Virtual Private Cloud (VPC) 内にエンドポイントを作成し、Alibaba Cloud サービスを指定できます。このエンドポイントに送信されたリクエストは PrivateLink によってターゲットサービスに転送され、パブリックインターネットを使用せずに安全かつプライベートなアクセスが可能となり、セキュリティリスクを回避できます。
インターフェイスエンドポイントを使用して、プライベートネットワーク経由で Alibaba Cloud サービスにアクセスできます。
権限付与後に、Alibaba Cloud サービスはリバースエンドポイントを使用して、ご利用の VPC 内の指定されたリソースにプライベートネットワーク経由で安全にアクセスできます。
インターフェイスエンドポイントによる同一リージョンサービスへのアクセス
サービス利用者は、VPC 内にインターフェイスエンドポイントを作成し、指定された Alibaba Cloud サービスにプライベートアクセスできます。
システムはエンドポイントゾーン用の Elastic Network Interface (ENI) を作成し、対応する vSwitch の CIDR ブロックから ENI にプライベート IP アドレスを割り当てます。
サービス利用者は、エンドポイントドメイン名またはエンドポイントゾーンドメイン名を使用して Alibaba Cloud サービスにアクセスできます。エンドポイントに送信されたすべてのサービスリクエストは、PrivateLink によってターゲットサービスに転送されます。
エンドポイントドメイン名およびエンドポイントゾーンドメイン名は、他の VPC やオンプレミスデータセンターのクライアントから解決可能な公開権威 DNS ドメイン名です。
クロスリージョンエンドポイントを有効化することで、リージョン間を直接接続し、Alibaba Cloud サービスにアクセスできます。
他の VPC および オンプレミスデータセンター が VPC に接続された後、それらもインターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスできます。
Alibaba Cloud サービスがカスタムドメイン名で構成されている場合、インターフェイスエンドポイントに対してカスタムドメイン名を有効化できます。これにより、対応する Alibaba Cloud サービスにカスタムドメイン名を使用してアクセスできます。
インターフェイスエンドポイントの作成または削除
サポートされるサービス:詳細については、「インターフェイスエンドポイントを使用したアクセスをサポートする Alibaba Cloud サービス」をご参照ください。
PrivateLink サービスを有効化済みであることを確認し、対象リージョンに VPC および vSwitch と セキュリティグループ を作成済みである必要があります。
コンソール
エンドポイント - エンドポイントの作成ページに移動します。
インターフェイスエンドポイントを構成します。
基本設定:
リージョン:アクセスしたい Alibaba Cloud サービスがデプロイされているリージョンを選択します。
名前と説明:クラウドリソースを識別するために、エンドポイントの名前と説明を指定します。
タイプ:Alibaba Cloud サービス を選択します。
利用可能なサービス:エンドポイントサービス名に基づいて、アクセスしたい Alibaba Cloud サービスを選択します。
利用可能:Alibaba Cloud サービスが選択したリージョンにデプロイされており、サービス利用者が Alibaba Cloud サービスへの接続権限を保有しています。
ネットワーク設定:
高可用性を確保するため、少なくとも 2 つのゾーンにある vSwitch を選択してください。エンドポイントゾーンの ENI に vSwitch 内の IP アドレスを指定できます。IP アドレスを指定しない場合は、システムが自動的に割り当てます。
vSwitch の システム予約済み IP アドレス を ENI に指定することはできません。
IP バージョン:Alibaba Cloud サービスがデュアルスタックをサポートしている場合、デュアルスタックを選択できます。これにより、クライアントは IPv4 および IPv6 アドレスの両方を使用してサービスにアクセスできます。そうでない場合は、IPv4 のみを選択できます。
セキュリティグループ:インターフェイスエンドポイントに関連付けられたセキュリティグループを指定し、すべてのエンドポイントゾーン内の ENI へのインバウンドトラフィックを制御します。
