すべてのプロダクト
Search
ドキュメントセンター

PrivateLink:エンドポイントの作成と管理

最終更新日:Jan 23, 2025

このトピックでは、エンドポイントの作成および管理方法について説明します。エンドポイントは、サービスコンシューマーによって作成および管理されます。エンドポイントをエンドポイントサービスに接続できます。これにより、仮想プライベートクラウド (VPC) と外部サービス間のPrivateLink接続を確立できます。エンドポイントは、1 つのエンドポイントサービスにのみ関連付けることができます。

背景情報

PrivateLinkを使用すると、VPCとエンドポイントサービス間の安全で安定したプライベート接続を確立できます。インターネット経由の接続と比較して、PrivateLink接続はより高いセキュリティを提供します。サポートされているエンドポイントサービスには、Alibaba Cloudサービス、その他のエンドポイントサービス、およびAlibaba Cloudアカウント内で利用可能なエンドポイントサービスが含まれます。

Alibaba Cloudサービスとその他のエンドポイントサービスとは何ですか?

用語

説明

Alibaba Cloudサービス

Alibaba Cloudサービスは、Alibaba Cloudによって提供および管理されるサービスです。これは、Alibaba Cloudがサーバー、ネットワークデバイス、ストレージデバイスなどの完全なクラウドサービスインフラストラクチャを所有および管理していることを意味します。これらのクラウドサービスは、Alibaba Cloudの公式Webサイトで購入して使用でき、Alibaba Cloudが提供するテクニカルサポートとサービス保証を受けることができます。

説明

Alibaba Cloud ActionTrailはPrivateLinkでサポートされています。

その他のエンドポイントサービス

その他のエンドポイントサービスとは、Alibaba Cloud以外が提供するその他のプライベートサービスのことです。これらのサービスを使用する前に、品質、セキュリティ、信頼性を評価し、ビジネス要件に基づいてサービスを選択する必要があります。

制限

  • PrivateLinkは特定のリージョンでのみ利用可能です。詳細については、「PrivateLinkをサポートするリージョンとゾーン」を参照してください。

  • リバースエンドポイントをサポートするサービスは、Alibaba Cloudとそのエコシステムパートナーのみが提供できます。デフォルトでは、リバースエンドポイントをサポートするサービスを作成することはできません。このようなサービスを作成する場合は、アカウントマネージャーにお問い合わせください。

前提条件

エンドポイントを作成する前に、以下の要件が満たされていることを確認してください。

  • PrivateLinkがアクティブ化されている。PrivateLinkを初めて使用する場合は、アクティベーションページにアクセスし、指示に従ってPrivateLinkをアクティブ化してください。PrivateLinkをアクティブ化する前に、アカウントの残高が0米ドルを超えていることを確認してください。

  • エンドポイントサービスが作成され、少なくとも1つのサービスリソースがエンドポイントサービスに追加されている。詳細については、「エンドポイントサービスの作成と管理」を参照してください。

  • エンドポイントサービスにアクセスするために使用されるVPCが作成されている。エンドポイントサービスがデプロイされているゾーンにvSwitchが作成されている。詳細については、「IPv4 CIDRブロックを持つVPCを作成する」トピックの「VPCとvSwitchを作成する」セクションを参照してください。

  • セキュリティグループが作成されている。

    詳細については、「セキュリティグループを作成する」を参照してください。

    インターフェースエンドポイントを作成する場合、ビジネスおよびセキュリティの要件に基づいてセキュリティグルーパールールを設定できます。以下のセキュリティグルーパールールを設定することをお勧めします。

    • pingなどのElastic Compute Service (ECS) インスタンスの操作をサポートするために、インターネット制御メッセージプロトコル (ICMP) トラフィックを許可するデフォルトのインバウンドルール。

    • SSHポート22およびリモートデスクトッププロトコル (RDP) ポート3389でのトラフィックを許可してECSインスタンスにアクセスできるようにするデフォルトのインバウンドルール。

    • (オプション) HTTPポート80およびHTTPSポート443でのトラフィックを許可するインバウンドルール。このルールにより、エンドポイントのVPCがHTTPまたはHTTPS経由でエンドポイントサービスのVPCにアクセスできるようになります。

  • リバースエンドポイントを作成する場合は、すべてのトラフィックを許可するインバウンドルールを設定する必要があります。これは、すべてのCIDRブロックがすべてのプロトコルですべてのポートにアクセスできるようにする必要があることを意味します。

