本トピックでは、ApsaraDB RDS for MySQL インスタンスを例として、DataWorks と異なる Alibaba Cloud アカウントに属するデータソース間でネットワーク接続を確立する方法について説明します。
ユースケース
以下のすべての条件を満たす場合に、本ソリューションをご利用ください。
データソースが Alibaba Cloud のプロダクトである。
データソースと DataWorks ワークスペースが異なる Alibaba Cloud アカウントに属している。
ソリューションの概要
データソースとワークスペースが異なるアカウントに存在するシナリオでは、VPC(プライベートネットワーク)接続を利用できます。ネットワーク接続ツール(例: Cloud Enterprise Network (CEN) または VPC ピアリング接続)を使用して、アカウント A のデータソースの VPC を、アカウント B の DataWorks リソースグループの VPC に接続します。これにより、ネットワーク通信が可能になります。
前提条件
DataWorks がサポートする Alibaba Cloud データソース が利用可能であること。
ワークスペースが作成済み であること。
データソースと DataWorks ワークスペースが、「適用範囲」セクションで説明されている要件を満たしていること。
データソースのアカウントで クロスアカウント認証 が設定済みであること。
課金
選択するネットワーキングプロダクトによって課金額が異なります。詳細については、Cloud Enterprise Network (CEN) または ピアリング接続 の課金詳細をご参照ください。
VPC ピアリング接続を使用し、データソースと DataWorks リソースグループが異なるアカウントに属しているものの同一リージョンにある場合、料金は発生しません。
ネットワーク接続の構成
以下のセクションでは、ネットワーク接続の確立に必要な一般的な手順を記載し、基本的な構成ロジックを説明します。詳細な手順については、本トピック内の「構成例」をご参照ください。
ステップ 1:基本情報を取得
データソース側
アカウント情報:本トピックでは アカウント A を例として使用します。
リージョン情報:本トピックでは、中国 (杭州) リージョンの ApsaraDB RDS for MySQL インスタンスを例として使用します。
VPC および vSwitch 情報:
説明本トピックでは ApsaraDB RDS for MySQL を例として使用します。その他の Alibaba Cloud インスタンスについては、該当するプロダクトの公式ドキュメントを参照して VPC 情報を取得してください。
ApsaraDB RDS コンソール にアクセスし、対象インスタンスを見つけ、インスタンス名 をクリックして 基本情報 ページを開きます。
左側のナビゲーションウィンドウで データベース接続 をクリックし、ApsaraDB RDS for MySQL インスタンスの VPC および vSwitch 情報を確認します。
DataWorks 側
アカウント情報:本トピックでは アカウント B を例として使用します。
リージョン情報:本トピックでは、中国 (上海) リージョンの DataWorks ワークスペースおよびリソースグループを例として使用します。
リソースグループがバインドされた VPC および vSwitch 情報:
DataWorks のリソースグループ一覧ページ にアクセスし、対象のリソースグループを見つけ、操作 列で ネットワーク設定 をクリックします。
関連モジュールで、バインドされた VPC および vSwitch 情報を確認します。
たとえば、ApsaraDB RDS for MySQL と DataWorks をデータ同期のために接続する場合は、データスケジューリング & データ統合 の下にある VPC および vSwitch 情報を確認します。
ステップ 2:ネットワーク接続を確立
クロスアカウント VPC 接続を確立するには、要件に応じて以下のいずれかのネットワーク接続ツールをご利用ください。
Cloud Enterprise Network (CEN): 複雑なエンタープライズネットワーク環境や複数の VPC 間の相互接続に適しています。構成の詳細については、「異なるアカウント間の VPC の接続」をご参照ください。
VPC ピアリング接続: 2 つの VPC 間のポイント・ツー・ポイント接続に適しています。構成の詳細については、「VPC ピアリング接続を使用した VPC 間のプライベートネットワーク通信の実現」をご参照ください。
ネットワーク接続の確立中に問題が発生した場合は、関連するクラウドプロダクトのテクニカルサポートに連絡するため、チケットを送信 してください。
ステップ 3:リソースグループにルートを追加
DataWorks が異なるアカウントのデータソースにアクセスする場合、DataWorks リソースグループにデータソースの vSwitch の CIDR ブロックへのルートを追加する必要があります。