詳細設定:
カスタムドメイン名の有効化:Alibaba Cloud サービスがカスタムドメイン名をサポートしている場合、このオプションを有効化できます。詳細については、「カスタムドメイン名を使用した Alibaba Cloud サービスへのアクセス」をご参照ください。
ゾーンアフィニティの利用可否:Alibaba Cloud サービスがゾーンアフィニティをサポートしている場合、この機能を有効または無効にできます。
この機能を有効化すると、インターフェイスエンドポイントと同じゾーンにいるサービス利用者がエンドポイントドメイン名を使用してサービスにアクセスする際、Alibaba Cloud DNS は対応するエンドポイントゾーン内の ENI の IP アドレスを優先的に返します。これにより、最寄りアクセスが実現されます。
インターフェイスエンドポイントがデプロイされていないゾーンからサービスにアクセスする場合、またはゾーンアフィニティを無効化している場合、Alibaba Cloud DNS はすべてのエンドポイントゾーン内の利用可能な ENI の IP アドレスを返します。
エンドポイントポリシー:デフォルトエンドポイントポリシー(完全アクセスを許可)を維持してください。カスタムエンドポイントポリシー (カスタムエンドポイントポリシー) を構成できるかどうかは、対象の Alibaba Cloud サービスにより異なります。
エンドポイントの作成後、同一 VPC 内の ECS インスタンスで以下のコマンドを実行して接続をテストできます。
ping <エンドポイントゾーン内の ENI の IP アドレス> # ENI の IP アドレスは、インスタンス詳細ページの [ゾーンとネットワークインターフェースカード] タブで確認できます。 # HTTP/HTTPS サービスの場合は、サービスポートに直接アクセスすることを推奨します。 curl -sI http://<エンドポイントドメイン名> # エンドポイントドメイン名は、エンドポイント一覧ページで確認できます。 # セキュリティグループのインバウンドルールで HTTP (ポート 80) および HTTPS (ポート 443) のアクセスを許可する必要があります。これにより、エンドポイントが存在する VPC が HTTP または HTTPS 経由でサービスにアクセスできます。 # サービスが HTTPS アクセスをサポートしているかどうかは、サービスにより異なります。
API
CreateVpcEndpoint 操作を呼び出して、インターフェイスエンドポイントを作成します。
高可用性の構成
マルチゾーンインターフェイスエンドポイントを通じてエンドポイントドメイン名を使用してサービスにアクセスする場合、Alibaba Cloud はフルマネージドの可用性プローブを提供します。これにより、あるゾーンで障害が発生した場合でも迅速にフェールオーバーが実行されます。
フェールオーバー:システムは継続的に異なるエンドポイントゾーン内の ENI の可用性をプローブします。ENI がヘルスチェックに失敗した場合、システムはその DNS レコードを削除し、障害が発生したゾーンへのトラフィックのルーティングを停止します。
フェールバック:ENI が再度利用可能になった後、システムは自動的にその DNS レコードを復元します。
コンソール
複数ゾーンの構成
インターフェイスエンドポイントを作成する際、少なくとも 2 つのゾーンにある vSwitch を選択します。
エンドポイントの作成後、対象のインターフェイスエンドポイントの ID をクリックします。ゾーンと ENI タブで、ゾーンの追加 をクリックします。
対象ゾーンの 操作 列で 削除 をクリックして、サービスからゾーンを削除できます。
構成が完了すると、ゾーンと ENI タブで、エンドポイントゾーン内の ENI の対応する ゾーンドメイン および IP アドレス を確認できます。
高可用性を確保するため、サービスへのアクセスにはエンドポイントドメイン名を使用してください。インターフェイスエンドポイント一覧ページで エンドポイントドメイン を確認できます。
API
AddZoneToVpcEndpoint 操作を呼び出して、エンドポイントにゾーンを追加します。
RemoveZoneFromVpcEndpoint 操作を呼び出して、エンドポイントからゾーンを削除します。
ゾーンアフィニティ
Alibaba Cloud サービスがゾーンアフィニティをサポートしている場合、この機能を有効化して最寄りアクセスを実現できます。
