GA ポートマッピングを使用してアプリケーションの柔軟性とセキュリティを向上させる - Global Accelerator

セキュリティ上の理由から、企業は外部アクセスポートをバックエンドアプリケーションポートから隔離する必要があります。Global Accelerator (GA) でポートマッピングを構成して、リスナーポートをバックエンドアプリケーションポートにマッピングできます。これにより、アプリケーションデプロイの柔軟性とセキュリティが向上します。

機能紹介

デフォルトでは、GA はリスナーの作成時に指定したプロトコルとポート範囲を使用して、リクエストをエンドポイントグループに転送します。インテリジェントルーティングリスナーはポートマッピングをサポートしています。エンドポイントグループを構成する際に、リスナーポートとエンドポイントポート間のマッピングを指定できます。ポートマッピングを構成すると、GA はリスナーポートでリクエストを受信し、マッピングに基づいてサービスを提供するエンドポイントポートにトラフィックを転送します。これにより、柔軟なネットワーキングが実現します。

シナリオ

ポートマッピングは、リスナーポートがエンドポイントポートと異なるシナリオに適用できます。

エンタープライズアプリケーションへの安全なアクセス: 企業は多くの場合、セキュリティを向上させるために、外部アクセスポートをバックエンドアプリケーションポートから隔離する必要があります。GA ポートマッピングを使用すると、外部リクエストを標準ポート (TCP 80 など) で受信し、バックエンドアプリケーションポート (8080 など) に転送できます。これにより、内部サービスポートが直接公開されるのを防ぎます。
マルチテナント SaaS アプリケーションのポート分離: SaaS アプリケーションでは、異なる外部アクセスポート (8001、8002、8003 など) が異なるテナントに割り当てられます。GA ポートマッピングを使用すると、これらのポートを特定のバックエンドポート (8080 など) にマッピングして、テナント間の分離を確保し、セキュリティを向上させることができます。
HTTPS 経由の HTTP Web サイトへの安全なアクセス: HTTP ポート 80 で実行されている Web サイトは、GA ポートマッピングを使用して、HTTPS 経由でリクエストを暗号化できます。たとえば、ポート 443 を使用する HTTPS リスナーを構成し、そのポートをバックエンド HTTP ポート 80 にマッピングできます。これにより、クライアントは HTTPS 経由で HTTP Web サイトに安全にアクセスできます。クライアントから HTTP Web サイトへのアクセスの速度とセキュリティが向上します。

制限事項

標準 GA インスタンスの TCP または UDP リスナーで [ポートマッピング] を構成できない場合は、インスタンスで以前のバージョンが使用されている可能性があります。アカウントマネージャーに連絡して、GA インスタンスをアップグレードしてください。
ポートマッピングを構成する際は、リスナーポートがリスナーに構成されているポート範囲に含まれていることを確認してください。エンドポイントポートの有効値は 1 ～ 65535 です。
TCP リスナーと UDP リスナーの場合、[ポートマッピングの追加] をクリックして、複数のポートマッピングを追加できます。ポートマッピングの リスナーポート は一意である必要があります。
HTTP リスナーと HTTPS リスナーでは、ポートマッピングを 1 つだけ追加できます。
TCP リスナーの場合:
- 仮想エンドポイントグループのポートマッピングは構成できません。
- リスナーに仮想エンドポイントグループが既に存在する場合、デフォルトエンドポイントグループのポートマッピングは構成できません。
- デフォルトエンドポイントグループにポートマッピングが構成されている場合、仮想エンドポイントグループを追加することはできません。
ポートマッピングを構成した後、次の制限事項に注意してください。
- ポートプロトコル: HTTP と HTTPS の間でのみ変更できます。他のプロトコル間では変更できません。
- リスナーポート: リスナーポートの範囲を変更する場合は、新しいポート範囲にポートマッピングで構成されているポートが含まれていることを確認してください。
  たとえば、リスナーポートの範囲を 80 ～ 82 に設定し、リスナーポートをエンドポイントポート 100 ～ 102 にマップする場合、新しいポート範囲にはポート 80 ～ 82 が含まれている必要があります。ポート範囲を 80 ～ 90 に変更することはできますが、リスナーポートの範囲を 80 ～ 81 に変更することはできません。
バックエンドサービスにセキュリティグループなどのアクセスの制御がある場合は、ポートマッピングで指定されたエンドポイントポートでインバウンドトラフィックが許可されていることを確認してください。
たとえば、リスナーポートが 80 で、ポートがエンドポイントポート 8080 にマップされている場合は、バックエンドサービスがポート 8080 でトラフィックを受信できることを確認してください。

