Edit on GitHubAlibab Cloud プロダクトサービスでよくある質問をまとめています
Alibaba CloudのECSインスタンスのSLAについて
国際サイト ECSのSLAは以下となります。
https://www.alibabacloud.com/cloud-tech/doc-detail/42436.htm
- 1インスタンス単位 : 99.975%
- マルチゾーン構成の場合 : 99.995%
RAMユーザの権限を特定のリージョンに制限する方法について
以下にポリシーの例を記載します。この例を参考にポリシーを対象RAMユーザーに付与してください。 ※以下の例では上海リージョンのプロダクトだけ操作が可能になるように制限を付与しています。
{"Statement": [{"Action": "*","Effect": "Allow","Resource": "*:*:cn-shanghai:*:*"}],"Version": "1"}
ポリシーの基本要素につきましては、下記のドキュメントをご参照ください。
ポリシーの基本要素:
https://www.alibabacloud.com/cloud-tech/doc-detail/28663.htm
なお、お客様のニーズに合わせて、cn-shanghaiのところを対象リージョンIDにご変更してください。
RAMユーザの権限をECS操作のみ可能、購入不可に制限する方法について
上海リージョンのECSを操作のみ可能で、購入できないようにするには、下記のカスタム権限ポリシーをご参照いただけますでしょうか。
{"Statement": [{"Action": "ecs:*","Effect": "Allow","Resource": "*:*:cn-shanghai:*:*"},{"Action": "ecs:CreateInstance","Effect": "Deny","Resource": "*:*:cn-shanghai:*:*"},{"Action": "ecs:RunInstances","Effect": "Deny","Resource": "*:*:cn-shanghai:*:*"}],"Version": "1"}
CreateInstanceはサブスクリプション、RunInstancesは従量課金の購入を制限しています。 購入ページまでアクセスはできますが、最後支払う段階で、権限のない旨のエラーが発生しますので、実際には購入できません。
RAMユーザでSSL Certifcate Serviceを利用時の権限について
RAMユーザでSSL証明書をご購入いただく場合、【AliyunYundunCertReadOnlyAccess】と【AliyunBSSFullAccess】の権限が必要です。SLBに証明書をバインドする場合は、【AliyunYundunCertReadOnlyAccess】と【AliyunSLBFullAccess】の権限がそれぞれ必要となります。
RAMユーザでコンテナのコンソールを操作させる方法について
RAMユーザでコンテナのコンソールを操作させるには、RAMユーザへのコンテナサービスコンソール権限付与、とコンテナサービス内で指定クラスタ権限の付与が必要です。
手順としては以下の通りです。
- ①新規RAMユーザーを作成します。
- ②対象RAMユーザーに「AliyunCSFullAccess」権限を追加します。
- ③コンテナーサービスのクラスター項目を選択します。
- ④承認を選択します。
- ⑤対象RAMユーザーを確認して、承認ボタンをクリックします。
- ⑥対象クラスーを選択して、名前空間を選択して、RBACのロールを選択します。
- ⑦「次のステップ」をクリックします。
- ⑧「承認ポリシーの更新」をクリックします。
- ⑨[承認成功]が表示されます。
自動更新OFFの状態で有効期限切れ後の更新方法について
自動更新OFFの状態で有効期限を迎えた後、該当インスタンスの自動更新をONに設定することができませんので、先に手動更新する必要があります。 有効期間内の場合、自動更新をONに設定することができます。
クーポンの消費順について
複数の有効なクーポンを保有している場合、下記の順番で消費されます。
- 有効期間が短い方
- 残高が少ない方
コンソール自動ログアウトの仕様について
操作の有無に関係なく、コンソールにログインしてから約3時間経過すると、タイムアウトでセッションが切れ、自動的にログアウトされます。
アベイラビリティゾーン(AZ)識別文字と実際のロケーションに関するマッピング仕様について
Alibaba Cloudでは、アベイラビリティゾーン(AZ)識別文字と実際のロケーションのマッピングは、全てのアカウントで共通しています。
