デフォルトでは、Elastic Compute Service (ECS) インスタンスにFile Storage NAS (NAS) ファイルシステムをマウントする場合、NASファイルシステムとECSインスタンスは、同じリージョンの同じ仮想プライベートクラウド (VPC) に存在し、同じAlibaba cloudアカウントに属している必要があります。 VPC間にNASファイルシステムをマウントする場合は、PrivateLinkを使用してVPC間のプライベート接続を確立できます。 ネットワークアドレス変換 (NAT) ゲートウェイやelastic IPアドレス (EIP) などのインターネット出力を使用する必要はありません。 データはインターネットを介して送信されず、より高いセキュリティとネットワーク品質を提供します。 このトピックでは、PrivateLinkを使用して、同じリージョンのVPC間でNASファイルシステムをマウントしてアクセスする方法について説明します。
説明
PrivateLinkを使用すると、Alibaba CloudのVPCをサービスインタラクションに使用できます。 PrivateLinkは、プライベート接続を介して他のVPCにデプロイされたサービスへの一方向アクセスを提供します。 NATゲートウェイやEIPなどのインターネット出口を作成する必要はありません。 PrivateLinkは、データがインターネット経由で送信されないため、より高いデータセキュリティとネットワーク品質を提供します。
Network Load Balancer (NLB) インスタンスは、PrivateLinkのエンドポイントサービスによってサービスリソースとして使用できます。 NLBインスタンスは、クライアントからリクエストを受信し、リスナー用に設定された転送ルールに基づいてバックエンドサーバーにリクエストを転送します。 NLBインスタンスをエンドポイントサービスのサービスリソースとして指定すると、NLBインスタンスは複数のゾーンにサービスを提供できます。 ゾーンごとにNLBインスタンスを設定する必要はありません。
シナリオ
このトピックでは、VPC 1のECSインスタンスを使用してVPC 2の汎用ネットワークファイルシステム (NFS) ファイルシステムにアクセスする方法について説明します。 VPC 1とVPC 2は同じリージョンにあり、同じAlibaba Cloudアカウントに属しています。 VPC 2にNLBインスタンスを作成する必要があります。 NLBインスタンスは2つのゾーンにデプロイされています。 NLBインスタンスのバックエンドサーバーグループS1とS2を作成し、NFSファイルシステムの2つのアクセスポート111と2049をS1とS2に追加します。 エンドポイントサービスを作成し、NLBインスタンスをエンドポイントサービスのサービスリソースとして追加します。 VPC 1でエンドポイントを作成し、エンドポイントサービスに接続します。 接続のステータスが正常の場合、VPC 1のECSインスタンスはVPC 2のNFSファイルシステムにアクセスできます。
Server Message Block (SMB) ファイルシステムの場合、バックエンドサーバーグループを1つだけ作成し、NLBインスタンスのバックエンドサーバーグループにポート445を追加する必要があります。
次の表に、2つのVPCの計画を示します。 2つのVPCのCIDRブロックは、相互に影響を与えることなく、相互にオーバーラップできます。
項目 | VPC 1 | VPC 2 |
リージョン | 中国 (成都) | 中国 (成都) |
CIDRブロック |
|
|
vSwitchゾーン |
|
|
制限事項
エンドポイントサービスを作成するときに、PrivateLinkインスタンスとNLBインスタンスの両方をサポートするリージョンを選択します。 PrivateLinkおよびNLBインスタンスをサポートするリージョンの詳細については、「PrivateLinkをサポートするリージョンとゾーン」および「NLBが利用可能なリージョンとゾーン」をご参照ください。
エンドポイントとエンドポイントサービスが同じゾーンにデプロイされている場合にのみ、接続を確立できます。 エンドポイントがデプロイされるゾーンは、エンドポイントサービスのサービスリソースがデプロイされるゾーンのサブセットである必要があります。 そのため、エンドポイントサービスのサービスリソースをデプロイするときは、リージョン内のすべてのゾーンまたはできるだけ多くのゾーンを選択することを推奨します。 これにより、異なるエンドポイントがサービスリソースにアクセスできます。