有効化すると、クライアントからのリクエストは、同じゾーン内にあるエンドポイントの ENI に優先的にルーティングされます。
クライアントが ENI のないゾーンにいる場合、またはゾーンアフィニティが無効の場合、リクエストは利用可能な任意の ENI にルーティングされます。
Alibaba Cloud サービスのゾーンアフィニティサポート状況が変更された場合:
Alibaba Cloud サービスがゾーンアフィニティのサポートを終了した場合:
サービス利用者がインターフェイスエンドポイントを作成する際、ゾーンアフィニティを有効化できません。
既存のインターフェイスエンドポイントについて:
ゾーンアフィニティが無効の場合、現在の状態は影響を受けませんが、有効化はできません。
ゾーンアフィニティが有効の場合、現在の状態は影響を受けず、無効化できます。
Alibaba Cloud サービスがゾーンアフィニティのサポートを開始した場合:
サービス利用者がインターフェイスエンドポイントを作成する際、ゾーンアフィニティを有効または無効にできます。
既存のインターフェイスエンドポイントについて、現在の状態は影響を受けず、有効または無効にできます。
コンソール
ゾーンアフィニティの有効化または無効化
インターフェイスエンドポイントを作成する際、ゾーンアフィニティの利用可否 を構成します。
エンドポイントの作成後、対象のインターフェイスエンドポイントの ID をクリックします。[基本情報] タブで、ゾーンアフィニティの利用可否 の横にあるスイッチを 有効化 または 無効化 に切り替えます。
API
作成時:CreateVpcEndpoint 操作を呼び出し、
ZoneAffinityEnabledパラメーターを構成します。作成後:UpdateVpcEndpointAttribute 操作を呼び出し、
ZoneAffinityEnabledパラメーターを変更します。
PrivateLink 接続のセキュリティ保護
PrivateLink は、セキュリティグループ、ネットワーク ACL、エンドポイントポリシーの 3 つのレイヤーによるアクセスの制御を提供します。これらを個別または組み合わせて使用することで、詳細なセキュリティ制御を実装できます。
セキュリティグループ:すべてのエンドポイントゾーン内の ENI に適用され、VPC 内のリソースからインターフェイスエンドポイントへのトラフィックを制御します。
インターフェイスエンドポイントを作成する際、カスタムセキュリティグループを必ず選択する必要があります。エンドポイントの作成後、セキュリティグループを追加または削除できますが、エンドポイントに関連付けられたセキュリティグループが少なくとも 1 つ存在するようにしてください。
インターフェイスエンドポイントを作成すると、PrivateLink はマネージドセキュリティグループを作成します。デフォルトでは、アウトバウンドルールに優先度 1 のルールが含まれており、すべてのトラフィックが任意の IPv4 または IPv6 アドレス宛てに許可されます。
マネージドセキュリティグループは、ECS コンソールのセキュリティグループページで確認できます。
マネージドセキュリティグループは変更または削除できません。ただし、マネージドセキュリティグループはセキュリティグループクォータ
q_security-groups(アカウントが所有できるセキュリティグループの最大数)を消費します。
カスタムセキュリティグループに優先度 1 のアウトバウンド拒否ルールを追加すると、サービスにアクセスできなくなる可能性があります。これは、同じ優先度の拒否ルールが許可ルールよりも優先されるためです。アウトバウンド拒否ルールは慎重に構成してください。
ネットワーク ACL:エンドポイントゾーンの ENI が配置されている vSwitch へのインバウンドおよびアウトバウンドトラフィックを制御します。
エンドポイントポリシー:インターフェイスエンドポイントを使用して Alibaba Cloud サービスにアクセスする際、エンドポイントポリシーを構成できます。
インターフェイスエンドポイントを使用してアクセス可能なすべての Alibaba Cloud サービスは、インターフェイスエンドポイントへの完全アクセスを許可するデフォルトエンドポイントポリシーをサポートしています。
現在、Object Storage Service (OSS) および PAI - AI WorkSpace のみがカスタムエンドポイントポリシーをサポートしており、特定のユーザーによる特定のリソースへのアクセスを制限できます。
コンソール
セキュリティグループの構成
