オンプレミスデータセンター(IDC)から Express Connect または VPN Gateway などの接続を経由して、データベースを Data Transmission Service(DTS)に接続する際の複雑なネットワーク構成を簡素化するために、DTS は VPC データチャネル 機能を提供します。この機能では、お客様の VPC 内に弾力的ネットワークインターフェース(ENI)が作成され、DTS がプライベート IP アドレスを用いてデータベースに直接かつ安全にアクセスできるようになります。これにより、ネットワークアーキテクチャが簡素化され、必要なセキュリティ許可リスト(allowlist)の範囲が縮小されます。
仕組み
VPC データチャネルは、Alibaba Cloud PrivateLink を基盤とする、DTS が提供する効率的かつ安全なネットワーク接続ソリューションです。その動作は以下のとおりです:
-
サービスの有効化:この機能を利用する際、DTS はお客様が PrivateLink を有効化済みかを確認します。未有効化の場合、DTS が自動的にサービスを有効化します。
-
ネットワークアクセスポイントの作成:タスクの設定時に、お客様の VPC 内でプライマリ vSwitch およびセカンダリ vSwitch を指定する必要があります。その後、DTS は選択された各 vSwitch 上に弾力的ネットワークインターフェース(ENI)を作成します。これらの 2 つの ENI が、お客様の VPC 内における DTS のネットワークアクセスポイントとなります。
-
リソースの再利用と IP アドレスの節約:DTS はお客様の VPC 内に既存する vSwitch のみを活用し、新しい vSwitch を作成しません。各 VPC データチャネルは、少なくとも 2 つの IP アドレスを消費します(プライマリ ENI およびセカンダリ ENI 各 1 つ)。同一 VPC 内で複数の DTS タスクを作成し、同じプライマリおよびセカンダリ vSwitch を選択した場合、DTS は既存の VPC データチャネルを再利用するため、追加の IP アドレスを消費しません。利便性のため、DTS は直近に使用した vSwitch 情報を自動的に事前入力します。
-
ネットワーク構成への影響なし:この機能では、指定された vSwitch に ENI をアタッチするのみであり、VPC のルートテーブルには一切変更を加えません。これにより、既存のネットワーク構成への干渉が発生しません。
メリット
-
ネットワークアーキテクチャの簡素化
ENI を含む vSwitch の CIDR ブロックを、VPC のルートテーブルおよびデータベースの許可リスト(allowlist)に追加するだけで済みます。DTS がデータベースに接続する際に、VPC データチャネル が自動的に作成されます。 -
セキュリティ設定範囲の縮小
ENI を含む vSwitch の CIDR ブロックを、データベースのセキュリティ設定(ファイアウォール、許可リスト、セキュリティグループなど)に追加するだけで済みます。DTS サーバーの広範な IP アドレス群を許可リストに登録する必要はなくなります。 -
ネットワークトラブルシューティングの簡素化
DTS の設定中にデータベース接続チェックが失敗するなど、ネットワーク接続に関する問題が発生した場合、ENI が配置されている vSwitch 上に ECS インスタンスを作成してください。その後、このインスタンスを用いてデータベースへの直接接続テストを実行することで、問題の原因を迅速に特定できます。
課金
VPC データチャネル 機能は無料です。
-
VPC データチャネルを経由して同期されるデータに対するトラフィック料金は発生しません。
-
VPC データチャネル自体の構成料金は発生しません。
適用範囲
-
データベースタイプ:この機能は、MySQL、PostgreSQL、SQL Server、Tair/Redis、Oracle、および MongoDB をサポートします。
-
アクセス方法:この機能は、Express Connect、VPN Gateway、または Smart Access Gateway のみをサポートします。
-
コンソールバージョン:この機能は、新しい DTS 設定ページでのみご利用いただけます。
-
リージョンおよびゾーン:
リージョン
ゾーン
名称
ID
名称
ID
中国 (杭州)
cn-hangzhou
ゾーン I、ゾーン J、ゾーン K
cn-hangzhou-i、cn-hangzhou-j、cn-hangzhou-k
中国 (上海)
cn-shanghai
ゾーン B、ゾーン G、ゾーン M、ゾーン N
cn-shanghai-b、cn-shanghai-g、cn-shanghai-m、cn-shanghai-n
中国 (深セン)
cn-shenzhen
ゾーン D、ゾーン E、ゾーン F
cn-shenzhen-d、cn-shenzhen-e、cn-shenzhen-f
中国 (北京)
cn-beijing
ゾーン H、ゾーン G、ゾーン L、ゾーン I、ゾーン F、ゾーン K
cn-beijing-h、cn-beijing-g、cn-beijing-l、cn-beijing-i、cn-beijing-f、cn-beijing-k
中国 (青島)
cn-qingdao
ゾーン B、ゾーン C
cn-qingdao-b、cn-qingdao-c
中国 (張家口)
cn-zhangjiakou
ゾーン A、ゾーン B、ゾーン C
cn-zhangjiakou-a、cn-zhangjiakou-b、cn-zhangjiakou-c
中国 (ウランチャブ)
cn-wulanchabu
ゾーン A、ゾーン B
cn-wulanchabu-a、cn-wulanchabu-b
中国 (成都)
cn-chengdu
ゾーン A、ゾーン B
cn-chengdu-a、cn-chengdu-b
中国 (香港)
cn-hongkong
ゾーン B、ゾーン C、ゾーン D
cn-hongkong-b、cn-hongkong-c、cn-hongkong-d
シンガポール
ap-southeast-1
ゾーン A、ゾーン B
ap-southeast-1a、ap-southeast-1b
インドネシア (ジャカルタ)
ap-southeast-5
ゾーン A、ゾーン B
ap-southeast-5a、ap-southeast-5b
ドイツ (フランクフルト)
eu-central-1
ゾーン A、ゾーン B
eu-central-1a、eu-central-1b
米国 (バージニア)
us-east-1
ゾーン A、ゾーン B
us-east-1a、us-east-1b
米国 (シリコンバレー)
us-west-1
ゾーン A、ゾーン B
us-west-1a、us-west-1b
日本 (東京)
ap-northeast-1
ゾーン A、ゾーン B
ap-northeast-1a、ap-northeast-1b
制限事項
-
お客様の DTS タスクが、適用範囲 に記載された データベースタイプ、アクセス方法、および インスタンスのリージョン の要件を満たす場合、プライマリ vSwitch およびセカンダリ vSwitch を指定して VPC データチャネルを使用する必要があります。
-
高可用性を確保するため、プライマリ vSwitch およびセカンダリ vSwitch は異なるゾーンに配置する必要があります。
-
VPC データチャネル 機能を利用する際、DTS はお客様の VPC 内に
DTS_VPCNATという名前のセキュリティグループを作成し、このチャネルのために作成された ENI に関連付けます。-
このセキュリティグループのインバウンドルールは、デフォルトですべての IP アドレス(
0.0.0.0/0)からのアクセスを許可します。これは、DTS とお客様のデータベース間で双方向接続が確立されることを保証するためです。 -
このセキュリティグループおよびそのルールを変更または削除しないでください。そうしないと、DTS タスクが失敗します。
-
このセキュリティグループは DTS 専用であり、ECS インスタンスなどの他のリソースに関連付けると、潜在的なセキュリティリスクが発生する可能性があるため、関連付けないでください。
-
よくある質問
設定中にネットワーク接続に関する問題が発生した場合は、「VPC データチャネルタスクの設定とよくある質問」をご参照ください。