Alibaba Cloud Elasticsearch (ES) インスタンスは、基本コントロールアーキテクチャ (v2) またはクラウドネイティブコントロールアーキテクチャ (v3) のいずれかで実行されます。2020 年 10 月以降に作成されたインスタンスは、v3 アーキテクチャを使用します。このアーキテクチャのネットワーク制限により、X-Pack Watcher、インデックスの再作成、LDAP および Active Directory 認証などの一部の機能は直接使用できません。この問題を解決するには、PrivateLink とロードバランサーを使用してプライベート接続を確立する必要があります。この接続により、ご利用の ES インスタンスを他のクラウドリソース (Elastic Compute Service (ECS)、ENI、ECI など) や別の ES インスタンスにリンクできます。これは、v3 インスタンスにおけるこれらの機能制限を克服するための唯一のソリューションです。
2020 年 10 月より前に作成されたインスタンス (Finance Cloud および Alibaba Gov Cloud のインスタンスを含む) は、v2 アーキテクチャを使用します。これらのインスタンスにはこのようなネットワーク制限はなく、プライベート接続は必要ありません。
Alibaba Cloud ES PrivateLink の利用シーン
Watcher アラート、LDAP、Active Directory などの機能のために、ES インスタンスから外部サービスにアクセスする。
Alibaba Cloud ES インスタンスと Alibaba Cloud ECS インスタンスの間にプライベート接続を設定できます。ECS インスタンスは、ビジネスサーバーまたはプロキシサーバーとして機能し、ネットワークトラフィックを転送します。次の図にアーキテクチャを示します。
次の表に、具体的な利用シーンと機能を示します。
機能
説明
関連ドキュメント
Watcher
Alibaba Cloud ES の X-Pack 機能は、クエリ条件に基づいてシステム情報をモニターし、外部サービスにアラートを送信します。
セキュリティ機能
Alibaba Cloud ES の X-Pack 機能は、LDAP やユーザー認証など、さまざまなクラスターレベルのセキュリティ設定をサポートしています。
クラスター間のインデックス再作成
クラスター間のインデックス再作成を使用して、自己管理型 ES クラスターから Alibaba Cloud ES インスタンスにデータを書き込みます。
クラスター間のインデックス再作成を使用して、2 つの Alibaba Cloud ES インスタンス間でデータを移行する。2 つの ES インスタンスがそれぞれ VPC_1 と VPC_2 にデプロイされている場合、VPC_1 の ES_1 にプライベート接続を設定できます。これにより、VPC_1 のエンドポイントと VPC_2 のエンドポイントサービスの間にプライベート接続が確立されます。次の図にアーキテクチャを示します。
ES と ECS 間のプライベート接続
前提条件
2020 年 10 月以降に作成された Alibaba Cloud ES インスタンスが VPC_1 に存在する必要があります。詳細については、「Alibaba Cloud Elasticsearch インスタンスの作成」をご参照ください。
必要なアプリケーションを備えた ECS インスタンスが、ユーザー所有の VPC_2 に存在する必要があります。詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
ECS インスタンスは、ロードバランサーインスタンスによって転送されたリクエストを受信するバックエンドサーバーとして機能します。ECS インスタンスを作成する際には、PrivateLink をサポートするリージョンとゾーンを選択する必要があります。サポートされているリージョンの詳細については、「PrivateLink をサポートするリージョンとゾーン」をご参照ください。
Alibaba Cloud ES、ECS、およびロードバランサーの各インスタンスは、同じリージョンおよびゾーンに存在する必要があります。
ステップ 1:ロードバランサーの作成と設定
クラシックロードバランサー (CLB) コンソールにログインします。
PrivateLink をサポートするロードバランサーインスタンスを作成します。
[インスタンス] ページで、[CLB の作成] をクリックします。
[クラシックロードバランサー (CLB) (従量課金)] 購入ページで、インスタンスを設定します。ご利用の Alibaba Cloud ES インスタンスと同じリージョンを選択し、[インスタンスタイプ] を [イントラネット] に設定してから、[今すぐ購入] をクリックします。
ロードバランサーインスタンスを設定します。
[インスタンス] ページで、ターゲットインスタンスを見つけ、[操作] 列の [リスナーの設定] をクリックします。
[Server Load Balancer の設定] ページで、必要に応じてリスナーとバックエンドサーバーを設定し、ヘルスチェックを実行して設定を確認します。
ステップ 2:エンドポイントサービスの作成
プライベート接続機能は、ES インスタンスの VPC にエンドポイントを自動的に作成します。ECS インスタンスの VPC にエンドポイントサービスを手動で作成するだけで済みます。
上部のメニューバーで、エンドポイントサービスを作成するリージョンを選択します。
エンドポイントサービスは、ロードバランサーインスタンスと同じリージョンに存在する必要があります。
[エンドポイントサービスの作成] をクリックします。
[エンドポイントサービスの作成] ページで、[サービスリソース] に、作成したロードバランサーインスタンスを選択します。他のパラメーターを設定し、[OK] をクリックします。
ステップ 3:プライベート接続の設定
Alibaba Cloud Elasticsearch コンソールにログインします。
左側のナビゲーションウィンドウで、設定と管理>セキュリティ設定 を選択します。
クラスターネットワーク設定 エリアで、プライベート接続の設定 をクリックします。
プライベート接続の追加 をクリックし、前のステップで作成したエンドポイントサービスを選択します。
接続ステータスが 接続済み になるまで待ちます。
PrivateLink ドメイン名を取得します。
接続が成功したら、PrivateLink コンソールに戻ります。エンドポイントサービスの エンドポイントの接続ステータス タブで、自動的に作成されたエンドポイントのドメイン名を見つけます。このドメイン名は、リモートクラスターの設定に使用します。
ES インスタンス間のプライベート接続
このトピックでは、Network Load Balancer (NLB) と PrivateLink を使用して、同一リージョン内でのディザスタリカバリシナリオにおいて、Alibaba Cloud Elasticsearch インスタンス間にプライベート接続を確立する方法について説明します。安全なプライベートリンクとクラスター間レプリケーション (CCR) を設定することで、高可用性とディザスタリカバリのためのほぼリアルタイムのデータ同期を実現できます。
詳細な手順については、「同一リージョン内での Elasticsearch データレプリケーション」をご参照ください。
基本概念
PrivateLink を使用してプライベートアクセスを実装するには、エンドポイントサービスとエンドポイントを作成する必要があります。
用語 | 説明 |
エンドポイントサービス | エンドポイントサービスは、エンドポイントを作成してプライベート接続を確立することで、他の VPC からアクセスできるサービスです。関連するサービスリソースを手動で作成する必要があります。 |
エンドポイント | エンドポイントはエンドポイントサービスに接続し、VPC 内から外部サービスへのプライベートアクセスを可能にします。Alibaba Cloud ES インスタンスのプライベート接続を設定すると、インスタンスの VPC にエンドポイントが自動的に作成されます。 |