このトピックでは、Smart Access Gateway (SAG) と Cloud Enterprise Network (CEN) を使用して、オンプレミスのクライアントをAlibaba Cloudに接続する方法について説明します。この方法により、クライアントはObject Storage Service (OSS) バケットの内部エンドポイントにアクセスできます。
前提条件
中国 (上海) リージョンに仮想プライベートクラウド (VPC) が作成されています。詳細については、「VPCの作成と管理」をご参照ください。
CENインスタンスが作成され、VPCがCENインスタンスに接続されています。詳細については、「CENインスタンスの作成」、「トランジットルーターの作成」、および「VPC接続の作成」をご参照ください。
背景情報
クラウドサービスとは、100.64.0.0/10 CIDRブロックを使用してサービスを提供する、OSS、Simple Log Service、Data Transfer Service (DTS) などのAlibaba Cloudサービスです。 SAGを使用してオンプレミスのクライアントをAlibaba Cloudに接続し、クライアントがCENを使用してクラウドサービスにアクセスできるようにすることができます。
OSSは、Alibaba Cloudが提供する安全で費用対効果が高く、信頼性の高いクラウドストレージサービスです。大量のデータをOSSバケットに保存できます。 OSSバケットには、内部エンドポイントを介してアクセスできます。内部エンドポイントとは、異なるリージョンにデプロイされているAlibaba Cloudサービス間の内部ネットワーク接続を指します。 OSSの内部エンドポイントを使用してOSSリソースにアクセスする場合、データ転送料金は発生しません。次の図は、企業のオンプレミスクライアントがAlibaba Cloudに接続し、内部エンドポイントを介してOSSバケットにアクセスする方法を示しています。企業は中国 (上海) リージョンにVPCを作成し、このリージョンでOSSをアクティブ化する予定です。企業は機密データをOSSバケットに保存し、従業員がOSSバケットの内部エンドポイントを介してデータをダウンロードできるようにしたいと考えています。コストを増加させることなく要件を満たすために、企業はSAGアプリを使用してクライアントをAlibaba Cloudに接続することを計画しています。
手順
手順 1:OSSのアクティブ化と構成
OSSは複数の方法でデプロイできます。この手順では、OSSコンソールでOSSをデプロイする方法を示します。 OSSの詳細については、「OSSとは」をご参照ください。
OSSをアクティブ化します。詳細については、「OSSのアクティブ化」をご参照ください。
OSSバケットを作成します。
OSSコンソールにログオンします。
左側のナビゲーションペインで、[バケット] をクリックします。 [バケット] ページで、[バケットの作成] をクリックします。
[バケットの作成] パネルで、パラメーターを構成し、[OK] をクリックします。
次の表では、この例に関連するパラメーターのみについて説明します。詳細については、「バケットの作成」をご参照ください。次の例は参照用です。ビジネス要件に基づいてパラメーターを構成してください。
パラメーター
説明
バケット名
作成するバケットの名前を指定します。バケットの作成後、名前を変更することはできません。この例では、shosstest を使用します。
リージョン
バケットを作成するリージョンを選択します。バケットの作成後、リージョンを変更することはできません。この例では、中国 (上海) を選択します。
ストレージクラス
バケットのストレージクラスを選択します。この例では、標準 を選択します。
標準ストレージクラスは、頻繁なデータアクセスにも耐えられる、信頼性、可用性、パフォーマンスの高いオブジェクトストレージサービスを提供します。標準は、ソーシャルネットワーキングアプリケーション、画像、オーディオ、ビデオ共有アプリケーション、大規模Webサイト、ビッグデータ分析など、さまざまなシナリオに最適です。ストレージクラスの詳細については、「ストレージクラスの概要」をご参照ください。
冗長性タイプ
バケットの冗長性タイプを選択します。
LRS
ローカル冗長ストレージ (LRS) は、同じゾーン内の異なる設備の複数のデバイスにデータの複数のコピーを保存します。 LRSは、ハードウェア障害が発生した場合でも、データの耐久性と可用性を提供します。
ZRS
ゾーン冗長ストレージ (ZRS) は、同じリージョン内の複数のゾーンにデータの複数のコピーを保存します。ゾーンが使用できなくなった場合、他のゾーンに保存されているデータのコピーにアクセスできます。
重要ZRSは、中国 (深圳)、中国 (北京)、中国 (杭州)、中国 (上海)、中国 (香港)、シンガポール、インドネシア (ジャカルタ) の各リージョンでサポートされています。 ZRSはストレージコストを増加させ、有効にした後は無効にすることができません。この冗長性タイプを選択する際は注意してください。
