VPC にエンドポイントを作成し、Alibaba Cloud サービスを指定できます。エンドポイントに送信されたリクエストは、PrivateLink によってターゲットサービスに転送されます。これにより、安全なプライベートネットワークアクセスが提供され、パブリックネットワーク経由でのサービスアクセスに伴う潜在的なセキュリティリスクを回避できます。
インターフェイスエンドポイントを使用して、プライベートネットワーク経由で Alibaba Cloud サービスにアクセスできます。
権限を付与した後、Alibaba Cloud サービスはリバースエンドポイントを使用して、プライベートネットワーク経由で VPC 内の指定されたリソースにアクセスできます。
インターフェイスエンドポイントを使用した Alibaba Cloud サービスへのアクセス
サービス利用者は VPC にインターフェイスエンドポイントを作成し、プライベートネットワーク経由で指定された Alibaba Cloud サービスにアクセスします。
システムは、エンドポイントゾーン用に Elastic Network Interface (ENI) を作成し、vSwitch の CIDR ブロックからプライベート IP アドレスを ENI に割り当てます。
サービス利用者は、エンドポイントドメイン名、ゾーンのドメイン名、またはエンドポイントゾーンの ENI の IP アドレスを使用して Alibaba Cloud サービスにアクセスできます。ENI に送信されたすべてのサービスリクエストは、PrivateLink を介してバックエンドサービスに転送されます。
エンドポイントドメイン名とエンドポイントゾーンドメイン名は、他の VPC やオンプレミスのデータセンターのクライアントが解決できるパブリック権威 DNS ドメイン名です。他の VPC やオンプレミスのデータセンターが VPC とのネットワーク接続を確立すると、VPC 内のインターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスできます。
Alibaba Cloud サービスにカスタムサービスドメイン名が設定されている場合、インターフェイスエンドポイントで カスタムサービスドメイン名 を有効にできます。これにより、カスタムサービスドメイン名を使用して、対応する Alibaba Cloud サービスにアクセスできます。
インターフェイスエンドポイントの作成または削除
サポートされるサービス:詳細については、「インターフェイスエンドポイントを使用したアクセスをサポートする Alibaba Cloud サービス」をご参照ください。
PrivateLink サービスを有効化し、ターゲットリージョンに VPC と vSwitch および セキュリティグループ を作成済みであることを確認してください。
コンソール
インターフェイスエンドポイントの作成
エンドポイント - エンドポイントの作成 ページに移動します。
インターフェイスエンドポイントを設定します:
リージョン:Alibaba Cloud サービスが配置されているリージョンを選択します。
エンドポイントサービス:Alibaba Cloud サービス を選択します。次に、エンドポイントサービス名に基づいて、アクセスしたい Alibaba Cloud サービスを選択します。
カスタムサービスドメイン名の有効化:Alibaba Cloud サービスがカスタムサービスドメイン名を使用したアクセスをサポートしている場合、このオプションを有効にできます。詳細については、「カスタムドメイン名を使用した Alibaba Cloud サービスへのアクセス」をご参照ください。
VPC、ゾーンと VSwitch:高可用性を確保するために、少なくとも 2 つのゾーンで vSwitch を選択してください。エンドポイントゾーンの ENI に vSwitch 内の IP アドレスを指定できます。IP アドレスを指定しない場合、システムはデフォルトで 1 つ割り当てます。
vSwitch の システム予約 IP アドレス を ENI に指定することはできません。
セキュリティグループ:インターフェイスエンドポイントに関連付けるセキュリティグループを選択します。セキュリティグループは、すべてのエンドポイントゾーンの ENI へのインバウンドトラフィックを制御します。
IP バージョン:Alibaba Cloud サービスがデュアルスタックをサポートしている場合、デュアルスタック を選択できます。これにより、クライアントは IPv4 と IPv6 の両方のアドレスを使用してサービスにアクセスできます。それ以外の場合は、IPv4 のみ選択できます。
ゾーンアフィニティの有効化:Alibaba Cloud サービスがゾーンアフィニティをサポートしている場合、有効または無効を選択できます。有効にした場合:
