サーバーレスアプリケーションエンジン(SAE)ネットワークの概念と機能、およびさまざまなネットワークアクセス要件に対応するための適切なネットワークタイプを決定する方法について説明します。
概念と機能のインデックス
レベル 1 カテゴリ | レベル 2 カテゴリ |
なし | |
Alibaba Cloud ネットワークインフラストラクチャ
仮想プライベートクラウド(VPC):Alibaba Cloud 上に作成されるカスタムプライベートネットワーク。VPC は論理的に相互に分離されています。
説明デフォルトでは、VPC からインターネットへのアクセスは拒否されます。
vSwitch:VPC のコアコンポーネントとして機能するネットワークデバイスであり、イーサネットスイッチとして機能します。VPC 内にデプロイされた各クラウドリソースは、指定された vSwitch にリンクされている必要があります。
Elastic IP Address (EIP):EIP は、Elastic Compute Service (ECS) インスタンスや SAE インスタンスなどの 1 つのリソースのみに関連付けることができます。その後、関連付けられたリソースは、インターネット経由で他のサービスにアクセスしたり、他のサービスからアクセスされたりできます。
NAT (ネットワークアドレス変換) ゲートウェイ:NAT ゲートウェイのソースネットワークアドレス変換 (SNAT) 機能により、VPC 内のすべてのリソースがインターネットにアクセスできます。インターネット NAT ゲートウェイは VPC 内のすべてのリソースに適していますが、EIP は VPC 内の 1 つのリソースのみに適しています。
SAE ネットワークアクセスのシナリオと方法
SAE にデプロイされたアプリケーションの仕組みは次のとおりです。
SAE アプリケーション間の内部アクセス(マイクロサービス以外)
サーバーレスモデルでは、各デプロイメントでインスタンスの新しい内部 IP アドレスが生成されますが、インスタンス IP アドレスを介したアプリケーション間の直接アクセスはサポートされていません。SAE アプリケーション間の内部アクセスは、次のいずれかの方法で実現できます。
SAE Ingress (ALB/CLB):Alibaba Cloud のプライベートネットワーク ALB/Application Load Balancer または CLB を使用してゲートウェイルーティングを実装し、ドメイン名またはパスに基づいてさまざまな SAE アプリケーションへのトラフィックをルーティングします。詳細については、「」をご参照ください。
インターネットから SAE アプリケーションへのアクセス(インバウンドトラフィック)
次の方法でアクセスを実現できます。
SAE Service (CLB):Alibaba Cloud Server Load Balancer (パブリック CLB) に基づいてインバウンドトラフィックを有効にします。詳細については、「」をご参照ください。
SAE Ingress (ALB):Alibaba Cloud のプライベートネットワーク ALB/Application Load Balancer または CLB を使用してゲートウェイルーティングを実装し、ドメイン名またはパスに基づいてさまざまな SAE アプリケーションへのトラフィックをルーティングします。詳細については、「」をご参照ください。
SAE EIP:各 SAE アプリケーションインスタンスに EIP を割り当てます。これにより、インスタンスはインターネット経由でアクセスしたり、アクセスされたりできます。詳細については、「」をご参照ください。
次の表に、Ingress、Service、EIP の違いを示します。インターネットから SAE アプリケーションへのアクセスを実現するには、Ingress を使用することをお勧めします。
機能 | Ingress | Service (CLB) | Elastic IP Address (EIP) |
ルーティング機能 | サポートされています。 | サポートされていません。アクセスできるアプリケーションは 1 つだけです。 | サポートされていません。ほとんどの場合、EIP リストを取得し、アクセス ポリシーを自分で管理する必要があります。 |
7 層プロトコル(HTTP/HTTPS/WebSocket/gRPC など) | サポートされています | サポートされています | サポートされています |
4 層プロトコル(TCP/UDP) | サポートされていません | サポートされています | サポートされています |