(注:AWSにおいては、アカウント毎に個別にマップされます。 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html 『リソースがリージョンの複数のアベイラビリティーゾーンに分散するように、アベイラビリティーゾーンは各 AWS アカウントの名前に個別にマップされます。 たとえば、ご使用の AWS アカウントのアベイラビリティーゾーン us-east-1a は別の AWS アカウントのアベイラビリティーゾーン us-east-1a と同じ場所にはない可能性があります。』)
サブスクリプションECSのライフサイクルについて
サブスクリプションインスタンスの期間を更新しない、また更新失敗で有効期限切れとなった場合、そのインスタンスはライフサイクルに入ります。
国際サイトは自動更新設定の有無により、期限切れごの動作が異なります。
- 自動更新ON:15日目停止、30日目リリース
- 自動更新OFF:1日目停止、15日目リリース
課金の単位時間について
Pay-As-You-Goの場合、ECSは秒単位課金となります。秒単位からの切り上げを課金として判断されます。(各社秒単位課金でも、最低1分の課金というのが多いです)
ECSは最低利用時間という形ではなく、0.01USD未満は、0.01USD課金される形になっております。「従量課金 ECS インスタンスの料金が、インスタンスのライフサイクル全体で USD 0.01 未満の場合、USD 0.01 が課金されます。」
https://www.alibabacloud.com/cloud-tech/ja/doc-detail/40653.htm
ECSのプリエンプティブインスタンスの市場価格の履歴について
市場価格の履歴を確認することはできません。
https://www.alibabacloud.com/cloud-tech/ja/doc-detail/52088.htm
なお、プリエンプティブインスタンスは現時点ではソフトバンクのアカウントからはご購入いただけません。
年額サブスクリプションの価格はどこに記載されていますか。
年額サブスクリプションについてはドキュメント上では価格の記載がございません。 恐れ入りますが、コンソールからご確認ください。
月額サブスクリプションの金額は時間単価に直す場合は730時間で割ればよいでしょうか
Alibabaとしては月額サブスクリプションは1か月でいくらという値付けで時間に割り戻す計算ロジックがございません。 他社と比較のため時間単価に直されるのであれば、お手数ですが概算でご計算ください。
月額サブスクリプションの1か月の考え方については、以下となります。
- 更新日から翌月の同じ日付の前日となります。
- 翌月の同じ日付の前日がない場合は、翌月の末日が使用終了日となります。(例:1/31更新の場合、2/28など)
リザーブドインスタンスの1年と年額サブスクリプションの違いはどのような点がありますか
年額サブスクリプションはVMを固定して購入いただく方式となり、一度立てたサーバは購入期間内に削除ができません。年額サブスクリプションはインスタンスとDisk両方に割引が適用されます。
リザーブドインスタンスはInstance Typeをご購入いただく形ですので、サーバを固定せずに削除、再構築が可能です。リザーブドインスタンスはインスタンスにのみ割引が適用されます。
DiskはStorage Capacity Unitというプロダクトで、バルクでご購入いただくとディスカウントされるサービスがございます。
例えば月額サブスクリプションで表示されている価格が $50 USDの場合、28日しかない2月でも、31日ある3月でも同じ $50 USDでしょうか
年間でみれば変わらないのですが、単月利用だと日数が少ない月は損してしまうような形になります。ただし、従量課金でご購入いただくよりは月額サブスクリプションの方がお得です。
サブスクリプションから従量課金インスタンスへの変更はできますか。
アカウント内のECSのご利用状況よっては、サブスクリプションインスタンスを従量課金インスタンスに変更する機能をご利用いただける場合がございます。 変更機能の利用可否、及び月の利用制限はアカウントごとに自動判断されますが、基準については非公開です。
実際の切り替え方法、計算ロジックについて以下のドキュメントをご参考ください。
https://www.alibabacloud.com/cloud-tech/ja/doc-detail/85517.htm
サブスクリプションから従量課金インスタンスへの変更で、1ヶ月あたりの制限はありますか。
