PrivateLink を使用すると、Virtual Private Cloud (VPC) またはオンプレミスデータセンターから、Alibaba Cloud サービス、パートナーの SaaS アプリケーション、および他の VPC 内のカスタムサービスへ、安全かつ確実に接続できます。この接続は Alibaba Cloud 内部ネットワーク経由で確立されるため、ネットワークアーキテクチャが簡素化され、トラフィックがパブリックインターネットを経由しないことでセキュリティが強化されます。
たとえば、ユーザーが作成したサービスにアクセスするには、サービスコンシューマーがエンドポイントを作成して、サービスプロバイダーが提供するエンドポイントサービスに接続します。サービスコンシューマーとサービスプロバイダーは、同じ Alibaba Cloud アカウント内にある場合も、異なるアカウント内にある場合もあります。
基本概念
サービスプロバイダー
サービスの所有者として、サービスプロバイダーは Alibaba Cloud リソースを使用して エンドポイントサービス を構築し、サービスコンシューマーに提供します。サービスコンシューマーは、エンドポイントサービスにリンクされたエンドポイントに接続することで、サービスにアクセスします。
サービスリソース:エンドポイントサービスは、複数のアベイラビリティゾーンにデプロイされたロードバランサーをサービスリソースとして使用できます。サポートされているサービスリソースタイプには、Network Load Balancer (NLB)、Application Load Balancer (ALB)、Classic Load Balancer (CLB)、Gateway Load Balancer (GWLB) があります。
エンドポイントサービス名:エンドポイントサービスの一意の識別子です。エンドポイントを作成する際、サービスコンシューマーはこの名前を使用してターゲットサービスを特定します。
サービスホワイトリスト:エンドポイントサービスは、デフォルトではすべてのサービスコンシューマーに表示されません。別の Alibaba Cloud アカウント内の VPC にアクセスを許可するには、サービスプロバイダーがコンシューマーのアカウント ID をサービスホワイトリストに追加する必要があります。
エンドポイントサービスが作成されると、サービスプロバイダーのアカウント ID が自動的にサービスホワイトリストに追加されます。
エンドポイントサービスのステータス:作成中、変更中、利用可能、削除中。
サービスコンシューマー
サービスコンシューマーは、VPC またはオンプレミスデータセンターからエンドポイントサービスにアクセスするために エンドポイント を作成します。
エンドポイントタイプ:サービスコンシューマーは、アクセス対象のエンドポイントサービスに基づいて、特定のタイプのエンドポイントを作成します。
ゲートウェイエンドポイント は、PrivateLink に依存しない独立した機能です。VPC が特定のクラウドサービスにアクセスする際に仮想ゲートウェイとして機能します。予約済み IP アドレス空間 100.64.0.0/10 を使用し、エンドポイントポリシーを通じてより安全なアクセスを提供します。現在、ゲートウェイエンドポイントをサポートしている唯一のクラウドサービスは Object Storage Service (OSS) です。
インターフェイスエンドポイント:サービスコンシューマーは、NLB、CLB、または ALB インスタンスをサービスリソースとして使用するエンドポイントサービスにアクセスするために、インターフェイスエンドポイントを使用します。
ゲートウェイロードバランサーエンドポイント:サービスコンシューマーは、GWLB インスタンスをサービスリソースとして使用するエンドポイントサービスにアクセスするために、ゲートウェイロードバランサーエンドポイントを使用します。ゲートウェイロードバランサーエンドポイントは、VPC ルートテーブルでネクストホップとして設定し、トラフィックを誘導できます。
リバースエンドポイント:サービスプロバイダーが、サービスコンシューマーの VPC 内のクラウドサービスへの接続を開始できるようにします。サービスコンシューマーは、リバースエンドポイントにセキュリティグループを設定することで、プロバイダーのアクセスを制限できます。リバースエンドポイントは、Alibaba Cloud サービス用のエンドポイントサービスにのみ接続できます。
