このトピックでは、Cloud Assistant AgentがインストールされているElastic Compute Service (ECS) インスタンスのセキュリティグループルールを設定して、Cloud Assistant Agentのネットワークアクセス許可の管理を容易にする方法について説明します。
背景情報
ECSインスタンスでCloud Assistantを使用できるようにするには、Cloud Assistantコマンドの実行などの特定の操作を実行するために必要なエンドポイントまたはIPアドレスにインスタンスがアクセスできる必要があります。 必要なエンドポイントまたはIPアドレスへのアウトバウンドアクセスを許可するようにセキュリティグループルールを設定する必要があります。 次の表に、エンドポイントとIPアドレスを示します。
エンドポイントまたはIPアドレス | 目的 |
https:// {region-id} です。axt.aliyun.com:443 / | このエンドポイントは、Cloud Assistantサーバーへのアクセスに使用されます。 |
http:// 100.100.100.200:80 / | このURLはMetaServerにアクセスするために使用されます。 |
https:// aliyun-client-assist- {region-id} です。oss- {region-id} -internal.aliyuncs.com:443 / | このエンドポイントは、Cloud Assistant Agentインストールパッケージが保存されているサーバーにアクセスして、Cloud Assistant Agentをインストールまたは更新するために使用されます。 |
{region-id} は、ECSインスタンスのリージョンIDを指定します。 たとえば、インスタンスが中国 (杭州) リージョンにある場合、このパラメーターをcn-Hangzhouに設定します。
次のいずれかの方法を使用して、Cloud Assistant Agentがインストールされているインスタンスのセキュリティグループルールを設定できます。
一般設定
ネットワーク権限の設定と管理を簡素化するために、セキュリティグループルールを設定して、クラウドアシスタントサーバーとCloud Assistant Agentインストールパッケージが保存されているサーバーのCIDRブロックとポートへのアクセスを許可することができます。
Cloud AssistantサーバーのCIDRブロックは100.100.0.0/16です。 Cloud Assistant Agentインストールパッケージが保存されているサーバーのCIDRブロックは100.0.0.0/8です。
デフォルトでは、基本セキュリティグループはすべてのアウトバウンドアクセスを許可します。 基本セキュリティグループは、セキュリティグループ内のECSインスタンスからのすべてのアウトバウンドトラフィックを許可します。 デフォルトでは、高度なセキュリティグループはすべてのアウトバウンドアクセスを拒否します。 高度なセキュリティグループは、セキュリティグループ内のECSインスタンスからのすべてのアウトバウンドトラフィックを拒否します。 高度なセキュリティグループの場合、次の表に示すURL、CIDRブロック、またはポートへのアウトバウンドアクセスを許可するようにセキュリティグループルールを設定します。 インバウンドセキュリティグループルールを追加する方法の詳細については、「セキュリティグループルールの追加」をご参照ください。
URL、IPアドレス、またはポート | 目的 |
DNS/UDPポート53 | このポートはドメイン名を解決するために使用されます。 |
https:// 100.100.0.0/16:443 / | このURLは、Cloud Assistantサーバーへのアクセスに使用されます。 |
https:// 100.0.0.0/8:443 / | このURLは、Cloud Assistant Agentインストールパッケージが保存されているサーバーにアクセスして、Cloud Assistant Agentをインストールまたは更新するために使用されます。 |
きめの細かい構成
ネットワーク権限をきめ細かく管理する場合は、クラウドアシスタントサーバーのIPアドレスと、特定のリージョンでCloud Assistant Agentインストールパッケージが保存されているサーバーへのアクセスを許可します。
たとえば、インスタンスが中国 (杭州) リージョンにある場合、インスタンスのアドバンストセキュリティグループにルールを設定して、次の表に示すURL、IPアドレス、またはポートへのアウトバウンドアクセスを許可します。 インバウンドセキュリティグループルールを追加する方法の詳細については、「セキュリティグループルールの追加」をご参照ください。
URL、IPアドレス、またはポート | 目的 |
DNS/UDPポート53 | このポートはドメイン名を解決するために使用されます。 |
https:// 100.100.45.106:443 / | このURLは、中国 (杭州) リージョンのクラウドアシスタントサーバーにアクセスするために使用されます。 |
https:// 100.118.28.50:443 / | このURLは、Cloud Assistant Agentインストールパッケージが中国 (杭州) リージョンに保存されているサーバーにアクセスして、Cloud Assistant Agentをインストールまたは更新するために使用されます。 |
次の表に、Cloud Assistantが各リージョンでアクセスできる必要があるCloud AssistantサーバーのエンドポイントとIPアドレスを示します。
