サービス相互接続を有効にする

シンプルアプリケーションサーバーは、ネットワーク分離のために仮想プライベートクラウド（VPC）に自動的に割り当てられます。デフォルトでは、シンプルアプリケーションサーバーは、Elastic Compute Service（ECS）やApsaraDBなど、VPCに存在する他のAlibaba Cloudサービスとは相互接続されていません。サービス相互接続機能を使用すると、シンプルアプリケーションサーバーはVPCを介して他のAlibaba Cloudサービスと相互接続できます。このトピックでは、サービス相互接続機能を有効にしてVPCを管理する方法について説明します。

説明

シンプルアプリケーションサーバーコンソールは、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するサービスに対してのみ、サービス相互接続機能をサポートしています。この場合、サービス相互接続機能は無料です。Alibaba Cloudアカウントまたはリージョンを跨ぐサービスに対してサービス相互接続機能を有効にする場合は、クラウドエンタープライズネットワーク（CEN）コンソールで関連操作を実行する必要があります。この場合、サービス相互接続機能は課金されます。詳細については、「料金規則」、「別のAlibaba Cloudアカウントに属するネットワークインスタンスにトランジットルーターの権限を付与する」トピックの「アカウントBにVPCの権限を付与する」セクション、および「リージョン間接続を管理する」を参照してください。

シナリオ

デフォルトでは、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するすべてのシンプルアプリケーションサーバーは相互に通信できます。サービス相互接続機能は、主に次のシナリオで使用されます。

シンプルアプリケーションサーバーがVPCを介してECSインスタンスにアクセスする必要がある。
シンプルアプリケーションサーバーがVPCを介してApsaraDBデータベースにアクセスする必要がある。

説明

デフォルトでは、同じリージョンにあるシンプルアプリケーションサーバーとオブジェクトストレージサービス（OSS）バケットは、VPC経由で相互に通信できます。この場合、サービス相互接続を有効にする必要はありません。詳細については、OSSリソースの内部エンドポイントを介したサービス相互接続の実装を参照してください。

次の図はサンプルシナリオを示しています。企業は中国（杭州）リージョンで2つのVPCを購入し、VPC 1にシンプルアプリケーションサーバーを、VPC 2にECSインスタンスをデプロイします。企業は、VPCを跨いでシンプルアプリケーションサーバーとECSインスタンス間の接続を構築したいと考えています。 dadad

制限事項

同じAlibaba Cloudアカウントに属するシンプルアプリケーションサーバーには、次の制限が適用されます。
- 同じリージョン内のすべてのシンプルアプリケーションサーバーは、同じVPCに自動的に割り当てられます。VPCは1つのCENインスタンスにのみ追加できます。
- 異なるリージョンにあるシンプルアプリケーションサーバーは、リージョン固有のVPCに追加されます。シンプルアプリケーションサーバーコンソールで、リージョンごとに個別にサービス相互接続を有効にする必要があります。
CENコンソールで実行された操作は、シンプルアプリケーションサーバーコンソールに同期されません。サービス相互接続機能を有効にした後、VPCの管理などの操作はシンプルアプリケーションサーバーコンソールで実行することをお勧めします。詳細については、このトピックのVPCを追加または削除するセクションを参照してください。

課金

シンプルアプリケーションサーバーコンソールは、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するサービスに対してのみ、サービス相互接続機能をサポートしています。この場合、サービス相互接続機能は無料です。

警告

リージョンで初めてサービス相互接続機能を設定すると、リージョン内のシンプルアプリケーションサーバーは約1分間停止し、ビジネスの中断が発生する可能性があります。サービス相互接続は、オフピーク時に設定することをお勧めします。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、サービス相互接続をクリックします。
上部のナビゲーションバーで、シンプルアプリケーションサーバーが属するリージョンとリソースグループを選択します。
サービス相互接続ページの左上隅にあるサービス相互接続をクリックします。
Alibaba Cloudアカウントで初めてサービス相互接続機能を設定すると、認証の確認を求められます。表示されるメッセージでOKをクリックすると、システムはシンプルアプリケーションサーバーのサービスリンクロールを自動的に作成します。詳細については、このトピックのサービスリンクロールの作成または削除セクションを参照してください。