この例では、LRS を選択します。
ACL
バケットの読み取りおよび書き込み権限を選択します。この例では、プライベート を選択します。
バケット所有者のみが、バケット内のオブジェクトに対して読み取りおよび書き込み操作を実行できます。他のユーザーは、バケット内のオブジェクトにアクセスできません。
バージョニング
バージョニングを有効にするかどうかを指定します。この例では、有効にする を選択します。
バケットのバージョニングを有効にすると、上書きまたは削除されたデータは履歴バージョンとして保存されます。バージョニングを使用すると、バケット内のオブジェクトを以前のバージョンに復元でき、誤って上書きまたは削除されないようにデータを保護できます。詳細については、「バージョニングの概要」をご参照ください。
暗号化方法
サーバー側の暗号化を有効にするかどうかを指定します。この例では、なし を選択します。
リアルタイムログクエリ
OSSのリアルタイムログクエリを有効にするかどうかを指定します。この例では、無効にする を選択します。
スケジュールバックアップ
OSSデータを定期的にバックアップする場合は、[有効にする] を選択します。 OSSは自動的にバックアップスケジュールを作成し、Cloud Backup がOSSデータを毎日バックアップし、データを1週間保持できるようにします。この例では、無効にする を選択します。
オブジェクトをOSSバケットにアップロードします。
左側のナビゲーションペインで、[バケット] をクリックします。 [バケット] ページで、[バケット名] 列で管理するバケットの名前をクリックします。
左側のナビゲーションツリーで、 を選択します。
[オブジェクトのアップロード] をクリックします。
表示されるページで、パラメーターを構成します。
アップロード先: オブジェクトをアップロードするディレクトリを指定します。この例では、デフォルトのディレクトリが選択されています。
オブジェクト ACL: オブジェクトの読み取りおよび書き込み権限を選択します。デフォルト値は バケットから継承 です。この例では、デフォルト値が使用されます。
アップロードするファイル: アップロードするファイルまたはフォルダーを選択します。 [ファイルを選択] または [フォルダーを選択] をクリックしてファイルまたはフォルダーをアップロードするか、アップロードするファイルまたはフォルダーをドラッグします。フォルダーにアップロードしたくないファイルが含まれている場合は、ファイルリストでファイルを見つけて、[アクション] 列の [削除] をクリックします。
[オブジェクトのアップロード] をクリックし、ファイルがアップロードされるまで待ち、[タスク リスト] パネルを閉じます。
オブジェクトの権限を構成します。
この例では、データセキュリティを確保するために、バケットはプライベートに設定されています。したがって、特定のオブジェクトへのアクセスが必要なユーザーには、オブジェクトの権限を手動で付与する必要があります。次の例では、すべてのユーザーに画像ファイルの読み取り専用権限を付与する方法を示します。次の例は参照用です。ビジネス要件に基づいて権限を管理してください。詳細については、「バケットポリシーを構成して他のユーザーにOSSリソースへのアクセスを許可する」をご参照ください。
左側のナビゲーションペインで、[バケット] をクリックします。 [バケット] ページで、[バケット名] 列で管理するバケットの名前をクリックします。
左側のナビゲーションツリーで、 を選択します。
[承認] をクリックします。
[バケットポリシー] タブで、[承認] をクリックします。
[承認] パネルで、次のパラメーターを構成し、[OK] をクリックします。
適用対象: この例では、指定されたリソース を選択します。
リソースパス: この例では、SHOSS.jpg を指定します。
承認済みユーザー: この例では、すべてのアカウント (*) を選択します。
承認済み操作: この例では、読み取り専用 (listobjectを除く) を選択します。
手順 2:オンプレミスのクライアントをAlibaba Cloudに接続する
オンプレミスのクライアントをAlibaba Cloudに接続するには、SAGアプリインスタンスを購入し、ネットワークを構成してから、SAGコンソールでクライアントアカウントを作成する必要があります。構成が完了すると、オンプレミスのクライアントはSAGアプリを使用してAlibaba Cloudに接続できます。
SAGアプリインスタンスを購入します。
SAGコンソールにログオンします。
左側のナビゲーションペインで、 を選択します。
[SAG アプリインスタンス] ページで、[SAG アプリの作成] をクリックします。
リージョン: SAGアプリを使用するリージョンを選択します。この例では、中国 (上海) を選択します。
クライアント アカウント数: 購入するクライアントアカウントの数を指定します。ほとんどの場合、クライアントごとにアカウントを作成する必要があります。この例では、デフォルト値の 10 を使用します。
