Resource Management:概要

企業は、複数の分離された Alibaba Cloud アカウントを一元管理できないことがあります。 したがって、より洗練された管理方法が必要です。

企業はCloud Enterprise Network (CEN) を使用して、異なるアカウントが属する VPC を接続します。 このようにして、異なるアカウント内のクラウドリソースが互いに通信できるようになります。 ただし、ビジネスが複雑化するにつれ、以下のの問題が発生する可能性があります。

• ネットワークリソースを分離してデプロイすることよる、ネットワークの O&M の複雑化

  企業ネットワークは、ネットワークリソースが異なるアカウントによってデプロイおよび管理される場合があり、その結果、巨大化、複雑化します。 その結果、O&M 担当者が企業ネットワークを一元管理することは困難になります。

• 頻繁なネットワークリソース設定によるコストの増加

  異なるアカウントによる VPC 設定が頻繁に行われると、O&M とインスタンスのコストが増大します。

• VPC 数の増加によるネットワークの複雑化

  ビジネス要件を満たすには、ますます多くの VPC を展開する必要があります。 その結果、複合ネットワーク、管理の困難さ、およびリソース割り当て制限などの問題が発生します。 たとえば、CEN インスタンスにアタッチされた VPC 数が上限に達する場合があります。

Alibaba Cloud が提供する リソースディレクトリサービスを使用すると、リソースとアカウント間の関係を複数レベルで管理できます。 リソースディレクトリを有効化し、企業の組織構造またはビジネスの様式に基づいてリソースディレクトリにフォルダーを作成できます。 次に、企業が使用しているアカウントをリソースディレクトリに統合して、アカウントとアカウント内のリソースのマルチレベルの関係を確立できます。 関係性に基づいてアカウントとリソースを一元管理できます。 さらに、財務、セキュリティ、監査、およびコンプライアンスに関する要件を満たすことができます。 詳細については、「リソースディレクトリ」をご参照ください。

Alibaba Cloud が提供するリソース共有サービスでは、リソースディレクトリ内の 1 名以上のメンバーとリソースを共有できます。 リソース共有を作成し、リソースとメンバーをリソース共有に追加すると、この機能を使用できるようになります。 詳細については、「リソース共有の概要」をご参照ください。

リソース共有サービスを使用すると、メンバー (リソース所有者) に属する VPC 内の vSwitch を、同一リソースディレクトリ内の他のメンバー (プリンシパル) と共有できます。 プリンシパルは、Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、ApsaraDB RDS インスタンスなどのリソースを共有 VPC に作成できます。 リソース所有者とプリンシパルによって作成されたリソースは、共有 VPC 内で通信できます。 詳細については、「VPC共有の概要」をご参照ください。

以下の図と説明で、VPC の共有方法の詳細を示します。

• 複数アカウント間での vSwitch 共有

  VPC 内の vSwitch を複数のアカウントと共有できます。各アカウントに VPC を設定する必要はありません。 これにより、VPC の数を削減できます。

  
• リソース所有者とプリンシパルの権限

  下表に、共有 vSwitch に属するクラウドリソースに対するリソース所有者とプリンシパルの権限を示します。

  ロール	サポートされている操作	サポートされていない操作
  リソース所有者	共有vSwitchのリソース所有者に属するリソースを作成、表示、変更、および削除します。 共有vSwitchの参加者によって作成されたENIの次の属性を表示します。 インスタンスID。 プライベートIPアドレス。 リソースの所有者アカウント。	共有vSwitchの参加者によって作成されたリソースを変更または削除します。
  Participant	vSwitchが共有されている場合、参加者は共有vSwitch内のクラウドリソースを作成、変更、および削除できます。	vSwitchが共有されている場合、参加者は共有vSwitch内の他のAlibaba Cloudアカウント (リソース所有者および参加者) によって作成されたリソースを表示、変更、または削除できません。
  	vSwitchが共有されなくなった場合、参加者はvSwitchで参加者によって作成されたリソースを表示、使用、変更、および削除できます。	vSwitchが共有されなくなった場合、参加者はvSwitchに関連付けられたリソース (VPC、ルートテーブル、ネットワークアクセス制御リスト (ACL) など) を表示できません。また、参加者はvSwitchにリソースを作成することはできません。

