インターネットアクセスと比較して、内部ネットワークアクセスは特定のネットワーク攻撃や不正アクセスに対して保護します。 それは安全な、高速内部コミュニケーションにとって理想的です。 このアクセス方法では、プライベートIPアドレスとドメイン名を使用し、ネットワークアクセス制御リスト (ACL) とセキュリティグループにより、仮想プライベートクラウド (VPC) 内のElastic Compute Service (ECS) インスタンス間のアクセスを制御できます。 アカウントまたはリージョンを超えたクロスVPCアクセスの場合、Alibaba CloudはCloud Enterprise Network (CEN) 、VPCピアリング接続、VPN Gatewayなどのソリューションを提供します。
内部ネットワークアクセス方法
内部ネットワークアクセスにプライベートIPアドレスを使用
ほとんどの場合、プライベートIPアドレスはプライベートIPv4アドレスを指します。 プライベートIPv4アドレスは、インターネット経由で到達できないIPv4アドレスです。 プライベートIPv4アドレスを使用して、ECSインスタンスと内部リソース間の通信を許可できます。 プライベートIPv4アドレスは、DHCP (Dynamic Host Configuration Protocol) を使用してECSインスタンスに割り当てられます。
VPC内のIPv6内部ネットワークアクセスを有効にするには、VPC内のIPv6アドレスとIPv6 CIDRブロックで設定されたvSwitchを持つECSインスタンスを作成します。
詳細は、「IPアドレス」をご参照ください。
内部ネットワークアクセスにプライベートドメイン名を使用
同じ仮想プライベートクラウド (VPC) 内のElastic Compute Service (ECS) インスタンス間のネットワーク接続にプライベートドメイン名を使用すると、IPアドレスの変更によるサービスアクセスの問題を防ぎ、大規模な内部ネットワークの管理を簡素化し、インターネットからの内部ネットワークの分離を維持できます。 これにより、内部通信のセキュリティと分離が強化されます。
ECSインスタンスのプライベートDNS解決を設定し、プライベートドメイン名を使用して内部ネットワークアクセスを有効にします。 VPCでDNSホスト名機能が有効になっていることを確認します。 詳細については、「ECSプライベートDNS解決」をご参照ください。
内部ネットワークアクセス制御
アクセス制御用のネットワークACLの設定
ネットワークACLは、VPC内のネットワークアクセス制御メカニズムとして機能します。 ネットワークACLルールを作成してvSwitchに関連付けることで、そのvSwitchに接続されているECSインスタンスのインバウンドトラフィックとアウトバウンドトラフィックを管理できます。 詳細については、「ネットワークACL」および「ネットワークACLの作成と管理」をご参照ください。
ネットワークACLは、異なるvSwitch間のECSインスタンス間の内部ネットワーク接続を制限することもできます。 詳細については、「異なるvSwitchのECSインスタンス間の通信の管理」をご参照ください。
アクセス制御のセキュリティグループルールの設定
セキュリティグループは、ネットワークインターフェイスカードレベルで仮想ファイアウォールとして機能し、インバウンドおよびアウトバウンドECSインスタンストラフィックを規制します。 セキュリティグループを戦略的に使用すると、インスタンスのセキュリティが大幅に向上します。 同じVPC内で、ECSインスタンスはセキュリティグループルールを使用して内部ネットワークアクセスを管理できます。
同じセキュリティグループ内: デフォルトでは、基本セキュリティグループはグループ内通信を許可します。 内部ネットワークアクセスを必要とするECSインスタンスを同じ基本セキュリティグループ内に配置すると、このアクセスが容易になります。 高度なセキュリティグループは、グループ内のネットワーク分離を維持します。 詳細については、「基本セキュリティグループの内部アクセス制御ポリシーの変更」をご参照ください。
セキュリティグループ全体: 異なるセキュリティグループ内のECSインスタンス間の内部ネットワークアクセスを容易にするため、または複雑なネットワーク環境でデフォルトのグループ内分離ときめ細かなアクセス制御に高度なセキュリティグループを使用するために、それに応じてセキュリティグループを承認します。 詳細については、「異なるユースケースのセキュリティグループ」をご参照ください。
ECSインスタンスでシステムファイアウォールを有効にする
ファイアウォールテクノロジーは、コンピューターがデータを保護するために内部ネットワークと外部ネットワークの間に比較的隔離された保護バリアを構築するのに役立ちます。 ECSインスタンスのファイアウォールを有効にし、外部アクセスをブロックするようにファイアウォールルールを設定した場合、インスタンスに接続できない可能性があります。 詳細については、次のトピックを参照してください。
クロスVPC内部ネットワーク相互接続
仮想プライベートクラウド (VPC) 間のプライベートで安全な通信を有効にする場合は、Cloud Enterprise Network (Cloud Enterprise Network) 、VPN Gateway、VPCピアリング接続、またはPrivateLinkを使用できます。
VPCを相互接続するためのさまざまな方法は、実装、サポートされるリージョン、構成の複雑さ、相互接続されたVPCの数、および関連するコストが異なります。 詳細については、「VPC接続の概要」をご参照ください。
関連ドキュメント
インスタンスのデフォルトのプライマリプライベートIPアドレスを変更するには、「プライマリプライベートIPアドレス」をご参照ください。
複数のアプリケーションのホストやフェールオーバーの確保など、複数のプライベートIPアドレスが必要なシナリオでは、複数のセカンダリプライベートIPアドレスをECSインスタンスに割り当てます。 詳細については、「セカンダリプライベートIPアドレス」をご参照ください。
セキュリティグループの使用については、「概要」をご参照ください。
クラウドファイアウォールを使用して、ECSインスタンス間 (東西) およびインターネットとECSインスタンス間 (南北) のトラフィックを管理し、不正アクセスを防止することもできます。 詳細については、「概要」をご参照ください。