パブリックインターネットアクセスと比べて、内部ネットワークアクセスは外部ネットワークから完全に分離されるため、ネットワーク攻撃や不正アクセスの防止に役立ちます。このアクセス方式は、高いセキュリティと高速なデータ転送が求められる内部通信に適しています。内部ネットワークアクセスでは、プライベート IP アドレスとプライベートドメイン名を使用します。VPC 内の異なる Elastic Compute Service (ECS) インスタンス間のアクセスは、ネットワーク ACL やセキュリティグループなどの機能を使用して制御できます。VPC 間アクセス (別アカウントや別リージョンの VPC を接続する場合など) については、Alibaba Cloud が Cloud Enterprise Network (CEN) や VPC ピアリング接続などのソリューションを提供しています。
内部アクセス方法
プライベート IP アドレス
プライベート IP アドレスは通常 IPv4 アドレスであり、インターネットからはアクセスできません。プライベート IPv4 アドレスを使用して、ECS インスタンスと他の内部リソース間で通信できます。Alibaba Cloud は Dynamic Host Configuration Protocol (DHCP) を使用して、ECS インスタンスにプライベート IPv4 アドレスを割り当てます。
VPC で内部ネットワークアクセスに IPv6 を使用する必要がある場合は、IPv6 アドレスを持つ ECS インスタンスを作成できます。これらのインスタンスは、IPv6 CIDR ブロックが有効な VPC と vSwitch に作成する必要があります。
詳細については、「IP アドレス」をご参照ください。
プライベートドメイン名
VPC 内の ECS インスタンスにプライベートドメイン名を割り当て、IP アドレス不要でアクセスできるようにし、DNS レコードを自動管理します。
VPC の DNS ホスト名機能を有効にすると、ECS インスタンスのプライベート DNS 名前解決を設定して、プライベートドメイン名による内部アクセスが可能になります。詳細については、「ECS インスタンスのプライベート DNS 名前解決」をご参照ください。
内部アクセス制御
ネットワーク ACL
ネットワーク ACL は、VPC のアクセス制御機能です。カスタムのネットワーク ACL ルールを作成し、ネットワーク ACL を vSwitch に関連付けることで、その vSwitch 内の ECS インスタンスとの送受信トラフィックを制御できます。詳細については、「ネットワーク ACL」および「ネットワーク ACL の作成と管理」をご参照ください。
また、ネットワーク ACL を使用して、異なる vSwitch 内の ECS インスタンス間の内部通信を制限することもできます。詳細については、「異なる vSwitch 内の ECS インスタンス間の通信を制限する」をご参照ください。
セキュリティグループルール
セキュリティグループを適切に設定すると、インスタンスのセキュリティを大幅に強化できます。セキュリティグループは、ネットワークインターフェースレベルで ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御する仮想ファイアウォールとして機能します。同一 VPC 内では、セキュリティグループルールを使用して ECS インスタンス間の内部アクセスを制御できます。
同一セキュリティグループ:この通信を有効にするには、内部アクセスが必要な ECS インスタンスを同一の基本セキュリティグループに配置します。デフォルトでは、基本セキュリティグループはグループ内のインスタンス間通信を許可します。一方、高度セキュリティグループは内部のすべてのインスタンスを分離します。詳細については、「基本セキュリティグループの内部アクセス制御ポリシーを変更する」をご参照ください。
セキュリティグループ間:異なるセキュリティグループに属する ECS インスタンス間の通信を許可する場合、またはきめ細かなアクセス制御、厳格なコンプライアンス、複雑なネットワーク環境のために高度セキュリティグループを使用する場合は、あるセキュリティグループから別のセキュリティグループへのアクセスを許可するように設定できます。デフォルトでは、高度セキュリティグループは内部のインスタンスを分離し、このポリシーは変更できません。詳細については、「セキュリティグループのガイドラインとユースケース」をご参照ください。
ホストシステムファイアウォール
ファイアウォールは、内部ネットワークと外部ネットワークの間に保護バリアを作成します。サーバーでファイアウォールが有効になっており、外部アクセスをブロックするルールが設定されている場合、サーバーにリモート接続できないことがあります。詳細については、次のトピックをご参照ください:
VPC 間の内部接続
デフォルトでは、異なる VPC は互いに隔離されています。VPC ピアリング接続またはクラウドエンタープライズネットワーク ( CEN )を使用して、VPC 間のプライベート接続を確立できます。これにより、VPC 内のインスタンスが相互に通信できるようになります。
これらの接続方法は、実装、対応リージョン、設定の複雑さ、接続可能な VPC 数、料金の点で異なります。詳細については、「VPC の接続」をご参照ください。
関連ドキュメント
インスタンスに割り当てられるデフォルトのプライマリプライベート IP アドレスを変更する方法については、「プライマリプライベート IP アドレス」をご参照ください。
マルチアプリケーションのホスティングやフェールオーバーなど、複数のプライベート IP アドレスが必要なシナリオでは、ECS インスタンスに 1 つ以上のセカンダリプライベート IP アドレスを割り当てることができます。詳細については、「セカンダリプライベート IP アドレス」をご参照ください。
セキュリティグループのベストプラクティスについては、「セキュリティグループのベストプラクティス」をご参照ください。
VPC ファイアウォールは、VPC (Virtual Private Cloud) インスタンス間、および VPC とオンプレミスデータセンター間のトラフィックを検査および制御するのに役立ちます。ご利用の VPC が Cloud Enterprise Network (CEN) インスタンスにアタッチされているか、Express Connect を使用して接続されている場合、VPC ファイアウォールを作成してこれらの接続間のトラフィックを制御できます。
詳細については、「VPC Firewall」をご参照ください。