インターフェイスエンドポイントを構成する際、1 つ以上のセキュリティグループに割り当てる必要があります。エンドポイントの作成後、セキュリティグループを追加または削除できます。
セキュリティグループの追加:対象エンドポイントの詳細ページの セキュリティグループ タブで、セキュリティグループに参加 をクリックします。
セキュリティグループの削除:削除対象のセキュリティグループの 操作 列で 削除 をクリックします。
関連付けられたセキュリティグループのルールに一致するクライアントトラフィックのみが、インターフェイスエンドポイント経由で Alibaba Cloud サービスにアクセスできます。以下のセキュリティグループルールを参考に構成できます。
インバウンドトラフィックについて、特定の IP アドレスからのアクセスを許可するルールのみを追加した場合、他の IP アドレスからのクライアントはこのエンドポイント経由で Alibaba Cloud サービスにアクセスできません。
アウトバウンド方向では、デフォルトですべてのアクセスが許可されています。つまり、セキュリティグループ内の ECS インスタンスは外部リソースへのアクセスが許可されています。
ネットワーク ACL の構成
VPC コンソール - ネットワーク ACL ページに移動します。ページ上部で対象リージョンを選択し、ネットワーク ACL の作成 をクリックします。
VPC で、インターフェイスエンドポイントが配置されている VPC を選択します。
インスタンス ID をクリックするか、操作 列で 管理 をクリックします。バインド済みリソース タブで、vSwitch と関連付ける をクリックし、インターフェイスエンドポイントが属する対象の vSwitch を選択して、OK をクリックします。関連付けられた vSwitch は、ネットワーク ACL ルールに基づいて vSwitch への出入りトラフィックを制御します。
制御を解除するには、関連付け後、このタブの対象 vSwitch の 操作 列で バインド解除 をクリックできます。
対象ネットワーク ACL の インバウンドルール/アウトバウンドルール タブで、インバウンドルールの管理/アウトバウンドルールの管理 をクリックします。トラフィックが プロトコルタイプ、IP バージョン、送信元 IP アドレス/送信先 IP アドレス、および ソースポートの範囲 に基づいてネットワーク ACL ルールに一致する場合、システムは指定された アクション を適用してトラフィックを許可または拒否します。
エンドポイントポリシーの構成
Alibaba Cloud サービスにアクセスする際、エンドポイントポリシーを構成できます。エンドポイントの作成後、エンドポイント詳細ページの [エンドポイントポリシー] タブに移動し、編集 をクリックしてポリシーを変更できます。
API
AttachSecurityGroupToVpcEndpoint 操作を呼び出して、エンドポイントをセキュリティグループに関連付けます。
DetachSecurityGroupFromVpcEndpoint 操作を呼び出して、エンドポイントをセキュリティグループから関連付け解除します。
CreateVpcEndpoint または UpdateVpcEndpointAttribute 操作を呼び出す際、PolicyDocument パラメーターを渡してエンドポイントポリシーを構成します。
カスタムドメイン名の使用
VPC から Alibaba Cloud サービスにアクセスする際、通常は特定のサービスドメイン名を使用します。サービスがカスタムドメイン名で構成されている場合、作成するインターフェイスエンドポイントに対してカスタムドメイン名を有効化できます。これにより、アプリケーションの構成を変更せずに、PrivateLink を通じてプライベートにカスタムドメイン名を使用してサービスにアクセスできます。
カスタムドメイン名は、インターフェイスエンドポイントが配置されている VPC 内でのみ有効です。この VPC のみがドメイン名をプライベート IP アドレスに解決できます。他の VPC やオンプレミスデータセンターがこの VPC に接続され、名前解決が構成された後、それらもカスタムドメイン名を使用してサービスにアクセスできます。
同一 VPC 内で複数のインターフェイスエンドポイントに対して同時にカスタムドメイン名を有効化することはできません。最初にドメイン名を有効化したインターフェイスエンドポイントが優先され、他のインターフェイスエンドポイントはドメイン名を有効化できません。