アカウントごとに利用状況に応じて、「返金可能なvCPU時間」付与しております。(※付与の条件、計算ロジックは非公開となっております。)
コンソールでアカウントに対しての付与状況は確認ができます。付与されている上限までは、サブスクリプションから従量課金に変更が可能となります。こちらの返金可能なvCPUは翌月1日に自動的にリセットされます。
【考え方の例】
- 条件
- 付与されいている返金可能なvCPU時間が50
- 2vCPUのインスタンスをサブスクリプションから従量課金に変更したい
- 有効期限が残り2日で実施しようとした場合
- ⇒ 2vCPU24時間2日=96時間 > 50 ∴従量課金に変更することはできません
- 有効期限が残り1日で実施しようとした場合
- ⇒ 2vCPU24時間1日=48時間 < 50 ∴従量課金に変更可能
参考URL:https://www.alibabacloud.com/cloud-tech/doc-detail/25412.htm
RDSCALとクライアントCALの必要性について
Alibaba Cloud が提供する Windows 仮想サーバーにて、RDS CALとクライアントCALの必要性は下記のとおりです。
Alibaba Cloud が提供する Windows 仮想サーバーの CAL ライセンスについて、リモートデスクトップユーザーのRDS CALはデフォルト2本付きです。 3本以上が必要な場合、お客様にてご購入いただく必要があります。
クライアントCALについて、Alibaba Cloud は Microsoft 社と SPLA 契約しているため、Alibaba Cloud が提供する Windows 仮想サーバーは、別途クライアントCALを購入することなくご利用いただけます。
ECSのデフォルトタイムゾーンについて
リージョンに関わらず、ECSインスタンスのデフォルトタイムゾーンは、中国時間(UTC+8)になります。
なお、カスタムイメージのタイムゾーンはイメージ作成した際のものとなりますが、初回ECS作成直後でも中国ローカル時間になりますので、個別に時間自動同期(NTP)設定が必要となります。
スナップショット取得時の性能影響について
スナップショットの作成時は、ストレージのIO性能(最大10%低下)に影響します。 通常、稼働中のサービスへの影響はないと想定されますが、ストレージIOが少ない時間帯での取得を勧めします。
25番ポートの制限について
Alibaba Cloud では、MTAとしてメール送信(25 番ポートの外部接続)することが制限されております。
MUAとして、外部SMTPの25番ポートを利用する場合のみ、宛先をご指定いただいての部分的解除は可能です。
25番ポートの制限は下記のドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/56130.htm
ICP必要性の判断方法について
中国本土のサーバ(例えばECS)または他のAlibabaCloud製品(例えばCDN)を利用してウェブサービス提供する場合、ICPライセンスが必要になります。
ICPライセンスを申請する前提として、中国国内に法人を持つ必要があります。
なお、香港リージョンではICPは必要がございません。ICP の取得が困難な場合、香港リージョンのご利用をご検討ください。
インスタンススペックのアップグレード方法について
サブスクリプションECSのアップグレード/ダウングレードができますが、諸々制限事項があります。
詳細手順は以下のドキュメントをご参照ください。
サブスクリプションインスタンスの削除方法について
年単位または月単位のサブスクリプションで課金されるインスタンスは、お客様ご自身で削除またはリリースすることはできません。 自動リリース日は自動更新設定の有無により異なります。
- 自動更新ON(課金失敗):15日目停止、30日目リリース
- 自動更新OFF:1日目停止、15日目リリース
ECSの自動更新がONの場合、インスタンスが更新されますので、リリースを希望される場合は、自動更新の設定をOFFにお願いいたします。
自動更新の無効化の手順は以下をご参照ください。
Linux系OSのSELINUXの設定について
Alibaba Cloud のLinux系OSでは、SELINUXの設定はデフォルトでdisabledと設定されております。 SELINUXを有効にした場合、Alibaba Cloud コンソール上での操作に影響します。(例えば、コンソールでOSパスワードの変更など) ただし、OSレベルへの影響はございません。
SELINUXの設定を変更すると、コンソールとの不整合が生じるため、お勧めできません。どうしても変更したい場合、お客様の責任でお願いいたします。
