エンドポイントの作成 - PrivateLink - Alibaba Cloud ドキュメントセンター

このトピックでは、エンドポイントの作成および管理方法について説明します。エンドポイントは、サービス利用者によって作成および管理されます。エンドポイントをエンドポイントサービスに接続できます。このようにして、仮想プライベートクラウド (VPC) と外部サービス間の PrivateLink 接続を確立できます。エンドポイントは 1 つのエンドポイントサービスにのみ関連付けることができます。

背景情報

PrivateLink を使用すると、VPC とエンドポイントサービス間の安全で安定したプライベート接続を確立できます。インターネット経由の接続と比較して、PrivateLink 接続はより高いセキュリティを提供します。サポートされているエンドポイントサービスには、Alibaba Cloud サービス、その他のエンドポイントサービス、および Alibaba Cloud アカウント内で利用可能なエンドポイントサービスが含まれます。

Alibaba Cloud サービスとその他のエンドポイントサービスとは何ですか？

用語	説明
Alibaba Cloud サービス	Alibaba Cloud サービスは、Alibaba Cloud によって提供および管理されるサービスです。これは、Alibaba Cloud がサーバー、ネットワークデバイス、ストレージデバイスなどの完全なクラウドサービスインフラストラクチャを所有および管理していることを意味します。これらのクラウドサービスは、Alibaba Cloud の公式 Web サイトで購入して使用でき、Alibaba Cloud が提供するテクニカルサポートとサービス保証を受けることができます。説明 Alibaba Cloud ActionTrail は PrivateLink でサポートされています。
その他のエンドポイントサービス	その他のエンドポイントサービスとは、Alibaba Cloud 以外が提供するその他のプライベートサービスを指します。これらのサービスを使用する前に、品質、セキュリティ、信頼性を評価し、ビジネス要件に基づいてサービスを選択する必要があります。

制限

PrivateLink は特定のリージョンでのみ利用可能です。詳細については、「PrivateLink をサポートするリージョンとゾーン」をご参照ください。
リバースエンドポイントをサポートするサービスは、Alibaba Cloud とそのエコシステムパートナーのみが提供できます。デフォルトでは、リバースエンドポイントをサポートするサービスを作成することはできません。このようなサービスを作成する場合は、アカウントマネージャーにお問い合わせください。

前提条件

エンドポイントを作成する前に、次の要件が満たされていることを確認してください。

PrivateLink がアクティブ化されている。PrivateLink を初めて使用する場合は、アクティベーションページにアクセスし、指示に従って PrivateLink をアクティブ化してください。PrivateLink をアクティブ化する前に、アカウントの残高が 0 米ドルを超えていることを確認してください。
エンドポイントサービスが作成され、少なくとも 1 つのサービスリソースがエンドポイントサービスに追加されている。詳細については、「エンドポイントサービスの作成と管理」をご参照ください。
エンドポイントサービスへのアクセスに使用する VPC が作成されている。エンドポイントサービスがデプロイされているゾーンに vSwitch が作成されている。詳細については、「IPv4 CIDR ブロックを持つ VPC を作成する」トピックの「VPC と vSwitch を作成する」セクションをご参照ください。
セキュリティグループが作成されている。
詳細については、「セキュリティグループを作成する」をご参照ください。
インターフェースエンドポイントを作成する場合、ビジネスおよびセキュリティの要件に基づいてセキュリティグループルールを構成できます。次のセキュリティグループルールを構成することをお勧めします。
- インターネット制御メッセージプロトコル (ICMP) トラフィックを許可するデフォルトのインバウンドルール。Elastic Compute Service (ECS) インスタンスの ping などの操作をサポートします。
- SSH ポート 22 およびリモートデスクトッププロトコル (RDP) ポート 3389 でのトラフィックを許可して ECS インスタンスにアクセスするデフォルトのインバウンドルール。
- (オプション) HTTP ポート 80 および HTTPS ポート 443 でのトラフィックを許可するインバウンドルール。このルールにより、エンドポイントの VPC が HTTP または HTTPS 経由でエンドポイントサービスの VPC にアクセスできます。
リバースエンドポイントを作成する場合は、すべてのトラフィックを許可するインバウンドルールを構成する必要があります。これは、すべての CIDR ブロックがすべてのプロトコルですべてのポートにアクセスできるようにする必要があることを意味します。