  下表に、他のネットワークリソースに対するリソース所有者とプリンシパルの権限を示します。

  Network resource	Resource owner	参加者
  VPC	すべての権限。	共有vSwitchが属するVPCを表示します。
  VSwitch	すべての権限。 説明 リソース所有者がvSwitchを削除する場合は、vSwitchを参加者と共有しないでください。 さらに、リソース所有者とvSwitchの参加者によって作成されたリソースを削除する必要があります。	共有vSwitchを表示します。 共有vSwitchでクラウドリソースを作成、変更、削除します。
  ルートテーブル	すべての権限。	共有vSwitchに関連付けられているルートテーブルとルートエントリを表示します。
  ネットワークアクセス制御リスト (ACL)	すべての権限。	共有vSwitchに関連付けられているネットワークACLを表示します。
  プライベート CIDR ブロック	VPCのプライベートCIDRブロックとVPCに属するすべてのvSwitchを表示します。	共有vSwitchのプライベートCIDRブロックを表示します。
  フローログ	指定したVPCまたはvSwitchのフローログを作成します。 システムは、参加者に属するvSwitchのelastic network Interface (ENI) に関するトラフィック情報を記録します。 指定したENIのフローログを作成します。 システムは、リソース所有者に属するENIに関するトラフィック情報を記録します。	権限がありません。
  NATゲートウェイ	インターネットNATゲートウェイおよびVPC NATゲートウェイのすべての権限。 説明 リソースオーナーとvSwitchの参加者が作成したリソースは、インターネットNATゲートウェイを経由してインターネットと通信することができます。 インターネットNAT Gatewayは、リソース所有者に属するelastic IPアドレス (EIP) にのみ関連付けることができます。	権限がありません。
  VPN gateways	すべての権限。 説明 vSwitchのリソース所有者と参加者によって作成されたリソースは、VPNゲートウェイを介して外部ネットワークと通信できます。	権限がありません。
  Cloud Enterprise Network (CEN) インスタンス	すべての権限。 説明 vSwitchのリソース所有者と参加者によって作成されたリソースは、CENインスタンスを介して外部ネットワークと通信できます。	権限がありません。
  VPCピアリング接続	すべての権限。 説明 リソースオーナーとvSwitchの参加者が作成したリソースは、VPCピアリング接続により外部ネットワークと通信できます。	権限がありません。
  タグ	リソース共有は、リソース所有者によってリソースに追加されたタグには影響しません。 vSwitchが共有されると、リソース所有者とリソースユーザーは自分のリソースにタグを追加できます。 リソースユーザは、リソース所有者によって追加されたタグを見ることができず、リソース所有者は、リソースユーザによって追加されたタグを見ることができない。 リソース所有者とリソースユーザーが追加したタグは相互に影響しません。 vSwitchが共有されていない場合、システムはvSwitchに参加者によって追加されたタグを削除します。

• 分離

  同一 VPC 内の vSwitch を異なるアカウントと共有している場合、デフォルトでは vSwitch は相互に通信できます。 vSwitch を分離する場合、以下のいずれかの方法を使用することがあります。

  • ネットワークアクセス制御リスト (ACL) を設定して、vSwitch を分離します。
  • セキュリティグループを設定して、vSwitch に属するインスタンスを分離します。 他のアカウントに属するセキュリティグループを使用できます。
  
  説明 ACL ルールを設定して、異なる vSwitch に属するインスタンスを分離できます。 ただし、同一 vSwitch に属するインスタンスを分離する場合は、インスタンスのセキュリティグループルールを設定できます。 他のアカウントに属するセキュリティグループを使用できます。 異なる vSwitch と異なるアカウント間のネットワークを分離するには、セキュリティグループで送信元 IP アドレスと送信先 IP アドレスを設定します。