インスタンス内のサービスをインターネット経由でアクセスする - Platform For AI

DSW インスタンス内にモデル API や Web UI などのサービスをデプロイし、ブラウザからアクセスしたり、ログイン不要で協力者とテストを共有したり、外部ネットワークから呼び出したりする必要がある場合、DSW のカスタムサービス機能をご利用ください。この機能により、サービスをインターネットに公開するためのパブリックネットワークアクセスを構成できます。注：この機能は主に開発およびテスト用途を想定しています。

重要なお知らせ

追加の課金が発生します：パブリックネットワークアクセスを構成するには、NAT Gateway および Elastic IP Address (EIP) が必要です。これらは個別のクラウドプロダクトであり、それぞれ独立して課金されます。
対応するインスタンスタイプ：この機能は、パブリックリソースグループ内のインスタンス（リソース仕様が ecs.ebm で始まらないもの）および Lingjun インテリジェントコンピューティングインスタンスでご利用いただけます。1 台のインスタンスあたり最大 5 つのカスタムサービス を構成できます。
インスタンス停止時のサービス中断：DSW インスタンスが停止すると、その内部サービスおよびパブリックネットワークアクセスも利用できなくなります。
本番環境では EAS の利用を推奨：安定性・高可用性・スケーラビリティを要する本番環境向けのサービスについては、モデルを Elastic Algorithm Service (EAS) にデプロイしてください。

仕組み

ポート 9000 で実行される DSW インスタンス内の API などのサービスをインターネット経由でアクセス可能にするには、以下のリソースが必要です：

Elastic IP Address (EIP)：固定のパブリック IP アドレス（例：121.40.**.**）を提供します。これはパブリックトラフィックのエントリポイントです。
NAT Gateway：お客様の Virtual Private Cloud (VPC) 内に配置され、EIP:ポート からのパブリックリクエストを、DSW インスタンスのプライベート IP アドレスおよびポート（プライベート IP:ポート）にマップします。
セキュリティグループ：DSW インスタンスのファイアウォールとして機能します。サービスのポート（例：9000）へのインターネットトラフィックを許可するためのインバウンドルールを追加する必要があります。この手順はアクセス確立において極めて重要です。

コアワークフロー：インターネットユーザー（ブラウザ／ツール） → EIP:ポート → NAT Gateway → vSwitch → セキュリティグループルールチェック → DSW インスタンスプライベート IP:ポート → お客様のサービス

課金

NAT Gateway および EIP の課金は、作成時に開始されます。
DSW インスタンスが停止中でも、NAT Gateway および EIP は削除されるまで課金が継続されます。
DSW インスタンス自体は実行状態に基づいて課金されます。従量課金インスタンスの場合、停止中は課金されません。

パブリックネットワークアクセスの構成

インスタンス作成時に構成

DSW インスタンスを作成し、以下の主要なネットワークパラメーターを構成します。
- Network Informationセクションで、Virtual Private Cloud (VPC) およびセキュリティグループを選択します。詳細については、「VPC および vSwitch の作成」および「セキュリティグループの管理」をご参照ください。なお、VPC およびセキュリティグループは、DSW インスタンスと同じリージョンに存在する必要があります。
- Custom Servicesセクションを見つけ、Addをクリックします。サービスがリッスンするPort番号（例：9000）を入力し、Access over Internetチェックボックスを選択した後、NAT GatewayおよびEIPを選択します。なお、NAT Gateway および EIP は、DSW インスタンスと同じリージョンに存在する必要があります。
選択したセキュリティグループで、サービスポート用のインバウンドルールを構成します。詳細な手順については、「セキュリティグループルールの追加」をご参照ください。主なパラメーターは以下のとおりです：
- 操作：許可
- プロトコルの種類：サービスに応じて選択（例：TCP）
- ポート範囲：構成済みのリッスンポートを入力（例：9000/9000）
- ソース：0.0.0.0/0（テスト目的で全パブリック IP からのアクセスを許可）または必要に応じて IP アドレス範囲を制限します。本番環境では、ソース IP アドレスの制限を強く推奨します。

既存のインスタンスで構成

既存の DSW インスタンスについて、パブリックネットワークアクセスの構成を変更する方法は 2 通りあります。

注：VPC や NAT Gateway などのリソースを追加または変更する必要がある場合は、Change Settingsオプションを使用する必要があります。この操作ではインスタンスの再起動が発生します。

