PrivateLink が提供するインターフェイスエンドポイントを使用して、ご利用の VPC と Alibaba Cloud の VPC OpenAPI および VPC ピアリング接続 OpenAPI との間にプライベート接続を確立できます。PrivateLink を使用すると、Alibaba Cloud の内部ネットワークを介して、VPC 内の他のリソースにアクセスするのと同じように、これらのサービスに安全かつ安定してアクセスできます。この方法ではパブリックネットワークを使用しないため、ネットワークアーキテクチャが簡素化され、セキュリティリスクを効果的に軽減できます。VPC 内のインスタンスは、パブリック IP アドレスを必要とせずに API を呼び出すことができます。
詳細については、「PrivateLink を介した Alibaba Cloud サービスへのアクセス」をご参照ください。
インターフェイスエンドポイントの作成
VPC OpenAPI エンドポイントのサービス名は
com.aliyuncs.privatelink.{RegionId}.vpcです。このサービスを利用するには、ホワイトリストへの追加を申請する必要があります。中国 (北京) リージョンでは申請は不要です。
VPC ピアリング接続 OpenAPI エンドポイントのサービス名は
com.aliyuncs.privatelink.{RegionId}.vpcpeerです。PrivateLink サービスを有効化し、ターゲットリージョンに VPC、vSwitch、およびセキュリティグループを作成済みであることを確認してください。
コンソール
[エンドポイント - エンドポイントの作成] ページに移動します。
インターフェース を設定します:
Basic Settings:
リージョン: Alibaba Cloud サービスが配置されているリージョンを選択します。
名前と説明:リソースを識別するための名前と説明を入力します。
タイプ: Alibaba Cloud サービス を選択します。
利用可能なサービス: サービス名に基づいて、アクセスする Alibaba Cloud サービスを選択します。
サービスは、選択したリージョンにデプロイされており、かつ接続権限がある場合に利用可能です。
VPC OpenAPI:
com.aliyuncs.privatelink.{RegionId}.vpcVPC ピアリング接続 OpenAPI:
com.aliyuncs.privatelink.{RegionId}.vpcpeer
Network Settings:
高可用性を確保するために、少なくとも 2 つの異なるアベイラビリティゾーンで vSwitch を選択します。エンドポイントのアベイラビリティゾーンにある Elastic Network Interface (ENI) には、vSwitch から IP アドレスを割り当てることができます。IP アドレスを指定しない場合、システムによって自動的に割り当てられます。
vSwitch のシステム予約アドレスを ENI に割り当てることはできません。
IP バージョン: これらのエンドポイントサービスはデュアルスタックをサポートしていないため、クライアントは IPv4 アドレスでのみアクセスできます。
セキュリティグループ: インターフェイスエンドポイントにセキュリティグループを関連付けて、すべてのエンドポイントアベイラビリティゾーンにわたる ENI へのインバウンドトラフィックを制御します。
Advanced Settings:
カスタムドメイン名の有効化: このオプションを有効にすると、カスタムドメイン名を使用して Alibaba Cloud サービスにアクセスできます。
VPC OpenAPI:
vpc-vpc.cn-beijing.aliyuncs.com(この例は中国 (北京) リージョン用です)VPC ピアリング接続 OpenAPI:
vpcpeer.vpc-proxy.aliyuncs.com
エンドポイントポリシー: フルアクセスを許可する デフォルトポリシー を維持します。
エンドポイントの作成後、同じ VPC 内の ECS インスタンスから次のコマンドを実行して接続をテストします。
ping <IP address of the ENI in the endpoint's availability zone> # ENI の IP アドレスは、[インスタンスの詳細] ページの [ゾーンと ENI] タブで確認します。 # HTTP/HTTPS サービスの場合は、サービスポートに直接アクセスすることを推奨します。 curl -sI http://<endpoint domain name> # エンドポイントのドメイン名は、[インスタンスリスト] ページで確認します。 # エンドポイントの VPC からアクセスするには、セキュリティグループのインバウンドルールでポート 80 (HTTP) と 443 (HTTPS) のトラフィックを許可する必要があります。 # HTTPS がサポートされているかどうかは、サービスによって異なります。
API
CreateVpcEndpoint 操作を呼び出して、インターフェイスエンドポイントを作成します。