サービス利用者がインターフェイスエンドポイントのゾーンからエンドポイントドメイン名を使用してサービスにアクセスすると、システムは対応するエンドポイントゾーンの ENI の IP アドレスを優先的に返し、最近接アクセス を実現します。
インターフェイスエンドポイントがデプロイされていないゾーンからサービスにアクセスする場合、システムはすべてのエンドポイントゾーンの ENI の IP アドレスを返します。その後、システムはランダムにゾーンを選択してサービスにアクセスします。
エンドポイントポリシー:フルアクセスを許可するには、デフォルトのエンドポイントポリシー を選択します。カスタムエンドポイントポリシー の設定オプションは、アクセスする Alibaba Cloud サービスによって異なります。
エンドポイントが作成された後、同じ VPC 内の Elastic Compute Service (ECS) インスタンスで次のコマンドを実行して接続をテストできます。
ping <IP address of the ENI in the endpoint zone> # インスタンス詳細ページの [ゾーンとネットワークインターフェースカード] タブで ENI の IP アドレスを確認できます。 # HTTP/HTTPS サービスの場合、サービスポートに直接アクセスします。 curl -sI http://<endpoint domain name> # エンドポイントドメイン名は、インスタンスリストページで確認できます。 # エンドポイントが存在する VPC が HTTP または HTTPS 経由でサービスにアクセスできるように、セキュリティグループのインバウンドルールで HTTP (80) および HTTPS (443) ポートへのアクセスを許可する必要があります。 # HTTPS を使用してサービスにアクセスできるかどうかは、サービス自体によって異なります。
インターフェイスエンドポイントの削除
ターゲットインターフェイスエンドポイントの 操作 列で、削除 をクリックします。エンドポイントが削除されると、エンドポイントを含む VPC は PrivateLink を介して対応する Alibaba Cloud サービスにアクセスできなくなります。
API
CreateVpcEndpoint を呼び出してインターフェイスエンドポイントを作成します。
DeleteVpcEndpoint を呼び出してインターフェイスエンドポイントを削除します。
インターフェイスエンドポイントの高可用性設定
インターフェイスエンドポイントが複数のゾーンで設定され、エンドポイントドメイン名を使用して Alibaba Cloud サービスにアクセスする場合、Alibaba Cloud はフルマネージドの可用性プローブを提供します。これにより、あるゾーンで障害が発生した場合に他のゾーンへの迅速なフェイルオーバーが保証されます:
フェイルオーバー:システムは、異なるエンドポイントゾーンの ENI の IP アドレスに対してリアルタイムの可用性プローブを実行します。例外が発生した場合、システムは対応する DNS レコードを削除して、障害が発生したゾーンにトラフィックがルーティングされるのを防ぎます。
フェイルバック:障害が解決された後、システムは自動的に対応する DNS レコードを追加します。
コンソール
複数ゾーンの設定
インターフェイスエンドポイントを作成する際、少なくとも 2 つのゾーンで vSwitch を選択します。
エンドポイントが作成された後、ターゲットインターフェイスエンドポイントの ID をクリックします。ゾーンとネットワークインターフェースカード タブで、ゾーンの追加 をクリックします。
ターゲットゾーンの 操作 列にある 削除 をクリックして、エンドポイントからゾーンを削除します。
設定が完了すると、ゾーンとネットワークインターフェースカード タブで、エンドポイントゾーンの ゾーンのドメイン名 と ENI の IP アドレス を表示できます。
高可用性を確保するために、エンドポイントドメイン名を使用してサービスにアクセスしてください。インターフェイスエンドポイントリストページで エンドポイントドメイン名 を表示できます。
API
AddZoneToVpcEndpoint を呼び出して、エンドポイントにゾーンを追加します。
RemoveZoneFromVpcEndpoint を呼び出して、エンドポイントからゾーンを削除します。
ゾーンアフィニティによる最近接アクセス
Alibaba Cloud サービスがゾーンアフィニティをサポートしている場合、有効または無効を選択できます。有効にした場合:
インターフェイスエンドポイントと同じゾーンにいるサービス利用者がエンドポイントドメイン名を使用して Alibaba Cloud サービスにアクセスすると、システムはそのエンドポイントゾーンの ENI の IP アドレスを優先的に返します。これにより、最近接アクセスが可能になります。