例

レイヤー 4（TCP および UDP）とレイヤー 7（HTTP および HTTPS）の GA リスナーは、ポートマッピングをサポートしています。このトピックでは、次の 2 つのシナリオを使用して、GA ポートマッピングについて説明します。

レイヤー 4 リスナーのポートマッピング

ゲーム会社は、ネットワークロードバランサー（NLB）バックエンドサーバーグループを使用して、米国（シリコンバレー）リージョンにゲームサーバー ECS01 と ECS02 をデプロイします。マルチプレイヤーオンラインゲームは、ECS インスタンスにデプロイされます。戦闘ロジック処理モジュールはポート 8080 で実行され、チャットモジュールはポート 8090 で実行されます。

この会社は、次の問題に直面しています。

エンドユーザーは、世界中の複数のリージョンに配置されています。インターネット接続が不安定なため、高レイテンシ、ジッター、パケット損失などのネットワークの問題がよく発生します。
ゲームでは、異なるポートを使用して異なる処理モジュールを区別し、異なるポートのトラフィックを対応するバックエンドモジュールに転送する必要があります。
ゲームサーバーのポートが公開されているため、セキュリティリスクが発生し、管理が複雑になります。

前述の問題を解決するために、ゲーム会社は GA をデプロイすることを計画しています。 GA をデプロイした後、リクエストは Alibaba Cloud の最も近いアクセスポイントにルーティングされ、Alibaba Cloud の内部ネットワークを介してゲームサーバーに到達できます。これにより、インターネット上の伝送パスが短縮され、高レイテンシ、ジッター、パケット損失などのネットワークの問題が軽減されます。 GA のポートマッピング機能を使用することにより、外部リクエストは TCP ポート 80 および 90 で受信され、バックエンドサービスポート 8080 および 8090 に転送されます。これにより、ビジネスモジュールのポート分離が実装され、内部サービスポートの公開が防止されます。

前提条件

NLB インスタンスが作成されていること。詳細については、「NLB インスタンスを作成する」をご参照ください。
NLB インスタンスのサーバーグループとリスナーが作成されていること。「サーバーグループとリスナーでマルチポートリスニングを有効にする」をご参照ください。
ECS01 と ECS02 が NLB サーバーグループに追加され、異なるサービスモジュールが異なるポートを使用して ECS01 と ECS02 にデプロイされていること。
この例では、Alibaba Cloud Linux 3 オペレーティングシステムと NGINX を使用して、ポート 8080 と 8090 をサポートするテストサービスを構成します。
ECS01 にサービスをデプロイするためのコマンド
1. 次のコマンドを実行して、NGINX をインストールし、テストアプリケーションをデプロイします。
```
yum install -y nginx
cd /usr/share/nginx/html/
echo "Hello World!  This is ECS01, service running on port 8080." > index8080.html
echo "Hello World!  This is ECS01, service running on port 8090." > index8090.html
```
2. 次のコマンドを実行して、NGINX 構成ファイル nginx.conf に移動し、ポート 8080 と 8090 のサービスモジュールを構成して、ファイルを保存して終了します。
```
vim /etc/nginx/nginx.conf
```
  構成の詳細:
```
http {
    ...
    # 既存の構成

    # ポート 8080 の server ブロックを追加します。
    server {
        listen 8080;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8080.html;
        }
    }

    # ポート 8090 の server ブロックを追加します。
    server {
        listen 8090;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8090.html;
        }
    }
}
```
3. 次のコマンドを実行して、NGINX サービスを再起動します。
```
systemctl restart nginx.service
```
ECS01 と ECS02 のセキュリティグループで、ポート 8080 から 8090 へのリクエストが許可されていること。
CNAME レコードが、サービスドメイン名を NLB インスタンスの CNAME にマッピングするように構成されていること。
サードパーティの DNS サービスを使用する場合は、サービスプロバイダーが提供するユーザーガイドを参照してください。

手順

ステップ 1: インスタンスの基本情報を構成する

この例では、従量課金制の標準 GA インスタンスを使用します。

GA コンソールの [標準インスタンス] > [インスタンス] ページで、GA コンソール[従量課金制標準インスタンスの作成] をクリックします。
[基本インスタンス構成] ステップで、基本情報を構成し、[次へ] をクリックします。

