせください。
ステップ 3:リソースグループへのルートの追加
DataWorks が別のアカウントのデータソースにアクセスする場合、データソースの vSwitch の CIDR ブロックを指すルートを DataWorks リソースグループに追加する必要があります。
-
DataWorks のリソースグループリストページに移動し、対象リソースグループを見つけ、ネットワーク設定 列の Operation をクリックします。
-
関連する機能モジュールの配下で、バインドされている VPC を見つけ、カスタムルート 列の Operation をクリックします。
-
新しいルート をクリックし、接続方法として CIDR ブロック を選択し、宛先 CIDR ブロック をデータソースの vSwitch の CIDR ブロックに設定します。
ステップ 4 (オプション):ホワイトリストの設定
データソースがホワイトリストを使用している場合は、アクセスを許可するため、リソースグループにバインドされている vSwitch CIDR ブロックをデータソースのホワイトリストに追加してください。
このトピックでは、「ApsaraDB RDS for MySQL インスタンスの IP アドレスホワイトリストの設定」を例とします。[ホワイトリストとセキュリティグループ] 設定で、[ネットワークセグメントの切り替え] の DataWorks リソースグループにバインドされている vSwitch CIDR ブロックを追加します。
その他の Alibaba Cloud インスタンスの場合、ホワイトリストの設定方法については製品の公式ドキュメントをご参照ください。
vSwitch CIDR ブロックが追加されると、[ホワイトリスト設定] タブの [dataworks] グループで確認できます (例:172.16.66.0/24)。
ネットワーク接続性の検証
-
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、[Data Integration] をクリックします。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[Data Integrationに移動] をクリックします。
-
左側のナビゲーションペインでData Sourcesをクリックし、データソースリストページで[データソースの追加]をクリックして、データソースタイプを選択し、接続パラメーターを設定します。
-
ページ下部のリソースグループのリストで、設定したリソースグループを探し、テスト接続 をクリックします。Connected というステータスは、接続が成功したことを示します。
説明結果が 「接続できません」 の場合、接続診断ツール を使用して問題を診断できます。それでもリソースグループがデータソースに接続できない場合は、チケットを起票してサポートを依頼してください。
設定例
この例では、中国 (杭州) リージョンのアカウント A にある ApsaraDB RDS for MySQL インスタンスと、中国 (上海) リージョンのアカウント B にある DataWorks ワークスペースとの間にネットワーク接続を確立する手順を説明します。
1. 基本情報
|
パラメーター |
データソース (RDS for MySQL) |
DataWorks リソースグループ |
|
アカウント |
アカウント A |
アカウント B |
|
リージョン |
中国 (杭州) |
中国 (上海) |
|
VPC |
ApsaraDB RDS インスタンス Account_A_MySQL_Source の [データベース接続] ページで、ネットワークタイプが [VPC] であり、内部エンドポイントが |
リソースグループの詳細ページで、[ネットワーク設定] > [VPC バインディング] タブに移動します。[データスケジューリングと Data Integration] セクションで、バインドされている VPC、vSwitch、vSwitch CIDR ブロック、およびセキュリティグループの情報を確認できます。クロスアカウント VPC バインディングが成功したことを確認します。 |
2. ネットワーク接続の確立
このソリューションでは、Cloud Enterprise Network (CEN) または VPC ピアリング接続 を使用して、データソースと DataWorks 間のネットワーク接続を確立できます。ニーズに合った方法を選択してください。
設定中に問題が発生した場合は、チケットを送信して、関連するクラウドサービスのテクニカルサポートにお問い合わせください。
Cloud Enterprise Network (CEN)
-
アカウント B にログオンし、Cloud Enterprise Network (CEN) コンソールに移動して、[CEN インスタンスの作成] をクリックします。 表示されるダイアログボックスで、インスタンスの Name を設定し、Confirm をクリックします。
説明ビッグデータ処理プラットフォームとして、DataWorks は異なるアカウントや VPC にあるデータソースに接続する必要がある場合があります。一元管理のために、DataWorks と同じ Alibaba Cloud アカウントに CEN インスタンスを作成することを推奨します。
-
ダイアログボックスで、[接続の作成]をクリックし、[DataWorks リソースグループのネットワーク情報]を設定します。
次の表に、この例の主要なパラメーターを示します。記載されていないパラメーターについては、デフォルト値を使用してください。
パラメーター
設定と例
[Instance Type]
アカウント間の VPC 相互接続では、[VPC]を選択します。
[リージョン]
この例では、DataWorks リソースグループのリージョンとして 中国 (上海) を選択します。
