このトピックでは、Application Load Balancer (ALB) インスタンスを Anti-DDoS Pro/Premium が有効化された Elastic IP Address (EIP) に関連付けることで、ALB インスタンスのパブリックアクセスを有効にする方法について説明します。
Anti-DDoS Pro/Premium EIP
Alibaba Cloud では、EIP コンソールで Anti-DDoS Pro/Premium EIP を作成できます。Anti-DDoS Origin モードでは、これらの EIP はテラビット/秒 (Tbps) レベルのプロフェッショナルな DDoS 対策を提供します。Anti-DDoS Pro/Premium EIP を使用すると、追加の DDoS 対策を設定したり、サービス IP アドレスを変更したりする必要がありません。詳細については、「Anti-DDoS Pro/Premium EIP」をご参照ください。
制限事項
ALB インスタンスと Anti-DDoS Pro/Premium EIP は、同じリージョン内にある必要があります。
Anti-DDoS Pro/Premium EIP の制限事項
BGP(マルチ ISP) 回線タイプの従量課金 EIP のみが Anti-DDoS Pro/Premium をサポートします。
IP アドレスプールから Anti-DDoS Pro/Premium EIP を作成する場合、その IP アドレスプールも Anti-DDoS Pro/Premium プールである必要があります。
以下のリージョンが Anti-DDoS Pro/Premium EIP をサポートしています:
EIP
エリア
リージョン
中国
中国 (北京)、中国 (張家口)、中国 (杭州)、中国 (上海)、中国 (香港)
アジア太平洋
フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、イギリス (ロンドン)
IP アドレスプール
エリア
リージョン
中国
中国 (香港)
アジア太平洋
フィリピン (マニラ)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)
ヨーロッパおよびアメリカ
米国 (バージニア)、米国 (シリコンバレー)、ドイツ (フランクフルト)、イギリス (ロンドン)
ALB インスタンスと Anti-DDoS Pro/Premium EIP の関連付けに関する制限事項
ALB インスタンスの各ゾーンに Anti-DDoS Pro/Premium EIP を割り当てる必要があります。
EIP を関連付ける前に、その EIP が Internet Shared Bandwidth インスタンスに追加されていないことを確認してください。Internet Shared Bandwidth インスタンスを使用する必要がある場合は、まず ALB インスタンスを EIP に関連付け、その後 ALB コンソールで EIP を Internet Shared Bandwidth インスタンスに追加します。サポートされるのは、BGP(マルチ ISP) Internet Shared Bandwidth インスタンスのみです。
課金
Anti-DDoS Pro/Premium が有効になっている EIP に ALB インスタンスを関連付けると、DDoS 対策サービスによってセキュリティ保護料金が課金されます。
課金項目 | 計算式 | 関連ドキュメント |
インスタンス料金 |
| |
LCU 料金 |
| |
インターネットデータ転送料金 | 内部向けの ALB インスタンスでは、インターネットデータ転送料金は発生しません。この料金は、インターネット向けの ALB インスタンスにのみ発生します。ALB インスタンスを、Anti-DDoS Pro/Premium が有効になっている EIP に関連付けると、EIP のインスタンス料金とデータ転送料金が発生します。詳細については、「従量課金」をご参照ください。 | |
セキュリティ保護料金 | ALB インスタンスを Anti-DDoS Pro/Premium が有効化された EIP に関連付けると、セキュリティ保護料金が発生します。 詳細については、「Anti-DDoS Origin 2.0 (従量課金)」をご参照ください。 警告 このサービスは、有効化後、最低 30 日間の利用が必要であり、この初期期間中は無効にできません。 | |
前提条件
VPC1 という名前の Virtual Private Cloud (VPC) を作成済みであること。詳細については、「VPC の作成」をご参照ください。