ステップ 2: アクセラレーションエリアを構成する

[アクセラレーションエリアの構成] ステップで、アクセラレーションリージョンを追加し、リージョンに帯域幅を割り当てて、[次へ] をクリックします。

この例では、中国（香港）リージョンを使用します。 [アクセラレーションエリア] パラメーターは [中国（香港）] に設定され、[ISP 回線タイプ] パラメーターは [BGP(マルチ ISP)] に設定されます。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいてパラメーターを変更できます。詳細については、「アクセラレーションエリアを追加および管理する」をご参照ください。

GA加速区域.png

ステップ 3: リスナーを構成する

[リスナーの構成] ステップで、転送プロトコルとポートを構成し、[次へ] をクリックします。

この例では、[プロトコル] パラメーターは [TCP] に設定され、[ポート] パラメーターにはポート 80 と 90 が含まれている必要があります。たとえば、[80-90] と入力できます。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいて他のパラメーターを変更できます。リスナーの構成方法の詳細については、「インテリジェントルーティングリスナーを追加および管理する」をご参照ください。

GA 监听80-90.png

ステップ 4: エンドポイントグループとエンドポイントを構成する

[エンドポイントグループの構成] ステップで、エンドポイントを構成し、[次へ] をクリックします。
この例では、[リージョン] は [米国（シリコンバレー）] に設定され、[バックエンドサービスタイプ] は [NLB] に設定され、[バックエンドサービス] は NLB インスタンスに設定されます。 ポートマッピング セクションで、リスナーポート [80] とエンドポイントポート [8080] の間のマッピング、およびリスナーポート [90] とエンドポイントポート [8090] の間のマッピングを構成します。次に、[国境を越えたデータ転送に関するコンプライアンスのコミットメント] を読んで選択します。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいて他のパラメーターを変更できます。エンドポイントグループの構成方法の詳細については、「インテリジェントルーティングリスナーを追加および管理する」をご参照ください。
[構成のレビュー] ステップで、GA 構成を確認し、[送信] をクリックします。

ステップ 5: CNAME レコードを構成する

サービスドメイン名を GA インスタンスによって割り当てられた CNAME にマッピングするように CNAME レコードを構成します。これにより、サービスへのアクセスが高速化されます。

この例では、NLB インスタンスを指す CNAME レコードをすでに作成している場合は、GA インスタンスを指す CNAME レコードを追加するときに、中国（香港）リージョンを指定できます。 CNAME レコードが期待どおりに機能する場合は、CNAME レコードを他のリージョンに適用するか、GA インスタンスを指す CNAME レコードのみを保持します。

権限のある DNS 解決ページで、使用するドメイン名を見つけ、[DNS 設定] 列の [アクション] をクリックします。
説明
Alibaba Cloud に登録されていないドメイン名の場合、DNS レコードを構成する前に、ドメイン名を追加する必要があります Alibaba Cloud DNS コンソールに追加する必要があります。
DNS 設定ページで、[DNS レコードの追加] をクリックし、CNAME レコードを構成して、[OK] をクリックします。
この例では、[レコードタイプ] パラメーターは [CNAME] に設定され、[ホスト名] パラメーターは [www] に設定され、[DNS リクエストソース] パラメーターは [asia_hong Kong] に設定され、[レコード値] パラメーターは GA インスタンスの CNAME に設定されます。詳細については、「DNS レコードを追加する」をご参照ください。

ステップ 6: ネットワーク接続をテストする

ポートマッピングを確認する

中国（香港）リージョンのコンピューターで、次の操作を実行します。

ブラウザを使用して、http://<サービスドメイン名>:80 にアクセスします。ブラウザを複数回更新します。 ECS01 と ECS02 を切り替えることができ、ポート 80 を介してポート 8080 のサービスにアクセスできます。
ブラウザを使用して、http://<サービスドメイン名>:90 にアクセスします。ブラウザを複数回更新します。 ECS01 と ECS02 を切り替えることができ、ポート 90 を介してポート 8090 のサービスにアクセスできます。

GA のアクセラレーションパフォーマンスを確認する

この例では、インスタント検出ツールを使用します。 GA を構成する前後で、サービスドメイン名とサービスポートを検出して、アクセラレーションパフォーマンスを確認します。詳細については、「ネットワーク検出ツールを使用してアクセラレーションパフォーマンスを確認する」をご参照ください。

http://<サービスドメイン名>:8080 を入力して、GA を使用する前のネットワークレイテンシを確認します。
テストを実行する前に、DNS レコードが NLB インスタンスの CNAME を指していることを確認してください。
応答時間などの情報を表示できます。解決結果の IP アドレスは、インターネットに接続された NLB インスタンスに割り当てられたパブリック IP アドレスです。これは、トラフィックが NLB にルーティングされていることを示します。
http://<サービスドメイン名>:80 を入力して、GA を使用した後のネットワークレイテンシを確認します。
テストを実行する前に、DNS レコードが GA インスタンスの CNAME を指していることを確認してください。
GA インスタンスの高速化された IP アドレスが、解決結果に表示されます。これは、トラフィックが高速化のために GA にルーティングされていることを示します。