リソース所有者 UID
[現在のアカウント] を選択します。
VPC
DataWorks リソースグループが配置されている VPC インスタンスを選択します。
[スイッチ]
リソースグループが配置されている vSwitch を選択します。この例では、
Account_B_Switch_sh_eを選択します。説明CEN では、障害復旧のために異なるアベイラビリティーゾーンに少なくとも 2 つの vSwitch が必要です。リソースグループの vSwitch に加えて、異なるアベイラビリティーゾーンからもう 1 つ追加する必要があります。vSwitch が 2 つ以上ない場合は、vSwitch コンソールに移動して、続行する前にもう 1 つ作成してください。
-
[作成] をクリックします。
-
クロスアカウント VPC インスタンスを認可します。
-
アカウント A にログインし、VPC コンソールに移動して、データソースが配置されている VPC インスタンスを見つけます。 この例では、VPC インスタンスは
Account_A_hangzhou_VPCです。 インスタンス名をクリックして、基本情報 ページに移動します。 -
[アカウント間承認] タブに切り替え、[CEN] をクリックし、次の情報に基づいてパラメーターを設定します。
パラメーター
設定と例
ピアアカウント UID
アカウント B の Alibaba Cloud アカウントの UID を入力します。
ピア CEN インスタンス ID
手順 1 で作成した CEN インスタンスの ID。
支払者
支払いを担当する当事者を選択します。
-
ピアアカウント UID (デフォルト): VPC インスタンスで発生した接続料金とデータ転送料金は、CEN インスタンスを所有するアカウントに請求されます。
-
VPC ユーザー: VPC インスタンスで発生した接続料金とデータ転送料金は、VPC インスタンスを所有するアカウントに請求されます。
この例では、デフォルト値を使用します。
重要支払者は慎重に選択してください。後で支払者を変更すると、サービスに影響が出る可能性があります。詳細については、「別のアカウントに属するネットワークインスタンスの認可」をご参照ください。
-
-
Determineをクリックします。
-
-
クロスアカウント VPC 接続を作成します。
-
アカウント B にログインし、Cloud Enterprise Network (CEN) コンソールに移動します。作成した CEN インスタンスの ID をクリックして、その 基本情報 ページに移動します。
-
[トランジットルーター] タブで作成した トランジットルーター を探し、Operation 列で [接続の作成] をクリックして、データソースのネットワーク情報 を設定します。
次の表に、この例の主要なパラメーターを示します。記載されていないパラメーターについては、デフォルト値を使用してください。
パラメーター
設定と例
[Instance Type]
アカウント間の VPC 相互接続には、[VPC] を選択します。
[リージョン]
データソースのリージョンを選択します。この例では中国 (杭州)です。
リソース所有者 UID
[クロスアカウント] を選択し、アカウント A の Alibaba Cloud アカウントのUID を入力します。
VPC
データソースが配置されている VPC インスタンスを選択します。
[スイッチ]
データソースが配置されている vSwitch を選択します。この例では、
Account_A_Switch_hz_hを選択します。説明CEN では、障害復旧のために異なるアベイラビリティーゾーンに少なくとも 2 つの vSwitch が必要です。データソースの vSwitch に加えて、異なるアベイラビリティーゾーンからもう 1 つ追加する必要があります。vSwitch が 2 つ以上ない場合は、vSwitch コンソールに移動して、続行する前にもう 1 つ作成してください。
-
[作成] をクリックします。
-
-
リージョン間接続を作成します。
説明この例では、データソースと DataWorks は異なる Alibaba Cloud アカウントと異なるリージョンにあるため、リージョン間接続も作成する必要があります。データソースと DataWorks が異なるアカウントにあり、かつ同じリージョンにある場合は、この手順をスキップしてください。
-
アカウント B にログインして クラウドエンタープライズネットワーク (CEN) コンソールに移動し、作成した CEN インスタンスの ID をクリックして 基本情報 ページを開きます。
-
[トランジットルーター] タブで、データソースのリージョンである 中国 (杭州) の トランジットルーター を探し、Operation 列で [接続の作成] をクリックし、リージョン間接続情報を設定します。
パラメーター
設定と例
[リージョン]
中国 (杭州)を選択します。
ピアリージョン
中国 (上海)を選択します。
-
[作成] をクリックします。
-
VPC ピアリング接続
-
アカウント A にログインし、VPC Peering Connection コンソールに移動し、ページ上部でリージョンを 中国 (杭州) に切り替えてから、[ピアリング接続の作成] をクリックします。 関連するパラメーターを設定します。
次の表に、この例の主要なパラメーターを示します。記載されていないパラメーターについては、デフォルト値を使用してください。
パラメーター
設定と例
ピアリング接続名
カスタム名を入力します。この例では、
Account_A to Account_Bを使用します。リクエスター VPC
アカウント A にある ApsaraDB RDS for MySQL データソースが配置されている VPC を選択します。この例では、
