Zenn
☁️

AlibabaCloud でイントラネットエンドポイントを利用してVPC外側のリソースを簡単にアクセス

2023/03/03に公開
Cloud
#
vpc
Alibaba Cloud
#
アリババクラウド
#
オブジェクトストレージ
tech

目次

  1. AlibabaCloud でイントラネットエンドポイント
  2. 他のパブリッククラウドとの比較
  3. AlibabaCloud でイントラネットエンドポイントの利用手順
  4. 最後に

AlibabaCloud でイントラネットエンドポイント

クラウドを利用する場合、仮想サーバーをVPCに配置するのが一般的です。
仮想サーバー以外に、例えばデータベースRDS for MySQL、データベースのキャッシュのRedisなどもVPC内にあります。
同じVPC内のリソースならイントラネットでセキュアな環境で通信できます。

一方でパブリッククラウドの全てのリソースがVPC内に配置されているわけではありません。
例えば、オブジェクトストレージのOSS、NonSQLのTalbeStore
それらのVPCの外側にあるリソースをアクセスするニーズもあります。

VPCの外側にあるリソースをアクセスするために、方法は2つあります。

  • ■1つ目はインターネット経由でアクセスします。
    VPC内のルートテーブルでデフォルトルートを0.0.0.0/0に向けるようにしたら、インターネットと直接からオブジェクトストレージOSSにアクセスできます。
  • ■2つ目はインターネットを介さずにアクセスします。
    セキュリティなどの観点で、仮想サーバーECSが配置しているVSwitchにデフォルトルートが0.0.0.0/0に向けていない場合、つまりインターネットを経由したくない場合があります。
    その場合はAlibabaCloudは便利な機能イントラネットエンドポイントインを用意してくれています。

イントラネットエンドポイントとはどんなイメージかというと、こちらのようにOSSを例にしますた最初から複数の種類のエンドポイントを用意してくれています。
東京リージョン

  • OSS
    パブリックエンドポイント:bucketName.oss-ap-northeast-1.aliyuncs.com
    イントラネットエンドポイント:bucketName.oss-ap-northeast-1-internal.aliyuncs.com
    ※エンドポイントに「-internal」を付くほうがVPCの内部からアクセスできます。
  • Table Store
    パブリックエンドポイント:instanceName.ap-northeast-1.ots.aliyuncs.com
    イントラネットエンドポイント:instanceName.ap-northeast-1.vpc.tablestore.aliyuncs.com

他のパブリッククラウドとの比較

他のパブリッククラウドでVPC以外のリソースをアクセスするときに、どのような操作が必要かを見ていきます。

クラウドAの場合、VPCエンドポイントを作成します。

VPCエンドポイントは2種類あります。

  • ゲートウェイ型VPCエンドポイント:オブジェクトストレージ、NonSQLの2つのみサポート
  • インタフェース型VPCエンドポイント:一種のNonSQL以外をサポート

使う場合

  • ゲートウェイ型VPCエンドポイント
    ゲートウェイ型VPCエンドポイントを作成した後に、
    作成後にルートテーブルを設定します。
    デメリットはオンプレミス環境から直接ゲートウェイ型VPCエンドポイント経由してリソースをアクセスできないです。

  • インタフェース型VPCエンドポイント
    オンプレミス環境から直接インタフェース型VPCエンドポイント経由してリソースをアクセスできます。
    サブネット単位のため、AZ障害に備えるため冗長構成など自分で考慮する必要があります。

クラウドGの場合、限定公開アクセスを作成します。

まずサブネット側で限定公開アクセスを有効化します。
その後ルートテーブルに限定公開アクセスの/30の4つのIPアドレスを設定します。
またDNSの設定が必要です。

AlibabaCloud でイントラネットエンドポイントの利用手順

上のセクションで他のパブリッククラウドでVPCからVPCの外側にあるリソースをアクセスする仕方を紹介しましたが、これからAlibabaCloudのイントラネットエンドポイントの利用手順を見ていきます。
手順1:コピー
手順2:ペスト

はい、ご覧の通りAlibabaCloudで使う場合はコピペして、それだけです。
なにか新しいリソースを作成する必要ないです。
またルートテーブル、DNSの設定変更も一切ないです。

コピペだけで利用が簡単の代わりに、セキュリティ的に大丈夫かという心配がると思いますが、
それは他のクラウドと同様に、
アクセス側仮想サーバーECSのロールのRAMポリシーで制御でき、
アクセスされる側のOSSもバケットポリシーを設定して制御できます。

例えばこちらの例で、CIDRブロック192.168.0.0/16からのアクセスのみ許可します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "oss:*",
            
            "Principal": [
                "*"
            ],            
            "Resource": [
                "acs:oss:*:174649585760xxxx:examplebucket"
            ],
            "Condition":{
                "NotIpAddress": {
                    "acs:SourceIp": ["192.168.0.0/16"]
                }
            }
        }
    ]
}

最後に

AlibabaCloudはいろいろ煩雑な設定が必要なく、GUIも充実しています。
個人的には初心者に優しいパブリッククラウドです。
AlibabaCloudでいろいろ触ってパブリッククラウド入門書としてを勉強して、その後また他のパブリッククラウドを学習するのもひとつの手です。

Discussion