サービス相互接続の設定ダイアログボックスで、ビジネス要件に基づいてパラメーターを設定します。

次の表にパラメーターを示します。

パラメーター	説明
リージョン	上部のナビゲーションバーで選択したリージョンが表示されます。リージョンは変更できません。例：中国（杭州）。
CENインスタンス	ドロップダウンリストからCENインスタンスを選択します。ドロップダウンリストにCENインスタンスがない場合は、自動作成をクリックしてCENインスタンスを自動的に作成します。警告シンプルアプリケーションサーバーは、CEN Basic Editionトランジットルーターのみをサポートしています。CENコンソールで作成したCEN Enterprise Editionトランジットルーターを選択した場合、シンプルアプリケーションサーバーのサービス相互接続機能は使用できません。CEN Basic EditionとCEN Enterprise Editionの詳細については、「CENとは」トピックのトランジットルーターでサポートされているリージョンとゾーンセクションを参照してください。リージョンでは1つのCENインスタンスのみを選択できます。CENインスタンスを変更するには、サービス相互接続リストからすべてのVPCを削除する必要があります。詳細については、このトピックのVPCを追加または削除するセクションを参照してください。
VPC	サービス相互接続機能を有効にするVPCのIDを選択します。ビジネス要件に基づいて、リージョン内のサービス相互接続リストにVPCを追加したり、削除したりできます。詳細については、このトピックのVPCの追加または削除セクションを参照してください。

確認をクリックします。
サービス相互接続ページで、追加したVPCを表示できます。
説明
ネットワーク競合が発生し、サービス相互接続が中断される可能性があることを示すメッセージが表示された場合は、VPCの相互接続性をテストすることをお勧めします。VPCを相互接続できない場合は、質問1：リージョン内のVPCに対してサービス相互接続機能を有効にした後、「ネットワーク競合が発生し、サービス相互接続が中断される可能性があります」というメッセージが表示された場合はどうすればよいですか？の説明に従って問題を解決してください。
相互接続性をテストします。
この例では、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するVPC 1のシンプルアプリケーションサーバーとVPC 2のECSインスタンスを使用します。この例では、手順5でVPCパラメーターにVPC 2を選択したと仮定します。
重要
シンプルアプリケーションサーバーとApsaraDB for RedisインスタンスがVPCを介して相互に通信する必要がある場合は、シンプルアプリケーションサーバーのプライベートIPアドレスまたはCIDRブロックをApsaraDB for Redisインスタンスのホワイトリストに追加する必要があります。詳細については、手順2：ホワイトリストを設定するを参照してください。
1. シンプルアプリケーションサーバーに接続します。
  詳細については、Linuxサーバーに接続するを参照してください。
2. pingコマンドを実行してVPC 2のECSインスタンスのIPアドレスをpingし、シンプルアプリケーションサーバーとECSインスタンス間の接続を確認します。
  次の図はサンプルメッセージを示しており、シンプルアプリケーションサーバーとECSインスタンス間の接続が確立されていることを示しています。

VPCを追加または削除する

リージョン内のVPCに対してサービス相互接続機能を有効にした後、サービス相互接続リストにVPCを追加したり、サービス相互接続リストからVPCを削除したりできます。

VPCを追加する：VPCを追加すると、リージョン内のシンプルアプリケーションサーバーはVPC内のクラウドサービスと相互接続されます。
VPCを削除する：VPCを削除すると、リージョン内のシンプルアプリケーションサーバーはVPC内のクラウドサービスから切断されます。

シンプルアプリケーションサーバーコンソールにログオンします。
左側のナビゲーションペインで、サービス相互接続をクリックします。
サービス相互接続リストにVPCを追加するか、サービス相互接続リストからVPCを削除します。
- VPCを追加する
  サービス相互接続ページで、サービス相互接続をクリックします。
  サービス相互接続の設定ダイアログボックスで、サービス相互接続リストに追加するVPCを選択します。VPCパラメーターの設定方法については、このトピックの「サービス相互接続を有効にする」セクションの手順5の表を参照してください。
  確認をクリックします。
- VPCを削除する
  サービス相互接続ページで、削除するVPCを見つけ、アクション列の削除をクリックします。
  説明
  VPCを削除すると、リージョン内のシンプルアプリケーションサーバーはVPC内のクラウドサービスから切断されます。
  シンプルアプリケーションサーバーのAliyunServiceRoleForSwasサービスリンクロールを削除した場合、VPCに対応するアクション列の削除をクリックするとメッセージが表示されます。メッセージは、VPCとCENインスタンスのIDを取得するためにシンプルアプリケーションサーバーを再認証するように求めます。メッセージでOKをクリックします。その後、VPCを削除できます。
  確認をクリックします。

サービスリンクロールを作成または削除する

サービスリンクロール

AliyunServiceRoleForSwasは、Resource Access Management（RAM）によって提供されるサービスリンクロールです。サービスリンクロールを使用すると、シンプルアプリケーションサーバーは他のAlibaba Cloudリソースにアクセスできます。シンプルアプリケーションサーバーは、AliyunServiceRoleForSwasロールを使用してCENとVPCのリソースにアクセスし、サービス相互接続を有効にすることができます。詳細については、サービスリンクロールを参照してください。

