PrivateLink を使用すると、安全なプライベートネットワーク経由で別の VPC から仮想プライベートクラウド (VPC) 内のリソースにアクセスできます。PrivateLink はネットワークアーキテクチャを簡素化し、インターネットからのセキュリティリスクを回避します。
はじめに
PrivateLink は、アカウントと仮想プライベートクラウド (VPC) をまたがるサービスに、安全で柔軟性が高く、可用性の高いプライベートネットワーク接続を提供します。PrivateLink のユーザーは、サービス利用者とサービスプロバイダーに分類されます。
サービス利用者として、VPC またはデータセンターを別の VPC に接続するためのコンポーネントを構成する必要はありません。コンポーネントには、IPv4 ゲートウェイ、IPv6 ゲートウェイ、NAT ゲートウェイ、Elastic IP アドレス (EIP)、転送ルータ、Express Connect ルータ (ECR) などがあります。
サービスプロバイダーとして、サービス開発に集中できます。PrivateLink は、サービス利用者とのネットワーク接続を簡素化し、複雑なルーティングとセキュリティルール構成を回避します。
シナリオ
シナリオ 1:Alibaba Cloud サービスへのアクセス
Alibaba Cloud は、PrivateLink を使用してアクセスできるサービスを提供しています。
VPC およびデータセンターから Alibaba Cloud サービスにアクセスする必要がある場合は、VPC にエンドポイントを作成するときに Alibaba Cloud サービス名を指定します。エンドポイントに送信されたすべてのリクエストは、PrivateLink を介して対応する Alibaba Cloud サービスに転送されます。さらに、データセンター内のクライアントは、ネットワーキング製品を介して VPC とネットワーク接続を確立できるため、クライアントは VPC 内のエンドポイントを介して Alibaba Cloud サービスにアクセスできます。
インターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスする場合、エンドポイントポリシーとセキュリティグループを構成して、どのクライアントリソースがインターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスできるかを制御できます。
リバースエンドポイントを介して Alibaba Cloud サービスにアクセスする場合、セキュリティグループを設定して、Alibaba Cloud サービスがアクセスできるクライアントリソースの範囲を制御できます。
GWLB エンドポイント (GWLBE) を使用して Alibaba Cloud サービスにアクセスする場合、カスタム VPC ルーティングポリシーを指定して、GWLBE を介して Alibaba Cloud サービスにアクセスできるクライアントを決定できます。
説明ゲートウェイエンドポイントを使用して OSS にアクセスする場合、ゲートウェイエンドポイントは PrivateLink に依存しません。ゲートウェイエンドポイントを使用して、限られた数の Alibaba Cloud サービスにアクセスできます。ゲートウェイエンドポイントを作成するときに、エンドポイントポリシーを構成して Alibaba Cloud サービスへのアクセスを保護できます。
シナリオ 2:ユーザー作成サービスの共有
サービスプロバイダーとして、Alibaba Cloud でホスト型サービスを作成し、サービス利用者とサービスを共有できます。
VPC にエンドポイントサービスを作成し、サービスリソースとして Network Load Balancer (NLB)、Classic Load Balancer (CLB)、または Application Load Balancer (ALB) を選択できます。サービスホワイトリストを構成することで、他の Alibaba Cloud ユーザーにサービスへのアクセス権限を付与できます。他の Alibaba Cloud ユーザーは、自分の VPC でサービス名を指定してインターフェイスエンドポイントを作成し、エンドポイントサービスとの接続を確立できます。インターフェイスエンドポイントに送信されたすべてのリクエストは、PrivateLink を介してサービスに転送されます。
シナリオ 3:仮想ネットワークデバイスへのアクセス
サービスプロバイダーとして、GWLB に基づいてファイアウォール、侵入検知、トラフィックミラーリング、ディープパケットインスペクションなどの仮想ネットワークデバイスをデプロイし、これらのホスト型ネットワーク仮想デバイスを他の Alibaba Cloud ユーザーと共有できます。
自分の VPC にエンドポイントサービスを作成し、サービスリソースとして GWLB を選択できます。サービスホワイトリストを構成することで、他の Alibaba Cloud ユーザーに仮想ネットワークデバイスへのアクセス権限を付与できます。他の Alibaba Cloud ユーザーは、自分の VPC でサービス名を指定して GWLBE を作成し、エンドポイントサービスとの接続を確立できます。この GWLBE に送信されたすべてのリクエストは、PrivateLink を介して仮想ネットワークデバイスに転送されます。
サービス利用者として、VPC ルートのネクストホップとして GWLBE を設定できます。VPC ルーティングポリシーを構成して、リクエストが GWLBE に転送されて仮想ネットワークデバイスにアクセスするクライアントを決定できます。リクエストが GWLBE に転送されると、PrivateLink は、同じゾーンの GWLB にリクエストを転送します。GWLB は、GENEVE を使用して元のパケットをカプセル化し、トラフィックスケジューリングアルゴリズムに基づいて、バックエンドの正常な仮想ネットワークデバイスにトラフィックを転送します。
メリット
安全なネットワーク転送
PrivateLink 経由でサービスにアクセスする場合、トラフィックはプライベートネットワーク経由で転送されます。これにより、インターネット経由のアクセスよりも高いセキュリティが提供されます。PrivateLink は、お客様の要件を満たす幅広いセキュリティ機能を提供します。
簡素化されたネットワーク管理
サービスプロバイダーとサービス利用者のネットワークは互いに独立しており、アドレスの競合を許容します。また、安全なクロスアカウントおよびクロス VPC アクセスモードを提供することにより、複雑なルーティングとセキュリティルール構成を回避します。
PrivateLink を使用すると、サービス利用者は VPC のプライベート IP アドレスを使用してサービスにアクセスできます。これは、VPC をまたがり、データセンターからサービスにアクセスするというサービス利用者のニーズを満たします。
高可用性と自動弾性
リクエストは、同じゾーン内のクライアントとサーバー間で転送され、最小のレイテンシを保証します。Alibaba Cloud DNS とインターフェイスエンドポイントを組み合わせて使用することで、ゾーン間のディザスタリカバリを実現できます。
PrivateLink は自動スケーリングをサポートし、さまざまなサービスリソースタイプに基づいて上限を提供します。これにより、多様な弾力性の要件が満たされます。
アクセスPrivateLink へのアクセス
Alibaba Cloud アカウントを使用して、次の方法で PrivateLink にアクセスして管理できます。
VPC コンソール:インタラクティブな操作をサポートする Web コンソール。VPC コンソールを使用すると、別の VPC から VPC 内のサービスにアクセスできます。
Alibaba Cloud SDK:Java、Go、PHP、Python、C#、C++ などの複数のプログラミング言語をサポートします。
OpenAPI エクスプローラー:API 操作の取得と呼び出し、SDK サンプルコードの動的生成を可能にします。
Terraform:構成ファイルのバージョン管理、または Alibaba Cloud や Terraform をサポートする他のプラットフォームのコンピューティングリソースの呼び出しに役立つオープンソースツールです。