サービス利用者がインターフェイスエンドポイントがデプロイされていないゾーンからサービスにアクセスする場合、システムはすべてのエンドポイントゾーンの ENI の IP アドレスを返します。その後、システムはランダムにゾーンを選択してサービスにアクセスします。
Alibaba Cloud サービスによるゾーンアフィニティのサポートが変更された場合:
Alibaba Cloud サービスがゾーンアフィニティをサポートする状態からサポートしない状態に変わった場合:
サービス利用者がインターフェイスエンドポイントを作成する際、ゾーンアフィニティを有効にすることはできません。
既存のインターフェイスエンドポイントの場合:
ゾーンアフィニティが無効になっている場合:現在の状態は影響を受けませんが、有効にすることはできません。
ゾーンアフィニティが有効になっている場合:現在の状態は影響を受けませんが、無効にすることはできます。
Alibaba Cloud サービスがゾーンアフィニティをサポートしない状態からサポートする状態に変わった場合:
サービス利用者がインターフェイスエンドポイントを作成する際、ゾーンアフィニティを有効または無効にすることを選択できます。
既存のインターフェイスエンドポイントの場合:現在の状態は影響を受けず、ゾーンアフィニティを有効または無効にできます。
コンソール
ゾーンアフィニティの有効化または無効化
インターフェイスエンドポイントを作成する際に、ゾーンアフィニティの有効化 を設定します。
エンドポイントが作成された後、ターゲットインターフェイスエンドポイントの ID をクリックします。[基本情報] タブで、ゾーンアフィニティの有効化 の右側にある 有効化/無効化 スイッチをクリックします。
API
作成時:CreateVpcEndpoint を呼び出し、
ZoneAffinityEnabledを設定します。作成後:UpdateVpcEndpointAttribute を呼び出し、
ZoneAffinityEnabledを調整します。
PrivateLink 接続のセキュリティ保護
PrivateLink は、セキュリティグループ、ネットワーク ACL、エンドポイントポリシーの 3 つのレイヤーのアクセス制御を提供します。これらを個別または組み合わせて使用することで、詳細なセキュリティ制御を実装できます。
セキュリティグループ:すべてのエンドポイントゾーンの ENI に適用され、VPC 内のリソースからインターフェイスエンドポイントへのトラフィックを制御します。
インターフェイスエンドポイントを作成するときは、カスタムセキュリティグループを選択する必要があります。エンドポイントの作成後、セキュリティグループを追加または削除できますが、少なくとも 1 つのセキュリティグループが関連付けられていることを確認する必要があります。
インターフェイスエンドポイントを作成すると、PrivateLink はデフォルトでマネージドセキュリティグループを作成します。マネージドセキュリティグループのアウトバウンドルールは、デフォルトですべてのトラフィックを許可します。このセキュリティグループには、優先度が 1 のルールが含まれており、任意の IPv4 または IPv6 アドレスへのすべてのトラフィックを許可します。
マネージドセキュリティグループは、ECS コンソール - セキュリティグループページ で表示できます。
マネージドセキュリティグループを変更または削除することはできません。ただし、セキュリティグループのクォータ
q_security-groups(ご利用のアカウントが持つことができるセキュリティグループの最大数) を消費します。
カスタムセキュリティグループに優先度 1 のアウトバウンドルールを追加してトラフィックを拒否すると、サービスにアクセスできなくなる可能性があります。これは、同じ優先度の拒否ルールが許可ルールよりも優先されるためです。アウトバウンドの拒否ルールは慎重に設定してください。
ネットワーク ACL:エンドポイントゾーンの ENI が配置されている vSwitch に出入りするトラフィックを制御します。
エンドポイントポリシー:インターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスする場合、エンドポイントポリシー を設定できます。
インターフェイスエンドポイントを使用してアクセスできるすべての Alibaba Cloud サービス は、デフォルトのエンドポイントポリシーの設定をサポートしており、インターフェイスエンドポイントに完全なアクセス権限を付与します。
現在、特定のユーザーに対して特定のリソースへのアクセスを制限するカスタムエンドポイントポリシーをサポートしているのは、Object Storage Service (OSS) と PAI - AI WorkSpace のみです。
