PrivateLink を使用すると、VPC 内のインスタンスはプライベートネットワーク経由で PAI サービスにアクセスできます。これにより、パブリック IP が不要になり、パブリックインターネット経経由でのデータ伝送に伴うセキュリティリスクを回避できます。
背景情報
PrivateLink は Alibaba Cloud のネットワークサービスです。VPC にインターフェイスエンドポイントを作成することで、インスタンスはパブリック IP を使用せずに PAI API を呼び出すことができます。すべてのネットワークトラフィックは、Alibaba Cloud の内部ネットワーク内に留まります。
PrivateLink と VPC:VPC (Virtual Private Cloud) は、Alibaba Cloud 上に作成するプライベートなネットワーク空間です。PrivateLink は、VPC から Alibaba Cloud サービスへのプライベート接続を作成するサービスです。VPC 内に「インターフェイスエンドポイント」を作成することで機能し、Alibaba Cloud サービスへのトラフィックが Alibaba Cloud の内部ネットワーク経由でのみルーティングされるようにします。
プライベートアクセスをサポートする PAI サービス
現在、以下の PAI サブサービスが PrivateLink 経由でのプライベートアクセスをサポートしています:
サービス名 | エンドポイントサービス名 | VPC エンドポイント | 対応リージョン |
PAI-AIWorkspace |
|
| China (Ulanqab)、China (Hangzhou)、China (Beijing)。他のリージョンへの対応については、今後のアップデートで発表される予定です。 |
PAI-DLC |
|
| 「PAI-DLC Service Endpoints」をご参照ください。 |
PAI-DSW |
|
| 「PAI-DSW Service Endpoints」をご参照ください。 |
{RegionId} をお使いのリージョンのリージョン ID に置き換えてください。たとえば、cn-wulanchabu、cn-hangzhou、cn-beijing などです。他のリージョンのリージョン ID については、「PAI-DLC Service Endpoints」および「PAI-DSW Service Endpoints」をご参照ください。
エンドポイントの作成
コンソール
次の手順では、PAI-DLC サービスを例として使用します。
PrivateLink コンソールにログインし、[Interface Endpoint] タブで [Create endpoint] をクリックします。
エンドポイントページで、次のパラメーターを設定します:
基本情報
リージョン:PAI サービスエンドポイントがあるリージョンを選択します。
エンドポイント名:例:
privateLink_dlc
タイプ:[Alibaba Cloud service] を選択します。
利用可能なサービス:上記の表にあるエンドポイントサービス名に基づいて、アクセスする PAI サービスを選択します。たとえば、PAI-DLC の場合は、
com.aliyuncs.privatelink.cn-hangzhou.pai-dlcを検索して選択します。ネットワーク設定
VPC:エンドポイントと同じリージョンにある VPC を選択します。
アベイラビリティーゾーンと VSwitch:高可用性を確保するために、少なくとも 2 つの異なるアベイラビリティーゾーンにある VSwitch を選択します。
IP バージョン:IPv4 のみがサポートされています。
セキュリティグループ:インターフェイスエンドポイントにセキュリティグループを関連付けます。このグループは、エンドポイントのアベイラビリティーゾーンにあるエラスティックネットワークインターフェイスへのインバウンドトラフィックを制御します。
設定と PrivateLink の詳細については、次のトピックをご参照ください:
API
CreateVpcEndpoint API を呼び出して、インターフェイスエンドポイントを作成します。
接続のテスト
エンドポイントを作成した後、同じ VPC 内の ECS インスタンスにログインして接続をテストします。
ECS インスタンスを作成します。VPC には、エンドポイントと同じ VPC を選択します。
インターフェイスエンドポイントへの接続をテストします。
エンドポイントの詳細ページで、[Zones and ENIs] タブに切り替えて、エラスティックネットワークインターフェイスの IP アドレスを取得します。
ECS インスタンスに接続し、次のコマンドを実行します。ping レスポンスが成功すると、ECS インスタンスがインターフェイスエンドポイントに到達できることが確認されます。
ping <ip-address-of-the-eni>
PAI サービスへの接続をテストします。次の例では、China (Hangzhou) リージョンの PAI-DLC サービスを使用します:
# VPC エンドポイント FQDN を使用したサービスアクセスのテスト (例:China (Hangzhou) の PAI-DLC) curl -sI https://pai-dlc-vpc.cn-hangzhou.aliyuncs.com成功した場合のレスポンスは、次のようになります:

注意事項
VPC エンドポイントを使用して PAI API を呼び出す場合、ECS インスタンスはインターフェイスエンドポイントと同じ VPC にある必要があります。そうでない場合、呼び出しは失敗します。
PAI-AIWorkspace は現在、China (Ulanqab)、China (Hangzhou)、China (Beijing) リージョンで利用可能です。他のリージョンへの対応については、今後のアップデートで発表される予定です。
高可用性を確保するために、複数のアベイラビリティーゾーンにまたがってインターフェイスエンドポイントを設定してください。これにより、単一ゾーン障害によるサービスの中断を防ぐことができます。