デフォルトでは、PrivateLinkはIPv6経由でアクセスできません。 IPv6経由でPrivateLinkにアクセスする必要がある場合は、アカウントマネージャーに連絡してください。
PrivateLinkを使用すると、同じリージョンのVPC間で汎用NASファイルシステムのみをマウントできます。
前提条件
中国 (成都) リージョンのVPC 1とVPC 2が作成されます。 vSwitchは、VPC 1とVPC 2の両方のゾーンAとゾーンBに作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
VPC 1のゾーンAにECSインスタンスがマウントクライアントとして作成されます。 VPC 2のゾーンAに汎用NASファイルシステムが作成されます。 詳細については、「カスタム起動タブでインスタンスを作成する」および「ファイルシステムを作成する」をご参照ください。
VPC 1にセキュリティグループが作成されます。 ビジネスとセキュリティの要件に基づいて、セキュリティグループルールを設定できます。 詳細については、「セキュリティグループの作成」をご参照ください。
手順1: 内部向けNLBインスタンスの作成
NLB コンソールにログインします。
上部のナビゲーションバーで、NLBインスタンスがデプロイされています。
[インスタンス] ページで、[NLBの作成] をクリックします。
NLB (従量課金) 国際サイトページでパラメーターを設定し、[今すぐ作成] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
リージョン
NLBインスタンスを作成するリージョンを選択します。 この例では、[中国 (成都)] を選択します。
ネットワークタイプ
NLBインスタンスのネットワークタイプを選択します。 この例では、[イントラネット] を選択します。
[VPC]
NLBインスタンスをデプロイするVPCを選択します。 この例では、[VPC 2] を選択します。
ゾーン
NLBインスタンスをデプロイするゾーンを選択します。 少なくとも2つのゾーンを選択する必要があります。 この例では、成都ゾーンAと成都ゾーンBを選択し、両方のゾーンのvSwitchを選択します。
IPバージョン
NLBインスタンスのIPバージョンを選択します。
IPv4: このオプションを選択した場合、NLBインスタンスにはIPv4クライアントのみがアクセスできます。
デュアルスタックネットワーキング: このオプションを選択すると、IPv4クライアントとIPv6クライアントからNLBインスタンスにアクセスできます。
[インスタンス名]
NLBインスタンスの名前を入力します。
リソースグループ
NLBインスタンスが属するリソースグループを選択します。 この例では、[Default Resource Group] を選択します。
サービスにリンクされたロール
NLBインスタンスを初めて作成するときは、[サービスにリンクされたロールの作成] をクリックしてサービスにリンクされたロールを作成する必要があります。
手順2: NLBインスタンスのバックエンドサーバーグループの作成
左側のナビゲーションウィンドウで、[NLB] > [サーバーグループ] を選択します。
上部のナビゲーションバーで、リージョンを選択します。
[サーバーグループ] ページで、[サーバーグループの作成] をクリックします。
[サーバーグループの作成] ダイアログボックスでパラメーターを設定し、[作成] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
サーバーグループタイプ
作成するサーバーグループのタイプを選択します。 この例では、[IP] を選択します。
サーバーグループ名
サーバーグループの名前を入力します。 この例では、
S1
を入力します。[VPC]
バックエンドサーバーグループが属するVPCを選択します。 この例では、[VPC 2] を選択します。
バックエンドサーバープロトコル
バックエンドプロトコルを選択します。 この例では、[TCP] を選択します。
スケジューリングアルゴリズム
スケジューリングアルゴリズムを選択します。 重み付きラウンド-ロビンがデフォルトで選択されています。 この例では、デフォルト設定のままにします。
IPv6サポート
IPv6を有効にするかどうかを指定します。
IPv6を有効にすると、IPv4およびIPv6バックエンドサーバーをサーバーグループに追加できます。
IPv6を有効にしない場合は、IPv4バックエンドサーバーのみをサーバーグループに追加できます。
説明サーバーグループに選択したVPCのIPv6が無効になっている場合、サーバーグループのIPv6はデフォルトで無効になります。
接続ドレインの有効化