Windows日本語バージョンの提供について
Windows Serverの日本語版イメージを提供しておりません。 日本語のWindows Serverを利用したい場合、下記のドキュメントをご参照いただき、OSの言語設定を変更することが可能です。
インスタンス保護機能によりリリースできない事象について
ECSインスタンス購入時に、「インスタンスリリース保護」にチェック入れた場合、インスタンスリリースしようとすると「インスタンス保護機能」が働いているためリリースできません。
保護を解除するには、当該インスタンスの右ペイン「詳細」⇒「情報の変更」から「インスタンスのリリース保護を有効にする」にチェックが外す必要があります。
管理コンソールのアクセスにIPレンジの制限方法について
RAM(Resource Access Management)を使用することで、管理コンソールのアクセスについて、IPレンジで制限をかけることは可能です。 RAMはユーザー ID の管理とアクセス制御を実施することができます。
- 参照ドキュメント
- RAM の概要
- https://www.alibabacloud.com/cloud-tech/doc-detail/28627.htm
1)RAMユーザーを一律でアクセス制御する場合、RAM コンソール→左ペインの設定→サブユーザーのセキュリティ設定より、接続許可ユーザーの設定ができます。
- 参照ドキュメント
- RAM ユーザーのセキュリティポリシーの設定
- https://www.alibabacloud.com/cloud-tech/doc-detail/121948.html
2)RAMユーザーを個別にアクセス制御する場合、各RAMユーザーに付与する「権限付与ポリシー」を編集することで、設定することが可能です。こちらは、管理コンソールに限らず、どのプロダクトに対してアクセス制御するかを記載する必要がございます。
- 参照ドキュメント
- ポリシーの例(ソース IP アドレスで制御している例です)
- https://www.alibabacloud.com/cloud-tech/doc-detail/129718.htm
VPCとVswitchの変更方法について
ECSを作成後、そのECSのVPCとVswitchは変更できません。変更する必要がある場合、そのECSのカスタムイメージ作成、その後、希望のVPCとVswitchを選択しECSを新規作成することになります。
VPCで指定可能なCIDRブロックについて
VPCのIP CIDRは10.0.0.0/8、172.16.0.0/12及び192.168.0.0/16から選択いただく必要があります。 コンソールから上記3つしか作成できませんが、APIを利用した場合、上記CIDRのサブCIDRを指定することができます。
APIでのVPC作成は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/35737.html
EIPとパブリックIPの違いについて
ECSでは、インターネット通信用に「パブリックIP」と「EIP」を利用できます。
ECS購入時に「パブリック IP の割り当て」にチェックを入れインスタンスを作成すると「パブリックIP」が付与されます。 このパブリックIP付きのECSを削除した場合、パブリックIPも同時に削除されます。ECSを削除後、IPアドレスに関する料金は発生することがありません。
ECS購入時に「パブリック IP の割り当て」にチェックを入れずにインスタンスを作成すると「パブリックIP」が付与されません。 この場合、別途「EIP」を購入・用意しECSにバインドして使用する必要があります。
EIPをバインドしたECSを削除しても、EIPは自動的に削除されません。不要になったEIPは、お客様自身で削除する必要があります。また、インスタンスにバインドされていないEIPは、そのインスタンス保有料金が発生します。
EIPとパブリックIPの帯域幅の変更方法について
EIPとパブリックIPの帯域幅の変更方法は下記となります。
EIPの帯域幅の変更方法は下記ドキュメントをご参照ください。
パブリックIPの帯域幅の変更方法は下記ドキュメントをご参照ください。
パブリックIPをEIPへの変更する方法は下記ドキュメントをご参照ください。
プライベートIPの変更方法について
ECSのプライベートIPを同じVswitch内の空きIPに限って変更することができます。
プライベートIPの変更方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/27733.html
インバウンドとアウトバウンド帯域幅の制限値について
ECSのインバウンドとアウトバウンド帯域幅の制限値は下記となります。