エンドポイントを作成する

  1. エンドポイントコンソールにログオンします。

  2. 上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。

  3. エンドポイント ページで、次のいずれかの方法を使用してエンドポイントを作成できます。

    • インターフェイスエンドポイントタブをクリックし、エンドポイントの作成をクリックします。

    • リバースエンドポイント タブをクリックし、エンドポイントの作成 をクリックします。

    • ゲートウェイエンドポイント タブをクリックし、エンドポイントの作成 をクリックします。

    説明
    • インターフェースエンドポイントを使用すると、サービスコンシューマーはサービスプロバイダーが提供するサービスにアクセスできます。

    • リバースエンドポイントを使用すると、サービスプロバイダーはサービスコンシューマーのVPC内のリソースにアクセスできます。

    • ゲートウェイエンドポイントは仮想ゲートウェイデバイスとして機能します。VPCにエンドポイントサービスのゲートウェイエンドポイントを作成し、エンドポイントをルートテーブルに関連付けることができます。その後、システムはVPCルートテーブルのゲートウェイエンドポイントを指すネクストホップを持つルートを自動的に追加します。これにより、VPCはエンドポイントサービスにアクセスできます。ゲートウェイエンドポイントの詳細については、「ゲートウェイエンドポイント」を参照してください。

    • エンドポイントはサービスコンシューマーによって作成および管理されます。エンドポイントサービスはサービスプロバイダーによって作成および管理されます。

  4. エンドポイントの作成ページで、次の表に示すパラメーターを指定し、OK をクリックします。

    次の表では、インターフェースエンドポイントとリバースエンドポイントの構成のみについて説明します。ゲートウェイエンドポイントの構成の詳細については、「ゲートウェイエンドポイント」トピックの「ゲートウェイエンドポイントを作成し、ルートを表示する」セクションを参照してください。

    インターフェースエンドポイントを作成する

    パラメーター

    説明

    リージョン

    インターフェースエンドポイントを作成するリージョンを選択します。

    エンドポイント名

    インターフェースエンドポイントの名前を入力します。

    エンドポイントの種類

    インターフェイスエンドポイント を選択します。

    エンドポイントサービス

    次の3つの方法のいずれかを使用して、インターフェースエンドポイントをエンドポイントサービスに関連付けることができます。

    • Alibaba Cloud サービスをクリックして、エンドポイントサービスの名前を入力します。

    • その他のエンドポイントサービス をクリックし、エンドポイントサービスの名前を入力して、検証 をクリックしてサービスの有効性を検証します。

      説明

      サービスプロバイダーがサービスコンシューマーをサービスのホワイトリストに追加した後でのみ、サービスは有効性検証に合格できます。詳細については、「エンドポイントサービスのホワイトリストのアカウントIDを管理する」を参照してください。

    • サービスの選択 をクリックし、エンドポイントサービスの名前または ID を選択または入力します。

    VPC

    インターフェースエンドポイントを作成するVPCを選択します。

    セキュリティグループ

    エンドポイントのElastic Network Interface (ENI) に関連付けるセキュリティグループを選択します。セキュリティグループは、VPCからエンドポイントENIへのデータ転送を制御するために使用されます。

    エンドポイントENIは、VPCがエンドポイントサービスにアクセスするためのイングレスとして機能します。

    説明

    デフォルトでは、最大5つのセキュリティグループにエンドポイントを追加できます。

    ゾーンと vSwitch

    エンドポイントサービスのゾーンを選択し、ゾーン内のvSwitchを選択します。システムはvSwitchにエンドポイントENIを自動的に作成します。

    • エンドポイントサービスの1つのゾーンを選択できます。

      1. image.pngアイコンをクリックします。このアイコンは、ゾーンと vSwitch セクションにあります。

      2. 表示されるメッセージで、OK をクリックします。

    • エンドポイントサービスの複数のゾーンを選択できます。デフォルトでは、2 つのゾーンと各ゾーンの 1 つの vSwitch を選択する必要があります。さらにゾーンを選択する場合は、vSwitch の追加をクリックします。

    説明

    複数のゾーンを選択することで、いずれかのゾーンに障害が発生した場合にフェールオーバーを迅速に実行できます。これにより、高いサービス可用性と安定性が確保され、サービスの中断やデータの損失を防ぐことができます。

    リソースグループ

    エンドポイントが属するリソースグループを選択します。

    タグ

    タグキータグ値を選択または入力します。

    説明

    インターフェイスエンドポイントの説明を入力します。

    アクセス ポリシー

    アクセス ポリシーを選択します。

    • デフォルト ポリシー: フル アクセス ポリシーがデフォルトで使用されます。

    • カスタム ポリシー: カスタム アクセス ポリシーを入力できます。

    説明

    このパラメーターは、エンドポイント サービスを Alibaba Cloud サービス に設定した場合にのみ必須です。Alibaba Cloud ActionTrail はアクセス ポリシーをサポートしています。