接続ドレインを有効にすると、バックエンドサーバーが削除された場合やヘルスチェックに失敗した場合でも、指定されたタイムアウト期間中、バックエンドサーバーへの接続は開いたままになります。
接続ドレインタイムアウト期間: 接続ドレインを有効にする場合、タイムアウト期間を指定する必要があります。
この機能はデフォルトで無効になっています。 この例では、デフォルト設定のままにします。
クライアントIPの保存
クライアントIP保存を有効にするかどうかを指定します。 IPタイプのサーバーグループのクライアントIP保存を有効にすることはできません。 サーバーグループでクライアントIPアドレスを取得する場合は、関連付けられているリスナーのプロキシプロトコルを有効にします。
全ポート転送の有効化
全ポート転送を有効にするかどうかを指定します。 オールポート転送を有効にすると、バックエンドサーバーを追加するときにポートを指定する必要はありません。 NLBインスタンスは、フロントエンドポートに基づいてバックエンドサーバーにリクエストを転送します。
説明リスナーの全ポート転送を有効にする場合、バックエンドサーバーグループのこの機能を有効にする必要があります。
この機能はデフォルトで無効になっています。 この例では、デフォルト設定のままにします。
ヘルスチェックの有効化
ヘルスチェック機能を有効にするかどうかを指定します。 この機能はデフォルトで有効になっています。 この例では、デフォルト設定のままにします。
ヘルスチェック機能を有効にした後、[変更] をクリックして関連する設定を変更できます。 この例では、デフォルト設定を保持します。
サーバーグループを作成したら、[サーバーグループ] ページでS1を見つけ、そのIDをクリックします。
[バックエンドサーバー] タブをクリックし、[IPアドレスの追加] をクリックします。
[バックエンドサーバーの追加] パネルで、NASファイルシステムのマウントターゲットの仮想IPアドレス (VIP) を入力し、[次へ] をクリックします。
ECSインスタンスのマウントターゲットをpingして、マウントターゲットのVIPを取得できます。 例:
Command:
ping 19f04a4****-i****.cn-chengdu.nas.aliyuncs.com
サンプルコマンド出力:
追加したNASファイルシステムのポート番号と重みを設定し、[OK] をクリックします。
ポート番号を
111
に設定し、重みのデフォルト値を保持します。バックエンドサーバーグループS1が作成されたら、上記の手順を繰り返してバックエンドサーバーグループS2を作成します。 バックエンドサーバーを追加するときは、ポート番号を
2049
に設定します。説明SMBファイルシステムの場合、バックエンドサーバーグループを1つだけ作成し、ポート番号を
445
に設定する必要があります。
手順3: リスナーの設定
左側のナビゲーションウィンドウで、
を選択します。[インスタンス] ページで、管理するNLBインスタンスのIDをクリックします。
[リスナー] タブをクリックします。 [リスナー] タブで、[リスナーの作成] をクリックします。
[リスナーの設定] ウィザードページで、パラメーターを設定し、[次へ] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
リスナープロトコル
リスナープロトコルを選択します。 この例では、[TCP] を選択します。
Listen by Port Range
リスニングを有効にするかどうかをポート範囲で指定します。 この機能を有効にすると、NLBインスタンスは特定のポート範囲内のすべてのポートをリッスンし、そのポート宛てのリクエストをバックエンドサーバーにリダイレクトします。 この機能はデフォルトで無効になっています。 この例では、デフォルト設定のままにします。
リスナーのポート範囲
リクエストの受信と処理に使用するリスニングポートを指定します。 この例では、[
111
] を選択します。説明SMBファイルシステムの場合は、[
445
] を選択します。リスナー名
リスナーの名前を入力します。
詳細設定
[変更] をクリックして、詳細設定を変更できます。 この例では、デフォルトの詳細設定を使用します。
[サーバーグループ] ステップで、[ステップ2] で作成したバックエンドサーバーグループS1を選択し、[次へ] をクリックします。
重要選択したバックエンドサーバーグループは、リスニングポートと一致する必要があります。 そうしないと、NASファイルシステムをマウントできません。
[設定のレビュー] ウィザードページで設定を確認し、[送信] をクリックします。
