仮想プライベートクラウド (VPC) は、クラウド内の論理的に隔離されたネットワーク環境であり、Alibaba Cloud リソースをデプロイし、Alibaba Cloud サービスにアクセスできます。PrivateLink を使用すると、VPC 内のリソースはプライベート IP アドレスを使用して、他の VPC にデプロイされている Alibaba Cloud サービスおよびユーザー構築サービスに接続できます。
次の図は、ユーザー構築サービスを例として使用しています。サービス利用者は、サービスプロバイダーが提供するエンドポイントサービスにアクセスするためのエンドポイントを作成します。サービス利用者とサービスプロバイダーは、同じ Alibaba Cloud アカウントまたは異なる Alibaba Cloud アカウントに属することができます。
サービスプロバイダー
サービスプロバイダーは、サービスの所有者です。サービスプロバイダーは、Server Load Balancer (SLB) や Elastic Compute Service (ECS) などの Alibaba Cloud リソースを使用して、サービスを構築し、サービス利用者に提供します。サービスプロバイダーは、Alibaba Cloud または Alibaba Cloud ユーザーです。
エンドポイントサービス
エンドポイントサービスはサービスプロバイダーによって作成され、サービス名によって一意に識別されます。サービス利用者は、エンドポイントサービスに関連付けられているエンドポイントに接続することでサービスにアクセスします。エンドポイントサービスは、複数ゾーンにデプロイされている Server Load Balancer (SLB) アプリケーションサービスクラスタをサービスリソースとして追加することをサポートしています。以下のタイプのサービスリソースがサポートされています。
Network Load Balancer (NLB)
Classic Load Balancer (CLB)
Gateway Load Balancer (GWLB)
Application Load Balancer (ALB)
サービス名
各エンドポイントサービスには一意のサービス名があります。サービス利用者がエンドポイントを作成すると、サービス名はエンドポイントが接続するサービスを識別するために使用されます。
サービスホワイトリスト
デフォルトでは、サービスはすべてのサービス利用者から見えるわけではありません。他の Alibaba Cloud アカウントに属する VPC がエンドポイントサービスにアクセスできるようにするには、アカウントの ID をサービスホワイトリストに追加する必要があります。
エンドポイントサービスを作成した後、アカウントの ID は自動的にサービスホワイトリストに追加されます。
エンドポイントサービスのステータス
次の表は、エンドポイントサービスのステータスについて説明しています。
エンドポイントサービスのステータス | ステータスの説明 |
作成中 | エンドポイントサービスを作成しています。 |
変更中 | エンドポイントサービスを変更しています。 |
アクティブ | エンドポイントサービスはアクティブであり、サービス利用者がアクセスできます。 |
削除中 | エンドポイントサービスを削除しています。 |
サービス利用者
サービスにアクセスするユーザーは、サービス利用者と呼ばれます。エンドポイントを作成することにより、サービス利用者は VPC またはデータセンターからエンドポイントサービスにアクセスできます。
エンドポイント
サービス利用者は、サービス名を指定してエンドポイントを作成し、VPC を宛先エンドポイントサービスに接続します。エンドポイントはさまざまなタイプで利用できます。サービス利用者は、サービスで必要なタイプのエンドポイントを作成する必要があります。
次のタイプのエンドポイントが利用可能です。
インターフェースエンドポイント: インターフェースエンドポイントを使用すると、サービス利用者は NLB、CLB、または ALB サービスにアクセスできます。インターフェースエンドポイントは、マルチゾーンディザスタリカバリの要件を満たすために、マルチレベルドメイン名アクセスをサポートしています。
ゲートウェイロードバランサーエンドポイント: ゲートウェイロードバランサーエンドポイント (GWLBe) を使用すると、サービス利用者は GWLB サービスにアクセスできます。GWLBe は、トラフィックをリダイレクトするために VPC ルートテーブルのネクストホップとして指定できます。
リバースエンドポイント: リバースエンドポイントを使用すると、サービスプロバイダーはサービス利用者の VPC 内のクラウドサービスへの接続を開始できます。サービス利用者は、リバースエンドポイントのセキュリティグループを設定して、アクセス範囲を制限できます。リバースエンドポイントに接続されているエンドポイントサービスは、Alibaba Cloud サービスのみです。
ゲートウェイエンドポイントは特殊なタイプのエンドポイントです。詳細については、「プライベート接続を介して VPC からクラウドサービスにアクセスする」をご参照ください。他のエンドポイントとは異なり、ゲートウェイエンドポイントは PrivateLink に依存しません。予約済み IP アドレス範囲 100.64.0.0/10 とエンドポイントポリシーを使用して、クラウドサービスへのより安全なアクセスを提供します。現在、ゲートウェイエンドポイントをサポートしているクラウドサービスは Object Storage Service (OSS) のみです。