クロスドメインおよび書き換え機能 | サポートされています | サポートされていません。自分で実装する必要があります。 | サポートされていません。自分で実装する必要があります。 |
固定アクセスアドレス | はい | はい | いいえ |
料金 |
SAE アプリケーションからインターネットへのアクセス(アウトバウンドトラフィック)
次の方法でアクセスを実現できます。
NAT ゲートウェイ:VPC の NAT ゲートウェイを有効にすると、VPC 内のすべての SAE アプリケーションがインターネットに接続できるようになります。詳細については、「」をご参照ください。
SAE EIP:各 SAE アプリケーションインスタンスに EIP を割り当てます。これにより、インスタンスはパブリックインターネット経由でアクセスしたり、アクセスされたりできます。詳細については、「」をご参照ください。
SAE アプリケーションが VPC リソースにアクセスする
SAEは Alibaba Cloud VPC ネットワークに基づいているため、SAE アプリケーションは ECS インスタンス、Alibaba Cloud RDS、Alibaba Cloud Tair (Redis 互換) など、同じ VPC 内のリソースに直接アクセスできます。逆に、同じ VPC 内の Alibaba Cloud リソースも SAE アプリケーションにアクセスできます。
セキュリティグループとサービスホワイトリストが正しく構成されていることを確認します。問題が発生した場合は、「よくある質問」のトラブルシューティング手順を参照してください。
マイクロサービスからサービスレジストリへのアクセスとインスタンス間のアクセス
詳細については、「」をご参照ください。
SAE ネットワークアクセス方法の比較
Ingress と Service
は、ドメインとパスに基づいてトラフィックをさまざまなアプリケーションにルーティングすることをサポートしていますが (下図に示すように)、Service にはこの機能がありません。したがって、このようなルーティング機能が必要な場合は、Ingress を使用することをお勧めします。ドメインベースのアクセスが利用できないシナリオ (IP 経由のアクセス) では、Service を選択できます。
CLB と K8s Service
Service は、CLB または K8s Service に基づいて実装できます。次の表に、これらの方法の違いを示します。
機能 | CLB | K8s Service |
料金 | 無料 | |
適用可能なシナリオ | インターネットまたはプライベートネットワークからアプリケーションにアクセスするために使用できます。 | 同じ VPC 内の SAE アプリケーション間の内部アクセスにのみ使用できます。 |
運用と管理 | CLB はスタンドアロンサービスとして動作し、カスタマイズされた監視、アラーム通知、ログ集約のための Alibaba Cloud Log Service (SLS) との統合機能を提供します。これにより、詳細なログによるネットワーク問題のきめ細かい診断と追跡が可能になります。 | K8s は、監視、アラート、またはアクセスログ機能の組み込みサポートをネイティブに提供していません。これらの機能は、アプリケーションコンポーネントによって個別に構成および管理する必要があります。 |
NAT ベースのインターネットアクセスと EIP ベースのインターネットアクセスの比較
下の図は、EIP ベースのインターネットアクセスを示しています。各インスタンスには EIP が関連付けられています。EIP リソースの割り当てが不十分な場合、インスタンスの作成は失敗し、アプリケーションは外部サービスを提供できなくなります。
次の表に、NAT ベースのインターネットアクセスと EIP ベースのインターネットアクセスを比較します。
機能 | NAT | EIP |
適用範囲 | VPC レベルまたは vSwitch レベルでアクセスを制御でき、パブリック IP アドレスがない VPC または vSwitch 内のすべてのインスタンスからのアウトバウンド (インターネットエグレス) トラフィックのプロキシサービスを提供します。 1 つの NAT 構成で VPC または vSwitch 全体をカバーできるため、すべてのインスタンスでアウトバウンドインターネットアクセスが可能になります。 | インスタンスレベルで動作します。インバウンドとアウトバウンドの両方のインターネット接続が必要な各インスタンスには、個別に EIP を割り当てる必要があります (たとえば、10 個のインスタンスには 10 個の EIP が必要です)。 インスタンスに EIP を割り当てると、インバウンドとアウトバウンドのインターネット接続が許可されます。 |