コンソール
セキュリティグループの設定
インターフェイスエンドポイントを設定する際、1 つ以上のセキュリティグループに割り当てる必要があります。エンドポイントの作成後、セキュリティグループを追加または削除できます。
セキュリティグループの追加:ターゲットエンドポイントの詳細ページの セキュリティグループ タブで、セキュリティグループの追加 をクリックします。
セキュリティグループの削除:削除したいセキュリティグループの 操作 列にある 削除 をクリックします。
関連付けられたセキュリティグループのルールに一致するクライアントトラフィックのみが、インターフェイスエンドポイントを介して Alibaba Cloud サービスにアクセスできます。参考として、以下のセキュリティグループルールを設定できます:
インバウンドトラフィックの場合、指定された IP アドレスからのアクセスを許可するルールのみを追加すると、このエンドポイントを介して Alibaba Cloud サービスにアクセスできるのは、これらの IP アドレスのクライアントのみになります。
アウトバウンド方向では、デフォルトですべてのアクセスが許可されます。これは、セキュリティグループ内の ECS インスタンスが外部リソースにアクセスすることを許可されていることを意味します。
ネットワーク ACL の設定
VPC コンソール - ネットワーク ACL ページに移動します。ページ上部でターゲットリージョンを選択し、ネットワーク ACL の作成 をクリックします。
VPC で、インターフェイスエンドポイントが配置されている VPC を選択します。
インスタンス ID をクリックするか、操作 列の 管理 をクリックします。関連付けられたリソース タブで、VSwitch の関連付け をクリックします。インターフェイスエンドポイントが配置されているターゲット vSwitch を選択し、関連付けの確認 をクリックします。関連付けられた vSwitch は、ネットワーク ACL ルールに基づいて vSwitch に出入りするトラフィックを制御します。
制御を解除するには、関連付け後にこのタブのターゲット vSwitch の 操作 列にある 関連付けの解除 をクリックします。
ターゲットネットワーク ACL の インバウンドルール/アウトバウンドルール タブで、インバウンドルールの管理/アウトバウンドルールの管理 をクリックします。トラフィックが プロトコルタイプ、IP バージョン、ソースアドレス/宛先アドレス、および ポート範囲 に基づいてネットワーク ACL ルールに一致する場合、システムは指定された ポリシー を適用してトラフィックを許可または拒否します。
エンドポイントポリシーの設定
インターフェイスエンドポイントを作成する 際に エンドポイントポリシー を設定できます。エンドポイントが作成された後、ターゲットインターフェイスエンドポイントの詳細ページの エンドポイントポリシー タブで エンドポイントポリシーの編集 をクリックしてポリシーを変更できます。
API
AttachSecurityGroupToVpcEndpoint を呼び出して、エンドポイントをセキュリティグループに追加します。
DetachSecurityGroupFromVpcEndpoint を呼び出して、エンドポイントをセキュリティグループから削除します。
CreateVpcEndpoint または UpdateVpcEndpointAttribute を呼び出す際に、PolicyDocument を渡してエンドポイントポリシーを設定します。
カスタムサービスドメイン名を使用したサービスへのアクセス
VPC から Alibaba Cloud サービスにアクセスする場合、通常は特定のサービスドメイン名を使用します。サービスにカスタムサービスドメイン名が設定されている場合は、作成するインターフェイスエンドポイントでそれを有効にできます。有効にすると、アプリケーションを変更することなく、PrivateLink を介してプライベートネットワーク経由でサービスにアクセスし続けることができます。
カスタムサービスドメイン名は、インターフェイスエンドポイントが配置されている VPC 内でのみ有効です。この VPC のみがドメイン名をプライベート IP アドレスに解決できます。他の VPC やオンプレミスのデータセンターが VPC に接続され、名前解決が設定された後、カスタムサービスドメイン名を使用してサービスにアクセスできます。
カスタムサービスドメイン名は、同じ VPC 内の複数のインターフェイスエンドポイントで同時に有効にすることはできません。最初にドメイン名が有効になったインターフェイスエンドポイントが優先され、他のインターフェイスエンドポイントはドメイン名を有効にできません。
Alibaba Cloud サービスがエンドポイントサービスに対してカスタムサービスドメイン名を設定し、認証した後にのみ、インターフェイスエンドポイントでカスタムサービスドメイン名を有効にできます。
