ある Alibaba Cloud アカウントが所有する仮想ボーダールーター (VBR) を、別の Alibaba Cloud アカウントが所有する Cloud Enterprise Network (CEN) インスタンスにアタッチするには、VBR の所有者が CEN インスタンスに対してクロスアカウント認証を付与します。その後、CEN の所有者がその認証を利用して VBR 接続を作成します。
シナリオ
本トピックでは、リージョン内接続を例として説明します。リージョン間接続も同様の認証フローに従います。
リージョン内接続
リージョン間接続
例: アカウント A は中国 (杭州) リージョンに VBR を所有しています。アカウント B は同一リージョンに CEN インスタンスおよびトランジットルーターを所有しています。アカウント A は CEN 認証機能を使用して、アカウント B の CEN インスタンスに VBR へのアクセス権限を付与します。その後、アカウント B が VBR 接続を作成し、アタッチを完了します。
制限事項
セキュリティ上の理由から、クロスアカウント VBR 接続はデフォルトで無効化されています。異なる Alibaba Cloud アカウントが所有する CEN インスタンスまたは仮想プライベートクラウド (VPC) に VBR を接続するには、両方の Alibaba Cloud アカウントが同一企業または同一エンティティに所属することを証明する「所属関係証明書」を提出してください。申請をクォータセンター コンソールに提出する前に、所属関係証明書をアカウントマネージャーへ送付してください。以下の図に必要な書式を示します:
Alibaba Cloud 中国サイト (aliyun.com) で作成された VBR は、中国サイト上の VPC にのみ接続できます。Alibaba Cloud 国際サイト (alibabacloud.com) で作成された VBR は、国際サイト上の VPC にのみ接続できます。
Alibaba Cloud 中国サイト アカウントが所有する VBR インスタンスは、Alibaba Cloud 中国サイト アカウントが所有する VPC タイプのインスタンスにのみ接続できます。Alibaba Cloud 国際サイト アカウントが所有する VBR インスタンスは、Alibaba Cloud 国際サイト アカウントが所有する VPC タイプのインスタンスにのみ接続できます。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
アカウント A が中国 (杭州) リージョンに作成した VBR。詳細については、「仮想ボーダールーターの作成と管理」をご参照ください。
アカウント B が中国 (杭州) リージョンに作成した CEN インスタンスおよびトランジットルーター。詳細については、「トランジットルーターの作成」をご参照ください。
アカウント A およびアカウント B の UID
概要
クロスアカウント間での VBR と CEN インスタンスのアタッチには、以下の 4 つのステップが必要です。
クロスアカウント接続特典クォータの申請
CEN 認証の付与(アカウント A)
VBR 接続の作成(アカウント B)
(任意)CEN 認証の取り消し
ステップ 1:クロスアカウント接続特典クォータの申請
本特典クォータの申請方法は 2 通りあります:クォータセンター コンソールおよび Express Connect コンソールによる方法です。本トピックではクォータセンター コンソールによる方法について説明します。Express Connect コンソールによる方法については、「クォータの調整」をご参照ください。
申請を提出する前に、所属関係証明書をアカウントマネージャーへ送付してください。Alibaba Cloud は、お客様が提出した書類に基づいて申請内容を審査します。
クォータセンター コンソールにログインします。
左側のナビゲーションウィンドウで、[製品] > [権限] を選択します。
特典クォータ対象プロダクト ページで、ネットワーキング セクション内の Express Connect をクリックします。
[特典クォータ] ページで、「VBR がアカウント間で CEN または VPC をロードすることを許可」 (ID: vbr_cross_account_conn/allow) を探し、[アクション] 列の [適用] をクリックします。
[権限の申請] ダイアログボックスで、以下のパラメーターを設定し、[OK] をクリックします。
パラメーター 説明 クォータ ID 自動表示されます。 説明 自動表示されます。 クォータ値 有効 を選択すると特典クォータが有効化され、無効 を選択すると無効化されます。 時間 特典クォータの有効期間です。クォータ値 を 有効 に設定した場合のみ必須です。有効期間は 1 日とし、申請承認当日に即時有効となります。 申請理由 申請の理由を記述します。例:*ユーザー XX:Alibaba Cloud アカウント ZZ を所有するユーザー YY が、異なるアカウントが所有する VBR を CEN インスタンスまたは VPC にアタッチするための特典クォータを申請したい。* 所属関係証明書の参照情報を含めてください。 通知結果 申請処理完了時に通知を受信するかどうかを選択します。はい または いいえ を選択します。
ステップ 2:CEN 認証の付与(アカウント A)
アカウント A でログインし、アカウント B の CEN インスタンスが VBR にアクセスできるよう認証を付与します。認証付与後、アカウント B が VBR 接続を作成できます。