VPC1 に ECS01 と ECS02 という 2 つの ECS インスタンスを作成し、それぞれに異なるアプリケーションをデプロイ済みであること。
ECS インスタンスの作成方法の詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。
このトピックでは、以下のサンプルコマンドを使用して、ECS01 と ECS02 にテストアプリケーションをデプロイします:
RS01 という名前の ALB サーバーグループを作成し、ECS01 と ECS02 をバックエンドサーバーとして追加済みであること。詳細については、「サーバーグループの作成と管理」をご参照ください。
Internet Shared Bandwidth インスタンスを使用するには、まずインスタンスを作成する必要があります。このトピックでは、BGP (マルチ ISP) の Internet Shared Bandwidth インスタンスを例として使用します。詳細については、「Internet Shared Bandwidth インスタンスの作成と管理」をご参照ください。
操作手順
ステップ 1: Anti-DDoS Pro/Premium EIP の作成
ALB インスタンスを EIP に関連付ける前に、EIP コンソールで Anti-DDoS Pro/Premium EIP を作成する必要があります。
Elastic IP Addresses コンソールにログインします。
[Elastic IP アドレス] ページで、[EIP の作成] をクリックします。
[EIP の作成] ページで、初めて Anti-DDoS Pro/Premium EIP を作成する場合は、画面の指示に従うか、[Anti-DDoS Origin (従量課金)] をクリックして Anti-DDoS Origin (従量課金) サービスを有効化します。
警告このサービスは、有効化後、最低 30 日間の利用が必要であり、この初期期間中は無効にできません。
Anti-DDoS Origin (従量課金) サービスを有効化した後、Traffic Security コンソールにログインし、[] または [] ページに移動して、Anti-DDoS Origin インスタンスの詳細を表示できます。
Anti-DDoS Origin を有効化した後、[EIP の作成] ページで EIP パラメーターを設定します。その後、[今すぐ購入] をクリックして支払いを完了します。
以下では関連するパラメーターのみを説明します。すべてのパラメーターの詳細については、「EIP の作成」をご参照ください。
パラメーター
説明
課金方法
EIP の課金方法を選択します。このトピックでは、[従量課金] を例として使用します。
リージョン
EIP のリージョンを選択します。
EIP が ALB インスタンスと同じリージョンにあることを確認してください。このトピックでは、例として 中国 (杭州) を使用します。
回線タイプ
EIP の回線タイプを選択します。このトピックでは、BGP (マルチ ISP) を例として使用します。
セキュリティ保護
セキュリティ保護レベルを選択します。このトピックでは、Anti-DDoS Pro/Premium を有効にする Anti-DDoS (拡張) を例として使用します。
デフォルト:最大 5 Gbps の基本的な DDoS 保護を提供します。
Anti-DDoS (拡張):Tbps レベルのプロフェッショナルな DDoS 保護を提供します。
データ転送
データ転送の課金方法を選択します。このトピックでは、トラフィック課金を例として使用します。
数量
作成する EIP の数を選択します。Anti-DDoS Pro/Premium EIPs の数は、ALB インスタンスで選択したゾーンの数と同じである必要があります。
ステップ 2: ALB インスタンスと Anti-DDoS Pro/Premium EIP の関連付け
新規 ALB インスタンスの場合
新しい ALB インスタンスを作成する際、既に作成済みの Anti-DDoS Pro/Premium EIP を購入ページで関連付けることができます。
ALB コンソールにログインします。
[インスタンス] ページで、[ALB の作成] をクリックします。
[Application Load Balancer (Pay-As-You-Go)] 購入ページで、以下のパラメーターを設定し、[今すぐ購入] をクリックします。
以下では関連するパラメーターのみを説明します。すべてのパラメーターの詳細については、「ALB インスタンスの作成」をご参照ください。