カスタムサービスドメイン名の名前解決は、PrivateLink によって管理される PrivateZone によって提供されます。
インターフェイスエンドポイントでカスタムサービスドメイン名を有効にする
インターフェイスエンドポイントを作成する際に、カスタムサービスドメイン名の有効化 を 有効化 に設定します。
エンドポイントが作成された後、インターフェイスエンドポイント詳細ページの エンドポイントサービスドメイン名 セクションに移動し、カスタムサービスドメイン名 スイッチをオンにします。
不要になった場合は、ここでオフにすることができます。
カスタムサービスドメイン名を使用したサービスへのアクセス
同じ VPC からのアクセス:インターフェイスエンドポイントが配置されている VPC 内では、追加の設定なしで直接カスタムサービスドメイン名を使用してサービスにアクセスできます。
別の VPC からのアクセス:
ネットワークの接続:詳細については、「VPC 間相互接続ソリューション」をご参照ください。ピアリング接続または Cloud Enterprise Network (CEN) を選択して VPC を接続します。
名前解決の設定:
Private DNS コンソール に移動します。ゾーンの追加 をクリックします。カスタムサービスドメイン名を設定し、スコープを Alibaba Cloud VPC 内部ネットワークに設定し、ターゲット VPC を選択します。
ドメイン名 ID をクリックします。DNS レコード タブで、レコードの追加 をクリックします。ホストとして @ を持つ CNAME レコードを追加し、レコード値としてデフォルトのサービスドメイン名を設定します。
オンプレミスのデータセンターからのアクセス
ネットワークの接続:詳細については、「VPC とオンプレミスのデータセンターの接続」をご参照ください。Express Connect または VPN Gateway を選択してオンプレミスのデータセンターに接続します。
名前解決の設定:
Private DNS コンソール に移動します。インバウンドエンドポイントの追加 をクリックします。インバウンド VPC をインターフェイスエンドポイントが配置されている VPC に設定します。高可用性を確保するために、少なくとも 2 つのゾーンからインバウンドトラフィックサービス IP アドレスを追加します。
オンプレミスのデータセンターで転送ゾーンを設定します。
このトピックでは BIND を例として使用します。オンプレミスのデータセンターが異なる DNS システムを使用している場合は、そのドキュメントを参照して条件付き転送を設定してください。原則は同じです:特定のドメインの DNS リクエストを VPC PrivateZone インバウンドエンドポイントのサービス IP アドレスに転送します。
BIND ファイルを設定します。
BIND 設定ファイルの場所はオペレーティングシステムによって異なります。一般的なパスは
/etc/named.confと/etc/bind/named.confです。// この例では、pai-dlc サービスへのアクセス方法を示します。ゾーンを対応するカスタムサービスドメイン名に設定します。 zone "pai-dlc-vpc.cn-beijing.aliyuncs.com" IN { type forward; forwarders { 10.0.0.173; // インバウンドトラフィックサービス IP アドレスに置き換えてください。 10.0.1.109; }; };BIND サービスを再起動して、設定が有効になるようにします。
BIND サービスを再起動するコマンドはオペレーティングシステムによって異なります。一般的なコマンドは
systemctl restart namedです。
リバースエンドポイントを使用した、Alibaba Cloud サービスによる権限付与済みユーザーリソースへのアクセス
権限を付与した後、Alibaba Cloud サービスはリバースエンドポイントを使用して、プライベートネットワーク経由で VPC 内の指定されたリソースに安全にアクセスできます。セキュリティグループとネットワーク ACL を使用して、Alibaba Cloud サービスがアクセスできるリソースの範囲をさらに制御できます。
セキュリティグループは、すべてのエンドポイントゾーンの ENI に適用され、リバースエンドポイントから VPC 内のリソースへのトラフィックを制御します。
リバースエンドポイントを作成すると、PrivateLink はデフォルトでマネージドセキュリティグループを作成します。マネージドセキュリティグループのインバウンドルールは、デフォルトですべてのトラフィックを許可します。このセキュリティグループには、優先度が 1 のルールが含まれており、任意の IPv4 または IPv6 アドレスからのすべてのトラフィックを許可します。
