すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:ゲートウェイエンドポイント

    ドキュメントセンター

    Virtual Private Cloud:ゲートウェイエンドポイント

    最終更新日:Dec 05, 2024

    エンドポイントを使用して、仮想プライベートクラウド (VPC) とAlibaba cloudサービス間に安全で安定したプライベート接続を確立する場合は、VPCにゲートウェイエンドポイントを作成し、ゲートウェイエンドポイントに関連付けるルートテーブルを指定できます。 サービスを宛先とするルートのネクストホップは、自動的にゲートウェイエンドポイントに設定されます。 これにより、プライベート接続を介してサービスにアクセスできます。 このトピックでは、ゲートウェイエンドポイントを作成および管理する方法について説明します。

    背景情報

    エンドポイントには、インターフェイスのエンドポイントゲートウェイエンドポイントがあります。 エンドポイントは、サービスコンシューマによって作成および管理されます。 サービスコンシューマは、エンドポイントをエンドポイントサービスに関連付けて、VPCがエンドポイントサービスにアクセスできるようにすることができます。

    • インターフェイスエンドポイントは、プライベートIPアドレスを持つelastic network interface (ENI) であり、エンドポイントサービスまたはAlibaba Cloudサービスの入力として機能します。 詳細については、「インターフェイスエンドポイントの作成」をご参照ください。

    • ゲートウェイエンドポイントは、仮想ゲートウェイデバイスである。 クラウドサービスのVPCにゲートウェイエンドポイントを作成し、ルートテーブルをゲートウェイエンドポイントに関連付けることができます。 次に、システムは自動的にルートテーブルにルートを追加します。 ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。 クラウドサービスのCIDRブロックのプレフィックスはplで、サフィックスはランダムな文字列です。 これにより、VPCはクラウドサービスにアクセスできます。网关终端节点

      Alibaba Cloudは、各リージョンのエンドポイントサービスのCIDRブロックが一意であることを保証します (100.64.0.0/10から割り当てられます) 。 Cloud Enterprise Network (CEN) 、VPCピアリング接続、およびVPNゲートウェイを使用して、さまざまなリージョンのゲートウェイエンドポイントのエンドポイントサービスにアクセスできます。

    制限事項

    • クラウドサービスごとに、各VPCは1つのゲートウェイエンドポイントにのみ関連付けることができ、各VPCルートテーブルは1つのゲートウェイエンドポイントにのみ関連付けることができます。

    • 異なるクラウドサービスの場合、各VPCを異なるクラウドサービスのゲートウェイエンドポイントに関連付けることができます。 各VPCルートテーブルは、異なるクラウドサービスのゲートウェイエンドポイントに関連付けることができます。

    • リージョン内のさまざまなクラウドサービスタイプのゲートウェイエンドポイントを初めて作成すると、システムは自動的にシステムプレフィックスリストを作成します。 システムプレフィックスリストは変更または削除できません。 詳細については、「プレフィックスリストの表示」をご参照ください。

    • ゲートウェイエンドポイントが属するAlibaba CloudアカウントのIDをサービスホワイトリストに追加する必要があります。 詳細については、「エンドポイントサービスのホワイトリストのアカウントIDの管理」をご参照ください。

    • Object Storage Service (OSS) のみがゲートウェイエンドポイントをサポートしています。 OSSの詳細については、OSSとは

    • 次の表に、OSSがゲートウェイエンドポイントをサポートするリージョンを示します。

      地域

      サポート対象リージョン

      アジア太平洋

      中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (深セン)中国 (ウランカブ)中国 (ヘユアン)中国 (広州)中国 (成都)中国 (香港)日本 (東京)シンガポールマレーシア (クアラルンプール)インドネシア (ジャカルタ)

      ヨーロッパおよびアメリカ

      ドイツ (フランクフルト)英国 (ロンドン)米国 (シリコンバレー)米国 (バージニア)

    前提条件

    ゲートウェイエンドポイントに関連付けるVPCが作成されます。 詳細については、「VPC の作成と管理」をご参照ください。

    ゲートウェイエンドポイントの作成とルートの表示

    ゲートウェイエンドポイントを作成するときは、ゲートウェイエンドポイントに関連付けられるVPCと、VPCがアクセスする必要があるエンドポイントサービスを指定する必要があります。

    1. VPCコンソールにログインします。

    2. 上部のナビゲーションバーで、ゲートウェイエンドポイントを作成するリージョンを選択します。

    3. 左側のナビゲーションウィンドウで、エンドポイントをクリックします。

    4. Gateway Endpointタブで、エンドポイントの作成をクリックします。

    5. [エンドポイントの作成] ページで、パラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      リージョン