インスタンスネットワークタイプ:[パブリック] を選択します。
VPC:作成した VPC1 という名前の VPC を選択します。
[ゾーン]:ゾーンと vSwitch を選択し、作成した Anti-DDoS Pro/Premium EIP を選択した各ゾーンに割り当てます。
説明ALB はマルチ AZ デプロイをサポートしています。高可用性を確保するには、リージョンで 2 つ以上のゾーンが利用可能な場合、少なくとも 2 つのゾーンを選択してください。ALB はマルチ AZ デプロイに対して追加料金を請求しません。
ゾーンに利用可能な vSwitch がない場合は、コンソールの指示に従って作成してください。
ALB インスタンスのリスナーを設定します。このトピックでは、HTTP リスナーと以前に作成したサーバーグループ RS01 を例として使用します。
ALB の [インスタンス] ページに戻ります。ターゲットインスタンスの [操作] 列で、[リスナーの作成] をクリックします。
[リスナーの設定] ウィザードで、リスナーのパラメーターを設定し、[次へ] をクリックします。
以下では主要なパラメーターのみを説明します。他のパラメーターはデフォルト値のままにします。詳細については、「HTTP リスナーの追加」をご参照ください。
[リスナープロトコルの選択]:HTTP を選択します。
[リスナーポート]:80 を入力します。
[サーバーグループ] ウィザードで、作成した RS01 サーバーグループを選択し、[次へ] をクリックします。
[設定の確認] ウィザードで、設定を確認し、[送信] をクリックします。
既存の内部向け ALB インスタンスの場合
既存の内部向け ALB インスタンスを Anti-DDoS Pro/Premium EIP に関連付けるには、そのネットワークタイプを変更し、EIP を ALB インスタンスに割り当てます。
ALB コンソールにログインします。
上部のナビゲーションバーで、インスタンスがデプロイされているリージョンを選択します。このトピックでは、中国 (杭州) を例として使用します。
[インスタンス] ページで、対象の内部向け ALB インスタンスを見つけ、その ID をクリックします。
[インスタンスの詳細] タブで、[基本情報] セクションに移動します。[ネットワークタイプ] 行で、IPv4 の横にある [ネットワークタイプの変更] をクリックします。
[ネットワークタイプの変更] ダイアログボックスで、[EIP の割り当て] ドロップダウンリストから、ステップ 1: Anti-DDoS Pro/Premium EIP の作成で作成した Anti-DDoS Pro/Premium EIP を選択します。リスト内のすべてのゾーンに Anti-DDoS Pro/Premium EIP を割り当てた後、[OK] をクリックします。
既存のインターネット向け ALB インスタンスの場合
パブリック向け ALB インスタンスが既にデフォルトのセキュリティ保護用EIPにバインドされており、その ALB インスタンスをAnti-DDoS Pro/Premium EIPにバインドする必要がある場合は、以下の手順を実行します。
インターネット向けの ALB インスタンスのネットワークタイプを内部向けに変更します。
ネットワークタイプを再度変更して、現在内部向けになっている ALB インスタンスに Anti-DDoS Pro/Premium EIP を割り当てます。
デフォルトでは、新しいインターネット向け ALB インスタンスは、BGP (マルチ ISP) 回線タイプとデフォルトのセキュリティ保護を使用する従量課金 (トラフィック課金) EIP に関連付けられます。
ステップ 1: ネットワークタイプをインターネット向けから内部向けに変更する
インスタンス ページで、目的のインターネット向け ALB インスタンスを見つけ、その ID をクリックします。
[インスタンスの詳細] タブで、[基本情報] セクションに移動します。[ネットワークタイプ] 行で、IPv4 の横にある [ネットワークタイプの変更] をクリックします。
[ネットワークタイプの変更] ダイアログボックスで、変更の影響を確認し、[OK] をクリックします。
変更が有効になるまで約 1 分かかります。[インスタンスの詳細] タブの [ネットワークタイプ] が [プライベート] に変更されると、変更は成功です。
ステップ 2: ネットワークタイプを内部向けからインターネット向けに変更する
インスタンス ページで、目的の内部向け ALB インスタンスを見つけ、その ID をクリックします。
