PrivateLink:仕組み

サービスプロバイダー

サービス所有者として、サービスプロバイダーは Alibaba Cloud のリソースを使用してエンドポイントサービスを構築し、サービス利用者に提供します。サービス利用者は、エンドポイントサービスに関連付けられたエンドポイントに接続することで、サービスにアクセスします。

• エンドポイントサービスリソース：エンドポイントサービスは、複数のゾーンにデプロイされたロードバランサーをサービスリソースとして追加することをサポートしています。サポートされているサービスリソースタイプには、Network Load Balancer (NLB)、Application Load Balancer (ALB)、Classic Load Balancer (CLB)、および Gateway Load Balancer (GWLB) が含まれます。

• エンドポイントサービス名：エンドポイントサービスの一意の識別子です。エンドポイントを作成する際、サービス利用者はこの名前を指定してターゲットサービスを識別します。

• サービスホワイトリスト：デフォルトでは、エンドポイントサービスはすべてのサービス利用者に表示されません。サービスプロバイダーが別の Alibaba Cloud アカウントの VPC にアクセスを許可したい場合は、そのアカウントの ID をサービスホワイトリストに追加する必要があります。

  エンドポイントサービスが作成されると、サービスプロバイダーのアカウントが自動的にサービスホワイトリストに追加されます。

• エンドポイントサービスのステータス：作成中、変更中、利用可能、または削除中。

サービス利用者

VPC またはオンプレミスデータセンターからエンドポイントサービスにアクセスするために、サービス利用者はエンドポイントを作成します。

• エンドポイントタイプ：サービス利用者が作成するエンドポイントのタイプは、アクセスする必要があるエンドポイントサービスによって異なります。

  ゲートウェイエンドポイントは PrivateLink に依存しません。これは、VPC が特定のクラウドサービスにアクセスするための「仮想ゲートウェイ」として機能し、予約済みアドレス空間 100.64.0.0/10 を使用して、エンドポイントポリシーを通じてアクセスを制御します。現在、ゲートウェイエンドポイントをサポートしているクラウドサービスは Object Storage Service (OSS) のみです。

  • インターフェイスエンドポイント：サービス利用者は、NLB、CLB、または ALB インスタンスをバックエンドとするエンドポイントサービスにアクセスするためにインターフェイスエンドポイントを使用します。

  • ゲートウェイロードバランサーエンドポイント：サービス利用者は、GWLB インスタンスをバックエンドとするエンドポイントサービスにアクセスするためにゲートウェイロードバランサーエンドポイントを使用します。ゲートウェイロードバランサーエンドポイントは、VPC ルートテーブルのネクストホップとして設定し、トラフィックを転送することができます。

  • リバースエンドポイント：サービスプロバイダーがサービス利用者の VPC 内のクラウドサービスへの接続を開始できるようにします。サービス利用者は、リバースエンドポイントにセキュリティグループを設定することでアクセスを制限できます。リバースエンドポイントは、Alibaba Cloud サービスのエンドポイントサービスにのみ接続できます。

• エンドポイントゾーン：サービス利用者がエンドポイントを作成すると、PrivateLink は指定された各エンドポイントゾーンに Elastic Network Interface (ENI) を作成します。各 ENI は、サービスのローカルエントリポイントとして機能します。

• エンドポイントポリシー：インターフェイスエンドポイントが Alibaba Cloud サービスへのアクセスに使用される場合にのみ、エンドポイントポリシーを設定できます。デフォルトでは、有効な Alibaba Cloud 認証情報を持つ VPC 内のすべてのユーザーまたはサービスは、対応するサービスのすべてのリソースにアクセスできます。

• エンドポイントのステータス：作成中、変更中、利用可能、または削除中。

エンドポイント接続

サービス利用者がエンドポイントを作成すると、接続リクエストがサービスプロバイダーのエンドポイントサービスに送信されます。サービスプロバイダーがリクエストを承認すると、エンドポイントとエンドポイントサービスの間にエンドポイント接続が確立されます。

エンドポイント接続には、接続中、接続済み、切断中、切断済み、変更中、削除中、またはサービス削除済みのいずれかのステータスがあります。

次の場合、エンドポイント接続は「切断済み」になります：

• エンドポイントサービスが接続を自動的に受け入れるように設定されていない場合、エンドポイントの接続ステータスは作成直後に「切断済み」になります。

• サービスプロバイダーが接続リクエストを拒否したか、承認していません。

• エンドポイントに支払い遅延があります。

• エンドポイントサービスに支払い遅延があります。

エンドポイントサービスのドメイン名

サービス利用者がインターフェイスエンドポイントを作成すると、Alibaba Cloud はサービスに接続するためのリージョンドメイン名とゾーンのドメイン名を生成します：

• リージョンのドメイン名: <var id="32cc055c01ju8">endpoint_id</var>.<var id="6a53940079gn9">endpoint_service_id</var>.<var id="8b3259887bpof">service_region</var>.privatelink.aliyuncs.com

