パブリッククラウドのVPC内部の仮想サーバーからVPC外部のサービス、例えば、オブジェクトストレージへのアクセスはそれぞれ違う方法を使う必要があります。
その違いを整理していきます。
目次
- VPCから外側サービスへのアクセス方法
- AWS
- GoogleCloud
- Azure
- AlibabaCloud
- さいごに
1. VPCから外側サービスへのアクセス方法
それぞれのクラウドでVPC内部からオブジェクトストレージを例として外部リソースへの接続についてまとめました。
| AWS | Azure | GoogleCloud | AlibabaCloud | |
|---|---|---|---|---|
| 無料エンドポイント | ゲートウェイ型 VPCエンドポイント |
限定公開の Google アクセス (Private Google Access) | サービスエンドポイント | △ |
| 有料エンドポイント | インタフェース型VPCエンドポイント | Private Service Connect | プライベート エンドポイント | △ |
| 有料エンドポイント 配置場所 |
サブネット内 | VPC内、サブネット外 | サブネット内 | △ |
| プライベートエンドURL | - | - | - | イントラネットエンドポイント |
※AlibabaCloudにはAWSのようなVPCエンドポイントがありますが、広く使われていません。そのため△で記載しています。
2. AWS
まずAWSを見て行きます。
AWSでVPC内部からインターネットを経由せずに外部のAWSサービスと通信したい場合、VPCエンドポイントを作成する必要があります。
VPCエンドポイントは以下2種類があります。
- ゲートウェイ型VPCエンドポイント
- インタフェース型VPCエンドポイント
それぞれの特徴は、ゲートウェイ型エンドポイントは最初にリソースしたタイプで、S3とDynamoDBしか対応していないことです。利用するためにルートテーブルの設定が必要で、オンプレミス環境からアンマネージドのProxyサーバーを使わない限りそのまま利用できないです。
インタフェース型VPCエンドポイントは後からリリースしたタイプで、DynamoDB以外に多数のサービスに対応しています。実態はサブネット内にENIをたてています。オンプレミス環境からそのままアクセスできるメリットはありますが、無料なゲートウェイ型VPCエンドポイントと比べて、ENIそのもののリソース費用がかかります。
3. GoogleCloud
限定公開の Google アクセスは先にリリースした機能です。機能面では限定公開の Google アクセスとPrivate Service Connectがほぼ同じです。
限定公開の Google アクセスのほうは199.36.153.4/30 や 199.36.153.8/30 のRFC 1918ではないCIDRブロックを使っていて、オンプレミス環境からの接続が必要な場合、それをオンプレミス環境にアドバタイズしたくないときはPrivate Service Connectを使います。
AWSみたいなリソースベースポリシーやセキュリティグループによるアクセス制御がないです。
4. Azure
Azureの場合、無料で使えるサービスエンドポイントはMSのバックバーン経由でアクセスします。IPはパブリックIPになります。
有料なプライベート エンドポイントのほうはプライベートIPでアクセスできます。
作成画面でステップごとに、紐づけするストレージアカウントのタイプ、サブネット、DNSなどをまとめて設定できます。
5. AlibabaCloud
この中でAlibabaCloudは一番特殊です。他のクラウドはあとからエンドポイントを作成する必要がありますが、AlibabaCloudは最初からパブリックとプライベートの2種類のエンドポイントを提供しています。
最初からOSSのバケットごとにURLを提供しているため、他の作成が必要なエンドポイントと区別するため、比較表には「プライベートエンドURL」と書いています。
利用料金はもちろんかかりません。
※AlibabaCloudにはAWSのようなVPCエンドポイントがありますが、広く使われていません。何の設定も必要ない、なおかつ無料で利用できるイントラネットエンドポイントをよく使われています。
Transfer Accelerationを有効化するとTAエンドポイントも同じ画面に表示され、探しやすいです。
パブリックエンドポイント:xxx.oss-ap-northeast-1.aliyuncs.com
イントラネットエンドポイント:xxx.oss-ap-northeast-1-internal.aliyuncs.com
TAエンドポイント:xxx.oss-accelerate.aliyuncs.com
6. さいごに
それぞれのパブリッククラウドのVPCから外側のリソースへ閉域でアクセスする方法を比較してみました。使い慣れているほうから別のクラウドを使い始めるときに、ある程度特徴を把握するほうがいいと思います。