PrivateLink は、Alibaba Cloud サービス、パートナー SaaS アプリケーション、およびご利用の他の VPC 内サービス、またはローカルデータセンターから、Alibaba Cloud の内部ネットワークを介して、安全かつ信頼性の高いアクセスを可能にします。インターネットを使用する必要はありません。これにより、ネットワークアーキテクチャが簡素化され、セキュリティリスクの回避に役立ちます。
たとえば、ご利用のサービスを実行する場合、サービス利用者はエンドポイントを作成して、サービスプロバイダーが提供するエンドポイントサービスにアクセスします。サービス利用者とサービスプロバイダーは、同じ Alibaba Cloud アカウントまたは異なるアカウントを使用できます。
基本概念
サービスプロバイダー
サービスプロバイダーはサービスを所有します。Alibaba Cloud リソースを使用して、エンドポイントサービスを構築し、サービス利用者に提供します。サービス利用者は、そのエンドポイントサービスにリンクされたエンドポイントに接続することでサービスにアクセスします。
エンドポイントサービスリソース: 複数のゾーンにデプロイされたロードバランサーを、エンドポイントサービスのサービスリソースとして追加できます。サポートされているサービスリソースタイプには、Network Load Balancer (NLB)、Application Load Balancer (ALB)、Classic Load Balancer (CLB)、および Gateway Load Balancer (GWLB) が含まれます。
エンドポイントサービス名: これは、エンドポイントサービスの一意の識別子です。エンドポイントを作成する際、サービス利用者はこの名前を使用してターゲットサービスを識別します。
サービスホワイトリスト: エンドポイントサービスは、デフォルトではすべてのサービス利用者には表示されません。サービスプロバイダーが他の Alibaba Cloud アカウント下の VPC がエンドポイントサービスにアクセスできるようにしたい場合、それらのアカウント ID を手動でサービスホワイトリストに追加する必要があります。
エンドポイントサービスが作成されると、サービスプロバイダー自身の Alibaba Cloud アカウント ID が自動的にサービスホワイトリストに追加されます。
エンドポイントサービスステータス: 作成中、変更中、アクティブ、削除中。
サービス利用者
サービス利用者は、エンドポイントを作成することで、VPC またはローカルデータセンターからエンドポイントサービスにアクセスします。
エンドポイントタイプ: サービス利用者は、アクセスする必要があるエンドポイントサービスのタイプに基づいてエンドポイントタイプを選択します。
「ゲートウェイエンドポイント」 は PrivateLink に依存しません。特定の Alibaba Cloud サービスにアクセスする際の VPC の仮想ゲートウェイとして、ゲートウェイエンドポイントは予約済み IP アドレス空間 100.64.0.0/10 を使用し、エンドポイントポリシーを通じて Alibaba Cloud サービスへのより安全なアクセスを可能にします。現在、Object Storage Service (OSS) のみがゲートウェイエンドポイントをサポートする Alibaba Cloud サービスです。
インターフェースエンドポイント: サービスリソースタイプが NLB、CLB、または ALB であるエンドポイントサービスにアクセスするには、このエンドポイントタイプを使用します。
Gateway Load Balancer endpoint (GWLBe): サービスリソースタイプが GWLB であるエンドポイントサービスにアクセスするには、このエンドポイントタイプを使用します。GWLBe は VPC ルーティングのネクストホップとして機能し、カスタムルートを使用してトラフィックをルーティングできます。
リバースエンドポイント: サービスプロバイダーがサービス利用者の VPC 内のクラウドサービスへの接続を開始できるようにします。サービス利用者は、リバースエンドポイントでセキュリティグループを構成することで、アクセス範囲を制限できます。リバースエンドポイントは Alibaba Cloud サービスのみをサポートします。
エンドポイントゾーン: エンドポイントを作成する際、PrivateLink は指定されたエンドポイントゾーンに Elastic Network Interface (ENI) をデプロイします。この ENI は、サービスへのローカルエントリポイントとして機能します。
エンドポイントポリシー: エンドポイントポリシーは、Alibaba Cloud サービスへのアクセスに使用されるインターフェースエンドポイントに対してのみ構成できます。デフォルトでは、有効な Alibaba Cloud 認証情報を持つ VPC 内の任意のユーザーまたはサービスは、ターゲットサービス内の任意のリソースにアクセスできます。
エンドポイントステータス: 作成中、変更中、アクティブ、削除中。
エンドポイント接続
サービス利用者がエンドポイントを作成すると、サービスプロバイダーのエンドポイントサービスは接続リクエストを受信します。サービスプロバイダーがリクエストを承認すると、エンドポイントとエンドポイントサービス間にエンドポイント接続が形成されます。
エンドポイント接続には、接続中、接続済み、切断中、未接続、変更中、削除中、エンドポイントサービス削除済み のステータスがあります。
未接続は、次のいずれかを意味します。
エンドポイントサービスが手動承認用に構成されています。エンドポイントが作成された後、そのステータスは未接続になります。
エンドポイントサービスが接続リクエストを拒否したか、まだ承認していません。
エンドポイントが期限切れです。
エンドポイントサービスが期限切れです。
主要なプロパティ
エンドポイントサービスドメイン名
サービス利用者がインターフェースエンドポイントを作成すると、Alibaba Cloud はサービスへの接続用にリージョンレベルおよびゾーンレベルのサービスドメイン名を生成します。
エンドポイントサービスドメイン名: endpoint_id.endpoint_service_id.service_region.privatelink.aliyuncs.com
ゾーンドメイン名: endpoint_id-endpoint_zone.endpoint_service_id.service_region.privatelink.aliyuncs.com
