専用回線または VPN Gateway を使用してデータセンターのデータベースを Data Transmission Service (DTS) に接続する際、DTS は複雑なネットワーク構成を簡素化するためにVPC データチャネル機能を提供します。この機能は、ご利用の virtual private cloud (VPC) に Elastic Network Interface (ENI) を作成します。この ENI により、DTS はプライベートエンドポイントを介してデータベースに直接、安全にアクセスできます。これにより、ネットワークアーキテクチャが簡素化され、必要なセキュリティホワイトリストの範囲が縮小されます。
機能概要
VPC データチャネルは、Alibaba Cloud PrivateLink を基盤として構築された、効率的で安全なネットワーク接続ソリューションです。その仕組みは次のとおりです:
サービスの有効化:この機能を使用すると、DTS は PrivateLink が有効になっているかどうかを確認します。有効になっていない場合、DTS が自動的に有効化します。
ネットワークアクセスポイントの作成:DTS タスクを構成する際、ご利用の VPC 内のプライマリゾーンにある vSwitch とセカンダリゾーンにある vSwitch を指定する必要があります。DTS は、選択された各 vSwitch 上に ENI を作成します。これら 2 つの ENI が、ご利用の VPC における DTS のネットワークアクセスポイントになります。
リソースの再利用と IP アドレスの節約:DTS は、ご利用の VPC 内の既存の vSwitch のみを使用し、新しい vSwitch は作成しません。各 VPC データチャネルは、プライマリ ENI 用とセカンダリ ENI 用に少なくとも 2 つの IP アドレスを使用します。同じ VPC 内で複数の DTS タスクを作成し、同じプライマリおよびセカンダリ vSwitch を選択した場合、DTS は追加の IP アドレスを使用せずに既存の VPC データチャネルを再利用します。再利用を容易にするため、DTS は最後に使用した vSwitch 情報を自動的に入力します。
ネットワーク計画への非干渉:この機能は、指定された vSwitch に ENI をアタッチするだけで、ご利用の VPC のルートテーブルは変更しません。これにより、既存のネットワーク計画に干渉しないことが保証されます。
利点
ネットワークアーキテクチャの簡素化
事前にネットワークを計画することで、ネットワークアーキテクチャを簡素化できます。ENI が存在する vSwitch の CIDR ブロックを VPC ルートテーブルとデータベースのホワイトリストに追加するだけで、DTS は自動的にVPC データチャネルを作成してデータベースに接続します。セキュリティ構成範囲の縮小
セキュリティ構成の範囲が縮小されます。ファイアウォール、ホワイトリスト、セキュリティグループなど、データベースのセキュリティ設定に ENI が存在する vSwitch の CIDR ブロックを追加するだけで済みます。広範囲にわたる DTS サーバーの IP アドレスをホワイトリストに追加する必要はもうありません。ネットワークトラブルシューティングの簡素化
ネットワークのトラブルシューティングが簡素化されます。たとえば、DTS インスタンスの構成中にネットワーク接続の問題が発生し、接続性チェックに失敗した場合、ENI と同じ vSwitch 上に ECS インスタンスを作成できます。その後、データベースへの接続性を直接テストして、問題を迅速に特定できます。
料金
VPC データチャネル機能は無料でご利用いただけます。
対象範囲
データベースタイプ:MySQL、PostgreSQL、SQL Server、Tair/Redis、Oracle、MongoDB をサポートします。
アクセス方法:Express Connect、VPN Gateway、または Smart Access Gateway のみをサポートします。
コンソールバージョン:この機能は、新しい DTS 構成ページでのみ利用可能です。
リージョンとゾーン:
リージョン
ゾーン
名前
ID
名前
ID
中国 (杭州)
cn-hangzhou
ゾーン I、ゾーン J、ゾーン K
cn-hangzhou-i, cn-hangzhou-j, cn-hangzhou-k
中国 (上海)
cn-shanghai
ゾーン B、ゾーン G、ゾーン M、ゾーン N
cn-shanghai-b, cn-shanghai-g, cn-shanghai-m, cn-shanghai-n
中国 (深セン)
cn-shenzhen
ゾーン D、ゾーン E、ゾーン F
cn-shenzhen-d, cn-shenzhen-e, cn-shenzhen-f
中国 (北京)
cn-beijing
ゾーン H、ゾーン G、ゾーン L、ゾーン I、ゾーン F、ゾーン K
cn-beijing-h, cn-beijing-g, cn-beijing-l, cn-beijing-i, cn-beijing-f, cn-beijing-k
中国 (青島)
cn-qingdao
ゾーン B、ゾーン C
cn-qingdao-b, cn-qingdao-c
中国 (張家口)
cn-zhangjiakou
ゾーン A、ゾーン B、ゾーン C
cn-zhangjiakou-a, cn-zhangjiakou-b, cn-zhangjiakou-c
中国 (ウランチャブ)
cn-wulanchabu
ゾーン A、ゾーン B
cn-wulanchabu-a, cn-wulanchabu-b
中国 (成都)
cn-chengdu
ゾーン A、ゾーン B
cn-chengdu-a, cn-chengdu-b
中国 (香港)
cn-hongkong
ゾーン B、ゾーン C、ゾーン D
cn-hongkong-b, cn-hongkong-c, cn-hongkong-d
シンガポール
ap-southeast-1
ゾーン A、ゾーン B
ap-southeast-1a, ap-southeast-1b
インドネシア (ジャカルタ)
ap-southeast-5
ゾーン A、ゾーン B
ap-southeast-5a, ap-southeast-5b
ドイツ (フランクフルト)
eu-central-1
ゾーン A、ゾーン B
eu-central-1a, eu-central-1b
米国東部 (バージニア)
us-east-1
ゾーン A、ゾーン B
us-east-1a, us-east-1b
米国西部 (シリコンバレー)
us-west-1
ゾーン A、ゾーン B
us-west-1a, us-west-1b
日本 (東京)
ap-northeast-1
ゾーン A、ゾーン B
ap-northeast-1a, ap-northeast-1b
注意事項
構成中の DTS タスクが対象範囲セクションで説明されているデータベースタイプ、アクセス方法、およびインスタンスのリージョンの要件を満たす場合、VPC データチャネルを使用する必要があります。また、プライマリおよびセカンダリ vSwitch も構成する必要があります。
高可用性を確保するため、選択するプライマリおよびセカンダリ vSwitch は、異なるゾーンに配置する必要があります。
VPC データチャネル機能を使用すると、DTS はご利用の VPC に
DTS_VPCNATという名前のセキュリティグループを作成し、作成された ENI に関連付けます。このセキュリティグループのインバウンドルールは、デフォルトですべての IP アドレス (
0.0.0.0/0) からのアクセスを許可します。これにより、DTS がデータベースとの双方向接続を確立できることが保証されます。このセキュリティグループまたはそのルールを変更または削除しないでください。変更または削除すると、DTS タスクが失敗したり、問題が発生したりする可能性があります。
このセキュリティグループは DTS 専用です。潜在的なセキュリティリスクを避けるため、ご利用の ECS インスタンスなどの他のリソースには関連付けないでください。
よくある質問
構成中にネットワーク接続の問題が発生した場合は、「VPC データチャネルタスクの構成とよくある質問」をご参照ください。