権限

次のセクションでは、シンプルアプリケーションサーバーのサービスリンクロールの権限について説明します。

ロール名：AliyunServiceRoleForSwas。
ポリシー：AliyunServiceRolePolicyForSwas。

説明：リージョンに対して初めてサービス相互接続機能を設定する場合は、シンプルアプリケーションサーバーにCENやVPCなどの他のAlibaba Cloudサービスのリソースにアクセスするための権限を付与する必要があります。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "vpc:DescribeVpcs", // VPCの記述
                "vpc:DescribeVSwitches" // vSwitchの記述
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "cen:CreateCen", // CENの作成
                "cen:DescribeCens", // CENの記述
                "cen:DescribeCenAttachedChildInstanceAttribute", // CENに接続された子インスタンス属性の記述
                "cen:DescribeChildInstanceRegions", // 子インスタンスリージョンの記述
                "cen:DescribeGrantRulesToCen", // CENへの権限付与ルールの記述
                "cen:ModifyCenAttribute", // CEN属性の変更
                "cen:AttachCenChildInstance", // CEN子インスタンスの接続
                "cen:DetachCenChildInstance", // CEN子インスタンスの切断
                "cen:DeleteCen" // CENの削除
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole", // サービスリンクロールの削除
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "swas.aliyuncs.com"
                }
            }
        }
    ]
}

サービスリンクロールを作成する

リージョンに対して初めてサービス相互接続機能を設定すると、システムはAlibaba CloudアカウントにAliyunServiceRoleForSwasサービスリンクロールが作成されているかどうかを確認します。サービスリンクロールが存在しない場合は、シンプルアプリケーションサーバーに他のAlibaba Cloudサービスのリソースにアクセスするための権限を付与する必要があります。その後、システムはサービスリンクロールを作成します。

AliyunServiceRolePolicyForSwasシステムポリシーは、AliyunServiceRoleForSwasサービスリンクロールにアタッチされます。サービスリンクロールにアタッチされているポリシーは、リンクされているAlibaba Cloudサービスによって定義および使用されます。サービスリンクロールの権限を追加、変更、または削除することはできません。

サービスリンクロールを削除する

AliyunServiceRoleForSwasサービスリンクロールを削除する前に、Alibaba Cloudアカウントのシンプルアプリケーションサーバーがロールを引き受けていないことを確認してください。詳細については、RAMロールを削除するを参照してください。

説明

AliyunServiceRoleForSwasサービスリンクロールを削除した後にサービス相互接続機能を引き続き使用するには、サービス相互接続ページのサービス相互接続をクリックします。画面の指示に従ってシンプルアプリケーションサーバーに他のAlibaba Cloudサービスのリソースにアクセスするための権限を付与すると、システムはAliyunServiceRoleForSwasサービスリンクロールを再作成します。

FAQ

質問1：リージョン内のVPCに対してサービス相互接続機能を有効にした後、「ネットワーク競合が発生し、サービス相互接続が中断される可能性があります」というメッセージが表示された場合はどうすればよいですか？

回答：シンプルアプリケーションサーバーのCIDRブロックがリージョン内の他のAlibaba CloudサービスのCIDRブロックと競合する場合、サービス相互接続が中断される可能性があります。CIDRブロックの相互接続性をテストすることをお勧めします。CIDRブロックを相互接続できない場合は、vSwitchのCIDRブロックが重複している場合はどうすればよいですか？またはECSインスタンスのVPCを変更するの説明に従って問題を解決してください。

質問2：シンプルアプリケーションサーバーとApsaraDB for Redisインスタンスが存在するVPCに対して機能を有効にした後、サービス相互接続機能が有効にならないのはなぜですか？

回答：ApsaraDB for Redisインスタンスのセキュリティと安定性を確保するために、システムはすべてのIPアドレスがApsaraDB for Redisインスタンスにアクセスすることを禁止しています。VPCに対してサービス相互接続機能を有効にした後、シンプルアプリケーションサーバーのプライベートIPアドレスまたはCIDRブロックをApsaraDB for Redisインスタンスのホワイトリストに追加する必要があります。詳細については、手順2：ホワイトリストを設定するを参照してください。

ApsaraDB for Redisインスタンスにログオンする方法については、インスタンスに接続するを参照してください。

質問3：特定のシンプルアプリケーションサーバーと特定のECSインスタンスに対してのみサービス相互接続を有効にして、VPCを介して相互に通信できるようにすることはできますか？

いいえ、特定のシンプルアプリケーションサーバーと特定のECSインスタンスに対してのみサービス相互接続を有効にすることはできません。シンプルアプリケーションサーバーとECSインスタンスが存在するVPCに対してサービス相互接続機能を有効にすると、機能はVPCに存在するすべてのシンプルアプリケーションサーバーとECSインスタンスに有効になります。デフォルトでは、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するすべてのシンプルアプリケーションサーバーは同じVPCに追加されます。このようにして、同じAlibaba Cloudアカウントに属し、同じリージョンに存在するすべてのシンプルアプリケーションサーバーは、サービス相互接続機能を有効にしたVPC内のすべてのECSインスタンスと通信できます。