エンドポイントアベイラビリティゾーン:サービスコンシューマーがエンドポイントを作成すると、PrivateLink は指定されたエンドポイントアベイラビリティゾーン内に伸縮自在なネットワークインターフェイス (ENI) を作成します。このインターフェイスは、サービストラフィックのローカルエントリポイントとして機能します。
エンドポイントポリシー:インターフェイスエンドポイントが Alibaba Cloud サービスにアクセスする場合にのみ、エンドポイントポリシーを設定できます。デフォルトでは、有効な Alibaba Cloud 認証情報を持つ VPC 内のすべてのユーザーまたはサービスが、対応するサービス内のすべてのリソースにアクセスできます。
エンドポイントのステータス:作成中、変更中、利用可能、削除中。
エンドポイント接続
サービスコンシューマーがエンドポイントを作成すると、サービスプロバイダーのエンドポイントサービスが接続リクエストを受信します。サービスプロバイダーがリクエストを承認すると、エンドポイントとエンドポイントサービスの間にエンドポイント接続が確立されます。
エンドポイント接続は、接続中、接続済み、切断中、切断済み、変更中、削除中、EndpointServiceDeleted のいずれかの状態になります。
切断済み状態は、以下の状況で発生することがあります。
エンドポイントサービスが接続を自動的に承認するように設定されていない場合、エンドポイントの初期状態は切断済みです。
エンドポイントサービスが接続リクエストを拒否した、またはまだ承認していない。
エンドポイントに未払いがある。
エンドポイントサービスに未払いがある。
コア属性
エンドポイントドメイン名
サービスコンシューマーがインターフェイスエンドポイントを作成すると、Alibaba Cloud はサービス接続用に以下のリージョンレベルおよびゾーンレベルのドメイン名を生成します。
リージョンレベルのドメイン名:
endpoint_id.endpoint_service_id.service_region.privatelink.aliyuncs.comendpoint_id:エンドポイントの ID。エンドポイントが作成された後に自動的に生成されます。endpoint_service_id:エンドポイントサービスの ID。service_region:サービスがデプロイされているリージョンの ID (例:cn-hangzhou)。privatelink.aliyuncs.com:固定ドメインサフィックス。
ゾーン固有のドメイン名:
endpoint_id-endpoint_zone.endpoint_service_id.service_region.privatelink.aliyuncs.comendpoint_zone:エンドポイントのアベイラビリティゾーンの ID (例:cn-hangzhou-j)。-:エンドポイント ID とアベイラビリティゾーン ID を区切るハイフン。
VPC から Alibaba Cloud サービスにアクセスする際は、通常、特定のサービスドメイン名を使用します。サービスに カスタムサービスドメイン名 が設定されている場合、インターフェイスエンドポイントに対してこの機能を有効にできます。有効にすると、アプリケーション内のサービスアドレスを変更することなく、同じドメイン名を使用して PrivateLink 経由でサービスにアクセスできます。
カスタムサービスドメイン名は、インターフェイスエンドポイントが存在する VPC 内でのみ有効であり、この VPC のみがプライベート IP アドレスに解決できます。他の VPC やオンプレミスデータセンターは、インターフェイスエンドポイントの VPC に接続され、DNS 解決が設定されている場合に限り、カスタムサービスドメイン名を使用してサービスにアクセスできます。
IP バージョン
サービスプロバイダーは、IPv4 またはデュアルスタックでエンドポイントサービスを提供できます。
デュアルスタックを選択できるのは、エンドポイントサービスに追加されたすべてのサービスリソースがデュアルスタックをサポートしている場合のみです。
エンドポイントサービスがデュアルスタックをサポートしている場合、サービスコンシューマーはデュアルスタックエンドポイントを設定でき、クライアントは IPv4 アドレスと IPv6 アドレスの両方を使用してサービスにアクセスできます。
サービスアクセスの高可用性
サービスプロバイダーは、複数のアベイラビリティゾーンにまたがってエンドポイントサービスのサービスリソースを設定します。
サービスリソースが NLB、ALB、または GWLB インスタンスの場合は、複数のアベイラビリティゾーンにまたがるインスタンスを追加します。
サービスリソースが CLB インスタンスの場合は、異なるプライマリアベイラビリティゾーンを持つ複数の CLB インスタンスを追加します。