  • <var id="fb61a078abajz">endpoint_id</var>：自動生成されたエンドポイントの ID。

  • <var id="e6365c2be7m8x">endpoint_service_id</var>: エンドポイントサービスの ID です。

  • <var id="19bf2000c8oi6">service_region</var>：エンドポイントサービスが配置されているリージョンID（例：cn-hangzhou）。

  • privatelink.aliyuncs.com：固定ドメインサフィックスです。

• ゾーナルドメイン名：<var id="48767308aeevb">endpoint_id</var>-<var id="1b4c4e774dgch">endpoint_zone</var>.<var id="2a148f98e09ag">endpoint_service_id</var>.<var id="8c8076fe39fjx">service_region</var>.privatelink.aliyuncs.com

  • <var id="fa3efc918394z">endpoint_zone</var>：エンドポイントゾーンの ID（例：cn-hangzhou-j）。

  • -：エンドポイント ID とゾーン ID を区切るハイフンです。

VPC 内で Alibaba Cloud サービスにアクセスする場合、通常は特定のサービスドメイン名を使用します。サービスにカスタムサービスドメイン名が設定されている場合は、インターフェイスエンドポイントでそれを有効にできます。有効にすると、アプリケーションを変更することなく、既存のドメイン名を使用して PrivateLink 経由でプライベートにサービスにアクセスし続けることができます。

カスタムサービスドメイン名は、インターフェイスエンドポイントが存在する VPC 内でのみ有効です。この VPC のみがドメイン名をプライベート IP アドレスに解決できます。他の VPC やオンプレミスデータセンターは、エンドポイントの VPC に接続し、正しい DNS 名前解決を設定した後に、カスタムサービスドメイン名を使用してサービスにアクセスできます。

IP バージョン

サービスプロバイダーは、IPv4 またはデュアルスタックでエンドポイントサービスを提供できます。

• デュアルスタックは、エンドポイントサービスのすべてのサービスリソースもデュアルスタックをサポートしている場合にのみ選択できます。

• エンドポイントサービスがデュアルスタックをサポートしている場合、サービス利用者はデュアルスタックエンドポイントを設定できます。これにより、クライアントは IPv4 と IPv6 の両方のアドレスを使用してサービスにアクセスできます。

1. 複数のゾーンでエンドポイントサービスのサービスリソースを設定します。

   • NLB または ALB リソースの場合、複数のゾーンにデプロイされたインスタンスを追加します。

   • CLB リソースの場合、異なるプライマリゾーンを持つ複数の CLB インスタンスを追加します。

2. インターフェイスエンドポイントを作成する際に、少なくとも 2 つのゾーンから vSwitch を選択します。

3. エンドポイントドメイン名を使用してサービスにアクセスします。Alibaba Cloud は、ゾーンが利用できなくなった場合に迅速なフェールオーバーを保証するために、フルマネージドのヘルスチェックを提供します：

   • 異なるエンドポイントゾーンにある ENI の IP アドレスの可用性はリアルタイムで監視されます。異常が検出された場合、システムは対応する DNS レコードを削除して、サービスの中断やデータ損失を防ぎます。

   • 障害が解決されると、システムは自動的に DNS レコードを復元します。

弾力的なパフォーマンス

PrivateLink は自動スケーリングをサポートしています：

• PrivateLink はゾーンレベルの自動スケーリングを提供します。各ゾーンのエンドポイントの帯域幅は、ビジネスの成長に合わせて自動的にスケーリングされます。

• スケーリングの上限は、エンドポイントタイプとサービスリソースタイプによって異なります。

• 弾力性のある帯域幅の仕様は、エンドポイントゾーンの ENI の容量のみを表します。実際のエンドツーエンドの容量は、バックエンドサービスリソースタイプとご利用のアプリケーションの処理能力に依存します。

ご利用のアプリケーションでより高いスループットが必要な場合は、アカウントマネージャーに連絡して増加を申請してください。

弾力性のある帯域幅と帯域幅制限の関係

• 弾力性のある帯域幅：システムが提供するゾーンレベルの自動スケーリング機能です。これは、各エンドポイントが事前の設定なしに各ゾーン内でサポートできる最大帯域幅を表します。

• 帯域幅制限：サービスプロバイダーがバックエンドサービスリソースの過負荷を防ぐためにエンドポイント接続に設定するトラフィック制御ポリシーです。サービスプロバイダーは、異なるエンドポイント接続に対して異なる帯域幅制限値を設定できます。

  • 継承：サービスプロバイダーがエンドポイント接続に帯域幅制限を設定すると、各ゾーンのエンドポイントの ENI がこの制限を自動的に継承して適用し、正確なトラフィック制御を可能にします。

  • 制限の確認方法：

    • GetVpcEndpointAttribute 操作を呼び出し、応答の Bandwidth フィールドを確認します。

    • エンドポイントの詳細ページで、[基本情報] タブの 制限速度 パラメーターを確認します。

帯域幅制限は、サービスレベルアグリーメント (SLA) のコミットメントではないことに注意してください。分散アーキテクチャのため、ゾーン内のエンドポイントの帯域幅制限値はデバイスのクラスター全体に分散されるため、設定された制限に達するには複数の接続が必要です。実際の帯域幅制限のパフォーマンスは変動する可能性があり、設定された制限を時折超えることがあります。