エンドポイントを作成する

エンドポイントコンソールにログオンします。
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。
エンドポイント ページで、次のいずれかの方法を使用してエンドポイントを作成できます。
- [インターフェースエンドポイント] タブをクリックし、[エンドポイントの作成] をクリックします。
- [リバースエンドポイント] タブをクリックし、[エンドポイントの作成] をクリックします。
- [ゲートウェイエンドポイント] タブをクリックし、[エンドポイントの作成] をクリックします。
説明
- インターフェースエンドポイントを使用すると、サービス利用者はサービスプロバイダーが提供するサービスにアクセスできます。
- リバースエンドポイントを使用すると、サービスプロバイダーはサービス利用者の VPC 内のリソースにアクセスできます。
- ゲートウェイエンドポイントは仮想ゲートウェイデバイスとして機能します。エンドポイントサービスの VPC にゲートウェイエンドポイントを作成し、エンドポイントをルートテーブルに関連付けることができます。その後、システムは VPC ルートテーブルのゲートウェイエンドポイントを指すネクストホップを持つルートを自動的に追加します。このようにして、VPC はエンドポイントサービスにアクセスできます。ゲートウェイエンドポイントの詳細については、「ゲートウェイエンドポイント」をご参照ください。
- エンドポイントは サービス利用者 によって作成および管理されます。エンドポイントサービスは サービスプロバイダー によって作成および管理されます。

エンドポイントの作成 ページで、次の表に記載されているパラメーターを指定し、OK をクリックします。

次の表では、インターフェースエンドポイントとリバースエンドポイントの構成のみについて説明します。ゲートウェイエンドポイントの構成の詳細については、「ゲートウェイエンドポイント」トピックの「ゲートウェイエンドポイントを作成し、ルートを表示する」セクションをご参照ください。

インターフェースエンドポイントを作成する

パラメーター	説明
[リージョン]	インターフェースエンドポイントを作成するリージョンを選択します。
エンドポイント名	インターフェースエンドポイントの名前を入力します。
[エンドポイントタイプ]	[インターフェースエンドポイント] を選択します。
エンドポイントサービス	次の 3 つの方法のいずれかを使用して、インターフェースエンドポイントをエンドポイントサービスに関連付けることができます。 [Alibaba Cloud サービス] をクリックし、エンドポイントサービスの名前を入力します。 [その他のエンドポイントサービス] をクリックし、エンドポイントサービスの名前を入力して、[検証] をクリックしてサービスの有効性を検証します。説明サービスプロバイダーがサービス利用者をサービスのホワイトリストに追加した後でのみ、サービスは有効性検証に合格できます。詳細については、「エンドポイントサービスのホワイトリストのアカウント ID を管理する」をご参照ください。 [サービスを選択] をクリックし、エンドポイントサービスの名前または ID を選択または入力します。
VPC	インターフェースエンドポイントを作成する VPC を選択します。
セキュリティグループ	エンドポイントの Elastic Network Interface (ENI) に関連付けるセキュリティグループを選択します。セキュリティグループは、VPC からエンドポイント ENI へのデータ転送を制御するために使用されます。エンドポイント ENI は、VPC がエンドポイントサービスにアクセスするためのイングレスとして機能します。説明デフォルトでは、最大 5 つのセキュリティグループにエンドポイントを追加できます。
ゾーンと vSwitch	エンドポイントサービスのゾーンを選択し、ゾーン内の vSwitch を選択します。システムは vSwitch にエンドポイント ENI を自動的に作成します。エンドポイントサービスのゾーンを 1 つ選択できます。ゾーンと vSwitch セクションのアイコンをクリックします。表示されるメッセージで、[OK] をクリックします。エンドポイントサービスの複数のゾーンを選択できます。デフォルトでは、2 つのゾーンと各ゾーンの 1 つの vSwitch を選択する必要があります。さらにゾーンを選択する場合は、vSwitch の追加をクリックします。説明いずれかのゾーンがダウンした場合にフェールオーバーを迅速に実行できるように、複数のゾーンを選択できます。これにより、高いサービスの可用性と安定性が確保され、サービスの中断やデータの損失を防ぎます。
[IP バージョン]	サポートされている IP バージョン。 [IPv4]: クライアントはアクセスに IPv4 アドレスを使用できます。 [デュアルスタック]: クライアントはアクセスに IPv4 アドレスと IPv6 アドレスを使用できます。説明サービスプロバイダーがデュアルスタック構成を完了した後でのみ、サービス利用者は [デュアルスタック] を選択できます。
リソースグループ	エンドポイントが属するリソースグループを選択します。
[タグ]	[タグキー] と [タグ値] を選択または入力します。
説明	インターフェースエンドポイントの説明を入力します。
[アクセスポリシー]	アクセスポリシーを選択します。 [デフォルトポリシー]: デフォルトでは、フルアクセスポリシーが使用されます。 [カスタムポリシー]: カスタムアクセスポリシーを入力できます。説明このパラメーターは、[エンドポイントサービス] を [Alibaba Cloud サービス] に設定した場合にのみ必須です。Alibaba Cloud ActionTrail はアクセスポリシーをサポートしています。
注意：	初めてエンドポイントを作成すると、システムはエンドポイントのサービスロールを自動的に作成します。このロールにより、エンドポイントは他のリソースにアクセスできます。詳細については、「サービスロール」をご参照ください。