Alibaba Cloud サービスがエンドポイントサービスに対してカスタムドメイン名を構成および検証した後でのみ、インターフェイスエンドポイントに対してカスタムドメイン名を有効化できます。
カスタムドメイン名の名前解決は、PrivateLink が管理する PrivateZone によって提供されます。
カスタムドメイン名の有効化
インターフェイスエンドポイントを作成する際、カスタムドメイン名の有効化 を はい に設定します。
エンドポイントの作成後、インターフェイスエンドポイント詳細ページの エンドポイントサービスドメイン名 セクションに移動し、カスタムドメイン名 スイッチをオンにします。
不要になった場合は、ここでオフにできます。
サービスへのアクセス
同一 VPC からのアクセス:インターフェイスエンドポイントが配置されている VPC 内では、追加の構成なしで直接カスタムドメイン名を使用してサービスにアクセスできます。
別の VPC からのアクセス:
ネットワークの接続:詳細については、「VPC 間相互接続ソリューション」をご参照ください。VPC ピアリング接続または Cloud Enterprise Network (CEN) を選択して VPC を接続します。
名前解決の構成:
Private DNS コンソール に移動し、Add Zone をクリックします。カスタムドメイン名を構成し、ドメイン名のスコープを Alibaba Cloud VPC に設定して、対象 VPC を選択します。
ドメイン ID をクリックします。Settings タブで、Add Record をクリックします。ホスト名が
@、レコード値がデフォルトサービスドメイン名の CNAME レコードを追加します。
オンプレミスデータセンターからのアクセス
ネットワークの接続:詳細については、「VPC とオンプレミスデータセンターの接続ソリューション」をご参照ください。Express Connect または VPN ゲートウェイを選択してオンプレミスデータセンターに接続します。
名前解決の構成:
Private DNS コンソール に移動し、インバウンドエンドポイントを追加する をクリックします。Inbound VPC にインターフェイスエンドポイントが配置されている VPC を設定します。高可用性を確保するため、少なくとも 2 つのゾーンからインバウンドトラフィックサービス IP アドレスを追加してください。
オンプレミスデータセンターにフォワーディングゾーンを構成します。
ここでは BIND を例として説明します。オンプレミスデータセンターで異なる DNS システムを使用している場合は、そのドキュメントを参照して条件付き転送を構成してください。原則は同じで、特定のドメインに対する DNS リクエストを VPC PrivateZone インバウンドエンドポイントのサービス IP アドレスに転送します。
BIND ファイルを構成します。
BIND 設定ファイルの場所はオペレーティングシステムによって異なります。一般的なパスは
/etc/named.confおよび/etc/bind/named.confです。// この例は pai-dlc サービスへのアクセス方法を示しています。ゾーンを対応するカスタムドメイン名に設定してください。 zone "pai-dlc-vpc.cn-beijing.aliyuncs.com" IN { type forward; forwarders { 10.0.0.173; // インバウンドエンドポイントのサービス IP アドレスに置き換えてください。 10.0.1.109; }; };BIND サービスを再起動して、構成が有効になるようにします。
BIND サービスを再起動するコマンドはオペレーティングシステムによって異なります。一般的なコマンドは
systemctl restart namedです。
切断
Alibaba Cloud サービスへのアクセスが不要になった場合、インターフェイスエンドポイントを削除できます。この操作は取り消せないため、サービスへのエンドポイント接続が終了します。慎重に実行してください。
コンソール
対象インターフェイスエンドポイントの 操作 列で 削除 をクリックします。エンドポイントを削除すると、エンドポイントが属する VPC は対応する Alibaba Cloud サービスにプライベート接続でアクセスできなくなります。エンドポイントを削除する際、このエンドポイントのゾーンも削除する を選択して、エンドポイントゾーン内の ENI も同時に削除できます。
API
DeleteVpcEndpoint 操作を呼び出して、インターフェイスエンドポイントを削除します。
