Realtime Compute for Apache Flink がインターネットに直接アクセスできないという制限に対処するため、このトピックでは、Flink ワークスペースをインターネット、他の VPC、またはオンプレミスネットワークに接続できる 3 つの接続オプションについて説明します。
リージョンとゾーン
Realtime Compute for Apache Flink をアクティブにする前に、以下の概念をよく理解しておいてください。
リージョン
リージョンは、Alibaba Cloud データセンターが存在する独立した地理的エリアです。リージョンは通常、データセンターが置かれている都市によって識別されます。たとえば、「中国 (杭州)」リージョンは、データセンターが中国の杭州にあることを示します。ネットワーク遅延を低減し、アクセス速度を向上させるには、ビジネスデータの地理的に近いリージョンを優先してください。
ゾーン
ゾーンは、リージョン内のデータセンターをホストする独立した物理エリアであり、それぞれが独立した電源とネットワークインフラストラクチャを備えています。各リージョンには通常、複数のゾーンがあります。異なるリージョンのゾーンは完全に分離されています。クロスゾーンの高可用性を実現するには、ビジネスアプリケーションを複数のゾーンにデプロイすることをお勧めします。
ビジネスデータの場所に基づいて、高可用性、安定性、および低遅延データ伝送を保証する最適なリージョンとゾーンを選択してください。
接続オプションの概要
次の表に、利用可能な 3 つの接続オプションを示します。必要に応じて適切なオプションを選択できます。
オプション | シナリオ |
データソースがプライベートネットワーク接続をサポートしていないか、VPC に直接接続されていないために、パブリック IP アドレスを介してアクセスする必要があるシナリオに適用されます。 | |
安全で低遅延のプライベートネットワーク接続を介して別の VPC 内のデータソースにアクセスする必要があるシナリオに適用されます。アカウント間またはリージョン間の接続がサポートされています。 | |
マルチクラウドおよびハイブリッドデプロイメントシナリオに適用されます。 |
インターネットに接続する
インターネット経由でデータソースにアクセスする場合の遅延は予測できません。ビジネスで低遅延と高安定性が必要な場合は、VPC アクセスを使用することをお勧めします。
Alibaba Cloud の NAT ゲートウェイを使用して、VPC とインターネット間の接続を確立できます。接続が確立されると、Realtime Compute for Apache Flink ワークスペースはインターネット経由でデータソースにアクセスできます。
インターネット接続を構成する
ステップ 1: NAT ゲートウェイを作成し、EIP を構成する
NAT ゲートウェイコンソールにログオンします。
[インターネット NAT ゲートウェイの作成] をクリックします。
購入ページで、次のように NAT ゲートウェイを設定します。
[リージョン]、[VPC]、[vSwitch の関連付け]: Flink ワークスペースのリージョン、VPC、および vSwitch を選択します。
Realtime Compute for Apache Flink の管理コンソールで、ワークスペースの をクリックすると、情報が表示されます。
[アクセスモード]: [SNAT 有効モード] を選択します。
[EIP]: [EIP の購入] を選択します。EIP をすでに持っている場合は、[EIP の選択] を選択します。
[回線タイプ]: [BGP(マルチ ISP)] を選択します。この設定項目は、前のステップで [EIP の購入] を選択した場合にのみ表示されます。
説明Flink ワークスペースが中国本土以外のリージョンにある場合、EIP コンソールで EIP を作成するときに、他の回線タイプのオプションが利用できる場合があります (以下の表を参照)。ただし、NAT ゲートウェイコンソールでは、[BGP(マルチ ISP)] のみ使用できます。目的の回線タイプで EIP を使用するには、EIP コンソールで EIP を作成し、NAT ゲートウェイインスタンスを作成するときに EIP を選択します。
[今すぐ購入] をクリックし、支払いを完了して、リソース構成が完了するまで待ちます。
(オプション) SNAT を構成します。
購入したインターネット NAT ゲートウェイインスタンスの [アクション] 列で、[SNAT の構成] をクリックします。
[SNAT エントリの作成] をクリックします。
[SNAT エントリ] フィールドで、[VPC を指定] を選択します。[EIP の選択] フィールドで、ドロップダウンリストから EIP を選択します。
[OK] をクリックします。
ステップ 2: アップストリーム/ダウンストリームシステムへのアクセスを承認する
ここまでで、Realtime Compute for Apache Flink はインターネット経由でデータソースに接続できるようになりました。次に、アップストリームおよびダウンストリームシステムのファイアウォールルールまたはセキュリティグループポリシーに EIP を追加することにより、Flink からのアクセスを承認する必要があります。
たとえば、Alibaba Cloud Elastic Compute (ECS) インスタンス (EIP がすでにバインドされている) にデプロイされている MySQL データベースにアクセスするには、次のようにセキュリティグループポリシーを追加します。
ECS コンソール - インスタンス に移動します。
ターゲット ECS インスタンス名をクリックします。
[セキュリティグループ] タブを選択し、セキュリティグループの名前をクリックします。
[セキュリティグループの詳細] タブで、[アクセスルール] セクションの [受信] サブタブを選択し、[クイック追加] をクリックします。
[クイック追加] ダイアログボックスが表示されます。
[承認オブジェクト] に、ステップ 1 で NAT ゲートウェイインスタンスに関連付けた EIP を貼り付けます。[ポート範囲] には、[MySQL (3306)] を選択します。
[OK] をクリックします。
これで、Flink ワークスペースはインスタンスのパブリック IP アドレスを介して ECS インスタンスにデプロイされている MySQL データベースにアクセスできるようになりました。