Cloud Assistant Agentインストールパッケージが保存されているサーバーのエンドポイントとIPアドレスの詳細については、内部OSSエンドポイントとVIP範囲の表のVPC経由のアクセス用の内部エンドポイントとVIP範囲列をご参照ください。
リージョン | リージョン ID | Endpoint | IPアドレス |
中国 (青島) | cn-qingdao | cn-qingdao.axt.aliyun.com |
|
中国 (北京) | cn-beijing | cn-beijing.axt.aliyun.com | 100.100.18.120 |
中国 (張家口) | cn-zhangjiakou | cn-zhangjiakou.axt.aliyun.com |
|
中国 (フフホト) | cn-huhehaote | cn-huhehaote.axt.aliyun.com |
|
中国 (ウランチャブ) | cn-wulanchabu | cn-wulanchabu.axt.aliyun.com | 100.100.0.3 |
中国 (杭州) | cn-hangzhou | cn-hangzhou.axt.aliyun.com | 100.100.45.106 |
中国 (上海) | cn-shanghai | cn-shanghai.axt.aliyun.com |
|
中国 (南京 - ローカルリージョン) | cn-nanjing | cn-nanjing.axt.aliyun.com | 100.100.0.1 |
中国 (福州-地域) | cn-fuzhou | cn-fuzhou.axt.aliyun.com | 100.100.0.26 |
中国 (武漢-地域) | cn-wuhan-lr | cn-wuhan-lr.axt.aliyun.com | 100.100.0.8 |
中国 (深セン) | cn-shenzhen | cn-shenzhen.axt.aliyun.com | 100.100.0.70 |
中国 (河源) | cn-heyuan | cn-heyuan.axt.aliyun.com | 100.100.0.5 |
中国 (広州) | cn-guangzhou | cn-guangzhou.axt.aliyun.com | 100.100.0.4 |
中国 (成都) | cn-chengdu | cn-chengdu.axt.aliyun.com | 100.100.0.42 |
中国 (香港) | cn-hongkong | cn-hongkong.axt.aliyun.com |
|
シンガポール | ap-southeast-1 | ap-southeast-1.axt.aliyun.com |
|
オーストラリア (シドニー)(サービス終了) | ap-southeast-2 | ap-southeast-2.axt.aliyun.com |
|
マレーシア (クアラルンプール) | ap-southeast-3 | ap-southeast-3.axt.aliyun.com |
|
インドネシア (ジャカルタ) | ap-southeast-5 | ap-southeast-5.axt.aliyun.com | 100.100.80.165 100.100.132.30 |
フィリピン (マニラ) | ap-southeast-6 | ap-southeast-6.axt.aliyun.com | 100.100.0.15 |
タイ (バンコク) | ap-southeast-7 | ap-southeast-7.axt.aliyun.com | 100.100.0.30 |
日本 (東京) | ap-northeast-1 | ap-northeast-1.axt.aliyun.com | 100.100.0.76 |
韓国 (ソウル) | ap-northeast-2 | ap-northeast-2.axt.aliyun.com | 100.100.0.23 |
米国 (シリコンバレー) | us-west-1 | us-west-1.axt.aliyun.com | 100.100.29.34 100.100.1.3 |
米国 (バージニア) | us-east-1 | us-east-1.axt.aliyun.com | 100.100.152.140 100.100.147.87 |
ドイツ (フランクフルト) | eu-central-1 | eu-central-1.axt.aliyun.com |
|
イギリス (ロンドン) | eu-west-1 | eu-west-1.axt.aliyun.com | 100.100.0.20 |
UAE (ドバイ) | me-east-1 | me-east-1.axt.aliyun.com | 100.100.43.7 |
サウジアラビア (リヤド - パートナーリージョン) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 | me-central-1 | me-central-1.axt.aliyun.com | 100.100.0.15 |
中国東部 2 Finance | cn-shanghai-finance-1 | cn-shanghai-finance-1.axt.aliyun.com | 100.100.0.46 |
China North 2 Finance (プレビュー) | cn-beijing-finance-1 | cn-beijing-finance-1.axt.aliyun.com | 100.100.0.165 |
China South 1ファイナンス | cn-shenzhen-finance-1 | cn-shenzhen-finance-1.axt.aliyun.com | 100.103.0.140 |
中国北部2アリ・ゴブ1 | cn-north-2-gov-1 | cn-north-2-gov-1.axt.aliyun.com | 100.100.0.67 |