DataWorks のリソースグループ一覧ページ にアクセスし、対象のリソースグループを見つけ、操作 列で ネットワーク設定 をクリックします。
関連モジュールで、バインドされた VPC を見つけ、操作 列で カスタムルート をクリックします。
ルートの追加 をクリックし、接続方法として CIDR ブロックの指定 を選択し、宛先 CIDR ブロック にデータソースの vSwitch の CIDR ブロックを設定します。
ステップ 4:(任意)ホワイトリストの構成
データソースがホワイトリストで保護されている場合、リソースグループにバインドされた vSwitch の CIDR ブロックをデータソースのホワイトリストに追加します。
本トピックでは、「ApsaraDB RDS for MySQL の IP アドレスホワイトリストの構成」を例として使用します。ホワイトリストおよびセキュリティグループ タブで、アカウント B の DataWorks リソースグループにバインドされた vSwitch CIDR ブロック を追加します。
その他の Alibaba Cloud インスタンスについては、該当するプロダクトの公式ドキュメントを参照して、IP アドレスをホワイトリストに追加する手順をご確認ください。
ネットワーク接続の検証
DataWorks コンソール にログインします。上部のナビゲーションバーで目的のリージョンを選択します。左側のナビゲーションウィンドウで を選択します。表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、データ統合へ移動 をクリックします。
左側のナビゲーションウィンドウで、[データソース] をクリックします。データソースリストページで、[データソースの追加] をクリックし、データソースのタイプを選択して、接続パラメーターを設定します。
画面下部のリソースグループ一覧で、対象のリソースグループを選択し、接続性のテスト をクリックします。
説明接続性テストの結果が 接続できません の場合、接続性診断ツール を使用して問題を解決できます。それでも接続できない場合は、チケットを送信 してください。
構成例
本例では、アカウント A の中国 (杭州) リージョンに配置された ApsaraDB RDS for MySQL インスタンスと、アカウント B の中国 (上海) リージョンに配置された DataWorks ワークスペース間のネットワーク接続を構成する方法について説明します。
1. 基本情報
パラメーター | データソース(ApsaraDB RDS for MySQL) | DataWorks リソースグループ |
アカウント | アカウント A | アカウント B |
リージョン | 中国 (杭州) | 中国 (上海) |
VPC |
|
|
2. ネットワーク接続の確立
データソースと DataWorks 間のネットワーク接続を確立するには、Cloud Enterprise Network (CEN) または VPCピアリング接続 のいずれかを使用できます。ニーズに最も適した方法を選択してください。
ネットワーク接続の確立中に問題が発生した場合は、関連するクラウドプロダクトのテクニカルサポートに連絡するため、チケットを送信 してください。
Cloud Enterprise Network (CEN)
アカウント B にログイン し、CEN コンソール にアクセスして、CEN インスタンスの作成 をクリックします。ダイアログボックスで、インスタンスの 名前 を設定し、確認 をクリックします。
説明集中管理を実現するため、CEN インスタンスは DataWorks と同じアカウントに作成することを推奨します。
ダイアログボックスで ネットワークインスタンス接続の作成 をクリックし、DataWorks リソースグループのネットワーク情報 を構成します。
以下の表に、本例の主要パラメーターを示します。記載されていないパラメーターについてはデフォルト値を使用します。
パラメーター
説明
インスタンスタイプ
本ソリューションでは、クロスアカウント VPC 接続を説明します。そのため、仮想プライベートクラウド (VPC) を選択します。
リージョン
リソースグループが配置されているリージョンを選択します。本例では、中国 (上海) を選択します。
リソース所有者 UID
同一アカウント を選択します。
ネットワークインスタンス
DataWorks リソースグループが配置されている VPC インスタンスを選択します。
vSwitch
リソースグループが配置されている vSwitch を選択します。本例では、
Account_B_Switch_sh_eを選択します。説明CEN 接続ではゾーンレベルのディザスタリカバリが必要であるため、少なくとも 2 つの異なるゾーンに配置された vSwitch を構成する必要があります。リソースグループの vSwitch が含まれていることを確認したうえで、利用可能なゾーンから別の vSwitch を追加してください。vSwitch が 2 つ未満の場合、vSwitch コンソール にアクセスして、事前に vSwitch を作成してください。
