本記事はこちらのブログを参考にしています。
翻訳にはアリババクラウドのModelStudio(Qwen)を使用しております。
100 CIDRブロックを使用してインスタンスにアクセスする際のデメリット
Alibaba Cloud Data Transmission Service (DTS) を使用して、データセンターまたはサードパーティのクラウドにデプロイされた自己管理型データベースをAlibaba Cloudに同期したい場合、リース回線やVPN上で複数の100 CIDRブロックを設定し、データベースのホワイトリストに100 CIDRブロックを追加する必要があります。この操作は、DTSサーバーのCIDRブロックをオンプレミスデータベースのセキュリティ設定に追加する 前の手順に基づいて行われます。次の図はネットワークトポロジを示しています。
しかし、このような設定方法にはいくつかの欠点があります。
設定が完了した後、VPC内の100 CIDRブロックをシミュレートして、telnetやpingなどのテスト接続をデータベースに対して行うことができません。100 CIDRブロックからのテスト接続は、Alibaba Cloud DTSのみから開始できます。Alibaba Cloud DTSは接続テストのためにtelnetを実行することはできますが、ping、traceroute、MTRなどのネットワークルート検出コマンドを実行することはできません。ネットワーク障害が発生した場合、問題を効果的に診断および修正するのではなく、Alibaba Cloudのスタッフにトラブルシューティングを依存するしかありません。さらに、100 CIDRブロックの接続をシミュレートできないという問題に加えて、サードパーティのクラウドのCIDRブロックと競合するリスクもあります。歴史的には、マルチクラウド環境でサードパーティのクラウドがDTS 100 CIDRブロックからのパケットに対応できなかったケースが多くありました。
VPCデータチャネルとは?
前述の欠点に対処するために、Alibaba Cloud DTSは新しいVPCデータチャネルソリューションを段階的に導入しています。このアプローチでは、ユーザーインスタンスへのアクセスを100 CIDRブロックの使用から、ユーザーのプライベートIPアドレスの活用に変更します。これにより、100 CIDRブロックの設定の複雑さを根本的に解決します。次の図は、VPCデータチャネルのアーキテクチャを示しています。
VPCデータチャネルは、ユーザーのプライベートIPアドレスを使用してユーザーインスタンスにアクセスするため、ネットワークリンクがユーザー制御可能になります。上の図に示されているように、ユーザーはデータセンターやサードパーティのクラウド内にデータベースインスタンスを持っています。このインスタンスのアドレスは10.0.0.1:3306であり、データセンターやサードパーティのクラウドのプライベートCIDRブロックは10.0.0.0/8です。さらに、ユーザーはAlibaba Cloud環境にVPCを持っています。ユーザーのデータセンターやサードパーティのクラウドはクラウドVPCに接続されており、VPC内の任意のIPは10.0.0.1:3306のデータベースインスタンスにアクセスできます。ユーザーは、DTSを使用してデータセンター内のデータベースインスタンスをクラウドVPC内のRDSインスタンスに移行したいと考えています。VPCデータチャネルを使用すると、DTSはVPC内のVSW上に弾性ネットワークインターフェース(ENI)を追加し(このENIのIPは172.16.0.1)、そのIPをソースIPとして使用して、データセンター内のユーザーのデータベースインスタンスにアクセスします。
VPCデータチャネルの利点
従来の100 CIDRブロックを使用してユーザーインスタンスにアクセスする方法と比較して、VPCデータチャネルには次の利点があります:
- ユーザー制御可能なDTSソースIPアドレス: サードパーティのクラウドやデータセンター内のインスタンスにアクセスするためにDTSが使用するIPアドレスを制御できます。(DTSが使用するVPC内のVSWを指定できます。)
- ネットワーク接続性の事前検証: DTSタスクを設定する前に、VSWからサードパーティのクラウドやデータセンター内のデータベースへの接続性を確認できます。VSW上にECSインスタンスを申請し、telnet、ping、traceroute、MTRなどのコマンドをサードパーティのクラウドやデータセンター内のデータベース上で実行できます。ネットワーク障害が発生した場合、事前に問題を処理して、DTSタスクが設定されてから問題を発見してプロセスが遅れるのを回避できます。
- DTSネットワークコンポーネントの標準的なクラウド製品プレゼンテーション: ECSコンソール > ネットワークとセキュリティ > 弾性ネットワークインターフェースで、DTSがユーザーインスタンスにアクセスするために作成した弾性ネットワークインターフェースを見つけることができます。
- トラブルシューティングに費やす時間を効果的に削減し、プロジェクト全体が計画通り進行することを保証: これらの予防措置により、未知の要因による遅延のリスクを大幅に低減し、プロジェクトのすべての段階が制御可能な範囲内で実施されることを保証できます。
DTSについて詳しくは、こちらをクリックしてください:https://www.alibabacloud.com/product/data-transmission-service
VPCデータチャネルおよびその制限に関する詳細情報は、こちら を参照してください。
現在、VPCデータチャネルソリューションはカナリアリリース中です。オンラインで試してみるには、こちら をご覧ください。