リバースエンドポイントを作成する

パラメーター	説明
リージョン	逆エンドポイントを作成するリージョンを選択します。
エンドポイント名	逆エンドポイントの名前を入力します。
エンドポイントの種類	[リバースエンドポイント] を選択します。
エンドポイントサービス	次のいずれかの方法で、エンドポイントをエンドポイントサービスに関連付けることができます。 [その他のエンドポイントサービス] をクリックし、エンドポイントサービスの名前を入力して、[検証] をクリックしてサービスの有効性を検証します。説明サービスプロバイダーがサービス利用者をサービスのホワイトリストに追加した後でのみ、サービスは有効性検証に合格できます。詳細については、「エンドポイントサービスのホワイトリストでアカウント ID を管理する」をご参照ください。 [サービスの選択] をクリックし、エンドポイントサービスの名前または ID を選択または入力します。説明エンドポイントは 1 つのエンドポイントサービスにのみ関連付けることができます。
VPC	逆エンドポイントを作成する VPC を選択します。
セキュリティグループ	エンドポイント ENI に関連付けるセキュリティグループを選択します。セキュリティグループは、VPC からエンドポイント ENI へのデータ転送を制御するために使用されます。エンドポイント ENI は、VPC がエンドポイントサービスにアクセスするためのイングレスとして機能します。重要リバースエンドポイントのセキュリティグループルールは、すべてのインバウンドトラフィックを許可する必要があります。
ゾーンと vSwitch	エンドポイントサービスのゾーンを選択し、そのゾーン内の vSwitch を選択します。システムは、vSwitch 内にエンドポイント ENI を自動的に作成します。エンドポイントサービスのゾーンを 1 つ選択できます。アイコンをクリックし、ゾーンと vSwitch セクションに移動します。表示されるメッセージで、[OK] をクリックします。エンドポイントサービスのゾーンを複数選択できます。デフォルトでは、2 つのゾーンと各ゾーン内の 1 つの vSwitch を選択する必要があります。さらにゾーンを選択する場合は、vSwitch の追加をクリックします。説明複数のゾーンを選択することで、いずれかのゾーンがダウンした場合にフェールオーバーを迅速に実行できます。これにより、高いサービスの可用性と安定性が確保され、サービスの中断やデータの損失を防ぎます。
リソースグループ	エンドポイントが属するリソースグループを選択します。
タグ	[タグキー] と [タグ値] を選択または入力します。
説明	逆エンドポイントの説明を入力します。
注意：	エンドポイントを初めて作成すると、システムによってエンドポイントのサービスリンクロールが自動的に作成されます。このロールにより、エンドポイントは他のリソースにアクセスできます。詳細については、「サービスリンクロール」をご参照ください。

インターフェイスエンドポイントのポリシーを表示する

インターフェイスエンドポイントに接続されているエンドポイントサービスが Alibaba Cloud サービス、または Alibaba Cloud 以外の非公開エンドポイントサービスである場合、インターフェイスエンドポイントの作成後に、次のいずれかの方法を使用してインターフェイスエンドポイントのポリシーを表示できます。

[エンドポイントコンソール] にログインします。
上部のナビゲーションバーで、インターフェイスエンドポイントがデプロイされているリージョンを選択します。
[インターフェースエンドポイント] タブの エンドポイント ページで、目的のエンドポイントの ID をクリックします。
エンドポイントの詳細ページで、[アクセスポリシー] タブをクリックして、ポリシーの詳細を表示します。

インターフェイスエンドポイントのポリシーを変更する

インターフェイスエンドポイントに接続されているエンドポイントサービスが Alibaba Cloud サービス、または Alibaba Cloud 以外の非公開エンドポイントサービスである場合、インターフェイスエンドポイントの作成後にそのポリシーを変更できます。

[エンドポイントコンソール] にログオンします。
上部のナビゲーションバーで、リージョンを選択します。
インターフェイスエンドポイントエンドポイント ページのタブで、目的のエンドポイントの ID をクリックします。
エンドポイントの詳細ページで、[アクセスポリシー] タブをクリックします。
[アクセスポリシーの変更] をクリックします。表示されるダイアログボックスで、アクセスポリシーを変更し、[OK] をクリックします。