[NLB構成ウィザード] メッセージで、[OK] をクリックします。 次に、[インスタンス] ページに戻ります。
リスナーのヘルスチェックステータスがHealthyの場合、バックエンドサーバー (NASファイルシステムのVIP) は、NLBインスタンスによって転送されたリクエストを処理できます。
ステップ4からステップ7を繰り返します。 リスニングポートを
2049
に設定し、サーバーグループをS2に設定します。説明SMBファイルシステムの場合、リスニングポート445を設定するだけで済みます。
手順4: エンドポイントサービスの作成
エンドポイントサービスコンソールにログインします。
上部のナビゲーションバーで、エンドポイントサービスを作成するリージョンを選択します。 この例では、[中国 (成都)] を選択します。
[Endpoint Service] ページで、[Endpoint Serviceの作成] をクリックします。
[Endpoint Serviceの作成] ページで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
サービスリソースタイプ
エンドポイントサービスに追加するサービスリソースのタイプを選択します。 この例では、[NLB] を選択します。
サービスリソースの選択
サービスリソースがデプロイされているゾーンを選択し、サービスリソースを選択します。
この例では、成都ゾーンAを選択し、+ サービスリソースの追加をクリックして成都ゾーンBを選択します。成都ゾーンAおよび成都ゾーンBのサービスリソースとして、手順1で作成したNLBインスタンスを選択します。
エンドポイント接続を自動的に受け入れる
エンドポイントサービスがエンドポイントからの接続要求を自動的に受け入れるかどうかを指定します。 この例では、[いいえ] を選択します。
ゾーンアフィニティの有効化
エンドポイントサービスに関連付けられている最も近いエンドポイントのドメイン名を最初に解決するかどうかを指定します。 この例では、[いいえ] を選択します。
リソースグループ
エンドポイントサービスが属するリソースグループを選択します。
説明
エンドポイントサービスの説明を入力します。
手順5: エンドポイントの作成
エンドポイントコンソールにログインします。
上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。 この例では、[中国 (成都)] を選択します。
[エンドポイント] ページで、[インターフェイスエンドポイント] タブをクリックし、[エンドポイントの作成] をクリックします。
[エンドポイントの作成] ページで、エンドポイントのパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
エンドポイント名
エンドポイントの名前を入力します。
エンドポイントタイプ
エンドポイントのタイプを選択します。 この例では、[Interface Endpoint] を選択します。
エンドポイントサービス
エンドポイントサービスを選択します。
この例では、[サービスの選択] をクリックし、[手順4: エンドポイントサービスの作成] で作成したエンドポイントサービスを選択します。
[VPC]
エンドポイントが属するVPCを選択します。 この例では、VPC 1を選択します。
セキュリティグループ
エンドポイントのelastic network interface (ENI) に関連付けるセキュリティグループを選択します。 セキュリティグループは、VPC 1からエンドポイントENIへのデータ転送を制御するために使用されます。
説明セキュリティグループのルールで、クライアントがエンドポイントENIにアクセスできるようにします。
ゾーンとvSwitch
エンドポイントサービスがデプロイされているゾーンを選択し、そのゾーンでvSwitchを選択します。 システムは自動的にエンドポイントENIを作成し、それをvSwitchにアタッチします。
この例では、成都ゾーンAと成都ゾーンaのvSwitchを選択します。次に、+ vSwitchを追加し、成都ゾーンBを選択し、成都ゾーンBのvSwitchを選択します。
リソースグループ
エンドポイントが属するリソースグループを選択します。
説明
エンドポイントの説明を入力します。
エンドポイントを作成したら、ゾーンのドメイン名とIPアドレスを表示できます。
ステップ6: 接続要求を受け入れる
エンドポイント接続を確立するには、エンドポイントサービスが関連するエンドポイントからの接続要求を受け入れる必要があります。 これにより、VPC 1はエンドポイントを使用してエンドポイントサービスにアクセスできます。