作成 をクリックします。
クロスアカウント VPC インスタンスの権限付与を行います。
アカウント A にログイン し、VPC コンソール にアクセスして、データソースの VPC インスタンス(本例では
Account_A_hangzhou_VPC)を見つけ、インスタンス名をクリックして 基本情報 ページを開きます。クロスアカウント権限付与 タブに切り替え、CEN 権限付与 をクリックし、以下のパラメーターを構成します。
パラメーター
説明
ピアアカウント UID
アカウント B の Alibaba Cloud アカウントの UID です。
ピア CEN インスタンス ID
ステップ 1 で作成した CEN インスタンスのインスタンス ID です。
支払者
支払い責任者を選択します。
CEN インスタンス所有者が請求書を支払う(デフォルト):VPC インスタンスの接続料およびデータ転送料は、CEN インスタンスを所有するアカウントが支払います。
VPC ユーザーが請求書を支払う:VPC インスタンスの接続料およびデータ転送料は、VPC インスタンスを所有するアカウントが支払います。
本例ではデフォルト値を使用します。
重要支払者の選択は慎重に行ってください。後から変更するとサービスに影響を与える可能性があります。詳細については、「他アカウントに属するネットワークインスタンスの権限付与」をご参照ください。
OK をクリックします。
クロスアカウント VPC 接続を作成します。
アカウント B にログイン し、CEN コンソール にアクセスして、作成した CEN インスタンスの ID をクリックし、基本情報 ページに移動します。
トランジットルーター タブで、作成した トランジットルーター を見つけ、操作 列で ネットワークインスタンス接続の作成 をクリックし、データソースのネットワーク情報 を構成します。
以下の表に、本例の主要パラメーターを示します。記載されていないパラメーターについてはデフォルト値を使用します。
パラメーター
説明
インスタンスタイプ
本ソリューションでは、クロスアカウント VPC 接続を説明します。そのため、仮想プライベートクラウド (VPC) を選択します。
リージョン
データソースが配置されているリージョンを選択します。本例では、中国 (杭州) を選択します。
リソース所有者 UID
[クロスアカウント] を選択し、アカウント A の Alibaba Cloud アカウントの [UID] を [UID] フィールドに入力します。
ネットワークインスタンス
データソースが配置されている VPC インスタンスを選択します。
vSwitch
データソースが配置されている vSwitch を選択します。本例では、
Account_A_Switch_hz_hを選択します。説明CEN 接続ではゾーンレベルのディザスタリカバリが必要であるため、少なくとも 2 つの異なるゾーンに配置された vSwitch を構成する必要があります。データソースの vSwitch が含まれていることを確認したうえで、利用可能なゾーンから別の vSwitch を追加してください。vSwitch が 2 つ未満の場合、vSwitch コンソール にアクセスして、事前に vSwitch を作成してください。
作成 をクリックします。
リージョン間接続を作成します。
説明本例では、データソースと DataWorks が異なるアカウントかつ異なるリージョンに配置されているため、リージョン間接続を構成する必要があります。データソースと DataWorks が異なるアカウントに属しているものの同一リージョンにある場合は、このステップはスキップしてください。
アカウント B にログイン し、CEN コンソール にアクセスして、作成した CEN インスタンスの ID をクリックし、基本情報 ページに移動します。
トランジットルーター タブで、中国 (杭州)(データソースのリージョン)の トランジットルーター を見つけ、操作 列で ネットワークインスタンス接続の作成 をクリックし、リージョン間接続を構成します。
パラメーター
説明
リージョン
中国 (杭州) を選択します。
ピアリージョン
中国 (上海) を選択します。
作成 をクリックします。
VPC ピアリング接続
アカウント A にログイン し、VPC ピアリング接続コンソール にアクセスし、ページ上部のリージョンを 中国 (杭州) に切り替えたうえで、ピアリング接続の作成 をクリックします。パラメーターを構成します。
以下の表に、本例の主要パラメーターを示します。記載されていないパラメーターについてはデフォルト値を使用します。
パラメーター
説明
ピアリング接続名
任意の名前を入力します。本例では、
Account_A to Account_Bを入力します。リクエスト元 VPC インスタンス
アカウント A のデータソース(ApsaraDB RDS for MySQL)が配置されている VPC を選択します。本例では、
Account_A_hangzhou_VPCを選択します。受入側アカウントタイプ
本例では、
クロスアカウントを選択します。受信側 Alibaba Cloud アカウント UID