説明SAGでは、5~1,000 のクライアントアカウントを購入できます。クライアントアカウントの料金は、段階的な料金モデルに基づいて請求されます。詳細については、「課金対象項目」をご参照ください。
アカウントごとのデータプラン: クライアントアカウントごとに毎月割り当てられる無料データ転送量を指定します。データ転送プランは異なるアカウント間で共有できず、その月内でのみ有効です。デフォルトでは、クライアントアカウントごとに毎月 5 GB の無料データ転送が割り当てられます。
データプランが使い果たされた場合の請求方法: アカウントの無料データ転送プランが使い果たされた場合、データ超過分は従量課金制で請求されます。
期間: 各アカウントのデータ転送プランのサブスクリプション期間を選択します。毎月のサブスクリプションと自動更新がサポートされています。この例では、デフォルトのサブスクリプション期間である 1 か月が使用されます。
[今すぐ購入] をクリックして注文を確認し、支払いを完了します。
ネットワークを構成します。
SAGアプリインスタンスを購入したら、クライアントのプライベート CIDR ブロックを Cloud Connect Network (CCN) インスタンスに接続します。
CCNはSAGの重要なコンポーネントです。 SAGアプリインスタンスをCCNインスタンスに関連付けると、SAGアプリインスタンスに接続されているすべてのオンプレミスクライアントがCCNインスタンスを使用してAlibaba Cloudに接続できます。詳細については、「CCNの概要」をご参照ください。
[SAG アプリインスタンス] ページで、作成したインスタンスを見つけて、クイック設定[アクション] 列の をクリックします。
[クイック構成] ページで、パラメーターを構成します。
CCNインスタンス ID/名前: 次のオプションのいずれかを選択して、SAGアプリインスタンスをCCNインスタンスに関連付けることができます。この例では、[CCNの作成] を選択します。
既存の CCN: CCNインスタンスをすでに作成している場合は、ドロップダウンリストから既存のCCNインスタンスを選択できます。
CCNの作成: CCNインスタンスを作成していない場合は、インスタンス名を入力します。システムは現在のエリアにCCNインスタンスを自動的に作成し、CCNインスタンスをSAGアプリインスタンスに関連付けます。
オプション。スタンバイおよびアクティブ DNS: このパラメーターはオプションです。 SAGアプリがプライベートネットワークに接続するために使用するアクティブおよびスタンバイ DNS サーバー。 DNS サーバーを構成すると、システムは DNS 設定を SAG アプリと自動的に同期します。この例では、このパラメーターは無視されます。
プライベート CIDR ブロック: クライアントがAlibaba Cloudに接続するために使用するプライベート CIDR ブロックを指定します。クライアントがAlibaba Cloudに接続すると、指定された CIDR ブロック内の IP アドレスがクライアントに割り当てられます。プライベート CIDR ブロックが互いに重複していないことを確認してください。この例では、192.168.10.0/24 を指定します。
CENインスタンスを構成します。
この手順では、CCNインスタンスをCENインスタンスに関連付ける方法を示します。これにより、SAGアプリインスタンスに関連付けられたオンプレミスクライアントは、CENインスタンスを使用してOSSにアクセスできます。
[次へ: CENに関連付ける (オプション)] をクリックして、CCNインスタンスをCENインスタンスに関連付けます。
次のオプションのいずれかを選択して、CCNインスタンスをCENインスタンスに関連付けることができます。この例では、[既存の CEN] を選択します。
既存の CEN: CENインスタンスをすでに作成している場合は、ドロップダウンリストから既存のCENインスタンスを選択できます。
CENの作成: CENインスタンスを作成していない場合は、インスタンス名を入力します。システムはCENインスタンスを自動的に作成し、CENインスタンスをCCNインスタンスに関連付けます。
クライアントアカウントを作成します。
ネットワーク接続を作成したら、オンプレミスクライアントがSAGアプリにログオンしてAlibaba Cloudに接続できるように、クライアントアカウントを作成する必要があります。
[次へ: クライアントアカウントを作成する] をクリックして、クライアントアカウントを作成します。
ユーザー名: オプション。
説明同じSAGアプリインスタンスに追加されたクライアントアカウントのユーザー名は一意である必要があります。
クライアントアカウントを作成するときにメールアドレスのみを指定すると、ユーザー名とパスワードが自動的に生成されます。指定されたメールアドレスがユーザー名として使用されます。
メールアドレス: 必須。ユーザーのメールアドレス。ユーザー名とパスワードは、指定されたメールアドレスに送信されます。