手順4で [エンドポイント接続の自動承認] パラメーターを [はい] に設定した場合は、この手順をスキップします。
エンドポイントサービスコンソールにログインします。
上部のナビゲーションバーで、エンドポイントサービスが作成されているリージョンを選択します。 この例では、[中国 (成都)] を選択します。
[エンドポイントサービス] ページで、手順4で作成したエンドポイントサービスを見つけ、そのIDをクリックします。
エンドポイントサービスの詳細ページで、[エンドポイント接続] タブをクリックし、管理するエンドポイントを見つけて、[操作] 列の [許可] をクリックします。
接続要求が受け入れられると、エンドポイント接続の状態が [切断] から [接続済み] に変わります。 その後、エンドポイントサービスはエンドポイントからの要求を処理できます。 手順5で生成されたゾーンのドメイン名とIPアドレスを使用して、エンドポイントサービスにアクセスできます。
ステップ7: ファイルシステムのマウント
ECS インスタンスに接続します。 詳細については、「インスタンスへの接続」をご参照ください。
VPC 1とVPC 2間のネットワーク接続をテストします。
この例では、Telnetを使用してネットワーク接続をテストします。 Telnetがインストールされていることを確認します。 手順5で生成されたエンドポイントのIPアドレスがpingできることを確認します。 次のコマンドを実行します。 ビジネス要件に基づいて、エンドポイントのIPアドレスとポート番号を置き換えます。
telnet 10.0.23.151 2049
コマンドを実行してもエラーメッセージが返されない場合は、VPC 1とVPC 2の間のネットワークが接続されています。
ファイルシステムをマウントします。
NFS クライアントをインストールします。 詳細については、「手順1: NFSクライアントのインストール」をご参照ください。
説明Windowsにファイルシステムをマウントする方法の詳細については、「Windows ECSインスタンスにSMBファイルシステムをマウントする」をご参照ください。
ファイルシステムをマウントします。
手順5で生成されたエンドポイントのIPアドレスを使用して、ファイルシステムをマウントします。 以下のコマンドを実行します。
sudo mount -t nfs -o vers=3,nolock,proto=tcp,rsize=1048576,wsize=1048576,hard,timeo=600,retrans=2,noresvport 10.0.23.117:/ /mnt
説明Windowsにファイルシステムをマウントするには、次のコマンドを実行します。
net use Z: \\10.0.23.151\myshare
次のステップ
ECSインスタンスでNASファイルシステムを使用しなくなった場合は、NLBインスタンスやエンドポイントなどのリソースを削除する前に、ファイルシステムをアンマウントします。 ファイルシステムをアンマウントする前にNLBインスタンスやエンドポイントなどのリソースを削除すると、オペレーティングシステムの応答が遅いか、応答しない場合があります。
ファイルシステムを解放する
ファイルシステムをアンマウントする方法の詳細については、「コマンドを実行してファイルシステムをアンマウントする」をご参照ください。
NASを使用してデータを保存しない場合、またはNASサービスを一時停止する場合は、NASファイルシステムをリリースします。 詳細については、「NAS ファイルシステムのリリース」をご参照ください。
NLBインスタンスのリリース
詳細については、「NLBインスタンスのリリース」をご参照ください。
エンドポイントのリリース
詳細については、「エンドポイントサービスの削除」をご参照ください。
関連ドキュメント
Cloud Enterprise Network (CEN) を使用して、同じリージョンのVPC間でファイルシステムをマウントすることもできます。 詳細については、「CENを使用した同じリージョンのVPC間のファイルシステムのマウント」をご参照ください。
リージョンまたはアカウント間でファイルシステムをマウントする方法の詳細については、「CENを使用してアカウントおよびリージョン間でファイルシステムをマウントする」をご参照ください。
オンプレミスのデータセンターにファイルシステムをマウントする方法の詳細については、「オンプレミスのデータセンターでのファイルシステムへのアクセス」をご参照ください。
オンプレミスのストレージシステムまたはOSSバケットからNASファイルシステムにデータを移行する方法の詳細については、「データ移行」をご参照ください。