Realtime Compute for Apache Flink の開発コンソールに移動します。右上隅にある [ネットワーク検出] アイコンをクリックして、ネットワーク接続をテストします。
他の VPC に接続する
他のサービスが計画の初期段階にある場合、または交換コストが低い場合は、Flink ワークスペースと同じ VPC にリソースを再起動することをお勧めします。または、現在の Flink ワークスペースを解放し、他のサービスと同じ VPC に新しいワークスペースを作成することもできます。
クロス VPC ネットワーク接続を確立するには、次のいずれかの方法を使用できます。
VPC ピアリング接続: VPC ピアリング接続は、2 つの VPC 間のネットワーク接続であり、同じネットワーク内にあるかのようにプライベート IP アドレスを介して通信できるようにします。独自の VPC 間、または別の Alibaba Cloud アカウントの VPC との間に VPC ピアリング接続を作成できます。リージョン間の VPC ピアリング接続もサポートされています。
転送ルータ: 転送ルータは、ネットワークインスタンスを接続し、同じリージョン内またはリージョン間でそれらの間でトラフィックを転送するために使用できます。転送ルータが VPC に接続されると、ルートは自動的に同期されます。リージョンごとに許可される転送ルータは 1 つだけです。リージョン間の接続を作成するには、各リージョンに転送ルータをデプロイします。
PrivateLink: PrivateLink を使用すると、安全なプライベートネットワークを介して別の VPC から VPC 内のリソースにアクセスできます。PrivateLink はネットワークアーキテクチャを簡素化し、インターネットからのセキュリティリスクを回避します。
項目 | VPC ピアリング接続 | 転送ルータ | PrivateLink |
接続方法 | VPC はペアで接続されます。 | VPC は転送ルータを介して接続されます。 | エンドポイントサービスを介して VPC 間で単方向接続が確立されます。 |
ルート伝播のサポート | サポートされていません | サポートされています | サポートされていません |
双方向または単方向接続 | 双方向接続 | 双方向接続 | 単方向接続 |
アカウント間リソースアクセスのサポート | サポートされています | サポートされています | サポートされています |
リージョン間アクセスのサポート | サポートされています | サポートされています | サポートされていません |
適切なシナリオ | 少数の VPC を相互接続する | 多数の VPC を相互接続する | ある VPC から別の VPC への単方向接続を確立する |
構成の複雑さ | 高。 すべての VPC ペア間にピアリング接続を確立し、両方の VPC のルートテーブルを更新する必要があります。 | 低。 VPC を転送ルータに接続し、VPC ルートテーブルを構成してトラフィックを転送ルータに転送する必要があります。 | 低。 CIDR ブロックが重複する VPC を接続でき、ルートテーブルを構成する必要はありません。 |
ネットワーク遅延 | 低遅延 | 中程度の遅延。 転送ルータは VPC 間にもう 1 つのホップを追加するため、ネットワーク遅延が大きくなります。 | 低遅延 |
コスト |
|
| PrivateLink サービスは、インスタンス料金とデータ転送料金を含む従量課金制で課金されます。 |
重複 CIDR ブロックのサポート | サポートされていません | サポートされていません | サポートされています |
例
ある企業が中国 (杭州) リージョンに VPC A を、中国 (北京) リージョンに VPC B を作成しました。Realtime Compute for Apache Flink ワークスペースは中国 (杭州) リージョンにデプロイされていますが、データストレージと開発用の ECS インスタンスは中国 (北京) リージョンにデプロイされています。
VPC A と B の間に VPC ピアリング接続が作成されます。
ピアリングに関与する VPC と vSwitch の CIDR ブロックは重複していてはなりません。
たとえば、VPC A の CIDR ブロックが 192.168.0.0/16 で、VPC B の CIDR ブロックが 192.168.0.0/24 の場合、ピアリング接続が作成されていても接続できません。
Alibaba Cloud アカウント間で VPC をピアリングするには、リクエスト側と受信側の両方のアカウントに VPC があることを確認してください。
詳細な手順については、「VPC ピアリング接続を使用してプライベート通信を行う」をご参照ください。
オンプレミスネットワークに接続する
オンプレミス データセンターに接続するには、次のいずれかのサービスを使用します。
Express Connect: Express Connect は、Express Connect 回線を使用して、オンプレミス データセンターまたは他のクラウド プラットフォームを Alibaba Cloud に接続できます。 Express Connect は、長距離にわたってデータが転送される場合でも、低レイテンシ、低パケット損失、高帯域幅の接続を提供します。
VPN Gateway: VPN Gateway は、暗号化された非公開トンネルを介してデータセンター、オフィス ネットワーク、およびインターネット クライアントを Alibaba Cloud に安全かつ確実に接続するネットワーク接続サービスを提供します。
次の表は、2 つのサービスを比較したものです。
項目 | Express Connect | VPN Gateway |
品質 | 高 (Express Connect 回線経由) | 低 (インターネット経由) |
実装期間 | 長 (2~3 か月) | 短 (すぐに使用可能) |
コスト | 高 | 低 |
帯域幅 | 1 つの Express Connect 回線で最大 100 Gbps の帯域幅をサポートします。複数の Express Connect 回線を使用することで、Tbps レベルの帯域幅を実現できます。 | 帯域幅は、パブリック IP アドレスの帯域幅制限によって制限されます。 |
適切なシナリオ | Express Connect は、金融機関や政府機関がクラウド サービスに安全にアクセスするのに適しています。 | VPN Gateway は、オフィス ネットワークやデータ ストレージ システムなど、基本的なサービスをクラウドに移行するのに最適です。 |