インターフェイスエンドポイントによるクロスリージョンサービスへのアクセス
クロスリージョン機能を有効化したインターフェイスエンドポイントを作成し、別のリージョンにある Alibaba Cloud サービスにプライベート接続できます。
現在、Model Studio がクロスリージョン接続をサポートする Alibaba Cloud サービスです。他の Alibaba Cloud サービスのサポートは継続的に追加されています。
サービス利用者がクロスリージョンエンドポイントを有効化し、サービスリージョンを選択すると、システムは自動的にそのリージョンで利用可能な Alibaba Cloud サービスを表示します。
利用可能:Alibaba Cloud サービスが選択したサービスリージョンにデプロイされており、サポート対象リージョンにご利用のエンドポイントのリージョンが含まれています。
エンドポイント作成時にサービスを選択できない場合は、サービスプロバイダーに連絡して、ご利用のアカウントがサービスのホワイトリストに登録されていることを確認してください。
サービス利用者はエンドポイントドメイン名を使用してサービスにアクセスできます。リージョン間で Alibaba Cloud サービスに接続する場合、システムはエンドポイントゾーンドメイン名を生成しません。これにより、アプリケーションは PrivateLink のフルマネージド可用性プローブおよびフェールオーバー機能を活用できます。
高可用性を実現するため、少なくとも 2 つのゾーンにインターフェイスエンドポイントを作成することを推奨します。
Alibaba Cloud サービスがカスタムドメイン名で構成されている場合、インターフェイスエンドポイントに対してカスタムドメイン名を有効化できます。これにより、対応する Alibaba Cloud サービスにカスタムドメイン名を使用してアクセスできます。
コンソール
エンドポイント - エンドポイントの作成ページに移動します。
インターフェイスエンドポイントを構成します。
リージョン:アクセスしたい Alibaba Cloud サービスがデプロイされているリージョンを選択します。
タイプ:Alibaba Cloud サービス を選択します。
サービス設定:クロスリージョンエンドポイントの有効化 を選択し、サービスリージョン を選択します。
利用可能なサービス:サービスリージョンでサポートされている Alibaba Cloud サービスの一覧から、エンドポイントサービス名に基づいて宛先サービスを選択します。
クロスリージョン帯域幅設定:
課金方式:CDT 課金。リージョン間トラフィック料金は CDT によって一元的に精算および請求されます。課金対象項目の完全な一覧については、「リージョン間プライベート接続」をご参照ください。
帯域幅:接続リージョン が中国本土内のリージョン間接続の場合、デフォルトリージョン間帯域幅は 1,000 Mbit/s です。中国本土外のリージョン間接続の場合、デフォルトリージョン間帯域幅は 100 Mbit/s です。これらの値は、
pvl_quota_cross_region_ep_max_bandwidth_payg_chinaおよびpvl_quota_cross_region_ep_max_bandwidth_payg_overseaクォータを使用して調整できます。
その他の構成については、「インターフェイスエンドポイントの作成または削除」をご参照ください。
API
CreateVpcEndpoint 操作を呼び出して、インターフェイスエンドポイントを作成します。
リバースエンドポイントによるユーザーリソースへのアクセス
権限付与後に、Alibaba Cloud サービスはリバースエンドポイントを使用して、ご利用の VPC 内の指定されたリソースにプライベートネットワーク経由で安全にアクセスできます。セキュリティグループおよびネットワーク ACL を使用して、サービスがアクセスできるリソースをさらに制限できます。
セキュリティグループはすべてのエンドポイントゾーン内の ENI に適用され、リバースエンドポイントから VPC 内のリソースへのトラフィックを制御します。
リバースエンドポイントの作成後、PrivateLink はマネージドセキュリティグループを作成します。デフォルトでは、インバウンドルールに優先度 1 のルールが含まれており、すべてのトラフィックが任意の IPv4 または IPv6 アドレスから許可されます。
マネージドセキュリティグループは、ECS コンソールのセキュリティグループページで確認できます。