Account_A_hangzhou_VPCを選択します。アクセプターアカウントタイプ
この例では、
クロスアカウントを使用します。アクセプター Alibaba Cloud アカウント UID
アカウント B の Alibaba Cloud アカウントの UID を入力します。
アクセプターリージョンタイプ
この例では、
クロスリージョンが選択されています。アクセプターリージョン
アカウント B の DataWorks ワークスペースとリソースグループのリージョンとして
中国 (上海)を選択します。アクセプター VPC
アカウント B の DataWorks リソースグループの VPC ID (
Account_B_shanghai_VPC) を手動で入力します。 -
Determineをクリックすると、接続が作成され、Statusが[承認待ち]になります。
-
アカウント B にログオンし、VPC Peering Connection コンソールに移動して、ページ上部でリージョンを 中国 (上海) に切り替えます。アカウント A から開始されたピアリング接続を見つけ、Operation 列で Receiver をクリックします。接続の Status は 有効化済み に変わります。
-
アクセプタ VPC で、[ルートエントリの設定]をクリックします。[ルートエントリの設定] ダイアログボックスで、Nameに任意の名前を入力し、[宛先 CIDR ブロック]をリクエスタの vSwitch CIDR ブロックに設定します。この例では、
192.168.6.0/24を入力します。 -
アカウント A にログインし、VPC ピアリング接続コンソールに移動して、ページ上部でリージョンを中国 (杭州)に切り替え、作成したピアリング接続を見つけます。
-
[リクエスタ VPC] で、[ルートエントリの設定] をクリックします。[ルートエントリの設定] ダイアログボックスで、ルートエントリに任意の Name を入力し、[宛先 CIDR ブロック] をアクセプタの vSwitch CIDR ブロックに設定します。この例では、
172.16.66.0/24を入力します。
3. リソースグループへのルートの追加
-
アカウント B にログインし、DataWorks のリソースグループリストページに移動して、目的のリソースグループを見つけ、Operation 列の ネットワーク設定 をクリックします。
-
該当の機能モジュールで、バインドされた VPC を見つけ、Operation 列の カスタムルート をクリックします。
-
新しいルート をクリックし、接続方法に CIDR ブロック を選択し、宛先 CIDR ブロック を アカウント A の ApsaraDB RDS for MySQL インスタンスの vSwitch の CIDR ブロックに設定します。この例では、
192.168.6.0/24を使用します。
4. ホワイトリストの設定
アカウント A にログインし、DataWorks リソースグループの ネットワークセグメントの切り替え を ApsaraDB RDS for MySQL インスタンスの ホワイトリストとセキュリティグループ 設定に追加します。 この例では、CIDR ブロックは 172.16.66.0/24 です。
vSwitch CIDR ブロックを追加すると、[ホワイトリスト設定] タブの dataworks グループで、たとえば、172.16.66.0/24 のように表示されます。
5. 接続性のテスト
この手順を実行する前に、データソースを所有する Alibaba Cloud アカウント (この例ではアカウント A) でクロスアカウント認証を設定していることを確認してください。
-
アカウント B にログインします。
-
DataWorks コンソールにログインします。 左側のナビゲーションウィンドウで、[Data Integration] をクリックします。 表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、[Data Integrationに移動] をクリックします。
-
左側のナビゲーションペインで、Data Sources をクリックします。データソース一覧 ページで、Add Connection をクリックします。
-
MySQL データソースタイプを選択し、その情報を設定します。
-
設定モード には、ApsaraDB for RDS を選択します。
-
Alibaba Cloud Account には、Another Alibaba Cloud Account を選択します。
-
ID of Another Alibaba Cloud Account には、アカウント A の UID を入力します。
-
Name of Role Assigned to RAM User には、アカウント A で設定した RAM ロールの名前を入力します。 詳細については、「クロスアカウント承認」をご参照ください。
-
リージョン には 中国 (杭州) を選択します。
-
Instance には、アカウント A の China (Hangzhou) リージョンで作成し、ネットワーク接続を設定した ApsaraDB RDS for MySQL インスタンスを選択します。
-
-
接続設定 セクションで、ワークスペースに紐付けられたリソースグループの [ネットワーク接続のテスト] をクリックします。[接続可能]
接続ステータスが [接続済み] であることを確認します。
説明接続テストが失敗した場合、接続診断ツール を使用して問題をトラブルシューティングできます。問題が解決せず、リソースグループがまだデータソースに接続できない場合は、チケットを送信してください。
関連ドキュメント
ネットワーク接続に関するよくある質問への回答は、「リソースグループの操作とネットワーク接続」をご参照ください。