詳細ページから

DSW インスタンス一覧ページで、インスタンス名をクリックして詳細ページへ移動し、パブリックネットワークアクセスの構成を変更します。

DSW インスタンスから

DSW 開発環境のページ上部にあるChange Settingsをクリックして、カスタムサービスを変更します。

接続性の確認

DSW ターミナルで、以下のコマンドを実行してシンプルな HTTP サーバーを起動します。

# テストコンテンツを含む HTML ファイルを作成
echo 'Hello, World!' > index.html

# Python 標準の HTTP サーバーを起動（ポート 9000 でリッスン）
python -m http.server 9000 --bind 0.0.0.0

インスタンスの詳細ページで、Access Configurationsセクションを確認し、アクセス URL を取得します。
パブリックアクセスを確認するには、パブリックアクセスアドレス 121.40.**.**:9000 をコピーしてブラウザで開きます。ブラウザに Hello, World! が表示された場合、サービスは正しく構成されています。

本番運用時の注意点

開発およびテスト専用：DSW のパブリックネットワークアクセス機能は、一時的なテストおよび共同デバッグを目的として設計されています。
本番環境では EAS へのデプロイを推奨：本番レベルの推論サービスについては、Elastic Algorithm Service (EAS) へのデプロイを推奨します。EAS では以下が提供されます：
- 高可用性および負荷分散。
- トラフィックの変動に対応した自動スケーリング。
- 包括的なモニタリング、アラート機能、バージョン管理、カナリアリリース機能。
- パブリックネットワークアクセス向けに最適化された統合および課金モデル。詳細については、「モデルをオンラインサービスとしてデプロイする」をご参照ください。
コスト削減：
- DSW インスタンスが停止中の場合：従量課金の DSW インスタンスは停止中は課金されません。ただし、関連付けられた NAT Gateway および EIP は存在する限り課金が継続されます。
- パブリックネットワークアクセスが不要になった場合：NAT Gateway および EIP を削除して、関連する課金を停止する必要があります。この操作はVPC コンソールおよびEIP コンソールから実行できます。

よくある質問

Q：パブリックネットワークアクセスを構成しましたが、ブラウザからのアクセスや外部接続が失敗します（`このサイトにはアクセスできません`/`接続が拒否されました`/`タイムアウト`）？

ステップ 1：セキュリティグループルールを確認します。 接続失敗の最も一般的な原因です。
- セキュリティグループにインバウンドルールが追加されているか確認します。
- ルールのポート範囲に構成済みのポート（例：9000）が含まれているか確認します。
- ルールのソースにご自身のパブリック IP アドレスまたは 0.0.0.0/0 が含まれているか確認します。
- プロトコルの種類（TCP/UDP）が正しいか確認します。
ステップ 2：サービスが実行中であり、正しいポートでリッスンしているか確認します。
- DSW インスタンスのターミナルで、netstat -tunlp | grep <ポート番号>（例：netstat -tunlp | grep 9000）を実行して、指定ポートでサービスがリッスンしているか確認します。
- アプリケーションサービスプロセスが起動しており、構成済みのポートでリッスンしていることを確認します。
ステップ 3：NAT Gateway および EIP のステータスを確認します。
- VPC コンソールで、NAT Gateway のステータスが実行中であるか確認します。
- EIP コンソールで、関連付けられた EIP のステータスが関連付け済みであり、お客様のアカウントに支払い遅延がないか確認します。
ステップ 4：ローカルでテストします。 DSW インスタンス内で curl http://localhost:<ポート番号> または curl http://<インスタンスのプライベート IP アドレス>:<ポート番号> を実行し、サービスが応答するか確認します。
ステップ 5：ネットワーク診断ツールを使用します。
- Alibaba Cloud VPC では、Network Intelligence Service (NIS) が提供されており、パスに関する問題の診断に役立ちます（有効化が必要）。
- DSW インスタンス内で telnet <EIP> <ポート> を使用してポート接続性をテストします。必要に応じて、事前に telnet をインストールする必要があります。

Q：インスタンスが停止中の場合でもパブリックアクセスは課金されますか？

はい。 従量課金の DSW インスタンスは停止中は課金されません。ただし、関連付けられたNAT GatewayおよびEIPは独立したリソースであり、削除されるまで課金が継続されます。

Q：1 つの EIP を複数のポートにマップできますか？

はい。 同じ DSW インスタンス上で最大 5 つのサービスを構成でき、すべて同じ EIP および NAT Gateway 経由でアクセス可能です。EIP:異なるポート を使用して各サービスにアクセスします。

Q：VPC や NAT Gateway が一覧に表示されません。

最も一般的な原因はリージョンの不一致です。DSW ページ左上隅で選択されている現在のリージョンが、VPC や NAT Gateway のリージョンと一致しているか確認してください。DSW では、同一リージョン内の VPC や NAT Gateway のみを構成できます。
ドロップダウンリストが更新されていない可能性があります。VPC や NAT Gateway を新規作成したばかりの場合は、リソース作成が完了するまで待ってから、DSW 構成ページのリフレッシュアイコンをクリックしてリストを再読み込みしてください。