ご使用の VBR がボーダーゲートウェイプロトコル (BGP) 経由でデータセンターに接続されており、コンソールでルーティングループのリスクに関する警告が表示される場合は、警告内容を確認のうえ、続行前に CEN インスタンスの管理者へ連絡してください。
アカウント A で Express Connect コンソール にログインします。
Alibaba Cloud アカウント A を使用して Express Connect コンソール にログインします。
上部ナビゲーションバーで、VBR が展開されているリージョンを選択します。本例では 中国 (杭州) を使用します。
左側ナビゲーションウィンドウで、仮想ボーダールーター (VBR) をクリックします。
仮想ボーダールーター (VBR) ページで、対象の VBR を見つけ、その ID をクリックします。
VBR 詳細ページで、CEN 認証 タブをクリックします。
他アカウントの CEN を VBR インスタンスにロードする権限を付与 をクリックします。表示されたペインで、以下のパラメーターを設定し、OK をクリックします。OK をクリックすると、認証が作成されます。CEN 認証 タブで認証の詳細を確認できます。次のステップで必要となるため、アカウント B の UID および CEN インスタンス ID を記録してください。
パラメーター 説明 相手側 CEN インスタンス ID アカウント B が所有する CEN インスタンスの ID です。 相手側アカウント UID アカウント B の UID です。 支払者 接続料金およびデータ転送料金の支払いを行うアカウントです。CEN インスタンスの所有者(デフォルト):トランジットルーターのアカウントが支払います。VBR の所有者:VBR のアカウントが支払います。> 重要支払アカウントを変更すると、サービスが中断される可能性があります。詳細については、「支払アカウントの変更」をご参照ください。
API リファレンス: GrantInstanceToCen — CEN インスタンスへの権限付与を行います。
ステップ 3:VBR 接続の作成(アカウント B)
アカウント B でログインし、VBR とトランジットルーター間の接続を作成します。トランジットルーターは、VBR および CEN インスタンス間で非公開接続を介してデータを交換します。
アカウント B で CEN コンソール にログインします。
インスタンス ページで、対象の CEN インスタンスを見つけ、その ID をクリックします。
インスタンスの詳細ページで、[トランジットルーター] タブをクリックします。対象のトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。
ピアネットワークインスタンスとの接続 ページで、以下のパラメーターを設定し、OK をクリックします。接続が作成された後、リージョン内接続 タブで確認できます。詳細については、「ネットワークインスタンス接続の確認」をご参照ください。
パラメーター 説明 ネットワークタイプ アタッチするネットワークインスタンスのタイプです。仮想ボーダールーター (VBR) を選択します。 リージョン VBR が展開されているリージョンです。本例では 中国 (杭州) を使用します。 トランジットルーター 選択したリージョンに基づき、自動表示されます。 リソース所有者 ID 異なるアカウント を選択し、アカウント A の UID を入力します。 接続名 VBR 接続の名前を指定します。 ネットワーク アカウント A が所有する VBR の ID です。 高度な設定 デフォルトで、自動ルートテーブル関連付けおよびルート伝播が有効化されています。
API リファレンス: CreateTransitRouterVbrAttachment — Enterprise Edition トランジットルーター上で VBR 接続を作成します。
(任意)CEN 認証の取り消し
認証を取り消しても、既存の VBR-CEN 接続は切断されません。
アカウント A でログインし、認証を取り消します。
アカウント A で Express Connect コンソール にログインします。
上部ナビゲーションバーで、中国 (杭州) を選択します。
左側ナビゲーションウィンドウで、仮想ボーダールーター (VBR) をクリックします。
仮想ボーダールーター (VBR) ページで、対象の VBR を見つけ、その ID をクリックします。
VBR 詳細ページで、[CEN 承認] タブをクリックします。対象の CEN インスタンスを探し、[操作] 列の [削除] をクリックします。
認証の取り消し ダイアログボックスで、UID および CEN インスタンス ID を確認し、OK をクリックします。
API リファレンス: RevokeInstanceFromCen — CEN インスタンスにアタッチされたネットワークインスタンスに対する権限を取り消します。
API リファレンス
| API | 説明 |
|---|---|
| GrantInstanceToCen | CEN インスタンスへの権限付与を行います。 |
| RevokeInstanceFromCen | CEN インスタンスにアタッチされたネットワークインスタンスに対する権限を取り消します。 |
| CreateTransitRouterVbrAttachment | Enterprise Edition トランジットルーター上で VBR 接続を作成します。 |
| DescribeVirtualBorderRouters | VBR を照会します。 |