マネージドセキュリティグループは変更または削除できません。ただし、マネージドセキュリティグループはセキュリティグループクォータ
q_security-groups(アカウントが所有できるセキュリティグループの最大数)を消費します。
サポートされるサービス:詳細については、「リバースエンドポイントを使用したアクセスをサポートする Alibaba Cloud サービス」をご参照ください。
PrivateLink サービスを有効化済みであることを確認し、対象リージョンに VPC および vSwitch と セキュリティグループ を作成済みである必要があります。
リバースエンドポイントはデュアルスタックアクセスをサポートしていません。
コンソール
リバースエンドポイントの作成
エンドポイント - エンドポイントの作成ページに移動します。
リバースエンドポイントを構成します。
基本設定:
リージョン:Alibaba Cloud サービスにアクセスさせたいリソースが含まれるリージョンを選択します。
タイプ:リバースエンドポイントを選択します。
名前と説明:クラウドリソースを識別するために、エンドポイントの名前と説明を指定します。
タイプ:Alibaba Cloud サービス を選択します。
利用可能なサービス:エンドポイントサービス名に基づいて、アクセスしたい Alibaba Cloud サービスを選択します。
ネットワーク設定:高可用性を確保するため、少なくとも 2 つのゾーンにある vSwitch を選択することを推奨します。エンドポイントゾーンの ENI に vSwitch 内の IP アドレスを指定できます。IP アドレスを指定しない場合は、システムがデフォルトで割り当てます。
セキュリティグループ:すべてのエンドポイントゾーン内の ENI にセキュリティグループを指定します。このセキュリティグループは、Alibaba Cloud サービスからご利用のリソースへのアクセスを制御します。
リバースエンドポイントの削除
対象リバースエンドポイントの 操作 列で 削除 をクリックします。エンドポイントを削除すると、対応する Alibaba Cloud サービスはご利用の VPC 内の指定されたリソースにリバースエンドポイント経由でアクセスできなくなります。
API
CreateVpcEndpoint 操作を呼び出して、リバースエンドポイントを作成します。
DeleteVpcEndpoint 操作を呼び出して、リバースエンドポイントを削除します。
詳細情報
ゲートウェイエンドポイントとインターフェイスエンドポイント
ゲートウェイエンドポイント は PrivateLink に依存せず、限定された数の Alibaba Cloud サービスのみをサポートします。
特徴 | ゲートウェイエンドポイント | PrivateLink |
ユースケース | OSS バケットポリシーとエンドポイントポリシーを組み合わせて使用し、不正アクセスのリスクを低減し、双方向認証を実装します。
| VPC からプライベートネットワーク経由で Alibaba Cloud サービスに安全にアクセスするための標準ソリューションです。ゲートウェイエンドポイントよりも多くのクラウドサービスタイプおよび高度な機能をサポートします。 |
サポートされるサービスタイプ | 現在、Object Storage Service (OSS) のみをサポートしています。 | 多くの Alibaba Cloud サービスおよびユーザー作成サービス(ISV が提供するサービスを含む)をサポートしています。 |
VPC セキュリティ機能 | エンドポイントポリシーのみをサポートします。 | セキュリティグループ、ネットワーク ACL、エンドポイントポリシーをサポートします。 |
ネットワーク機能 | 複雑なネットワーク構成はサポートされていません。Alibaba Cloud サービスの CIDR ブロック (100.x.x.x/8) と競合する可能性があります。 | 複雑なネットワーク構成をサポートしています。VPC ピアリング接続、Cloud Enterprise Network (CEN)、Express Connect、または VPN ゲートウェイと組み合わせて使用し、リージョン間およびハイブリッドクラウドネットワークを構築できます。 |
運用保守機能 | なし | 監査およびトラブルシューティング用のフローログをサポートしています。 |
料金 | 無料です。 | インスタンス料金およびデータ転送料金が発生します。 ユーザー作成サービスの場合、サービス利用者またはサービスプロバイダーのどちらが料金を支払うかを選択できます。 |