サービスコンシューマーは、インターフェイスエンドポイントを作成する際に、少なくとも 2 つのアベイラビリティゾーンの vSwitch を選択します。
サービスコンシューマーは、エンドポイントドメイン名を使用してサービスにアクセスします。Alibaba Cloud は、アベイラビリティゾーンが利用不可になった場合に迅速なフェールオーバーを保証するため、完全に管理されたヘルスチェックを提供します。
異なるエンドポイントアベイラビリティゾーン内の ENI IP の可用性がリアルタイムで監視されます。異常が検出されると、対応する DNS レコードが削除され、サービスの中断やデータ損失を防ぎます。
障害が解決されると、PrivateLink は自動的に対応する DNS レコードを復元します。
弾性とスロットリング
弾性パフォーマンス
PrivateLink は自動弾性スケーリングをサポートしています。
アベイラビリティゾーン内の各エンドポイントの帯域幅は、トラフィックに応じて自動的にスケーリングします。
エンドポイントタイプとサービスリソースタイプに基づいて、異なるスケーリング制限を提供します。
弾性帯域幅メトリクスは、アベイラビリティゾーン内のエンドポイントのネットワークインターフェイスの能力のみを反映します。実際のエンドツーエンドのキャパシティは、バックエンドのサービスリソースタイプとアプリケーションの処理能力に依存します。
アプリケーションがより高いスループットを必要とする場合は、アカウントマネージャーにお問い合わせください。
エンドポイントタイプ | サービスリソースタイプ | 弾性帯域幅 |
インターフェイスエンドポイント | NLB | デフォルトの初期帯域幅は 10 Gbps です。2026 年 2 月 1 日以降に作成されたインターフェイスエンドポイントの場合、最大帯域幅は 50 Gbps までスケールアップできます。 エンドポイントが複数のアベイラビリティゾーンにまたがる場合、その最大帯域幅は |
インターフェイスエンドポイント | ALB | デフォルトの初期帯域幅は 5 Gbps で、最大 25 Gbps までスケールアップできます。 エンドポイントが複数のアベイラビリティゾーンにまたがる場合、その最大帯域幅は |
インターフェイスエンドポイント | CLB | PrivateLink は、各アベイラビリティゾーンの各エンドポイントに対して、最大 5 Gbps の帯域幅をサポートします。 エンドポイントが複数のアベイラビリティゾーンにまたがる場合、その最大帯域幅は サービスリソースタイプが CLB の場合、エンドポイント接続のデフォルトのスロットリングは 3,072 Mbps です。接続の最大帯域幅はこの制限を超えません。サービスプロバイダーがエンドポイント接続のスロットリング値を変更しない場合、各エンドポイントは各アベイラビリティゾーンで 3,072 Mbps 以下の帯域幅をサポートします。 |
ゲートウェイロードバランサーエンドポイント | GWLB | デフォルトの初期帯域幅は 5 Gbps で、最大 25 Gbps までスケールアップできます。 エンドポイントが複数のアベイラビリティゾーンにまたがる場合、その最大帯域幅は |
弾性帯域幅とスロットリング
弾性帯域幅:システムがアベイラビリティゾーンレベルで提供する自動帯域幅スケーリング。各アベイラビリティゾーン内の各エンドポイントがサポートする最大帯域幅を表し、事前設定は不要です。
スロットリング:サービスプロバイダーがエンドポイント接続に対して設定するトラフィック制御ポリシー。バックエンドのサービスリソースが過負荷にならないようにします。サービスプロバイダーは、異なるエンドポイント接続に対して異なるスロットリング値を設定できます。
継承メカニズム:サービスプロバイダーがエンドポイント接続にスロットリング制限を設定すると、各アベイラビリティゾーン内のそのエンドポイントの ENI が自動的にこの制限を継承して適用し、正確なトラフィック制御を実現します。
制限の確認方法:
GetVpcEndpointAttribute API を呼び出し、
Bandwidth値を確認します。エンドポイントの詳細ページで、基本情報セクションの 制限速度 を確認します。
なお、スロットリングはサービスレベルアグリーメント (SLA) の保証ではありません。分散アーキテクチャのため、エンドポイントのスロットリング値はアベイラビリティゾーン内の複数のデバイスに分散されます。設定された制限に達するには、複数の接続が必要です。実際のスロットリングパフォーマンスは変動する可能性があり、設定された制限を時折超えることがあります。