ご利用の VPC から Alibaba Cloud サービスにアクセスする場合、通常は特定のサービスドメイン名を使用します。サービスにカスタムサービスドメイン名がある場合、ご利用のインターフェースエンドポイントに対してそれを有効にできます。有効にした後、PrivateLink を介してそのドメイン名を使用し続けるために、ご利用のアプリケーションでサービスアドレスを更新する必要はありません。
カスタムサービスドメイン名は、インターフェースエンドポイントが存在する VPC にのみ適用されます。その VPC のみがドメイン名をプライベート IP アドレスに解決できます。他の VPC およびローカルデータセンターは、インターフェースエンドポイントの VPC に接続し、DNS 解決を構成した後、カスタムドメイン名を使用できます。
IP バージョン
サービスプロバイダーは、IPv4 またはデュアルスタックを使用してエンドポイントサービスを提供できます。
エンドポイントサービスに追加されたすべてのサービスリソースがデュアルスタックをサポートしている場合にのみ、デュアルスタックを選択できます。
エンドポイントサービスがデュアルスタックをサポートしている場合、サービス利用者はデュアルスタックエンドポイントを構成できます。クライアントは、IPv4 または IPv6 アドレスを使用してサービスにアクセスできます。
サービスアクセスの高可用性
サービスプロバイダーは、エンドポイントサービス用にマルチゾーンサービスリソースを構成します。
サービスリソースが NLB または ALB の場合、複数のゾーンに NLB または ALB インスタンスを追加します。
サービスリソースが CLB の場合、異なるプライマリゾーンを持つ複数の CLB インスタンスを追加します。
インターフェースエンドポイントを作成する際、サービス利用者は異なるゾーンにまたがる少なくとも 2 つの vSwitch を選択します。
サービス利用者は、エンドポイントドメイン名を使用してサービスにアクセスします。Alibaba Cloud は、フルマネージドの可用性プロービングを提供します。ゾーン障害が発生した場合、トラフィックは迅速に別のゾーンに切り替わります。
プローブは、各エンドポイントゾーンの ENI IP の可用性をリアルタイムでチェックします。問題が検出された場合、対応する DNS レコードが削除されます。これにより、ゾーン障害中のサービス中断やデータ損失が防止されます。
回復後、DNS レコードは自動的に復元されます。
弾力性と速度制限
弾力的なパフォーマンス
PrivateLink は、自動弾力性スケーリングをサポートしています。
ゾーンレベルの自動スケーリングを提供します。各エンドポイントは、使用量の増加に応じてゾーンごとの帯域幅を自動的にスケーリングします。
エンドポイントタイプと EPS リソースタイプに基づいて、弾力的な上限を定義します。
現在の弾力的な帯域幅メトリックは、エンドポイントゾーン内の ENI の容量のみを反映しています。実際のエンドツーエンドスループットは、バックエンドサービスリソースタイプとアプリケーション処理能力に依存します。
ご利用のアプリケーションでより高いスループットが必要な場合は、アカウントマネージャーにお問い合わせください。
エンドポイントタイプ | サービスリソースタイプ | 弾力的な帯域幅の説明 |
インターフェースエンドポイント | Network Load Balancer (NLB) | デフォルトの初期帯域幅は 10 Gbps です。2026 年 2 月 1 日以降、新しく作成されたインターフェースエンドポイントは最大 50 Gbps までスケーリングできます。 エンドポイントが複数のゾーンにまたがる場合、最大エンドポイント帯域幅は |
インターフェースエンドポイント | Application Load Balancer (ALB) | デフォルトの初期帯域幅は 5 Gbps です。最大は 25 Gbps です。 エンドポイントが複数のゾーンにまたがる場合、最大エンドポイント帯域幅は |
インターフェースエンドポイント | Classic Load Balancer (CLB) | 各エンドポイントは、ゾーンあたり最大 5 Gbps をサポートします。 エンドポイントが複数のゾーンにまたがる場合、最大エンドポイント帯域幅は CLB サービスリソースの場合、エンドポイント接続あたりのデフォルトの帯域幅制限は 3072 Mbps です。接続あたりの最大帯域幅はこの制限を超えることはできません。したがって、サービスプロバイダーが制限を変更しない限り、各エンドポイントはゾーンあたり 3072 Mbps を超えてサポートしません。 |
Gateway Load Balancer endpoint (GWLBe) | Gateway Load Balancer (GWLB) | デフォルトの初期帯域幅は 5 Gbps です。最大は 25 Gbps です。 エンドポイントが複数のゾーンにまたがる場合、最大エンドポイント帯域幅は |
弾力的な帯域幅と速度制限の関係
弾力的な帯域幅: システムに組み込まれたゾーンレベルの自動スケーリング機能です。各エンドポイントがサポートできるゾーンあたりの最大帯域幅を定義します。事前構成は不要です。
速度制限: バックエンドサービスリソースの過負荷を防ぐために、サービスプロバイダーによって設定されるトラフィック制御ポリシーです。サービスプロバイダーは、異なるエンドポイント接続に対して異なる速度制限値を設定できます。
継承メカニズム: サービスプロバイダーがエンドポイント接続に対して速度制限値を設定すると、そのエンドポイントのすべてのゾーンにわたるすべての ENI がその値を継承し、適用します。これにより、正確なトラフィック制御が可能になります。
表示方法:
GetVpcEndpointAttribute を呼び出し、レスポンスの
Bandwidthフィールドを確認します。エンドポイントの詳細ページの基本情報ページで、制限速度フィールドを表示できます。
速度制限はサービスコミットメントではないことに注意してください。PrivateLink は分散アーキテクチャを使用しているため、ゾーン内のエンドポイントの速度制限値は、クラスター内の複数のデバイスに均等に分散されます。複数の接続がアクティブな場合にのみ、完全な速度制限値に達します。実際の速度制限結果は異なる場合があり、設定された制限を一時的に超える可能性があります。