固定パブリック IP アドレス | はい、NAT ゲートウェイは固定パブリック IP アドレスを提供します。 | いいえ。SAE は、新しいインスタンスを EIP に正常に割り当てた後にのみ、既存のインスタンスを終了し、EIP を解放します。そのため、使用可能な EIP の総数が現在のインスタンス数よりも少なくとも 1 つ多くなるようにしてください。これにより、インスタンスのスケーリングまたは置換プロセス中のサービスの中断を防ぎます。 |
典型的なシナリオ | アプリケーションは手動介入なしでインスタンスを自動的にスケーリングします。新しいインスタンスはデフォルトでアウトバウンドインターネット機能を必要とし、固定 IP アドレスを使用します (95% 以上のユースケースに適しています)。 | 動的 IP アドレスは、インスタンスへの直接接続が必要なシナリオ (オンライン会議など) に許容され、各インスタンスのライフサイクルを手動できめ細かく制御する必要もあります。 |
料金 | 詳細については、「NAT ゲートウェイ料金」をご参照ください。 | 詳細については、「EIP 料金」をご参照ください。インスタンス数が 20 以下の場合、EIP の方が費用対効果が高くなります。 |
よくある質問
パブリックドメイン名を SAE アプリケーションにバインドするにはどうすればよいですか?
SAE 自体はドメイン関連の操作を処理しません。パブリックドメインをバインドするには、SAE アプリケーションの ALB (Application Load Balancer) または CLB (Cloud Load Balancer) を構成し、対応するパブリック IP アドレスまたはドメイン名を取得してから、DNS サービスプロバイダーのコンソールでドメインをパブリック IP/ドメインにバインドします。
SAE アプリケーションが ECS インスタンスにアクセスできない
次の手順に従ってトラブルシューティングを行います。
SAE と ECS サーバーの両方が同じ VPC 内にあることを確認し、セキュリティグループに必要なポートが開いていることを確認します。
ECS インスタンス内で ping コマンドと telnet コマンドを使用して、接続を確認できます。これらのコマンドが使用できない場合は、「手順」に従ってインストールしてから、コマンドを再度実行してください。
インターネットによって ECS にアクセスする方法については、「」をご参照ください。
SAE アプリケーションが RDS/Redis (Tair) データベースにアクセスできない
まず、SAE アプリケーションがアクセスする RDS または Tair (Redis 互換) データベースアドレスがパブリックアドレスか内部アドレスかを確認します。内部アドレスは、パブリックアドレスと比較してネットワーク品質が優れており、レイテンシが低くなります。したがって、同じ VPC 内では、内部アドレスを強くお勧めします。ネットワークコストはリソースタイプによって異なります。詳細については、「課金」をご参照ください。データベースが別の VPC にある場合は、クラウドエンタープライズネットワーク (CEN) を使用して VPC を相互接続してから、内部アドレスを使用することをお勧めします。
アドレスタイプを確認したら、次のトラブルシューティング手順に進みます。
ホワイトリスト構成の確認:
内部アクセスの場合:VPC/vSwitch サブネットをデータベースホワイトリストに追加します。
パブリックアクセスの場合:パブリック EIP をデータベースホワイトリストに追加します。
構成されていない場合は、アプリケーションによる Alibaba Cloud データベースへのアクセスの構成手順を参照してください。
SAE インスタンスでの接続テスト:
インスタンスで ping コマンドと telnet コマンドを実行して、データベースへの接続をテストします。これらのコマンドがアンインストールされている場合は、インスタンスの作成中にインストールしてから、アプリケーションを再デプロイします。
最終的な接続の確認:
ping と telnet が成功した場合は、インスタンスにデータベースクライアント (MySQL や redis-cli など) をインストールして、接続をテストします。クライアントが接続できる場合は、SAE ネットワークの問題は除外されます。代わりに、アプリケーション構成のエラーを確認してください。