      ゲートウェイエンドポイントを作成するリージョンを選択します。

      エンドポイント名

      ゲートウェイエンドポイントの名前を入力します。

      エンドポイントタイプ

      作成するエンドポイントのタイプを選択します。 この例では、ゲートウェイエンドポイントが選択されています。

      エンドポイントサービス

      次のいずれかの方法を使用して、エンドポイントをエンドポイントサービスに関連付けることができます。

      • [その他のエンドポイントサービス] をクリックし、com.aliyun.cn-beijing.ossなどのサービス名を入力します。

      • [サービスの選択] をクリックし、VPCがアクセスする必要があるエンドポイントサービスを選択します。

      VPC

      ゲートウェイエンドポイントを作成するVPCを選択します。

      ルートテーブル

      ゲートウェイエンドポイントに関連付けるルートテーブルを選択します。

      リソースグループ

      ゲートウェイエンドポイントのリソースグループを選択します。

      タグキー

      タグキーを選択または入力します。 最大20個のタグキーを指定できます。

      タグキーの長さは最大128文字で、http:// またはhttps:// は使用できません。 acs: またはaliyunで始めることはできません。

      タグ値

      タグ値を選択または入力します。 最大20個のタグ値を指定できます。

      タグ値の長さは最大128文字で、http:// またはhttps:// は使用できません。 acs: またはaliyunで始めることはできません。

      説明

      インターフェイスエンドポイントの説明を入力します。

      アクセスポリシー

      アクセスポリシーを入力します。 たとえば、次のアクセスポリシーを入力できます。

      {
  "Statement":
    [
      {
        "Action": "oss:*",
        "Effect": "Allow",
        "Principal": ["174649585760xxxx"],
        "Resource": ["acs:oss:*:*:examplebucket",
                     "acs:oss:*:*:examplebucket/*"]
      }
    ],
  "Version": "1"
}

      OSSでは、アクセスポリシーを使用してVPCからのアクセスを制御できます。 詳細については、「VPCポリシーとバケットポリシーを使用したデータアクセスの制御」をご参照ください。

    6. エンドポイントページに戻り、Gateway Endpointタブをクリックし、作成したゲートウェイエンドポイントのIDをクリックします。

    7. 関連ルートテーブルタブで、ルートテーブルのIDをクリックします。

    8. ルートエントリ一覧 > カスタムルートを選択し、システムによって自動的に追加されるルートエントリを表示します。

      路由条目列表

      ゲートウェイエンドポイントを作成すると、ゲートウェイエンドポイントに関連付けられたルートテーブルにルートが自動的に追加されます。 ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。

    ゲートウェイエンドポイントの削除

    不要になったゲートウェイエンドポイントを削除できます。 ゲートウェイエンドポイントを削除する前に、まずゲートウェイエンドポイントに関連付けられているルートテーブルの関連付けを解除する必要があります。 ルートテーブルの関連付けを解除すると、ゲートウェイエンドポイントを指すルートがルートテーブルから自動的に削除されます。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、エンドポイント > Gateway Endpointを選択します。

    3. 上部のナビゲーションバーで、ゲートウェイエンドポイントが属するリージョンを選択します。

    4. Gateway Endpointタブで、ゲートウェイエンドポイントのIDを見つけ、アクション列の削除を作成します。

    5. エンドポイントの削除メッセージで、OK をクリックします。

    その他操作

    API 操作

    手順

    ルートテーブルをゲートウェイエンドポイントに関連付ける

    1. [ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。

    2. [関連ルートテーブル] タブで、[ルートテーブルとの関連付け] をクリックします。

    3. [ルートテーブルに関連付ける] ダイアログボックスで、関連付けるルートテーブルを選択し、[OK] をクリックします。

      システムは自動的にルートテーブルにルートを追加します。 ルートの宛先CIDRブロックはクラウドサービスのCIDRブロックであり、ネクストホップはゲートウェイエンドポイントです。

    ゲートウェイエンドポイントからのルートテーブルの関連付けの解除

    1. [ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。

    2. [関連付けられたルートテーブル] タブで、ルートテーブルのIDを見つけ、[操作] 列の [関連付け解除] をクリックします。

    3. [関連付け解除] メッセージで、[OK] をクリックします。

      次に、ゲートウェイエンドポイントを指すルートがルートテーブルから自動的に削除されます。

    ゲートウェイエンドポイントのアクセスポリシーの変更

    1. [ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。

    2. [アクセスポリシー] タブをクリックし、[アクセスポリシーの変更] をクリックします。

    3. [アクセスポリシーの変更] ダイアログボックスで、アクセスポリシーを変更し、[OK] をクリックします。

    ゲートウェイエンドポイントの名前の変更

    1. [ゲートウェイエンドポイント] タブで、管理するゲートウェイエンドポイントを見つけ、そのIDをクリックします。

    2. [基本情報] セクションで、ゲートウェイエンドポイントの名前を見つけ、[編集] をクリックします。

    3. 表示されるダイアログボックスで、新しい名前を入力し、[OK] をクリックします。

    関連ドキュメント