アカウント B の Alibaba Cloud アカウントの UID を入力します。
受け入れ側リージョンの種類
本例では、
リージョン間を選択します。受け入れ側リージョン
アカウント B の DataWorks ワークスペースおよびリソースグループが配置されているリージョンを選択します。
中国 (上海)を選択します。受信側 VPC インスタンス
アカウント B の DataWorks リソースグループが配置されている VPC の VPC ID を手動で入力します(
Account_B_shanghai_VPC)。OK をクリックします。ピアリング接続の基本情報ページに移動し、ステータス が 承認待ち となります。
アカウント B にログイン し、VPC ピアリング接続コンソール にアクセスし、ページ上部のリージョンを 中国 (上海) に切り替えます。コンソールには、アカウント A と同じピアリング接続が表示されます。操作 列で 承認 をクリックします。ピアリング接続の ステータス が 有効化済み に変わります。
受信側 VPC インスタンス の下で、ルートエントリの構成 をクリックします。ルートエントリの構成 ダイアログボックスで、ルートエントリの任意の 名前 を入力し、ターゲット CIDR ブロック をリクエスト元の vSwitch CIDR ブロックに設定します。本例では、
192.168.6.0/24を設定します。
アカウント A にログイン し、VPC ピアリング接続コンソール にアクセスし、ページ上部のリージョンを 中国 (杭州) に切り替えます。作成したピアリング接続を見つけます。
リクエスト元 VPC インスタンス の下で、ルートエントリの構成 をクリックします。ルートエントリの構成 ダイアログボックスで、ルートエントリの任意の 名前 を入力し、ターゲット CIDR ブロック を受信側の vSwitch CIDR ブロックに設定します。本例では、
172.16.66.0/24を設定します。
3. リソースグループにルートを追加
アカウント B にログイン し、DataWorks のリソースグループ一覧ページ にアクセスし、対象のリソースグループを見つけ、操作 列で ネットワーク設定 をクリックします。
関連モジュールで、バインドされた VPC を見つけ、操作 列で カスタムルート をクリックします。
ルートの追加 をクリックし、接続方法として CIDR ブロックの指定 を選択し、宛先 CIDR ブロック に アカウント A の ApsaraDB RDS for MySQL インスタンスの vSwitch CIDR ブロックを設定します。本例では、
192.168.6.0/24です。
4. ホワイトリストの構成
アカウント A にログイン し、DataWorks リソースグループにバインドされた vSwitch CIDR ブロック を、ApsaraDB RDS for MySQL インスタンスの ホワイトリストおよびセキュリティグループ に追加します。本例では、CIDR ブロックは 172.16.66.0/24 です。
5. 接続性のテスト
続行する前に、データソースのアカウントで クロスアカウント認証 を構成してください。本例では、アカウント A です。
アカウント B にログイン します。
DataWorks コンソール にログインします。上部のナビゲーションバーで目的のリージョンを選択します。左側のナビゲーションウィンドウで を選択します。表示されるページで、ドロップダウンリストから目的のワークスペースを選択し、データ統合へ移動 をクリックします。
左側のナビゲーションウィンドウで データソース をクリックします。データソース一覧 ページで、データソースの追加 をクリックします。
MySQL データソースの種類を選択し、データソース情報を構成します。
構成モード で、Alibaba Cloud インスタンスモード を選択します。
所有者アカウント で、他の Alibaba Cloud アカウント を選択します。
他の Alibaba Cloud アカウント UID に、アカウント A の UID を入力します。
権限付与用 RAM ロール名 に、アカウント A で構成した RAM ロールの名前を入力します。詳細については、「クロスアカウント認証」をご参照ください。
リージョン で、中国 (杭州) を選択します。
インスタンス で、ネットワーク接続を構成済みの アカウント A の中国 (杭州) リージョンの ApsaraDB RDS for MySQL インスタンスを選択します。
接続構成 セクションで、ワークスペースにバインドされたリソースグループの横にある 接続性のテスト をクリックし、結果が 接続済み であることを確認します。
説明接続性テストが 失敗 した場合、接続性診断ツール を使用してトラブルシューティングを行えます。それでもリソースグループとデータソースの接続ができない場合は、チケットを送信 してサポートを受けてください。
関連ドキュメント
ネットワーク接続に関するよくある質問については、「リソースグループの操作とネットワーク接続」をご参照ください。