[インスタンスの詳細] タブで、[基本情報] セクションに移動します。[ネットワークタイプ] 行で、IPv4 の横にある [ネットワークタイプの変更] をクリックします。
[ネットワークタイプの変更] ダイアログボックスで、[EIP の割り当て] ドロップダウンリストから、ステップ 1: Anti-DDoS Pro/Premium EIP の作成で作成した Anti-DDoS Pro/Premium EIP を選択します。リスト内のすべてのゾーンに Anti-DDoS Pro/Premium EIP を割り当てた後、[OK] をクリックします。
(オプション) ステップ 3: EIP の Internet Shared Bandwidth インスタンスへの追加
より多くの帯域幅が必要な場合は、EIP を Internet Shared Bandwidth インスタンスに追加できます。
ALB の [インスタンス] ページで、ターゲットインスタンスを見つけ、以下のいずれかの方法を選択して、その EIP を Internet Shared Bandwidth インスタンスに追加します。
[操作] 列で、[] を選択するか、[EIP 帯域幅プラン] 列で [関連付け] をクリックします。
ターゲットインスタンスの ID をクリックします。[インスタンスの詳細] タブで、[課金情報] セクションに移動し、[EIP 帯域幅プランに関連付ける] をクリックします。
[EIP 帯域幅プランに関連付ける] ダイアログボックスで、ターゲットの Internet Shared Bandwidth インスタンスを選択し、[OK] をクリックします。
ステップ 4: DNS レコードの設定
Alibaba Cloud DNS を使用して、CNAME レコードを追加することにより、カスタムドメイン名を ALB インスタンスのパブリックサービスドメイン名にマップできます。これにより、ネットワークリソースへのアクセスが簡素化されます。詳細については、「ALB インスタンス用の CNAME レコードの設定」をご参照ください。
左側のナビゲーションウィンドウで、[] を選択します。
[インスタンス] ページで、作成した ALB インスタンスの DNS 名をコピーします。
以下の手順を実行して、CNAME レコードを追加します。
Alibaba Cloud DNS コンソールにログインします。
[インターネットの権威ある DNS 解決] ページで、[ドメイン名の追加] をクリックします。
[ドメイン名の追加] ダイアログボックスで、ドメイン名を入力し、[OK] をクリックします。
重要ドメイン名は TXT レコードを使用して検証する必要があります。
ターゲットドメイン名の [操作] 列で、[解決設定] をクリックします。
[解決設定] ページで、[Add Record] をクリックします。
[Add Record] パネルで、CNAME レコードの以下のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
レコードタイプ
ドロップダウンリストから CNAME を選択します。
ホストレコード
ドメイン名のプレフィックスです。
DNS リクエストソース
デフォルトを選択します。
[レコード値]
対応するドメイン名の CNAME アドレス(コピーした ALB インスタンスの DNS 名)を入力します。
TTL
TTL (Time to Live) は、DNS レコードが DNS サーバーにキャッシュされる時間を指定します。このトピックではデフォルト値を使用します。
説明新しい CNAME レコードはすぐに有効になります。変更された CNAME レコードの場合、更新時間はローカル DNS サーバーにキャッシュされたレコードの TTL に依存します。デフォルトの TTL は 10 分です。
レコードを追加する際に競合が発生した場合は、DNS 解決に別のドメイン名を使用してください。詳細については、「レコード競合のルール」をご参照ください。
ステップ 5: 設定のテスト
このトピックでは、ALB インスタンス向けの HTTP リスナーを設定し、既存の ALB サーバーグループ RS01 を選択する方法の例を示します。詳細については、「HTTP リスナーの追加」をご参照ください。
ALB インスタンスの DNS レコードを設定した後、ステップ 4: DNS レコードを設定するで指定したカスタムドメイン名をブラウザに入力して、ALB インスタンスが Anti-DDoS Pro/Premium EIP を介してパブリックサービスを提供していることを確認します。
ブラウザを更新します。リクエストが ECS01 と ECS02 サーバー間で分散されていることを確認できます。