■アウトバウンド
- サブスクリプションインスタンスの場合:最大ピーク帯域幅は 200 Mbpsです。
- 従量課金インスタンスの場合:最大ピーク帯域幅は 100 Mbpsです。 上記範囲内に設定することができます。
■インバウンド
- アウトバウンドが10 Mbps以下の場合:最大ピーク帯域幅は 10 Mbpsです。
- アウトバウンドが10 Mbps以上の場合:最大ピーク帯域幅はアウトバウンドの帯域幅と同じです。
ECSでのIPアドレスの固定方法について
ECSインスタンスは、DHCPの利用によりIPアドレス以外の通信に必要なオプション情報(DNS情報やルーティング情報等)も配布しています。 また、ECS内に手動で設定した場合にはコンソールの情報と不整合が発生する可能性もあるため、恐れ入りますが、DHCPをご利用いただくようお願いいたします。
IPアドレスの固定方法につきましては、プライベートIPアドレスとパブリックIPアドレスにてそれぞれ方法が異なります。
1)プライベートIPアドレスにつきましては、DHCPで割り振られるIPアドレスはVswitchのCIDRの範囲で決められ、再起動を行っても変更されることはございません。また以下の手順によりプライベートIPアドレスの変更も行うことができます。
- VPC における ECS インスタンスのプライベート IP アドレスの変更
- https://www.alibabacloud.com/cloud-tech/doc-detail/27733.htm
2)パブリックIPアドレスにつきましては、サブスクリプションECSインスタンスでは固定となっておりますが、従量課金ECSインスタンスでは、インスタンス停止後に変更となる場合がございます。詳しくは以下ドキュメントの設定をご確認ください。
- 停止済みインスタンスの非課金化
- https://www.alibabacloud.com/cloud-tech/doc-detail/63353.htm
上記従量課金ECSインスタンスの非課金設定を行う場合、固定のパブリックIPアドレス製品であるElastic IPアドレスをご利用いただくと、固定IPアドレスを保持して停止することが可能です。
※なお、Elastic IPアドレスは、ECSインスタンスの停止中に保持料金がかかるため、あらかじめご承知おきください。
- Elastic IP アドレスの概要
- https://www.alibabacloud.com/cloud-tech/doc-detail/32321.htm
VPCのグローバルCIDERルーティング設定について
VPCのルートテーブルに、グローバルCIDERに対してルーティングを設定した場合、ECS にパブリックIP(またはEIP)の有無によって動作が異なります。
パブリックIP(またはEIP)を所有する場合は、グローバルCIDERに対してルーティングを設定を無視し、プライベートセグメントを除くすべての通信はインターネット経由となります。
※プライベートセグメント:192.168.0.0/16、172.16.0.0/12、10.0.0.0/8
パブリックIP(またはEIP)を所有しない場合は、VPCのルートテーブルに従います。
ECSイメージのインポート方法について
CSイメージのインポート方法は下記ドキュメントをご参照ください。
◎イメージのインポート
https://www.alibabacloud.com/cloud-tech/doc-detail/25464.html
- ドキュメント内「前提条件」にご注意ください
◎イメージをインポートする際の注意事項
https://www.alibabacloud.com/cloud-tech/doc-detail/48226.htm
クラウド移転ツールについて
Alibaba Cloud 移行ツールのご利用により、オンプレミスまたは別クラウドの仮想サーバーをECS へ移行することができます。
詳細については、下記ドキュメントをご参照ください。
◎Alibaba Cloud 移行ツールとは
https://www.alibabacloud.com/cloud-tech/doc-detail/62349.html
◎クラウド移行ツールを使用してAlibaba Cloudへの移行
https://www.alibabacloud.com/cloud-tech/doc-detail/62394.htm
◎ECSイメージをインポートする際の注意事項
https://www.alibabacloud.com/cloud-tech/doc-detail/48226.htm
ECSイメージのエクスポート方法について