    注意:

    エンドポイントを初めて作成すると、システムによってエンドポイントのサービスリンクロールが自動的に作成されます。このロールにより、エンドポイントは他のリソースにアクセスできます。詳細については、サービスリンクロールを参照してください。

    リバースエンドポイントを作成する

    パラメーター

    説明

    リージョン

    リバースエンドポイントを作成するリージョンを選択します。

    エンドポイント名

    リバースエンドポイントの名前を入力します。

    エンドポイントタイプ

    リバースエンドポイントを選択します。

    エンドポイントサービス

    次のいずれかの方法で、エンドポイントをエンドポイントサービスに関連付けることができます。

    • その他のエンドポイントサービスをクリックし、エンドポイントサービスの名前を入力して、検証をクリックしてサービスの有効性を検証します。

      説明

      サービスプロバイダーがサービスコンシューマーをサービスのホワイトリストに追加した後でのみ、サービスは有効性検証に合格できます。詳細については、エンドポイントサービスのホワイトリストのアカウントIDを管理するを参照してください。

    • サービスの選択をクリックし、エンドポイントサービスの名前またはIDを選択または入力します。

    説明

    エンドポイントは1つのエンドポイントサービスにのみ関連付けることができます。

    VPC

    リバースエンドポイントを作成するVPCを選択します。

    セキュリティグループ

    エンドポイントENIに関連付けるセキュリティグループを選択します。セキュリティグループは、VPCからエンドポイントENIへのデータ転送を制御するために使用されます。エンドポイントENIは、VPCがエンドポイントサービスにアクセスするためのイングレスとして機能します。

    重要

    リバースエンドポイントのセキュリティグループルールは、すべてのインバウンドトラフィックを許可する必要があります。

    ゾーンと vSwitch

    エンドポイントサービスのゾーンを選択し、そのゾーン内のvSwitchを選択します。システムはvSwitch内にエンドポイントENIを自動的に作成します。

    • エンドポイントサービスのゾーンを1つ選択できます。

      1. image.pngアイコンをクリックします。このアイコンは、ゾーンと vSwitch セクションにあります。

      2. 表示されるメッセージで、OKをクリックします。

    • エンドポイントサービスの複数のゾーンを選択できます。デフォルトでは、2つのゾーンと各ゾーン内の1つのvSwitchを選択する必要があります。さらにゾーンを選択する場合は、vSwitch の追加をクリックします。

    説明

    いずれかのゾーンがダウンした場合にフェイルオーバーを迅速に実行できるように、複数のゾーンを選択できます。これにより、高可用性と安定性が確保され、サービスの中断やデータの損失を防ぐことができます。

    リソースグループ

    エンドポイントが属するリソースグループを選択します。

    タグ

    タグキータグ値を選択または入力します。

    説明

    リバースエンドポイントの説明を入力します。

    注意:

    初めてエンドポイントを作成すると、システムはエンドポイントのサービスリンクロールを自動的に作成します。このロールにより、エンドポイントは他のリソースにアクセスできます。詳細については、サービスリンクロールを参照してください。

インターフェイスエンドポイントのポリシーを表示する

インターフェイスエンドポイントに接続されているエンドポイントサービスがAlibaba Cloudサービス、またはAlibaba Cloud以外が提供するプライベートエンドポイントサービスである場合、インターフェイスエンドポイントの作成後に、次のいずれかの方法を使用してインターフェイスエンドポイントのポリシーを表示できます。

  1. エンドポイントコンソールにログインします。

  2. 上部のナビゲーションバーで、インターフェイスエンドポイントがデプロイされているリージョンを選択します。

  3. インターフェイスエンドポイントタブのエンドポイントページで、目的のエンドポイントのIDをクリックします。

  4. エンドポイントの詳細ページで、アクセス ポリシータブをクリックして、ポリシーの詳細を表示します。

インターフェイスエンドポイントのポリシーを変更する

インターフェイスエンドポイントに接続されているエンドポイントサービスがAlibaba Cloudサービス、またはAlibaba Cloudが提供していないプライベートエンドポイントサービスの場合、インターフェイスエンドポイントの作成後にそのポリシーを変更できます。