テスト結果によると、GA を使用した後、中国（香港）リージョンから米国（シリコンバレー）リージョンへのデータ伝送のネットワークレイテンシが削減されています。

説明

GA のアクセラレーションパフォーマンスは、サービスによって異なります。

レイヤー 7 リスナーのポートマッピング

企業は、米国（シリコンバレー）リージョンで Application Load Balancer（ALB）を使用して、高可用性 Web サービスをデプロイします。 Web サービスは HTTP ポート 8081 で実行され、世界中の複数のリージョンのエンドユーザーにサービスを提供します。

企業は次の問題に直面しています。

インターネットの品質が悪いため、一部のユーザーはネットワークレイテンシが高くなります。
データは HTTP 経由でプレーンテキストで送信され、Web サイト宛てのリクエストは認証されません。そのため、セキュリティリスクが発生する可能性があります。
Web サービスはカスタム 8081 ポートで実行されます。エンドユーザーは、標準 HTTPS ポート 443 を介してサービスにアクセスできません。

前述の問題を解決し、ユーザーエクスペリエンスを向上させるために、企業は GA を使用します。企業は GA のポートマッピング機能を使用して、HTTPS ポート 443 でリクエストを受信し、リクエストをバックエンド HTTP ポート 8081 に転送します。このようにして、リクエストは暗号化され、サービスは標準ポート 443 を介して提供されます。

前提条件

ALB インスタンスが作成されていること。詳細については、「ALB インスタンスを作成する」をご参照ください。
ALB インスタンスのサーバーグループとリスナーが作成されていること。詳細については、「サーバーグループを作成する」および「HTTP リスナーを追加する」をご参照ください。
ECS01 と ECS02 が ALB インスタンスのサーバーグループに追加され、ポート 8081 を使用するサービスが ECS01 と ECS02 にデプロイされていること。
この例では、Alibaba Cloud Linux 3 オペレーティングシステムと NGINX を使用して、ポート 8081 をサポートするテストサービスを構成します。
ECS01 にサービスをデプロイするためのコマンド
1. 次のコマンドを実行して、NGINX をインストールし、テストアプリケーションをデプロイします。
```
yum install -y nginx
cd /usr/share/nginx/html/
echo "Hello World!  This is ECS01, service running on port 8081." > index8081.html
```
2. 次のコマンドを実行して、NGINX 構成ファイル nginx.conf に移動し、ポート 8081 のサービスモジュールを構成して、ファイルを保存して終了します。
```
vim /etc/nginx/nginx.conf
```
  構成の詳細:
```
http {
    ...
    # 既存の構成

    # ポート 8081 の server ブロックを追加します。
    server {
        listen 8081;
        server_name localhost;

        location / {
            root /usr/share/nginx/html;
            index index8081.html;
        }
    }
}
```
3. 次のコマンドを実行して、NGINX サービスを再起動します。
```
systemctl restart nginx.service
```
ECS01 と ECS02 のセキュリティグループで、ポート 8081 へのリクエストが許可されていること。
CNAME レコードが、サービスドメイン名を ALB インスタンスの CNAME にマッピングするように構成されていること。
サードパーティの DNS サービスを使用する場合は、サービスプロバイダーが提供するユーザーガイドを参照してください。
必要な証明書がデプロイされていること。証明書をサードパーティのサービスプロバイダーから購入した場合は、証明書管理サービスにアップロードする必要があります。また、証明書がドメイン名に関連付けられていることを確認してください。証明書の作成方法の詳細については、「公式証明書の開始方法」をご参照ください。

手順

ステップ 1: インスタンスの基本情報を構成する

この例では、従量課金制の標準 GA インスタンスを使用します。

GA コンソールの [標準インスタンス] > [インスタンス] ページで、GA コンソール[従量課金制標準インスタンスの作成] をクリックします。
[基本インスタンス構成] ステップで、基本情報を構成し、[次へ] をクリックします。