ECSイメージエクスポートの利用方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/58181.html
なお、Windowsイメージは仕様上エクスポートすることができませんので、ご注意ください。
イメージのリージョン間コピー方法について
リージョン間のイメージコピーすることができます。
イメージコピーの利用方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/25462.htm
クラウドディスクの拡張方法について
クラウドディスクはディスクタイプに関係なく拡張することができます。
オンライン拡張とオフライン拡張がありますので、詳細はドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/35095.htm
VNCで一部記号入力できない事象について
コンソールのVNCを利用する場合に、キーボードのレイアウトにより特殊記号の入力が正確に認識されない事象がありますが、現在回避策がありません。
コンソールのVNC以外のRDPやSSHを利用してログインする場合、上記事象が発生しませんので、特殊記号をご利用することができます。
VNCパスワードとECSパスワードの違いと再設定方法について
VNCパスワードとECSパスワードの違いと再設定方法は下記となります。
■VNCパスワード
- コンソールのVNC接続を利用時のパスワードとなります。
- パスワードの変更はVNCコンソールからできます。変更後のパスワードは即時反映され、再起動は不要となります。
■ECSパスワード
- ECSのパスワードはOSのパスワードとなります。ECS作成時に該当パスワードが指定されます。
- ECSパスワードの変更は下記ドキュメントをご参照ください。パスワード変更後に、新しいパスワード有効にするには、ECSインスタンスの再起動が必要です。
- https://www.alibabacloud.com/cloud-tech/doc-detail/25439.htm
VNCのタイムアウト時間について
VNCは操作しない場合のタイムアウト時間は1分となります。また、タイムアウトの時間を変更できません。
タイムアウト値を調整したい場合、SSHクライアントソフト側でタイムアウト調整できますので、SSHクライアントソフトからの接続はおすすめします。
インバウンドとアウトバウンドのデフォルト動作について
Basicセキュリティグループにルールを設定しなかった場合、デフォルトでは以下のような動作となります。
- アウトバウンド方向のトラフィック:全て許可
- インバウンド方向のトラフィック:全て拒否
なお、ECS新規作成時に併せて作成されるBasicセキュリティグループののデフォルトルールでは、22番ポート、3389ポート、またはICMPのポートが「0.0.0.0/0」で【許可】されていることがあります。
また、advancedセキュリティグループもあります。その場合、アウトバウンド方向のトラフィックでもデフォルト全て拒否となります。
同じセキュリティグループ内のアクセス制限について
同一セキュリティグループに所属する複数のECS間は、セキュリティグループの制限を受けず全部トラフィック通信可能となります。
セキュリティグルールの適用順位について
ECSが複数セキュリティグループに所属する場合、全セキュリティグループルールが同時に適用されます。
しかし、ルール間に競合があった場合、Priorityの値が小さい(=優先度が高い)方が優先されます。
また、Priorityが同じで競合したルールの場合は、【拒否】が優先されます。
ECSの死活監視方法について
ECSインスタンスの死活監視(サーバがダウンしたことを検知する)については、「イベントアラーム」機能で、CloudMonitorエージェントとのハートビート停止に関するイベント(Agent_Status_Stopped)を設定いただくことでご利用可能です。
- 以下イベントアラームの作成方法を記載いたします。
- CloudMonitorコンソールにログインします。
- 左側のメニューで「アラームサービス」→「アラームルール」→画面真ん中の「イベントアラーム」→「イベントアラーム作成」をクリックします。
- 製品タイプに「CloudMonitor」、イベント名に「Agent_Status_Stopped」、その他通知先や必須項目を記載し、確定をクリックします。
※イベントアラームが通知される時間は、エージェントとのハートビート通信が停止してから15分後となります。途中で値を変更することはできません。
クラウド製品のシステムイベントモニタリング