エンドポイントゾーンと弾性ネットワークインターフェース
サービス利用者がエンドポイントを作成するときは、エンドポイントに 1 つ以上のゾーンを指定する必要があります。エンドポイントが作成されると、1 つ以上のエンドポイント弾性ネットワークインターフェース (ENI) で構成されます。各エンドポイント ENI は、サービス利用者の VPC 内の vSwitch に関連付けられたマネージド ENI です。エンドポイント ENI に送信されたすべてのサービスリクエストは、PrivateLink 経由で同じゾーン内のサービスプロバイダーのサービスリソースに転送されます。
エンドポイントが IPv4 ネットワークタイプをサポートしている場合、エンドポイントには IPv4 アドレスがあります。エンドポイントが デュアルスタックネットワークタイプをサポートしている場合、エンドポイントには IPv4 アドレスと IPv6 アドレスの両方があります。
ゲートウェイロードバランサーエンドポイントは、1 つのゾーンのみをサポートしています。
エンドポイントポリシー
エンドポイントポリシーは、RAM ポリシー言語に基づいて JSON 形式で記述されたリソースベースのポリシーです。インターフェースエンドポイントにエンドポイントポリシーをアタッチして、どの RAM ユーザーがエンドポイントを介してエンドポイントサービスで特定の操作を実行できるかを制御できます。デフォルトでは、エンドポイントポリシーはすべての RAM ユーザーがエンドポイントを介してサービスですべての操作を実行することを許可します。
エンドポイントポリシーは、Alibaba Cloud サービスにアクセスするときに適用されます。
インターフェースエンドポイントのエンドポイントポリシーを設定できます。
ゲートウェイエンドポイントは PrivateLink に依存していませんが、エンドポイントポリシーを設定できます。
エンドポイントのステータス
エンドポイントを作成すると、エンドポイントサービスは接続リクエストを受信します。サービスプロバイダーは、リクエストを受け入れるか拒否できます。サービスプロバイダーがリクエストを受け入れると、サービス利用者はアクティブ状態になった後にエンドポイントを使用できます。
次の表は、エンドポイントのステータスについて説明しています。
エンドポイントのステータス | ステータスの説明 |
作成中 | エンドポイントを作成しています。 |
変更中 | エンドポイントを変更しています。 |
アクティブ | エンドポイントを使用できます。 |
削除中 | エンドポイントを削除しています。 |
エンドポイント接続
エンドポイント接続は、エンドポイントとエンドポイントサービス間の接続です。サービス利用者がエンドポイントを作成すると、接続リクエストがエンドポイントサービスに送信されます。サービスプロバイダーは、接続リクエストを自動または手動で受け入れることができます。
エンドポイント接続のステータス
次の表は、エンドポイント接続のステータスについて説明しています。
エンドポイント接続のステータス | ステータスの説明 |
接続中 | エンドポイントとエンドポイントサービス間の接続を確立しています。 |
接続済み | エンドポイントとエンドポイントサービス間の接続が確立されています。 |
切断中 | エンドポイントとエンドポイントサービス間の接続を終了しています。 |
切断済み | エンドポイント接続が次のいずれかの理由で「切断済み」状態になっています。
|
変更中 | エンドポイントとエンドポイントサービス間の接続を変更しています。 |
削除中 | エンドポイントとエンドポイントサービス間の接続を削除しています。 |
サービス削除済み | エンドポイントに接続されているエンドポイントサービスが削除されています。できるだけ早くエンドポイントを削除してください。 |
カスタムサービス ドメイン名
サービスドメイン名は、サービスを識別するドット区切りの文字列です。サービス利用者は、複雑な IP アドレスを覚えることなく、サービスドメイン名を使用して簡単にサービスにアクセスできます。
PrivateLink のインターフェースエンドポイントは、デフォルトのサービスドメイン名を提供します。デフォルトのサービスドメイン名は、権威 DNS 解決を使用します。権威 DNS 解決は、アクセス トラフィックを宛先サービスに効率的にルーティングできる、安全、高速、安定、かつスケーラブルなドメインネームシステム (DNS) サービスです。
サービスプロバイダーが Alibaba Cloud の場合、一部のクラウドサービスはカスタムサービスドメイン名をサポートしており、さまざまなアクセス方法との互換性を確保し、ユーザーアクセスを簡素化します。カスタムサービスドメイン名は、パブリックアクセスまたは他のクラウドサービスからのアクセスに使用されるドメイン名と同じです。カスタムサービスドメイン名は、内部 DNS 解決 (PrivateZone) に基づいて解決されます。PrivateZone は、VPC 内の ECS インスタンスやコンテナーなどのクライアントにドメイン名解決を提供し、リソースへの便利なアクセスを保証します。
サービス利用者がインターフェースエンドポイントを作成するときに、カスタムサービスドメイン名機能を有効にすることができます。この機能を有効にすると、カスタムサービスドメイン名を使用して Alibaba Cloud サービスにアクセスできます。インターフェースエンドポイントによって提供されるデフォルトのサービスドメイン名を使用してサービスにアクセスすることもできます。