静的 IP:
この機能を有効にする場合は、クライアントの IP アドレスを指定する必要があります。クライアントアカウントは、指定された IP アドレスを使用してAlibaba Cloudに接続します。
説明指定された IP アドレスは、プライベート CIDR ブロックの CIDR ブロックに属している必要があります。
この機能を無効にすると、クライアントがAlibaba Cloudに接続するたびに、プライベート CIDR ブロック内の IP アドレスがクライアントに割り当てられます。
最大帯域幅の設定: クライアントアカウントの最大帯域幅値を指定します。この例では、デフォルト値が使用されます。
最大帯域幅は 1 ~ 2,000 Kbit/s に設定できます。最大帯域幅はデフォルトで 2,000 Kbit/s に設定されています。
パスワードの設定: オプション。クライアントがSAGアプリにログオンするために使用するパスワードを指定します。
[OK] をクリックします。
重要VPCのリージョンとCCNインスタンスのリージョン間にリージョン間接続を作成します。詳細については、「リージョン間接続の管理」をご参照ください。
リージョン間接続がすでに作成されている場合は、次の手順に進みます。
クライアントをAlibaba Cloudに接続します。
クライアントアカウントを作成したら、[今すぐダウンロード] をクリックして、SAGアプリのダウンロードとインストール方法に関する手順が記載されたページに移動します。詳細については、「SAGアプリのインストール」をご参照ください。
クライアントにSAGアプリがインストールされると、クライアントはクライアントアカウントを使用してSAGアプリにログオンし、Alibaba Cloudに接続できます。詳細については、「Alibaba Cloudへの接続」をご参照ください。
手順 3:OSSを指すルートを構成する
この手順では、CENコンソールでOSSを指すルートを構成する必要があります。ルートが構成されると、CENはCCNに関連付けられたネットワークとOSSサービス間のネットワーク通信を確立し、オンプレミスクライアントがOSSにアクセスできるようにします。
CENコンソールにログオンします。
[インスタンス] ページで、管理する CEN インスタンスの ID をクリックします。
タブで、クラウドサービスがデプロイされているリージョンにあるトランジットルーターの ID をクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックします。
[ルートテーブル] タブで、左側のリストで管理するルートテーブルの ID をクリックします。 [ルートテーブルの詳細] セクションで、[ルートエントリ] タブをクリックし、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] ダイアログボックスで、パラメーターを構成し、[OK] をクリックします。次の表にパラメーターを示します。
パラメーター
説明
ルートテーブル
デフォルトでは、現在のルートテーブルが選択されています。
トランジットルーター
デフォルトでは、現在のトランジットルーターが選択されています。
名前
ルートエントリの名前を入力します。
宛先 CIDR
クラウドサービスがサービスを提供するために使用する IP アドレスまたは CIDR ブロックを入力します。
たとえば、中国 (上海) リージョンでOSSがサービスを提供するために使用する CIDR ブロックを入力します。
100.98.35.0/24
100.98.110.0/24
100.98.169.0/24
100.118.102.0/24
説明中国 (上海) リージョンのOSSのすべての CIDR ブロックを追加することをお勧めします。
ブラックホールルート
ルートをブラックホールルートとして指定するかどうかを指定します。有効な値:
はい: ルートをブラックホールルートとして指定します。ルートに一致するトラフィックは破棄されます。
いいえ: ルートがブラックホールルートではないことを指定します。この場合、ルートのネクストホップを指定する必要があります。
この例では、いいえ を選択します。
ネクストホップ
ネクストホップを選択します。
トランジットルーターのVPC接続の ID を選択します。
説明
ルートエントリの説明を入力します。
手順 4:ネットワーク接続のテスト
上記の手順が完了すると、オンプレミスクライアントはSAGアプリを使用してAlibaba Cloudに接続し、OSSにアクセスできます。
ネットワーク接続をテストするには、ブラウザーを使用して、アップロードされた画像 SHOSS.jpg を https://shosstest.oss-cn-shanghai-internal.aliyuncs.com/SHOSS.jpg からダウンロードします。
アクセスするファイルのパスを
https://バケット名.VPCエンドポイント/ファイル名の形式で指定します。VPCエンドポイントの詳細については、「OSSの内部エンドポイントとVIP範囲」をご参照ください。