https://www.alibabacloud.com/cloud-tech/doc-detail/66940.html
停止した CloudMonitor エージェントのトラブルシューティング
https://www.alibabacloud.com/cloud-tech/faq-detail/50325.htm
また、ECSインスタンスの各リソース(CPU/MEM/Network等)をCloudMonitorのホストモニタリングを設定いただくことで監視が可能となります。 詳細は以下のドキュメントをご参照ください。
ホストモニタリングの概要
https://www.alibabacloud.com/cloud-tech/doc-detail/43503.htm
ホストモニタリングのメトリクス
https://www.alibabacloud.com/cloud-tech/doc-detail/43505.htm
※ホストモニタリングにて、ネットワーク関連のデータ収集を有効にする必要があります。 その場合は、以下のファイルを開いていただき、 "netstat.tcp.disable"の値を"true"から"false"に変更してください。 変更後、エージェントを再起動してください。
Linux:/usr/local/cloudmonitor/config/conf.propertiesWindows:C:\Program Files\Alibaba\cloudmonitor\config\conf.properties
ECSネットワーク侵入テストの申請について
脆弱性診断を行う場合について、ハードウェア部分では特に申請事項がございませんが、ネットワーク部分については、下記2点のご確認をお願い致します。
① Anti-DDoS サービスの設定 詳細は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/faq-detail/40041.htm
② 侵入テストの申請 以下手順で侵入テスト権限を申請ください。
- コンソールログイン後 > 右上のアイコンから[セキュリティコントロール] を選択します。
- [Penetration Test Permission]が表示されます。 ※申請の注意事項は申請画面をご参照ください。 右上にある[Apply for penetration test permission]ボタンをクリックしてください。
- [Apply for penetration test permission]のウィザードが開始されます。必要事項を記入の上、ウィザードを終了してください。
windowsのライセンス認証について
AlibabaCloud上のWindowsタイプECSは180日に1回、AlibabaCloud内部にあるWindowsライセンス認証サーバーと同期する必要があります。 認証できなかった場合、ディスクトップに「 windowsのライセンス認証されていません」が表示されます。
該当認証には、アウトバウンド通信(クラウド内のみ、インターネット通信は発生しない)が発生しますので、セキュリティグループで全ポートを閉じた場合、失敗となります。 その場合、下記ドメインへの疎通を確認し、疎通できない場合、セキュリティグループまたはファイアウォールの確認をお願いします。
kms.cloud.aliyuncs.com
疎通可能な場合、以下のコマンドで自己認証可能です。
C:¥> slmgr -skms kms.cloud.aliyuncs.comC:¥> slmgr -ato
NASの使用可能容量の表示について
容量型NASの最大容量は10.0PBになっております。
ストレージパッケージのご購入容量はNASのストレージ容量上限ではなく、購入した容量までを定額でご利用いただけるサービスとなっており、購入いただいた設定額を超えた分は、従量課金としてご請求いたします。
そのため、ストレージパッケージのご購入もしくは従量課金でのご利用にかかわらずNASの容量は10.0PBとなります。
利用料金につきましては、以下のドキュメントをご参照ください。
Network Attached Storage
課金方法
https://www.alibabacloud.com/cloud-tech/doc-detail/178365.htm
Function Computeの時間トリガーのタイムゾーンについて
Function Computeの時間トリガーのタイムゾーンはUTCとなります。
時間トリガーを0:30(0 30 0 * * *)で設定した場合、北京時間の8:30、日本時間の9:30に実行されます。
日本標準時の時刻(JST/UTC+0900)を基準に考え、ご設定お願いします。