ステップ 2: アクセラレーションエリアを構成する

GA加速区域.png

ステップ 3: リスナーを構成する

[リスナーの構成] ステップで、転送プロトコルとポートを構成し、[次へ] をクリックします。

この例では、[プロトコル] は [HTTPS] に設定され、[ポート] は [443] に設定され、ドメイン名の SSL 証明書が [サーバー証明書] ドロップダウンリストから選択されます。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいて他のパラメーターを変更できます。リスナーの構成方法の詳細については、「インテリジェントルーティングリスナーを追加および管理する」をご参照ください。

GA HTTPS监听.png

ステップ 4: エンドポイントグループとエンドポイントを構成する

[エンドポイントグループの構成] ステップで、エンドポイントを構成し、[次へ] をクリックします。
この例では、[リージョン] は [米国（シリコンバレー）] に設定され、[バックエンドサービスタイプ] は [ALB] に設定され、[バックエンドサービス] は ALB インスタンスに設定されます。 ポートマッピング セクションで、リスナーポート [443] とエンドポイントポート [8081] の間のマッピングを構成します。次に、[国境を越えたデータ転送に関するコンプライアンスのコミットメント] を読んで選択します。他のパラメーターにはデフォルト値を使用するか、ビジネス要件に基づいて他のパラメーターを変更できます。エンドポイントグループの構成方法の詳細については、「インテリジェントルーティングリスナーを追加および管理する」をご参照ください。
[構成のレビュー] ステップで、GA 構成を確認し、[送信] をクリックします。

ステップ 5: CNAME レコードを構成する

この例では、ALB インスタンスを指す CNAME レコードをすでに作成している場合は、GA インスタンスを指す CNAME レコードを追加するときに、中国（香港）リージョンを指定できます。 CNAME レコードが期待どおりに機能する場合は、CNAME レコードを他のリージョンに適用するか、GA インスタンスを指す CNAME レコードのみを保持します。

権限のある DNS 解決ページで、使用するドメイン名を見つけ、[DNS 設定] 列の [アクション] をクリックします。
説明
Alibaba Cloud に登録されていないドメイン名の場合、DNS レコードを構成する前に、Alibaba Cloud DNS コンソールにドメイン名を追加する必要があります。
DNS 設定ページで、[DNS レコードの追加] をクリックし、CNAME レコードを構成して、[OK] をクリックします。
この例では、[レコードタイプ] パラメーターは [CNAME] に設定され、[ホスト名] パラメーターは [www] に設定され、[DNS リクエストソース] パラメーターは [asia_hong Kong] に設定され、[レコード値] パラメーターは GA インスタンスの CNAME に設定されます。詳細については、「DNS レコードを追加する」をご参照ください。

ステップ 6: ネットワーク接続をテストする

ポートマッピングを確認する

中国（香港）リージョンのコンピューターで、ブラウザを使用して https://<サービスドメイン名>:443 にアクセスします。ブラウザを複数回更新します。 ECS01 と ECS02 を切り替えることができ、ポート 443 を使用してポート 8081 のサービスにアクセスできます。

ECS01 访问.png

ECS02 访问.png

GA のアクセラレーションパフォーマンスを確認する

http://<サービスドメイン名>:8081 を入力して、GA を使用する前のネットワークレイテンシを確認します。
テストを実行する前に、DNS レコードが ALB インスタンスの CNAME を指していることを確認してください。
応答時間などの情報を表示できます。解決結果の IP アドレスは、インターネットに接続された ALB インスタンスに割り当てられたパブリック IP アドレスです。これは、トラフィックが ALB にルーティングされていることを示します。
https://<サービスドメイン名>:443 を入力して、GA を使用した後のネットワークレイテンシを確認します。
テストを実行する前に、DNS レコードが GA インスタンスの CNAME を指していることを確認してください。
GA インスタンスの高速化された IP アドレスが、解決結果に表示されます。これは、トラフィックが高速化のために GA にルーティングされていることを示します。

説明

GA のアクセラレーションパフォーマンスは、サービスによって異なります。

参照資料

HTTPS 443 経由で米国 (シリコンバレー) にデプロイされた HTTP 80 Web サイトに GA を使用してアクセスする方法の詳細については、「HTTPS 経由で HTTP Web サイトへのアクセスを高速化する」をご参照ください。
ALB が GA と統合されると、ALB コンソールで GA を有効にできます。これにより、GA の構成が簡素化されます。詳細については、「ALB と GA を統合してアプリケーションアクセラレーションを有効にする」をご参照ください。
GA で発生する可能性のある問題:
次の API 操作で PortOverrides パラメーターを使用して、リスナーポートとエンドポイントポート間のマッピングを構成できます。