  1. エンドポイントコンソールにログインします。

  2. 上部のナビゲーションバーで、リージョンを選択します。

  3. インターフェイスエンドポイント タブの エンドポイント ページで、目的のエンドポイントの ID をクリックします。

  4. エンドポイントの詳細ページで、アクセス ポリシータブをクリックします。

  5. アクセス ポリシーの変更をクリックします。表示されるダイアログボックスで、アクセス ポリシーを変更し、OKをクリックします。

エンドポイントサービスへのアクセスに使用できるドメイン名またはIPアドレスの表示

インターフェイスエンドポイントを作成した後、エンドポイントのドメイン名、エンドポイントがデプロイされているゾーンのドメイン名、またはゾーンのIPアドレスを使用して、エンドポイントサービスのサービスリソースにアクセスできます。

  1. エンドポイントコンソールにログインします。

  2. 上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。

  3. インターフェイスエンドポイントタブのエンドポイントページで、管理するエンドポイントを見つけ、エンドポイントIDをクリックします。

  4. エンドポイントサービスへのアクセスに使用されるエンドポイントの詳細ページで、エンドポイントのドメイン名、リソースグループ、エンドポイントがデプロイされているゾーンのドメイン名、ゾーンのIPアドレスなどの情報を表示できます。

    説明

    リバースエンドポイントの場合、エンドポイントの詳細ページには、エンドポイントのドメイン名またはエンドポイントがデプロイされているゾーンのドメイン名は表示されません。

エンドポイントの設定を変更する

エンドポイントの名前と説明を変更できます。

  1. エンドポイントコンソールにログオンします。

  2. 上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。

  3. エンドポイントページで、インターフェースエンドポイントタブまたはリバースエンドポイントタブをクリックし、管理するエンドポイントを見つけて、そのインスタンスIDをクリックします。

    • エンドポイントの名前を変更するには、次の手順を実行します。

      1. 基本情報セクションで、インスタンス名の横にある編集をクリックします。

      2. 表示されるダイアログボックスで、新しい名前を入力し、OKをクリックします。

    • エンドポイントの説明を変更するには、次の手順を実行します。

      1. 基本情報セクションで、説明の横にある編集をクリックします。

      2. 表示されるダイアログボックスで、新しい説明を入力し、OKをクリックします。

    ゲートウェイエンドポイントの設定を変更する方法の詳細については、ゲートウェイエンドポイントのトピックのその他の操作セクションを参照してください。

エンドポイントを削除する

エンドポイントを削除する前に、エンドポイントに関連付けられているENIを削除する必要があります。詳細については、エンドポイントのENIを削除するを参照してください。

警告

不要になったエンドポイントは削除できます。エンドポイントを削除すると、エンドポイントがデプロイされているVPCは、PrivateLink接続を介して対応するエンドポイントサービスにアクセスできなくなります。この操作を実行する際は注意してください。

  1. エンドポイントコンソールにログオンします。

  2. 上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。

  3. エンドポイントページで、インターフェイスエンドポイントタブまたはリバースエンドポイントタブをクリックし、削除するエンドポイントを見つけ、削除操作列でクリックします。

  4. エンドポイントの削除メッセージで、OKをクリックします。

(オプション) エンドポイントにタグを追加する

エンドポイントの数が増加するにつれて、エンドポイントの管理がより困難になります。タグを使用してエンドポイントをグループ化できます。これは、エンドポイントを効率的に検索およびフィルタリングするのに役立ちます。

タグはエンドポイントを分類するために使用されます。各タグはキーと値で構成されます。タグを使用する際には、次の制限事項に注意してください。

  • 同じエンドポイントに追加されるタグのキーは一意である必要があります。

  • エンドポイントには最大20個のタグを追加できます。

  • タグを作成する場合は、エンドポイントに追加する必要があります。

  • タグ情報はリージョン間で共有されません。

    たとえば、中国 (杭州) リージョンで作成されたタグは、中国 (上海) リージョンには表示されません。

  • タグのキーと値を変更したり、エンドポイントのタグを削除したりできます。エンドポイントを削除すると、インスタンスに追加されたタグも削除されます。

  1. エンドポイントコンソール.

  2. 上部のナビゲーションバーで、エンドポイントを作成するリージョンを選択します。

  3. 左側のナビゲーションペインで[エンドポイント]をクリックします。エンドポイントページで、タグを追加するエンドポイントを見つけ、标签图标タグ列の編集アイコンにポインターを移動し、をクリックします。

  4. タグの設定ダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    タグキー

    タグのキー。キーを選択または入力できます。

    タグキーは最大128文字です。aliyunまたはacs:で始めることはできず、http://またはhttps://を含めることはできません。

    タグ値

    タグの値。値を選択または入力できます。

    タグ値は最大128文字です。aliyunまたはacs:で始めることはできず、http://またはhttps://を含めることはできません。

  5. エンドポイントページに戻り、タグでフィルタリングをクリックします。フィルタセクションで、タグキーとタグ値に基づいてエンドポイントを検索します。

関連情報