マネージドセキュリティグループは、ECS コンソール - セキュリティグループページ で表示できます。
マネージドセキュリティグループを変更または削除することはできません。ただし、セキュリティグループのクォータ
q_security-groups(ご利用のアカウントが持つことができるセキュリティグループの最大数) を消費します。
サポートされるサービス:詳細については、「リバースエンドポイントを使用したアクセスをサポートする Alibaba Cloud サービス」をご参照ください。
PrivateLink サービスを有効化し、ターゲットリージョンに VPC と vSwitch および セキュリティグループ を作成済みであることを確認してください。
リバースエンドポイントはデュアルスタックアクセスをサポートしていません。
コンソール
リバースエンドポイントの作成
エンドポイント - エンドポイントの作成 ページに移動します。
リバースエンドポイント を設定します:
リージョン:Alibaba Cloud サービスがアクセスするリソースが配置されているリージョンを選択します。
エンドポイントサービス:利用可能なサービスを選択 を選択します。次に、サービス名に基づいてリストから Alibaba Cloud サービスを選択します。
VPC、ゾーンと VSwitch:高可用性を確保するために、少なくとも 2 つのゾーンで vSwitch を選択してください。エンドポイントゾーンの ENI に vSwitch 内の IP アドレスを指定できます。IP アドレスを指定しない場合、システムはデフォルトで 1 つ割り当てます。
セキュリティグループ:すべてのエンドポイントゾーンの ENI に適用するセキュリティグループを選択します。リバースエンドポイントは、Alibaba Cloud サービスがユーザーリソースに積極的にアクセスすることを許可します。
リバースエンドポイントの削除
ターゲットリバースエンドポイントの 操作 列で、削除 をクリックします。エンドポイントが削除されると、対応する Alibaba Cloud サービスはリバースエンドポイントを介して VPC 内の指定されたリソースにアクセスできなくなります。
API
CreateVpcEndpoint を呼び出してリバースエンドポイントを作成します。
DeleteVpcEndpoint を呼び出してリバースエンドポイントを削除します。
詳細情報
インターフェイスエンドポイントとゲートウェイエンドポイントの違い
ゲートウェイエンドポイント は PrivateLink に依存せず、限られた数の Alibaba Cloud サービスのみをサポートします。
属性 | ゲートウェイエンドポイント | PrivateLink |
ユースケース | ゲートウェイエンドポイントのエンドポイントポリシーと OSS のバケットポリシーを使用して、不正アクセスのリスクを軽減し、双方向のアクセス制御を実装します:
| VPC からプライベートネットワーク経由で Alibaba Cloud サービスに安全にアクセスするための標準ソリューション。PrivateLink は、ゲートウェイエンドポイントよりも多くの種類の Alibaba Cloud サービスをサポートし、より高度な機能を提供します。 |
適用可能なサービスタイプ | 現在、ゲートウェイエンドポイントは OSS のみをサポートしています。 | PrivateLink は、独立系ソフトウェアベンダー (ISV) によって提供されるサービスを含む、幅広い Alibaba Cloud サービス およびユーザー作成サービスをサポートしています。 |
VPC 側のセキュリティ機能 | エンドポイントポリシーのみがサポートされています。 | セキュリティグループ、ネットワーク ACL、およびエンドポイントポリシーがサポートされています。 |
ネットワーク機能 | 複雑なネットワークはサポートされていません。Alibaba Cloud サービスの CIDR ブロック (100.x.x.x/8) と IP アドレスの競合が発生する可能性があります。 | 複雑なネットワークがサポートされています。PrivateLink を VPC ピアリング接続、Cloud Enterprise Network (CEN)、Express Connect 回線、または VPN Gateway と組み合わせて使用して、リージョン間およびハイブリッドクラウドネットワークを実装できます。 |
O&M 機能 | なし | フローログにより、監査とトラブルシューティングが簡素化されます。 |
料金 | 無料 | インスタンス料金とデータ転送料金が適用されます。 ユーザー作成サービスの場合、サービス利用者またはサービスプロバイダーのどちらが料金を支払うかを選択できます。 |