エンドポイントサービスへのアクセスに使用できるドメイン名または IP アドレスを表示する

インターフェイスエンドポイントを作成した後、エンドポイントのドメイン名、エンドポイントがデプロイされているゾーンのドメイン名、またはゾーンの IP アドレスを使用して、エンドポイントサービスのサービスリソースにアクセスできます。

[エンドポイントコンソール] にログオンします。
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。
[インターフェイスエンドポイント] タブの エンドポイント ページで、管理するエンドポイントを見つけ、エンドポイント ID をクリックします。
エンドポイントサービスへのアクセスに使用するエンドポイントの詳細ページでは、エンドポイントのドメイン名、リソースグループ、エンドポイントがデプロイされているゾーンのドメイン名、およびゾーンの IP アドレスといった以下の情報を確認できます。
説明
逆エンドポイントの場合、エンドポイントの詳細ページには、エンドポイントのドメイン名、またはエンドポイントがデプロイされているゾーンのドメイン名は表示されません。

エンドポイントの構成を変更する

エンドポイントの名前と説明を変更できます。

エンドポイントコンソールにログオンします。
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。
エンドポイント ページで、[インターフェースエンドポイント] タブまたは [リバースエンドポイント] タブをクリックし、管理するエンドポイントを見つけて、そのインスタンス ID をクリックします。
- エンドポイントの名前を変更するには、次の手順を実行します。
  1. 基本情報 セクションで、インスタンス名 の横にある編集をクリックします。
  2. 表示されるダイアログボックスで、新しい名前を入力し、OK をクリックします。
- エンドポイントの説明を変更するには、次の手順を実行します。
  1. 基本情報 セクションで、説明の横にある編集をクリックします。
  2. 表示されるダイアログボックスで、新しい説明を入力し、OK をクリックします。
ゲートウェイエンドポイントの構成を変更する方法の詳細については、「その他の操作」セクションのゲートウェイエンドポイントのトピックをご参照ください。

エンドポイントを削除する

エンドポイントを削除する前に、エンドポイントに関連付けられている ENI を削除する必要があります。詳細については、「エンドポイントの ENI を削除する」をご参照ください。

警告

不要になったエンドポイントは削除できます。エンドポイントを削除すると、エンドポイントがデプロイされている VPC は、PrivateLink 接続を介して対応するエンドポイントサービスにアクセスできなくなります。この操作を実行する際は注意してください。

[エンドポイントコンソール] にログオンします。
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。
エンドポイント ページで、[インターフェースエンドポイント] タブまたは [リバースエンドポイント] タブをクリックし、削除するエンドポイントを見つけ、削除操作列のをクリックします。
エンドポイントの削除 メッセージで、OK をクリックします。

（オプション）エンドポイントにタグを追加する

エンドポイントの数が増加するにつれて、エンドポイントの管理がより困難になります。タグを使用してエンドポイントをグループ化できます。これは、エンドポイントを効率的に検索およびフィルタリングするのに役立ちます。

タグはエンドポイントを分類するために使用されます。各タグはキーと値で構成されます。タグを使用する場合は、次の制限事項に注意してください。

同じエンドポイントに追加されるタグのキーは一意である必要があります。
1 つのエンドポイントに最大 20 個のタグを追加できます。
タグを作成する場合は、エンドポイントに追加する必要があります。
タグ情報はリージョン間で共有されません。
たとえば、中国（杭州）リージョンで作成されたタグは、中国（上海）リージョンには表示されません。
タグのキーと値を変更したり、エンドポイントのタグを削除したりできます。エンドポイントを削除すると、インスタンスに追加されたタグも削除されます。

エンドポイントコンソール
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。
左側のナビゲーションウィンドウで [エンドポイント] をクリックします。 エンドポイント ページで、タグを追加するエンドポイントを見つけ、[タグ] 列の [編集] アイコンにポインターを移動し、をクリックします。

[タグの設定] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

パラメーター

説明

タグキー

タグのキー。キーを選択または入力できます。

タグキーは最大 128 文字です。 aliyun または acs: で始めることはできず、http:// または https:// を含めることはできません。

タグ値

タグの値。値を選択または入力できます。

タグ値は最大 128 文字です。 aliyun または acs: で始めることはできず、http:// または https:// を含めることはできません。

エンドポイント ページに戻り、[タグで絞り込む] をクリックします。 [フィルター] セクションで、タグキーとタグ値に基づいてエンドポイントを検索します。

エンドポイントを管理する

概要
- 請求の概要
- エンドポイントサービスの概要
ユーザーガイド:
API リファレンス:
- CreateVpcEndpoint: エンドポイントを作成します。
- ListVpcEndpoints: エンドポイントを照会します。
- UpdateVpcEndpointAttribute: エンドポイントの属性を変更します。
- DeleteVpcEndpoint: エンドポイントを削除します。