ドキュメントはこちらをご参考ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/68172.htm
Function ComputeからRDSのイントラネット接続について
Function Compute サービスはダイナミック IP アドレスを使用します。したがって、ホワイトリストを使用して Function Compute の ApsaraDB for RDSへのアクセスを許可することは推奨しておりません。
ホワイトリストにすべての IP アドレスを許可することは、危険性を高めてしまいます。
なお、Function Compute は、VPC機能に対応しております。VPC アクセスを有効にすることで、安全に VPC 内のリソース(RDS)にアクセスすることが可能になります。
ただし、Function Computeサービスおよびリソースは、同一リージョンで稼働している必要がございます。詳細につきましては、以下のドキュメントご参照いただければと存じます。
概要
https://www.alibabacloud.com/cloud-tech/doc-detail/84514.htm
Function Compute に VPC へのアクセスを許可
https://www.alibabacloud.com/cloud-tech/doc-detail/84516.htm
また、RDSのホワイトリストにて、FCが所属するVPCのIPv4 CIDR Block、もしくはFCが所属するVSwitchのIPv4 CIDR Blockを許可する必要があります。
VPCとVswitchの変更方法について
直接VPC変更可能なのは「ローカルSSD」を利用するRDSとなります。「ローカルSSD」を利用してないRDSのVPC変更には、一旦「ClassicNetwork」に切り替えしてから、新しいVPCに切り替える方法があります。ただ、一部対応してないDBバージョンがあります。その場合DTSのご利用をおすすめします。
対応するDBバージョンは下記ドキュメントを参考して「Change the network type from VPC to classic network」してから、「Change the network type from classic network to VPC」する際にご希望の変更先VPCを選択する方法でVPCをご変更ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/96109.htm
サブスクリプションインスタンスの削除方法について
年単位または月単位のサブスクリプションで課金されるインスタンスは、お客様ご自身で削除またはリリースすることはできません。自動更新をOFFにし、期限切れた日から1日目にインスタンスが停止され、15日目に自動的にリリースされます。
また、ECSの自動更新がONの場合、インスタンスが更新されますので、リリースを希望される場合は、自動更新の設定をOFFに設定する必要があります。
レイヤー4とレイヤー7のSLBの違いについて
SLBはレイヤ4 (TCP、UDP)およびレイヤ7(HTTP、HTTPS)を提供しています。
レイヤ 4 SLB は、ロードバランシングを実現するために keepalived のオープンソースソフトウェアの Linux 仮想サーバー( LVS )を使用し、クラウドコンピューティングの要件に応じて、いくつかのカスタマイズを行っています。
レイヤ 7 SLB は、ロードバランシングを実現するために Tengine を使用しています。 Tengine、Nginx に基づいて Web サーバープロジェクトは、多量トラフィックのウェブサイトに対応する機能を追加しています。
SLBのアクセスログについて
SLBのレイヤ7のアクセスログは提供しています。
アクセスログの取得は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/139996.htm
SLBのスペック変更方法と業務影響について
コンソールにて、SLBのスペック変更をオンラインで実施することができます。また、トラフィックが流れている状態でAPIよりSLBのスペックを変更することもできます。
ただし、スペックを変更している時に、SLBサービスが中断されることあります。スペックの変更が完了になると、SLBが自動的に再開します。
なお、SLBのスペック変更は「パフォーマンス専有型」から「パフォーマンス専有型」へのインスタンススペック変更、もしくは、「パフォーマンス共通型」から「パフォーマンス専有型」へのインスタンススペック変更となります。「パフォーマンス専有型」から「パフォーマンス共通型」へのスペック変更はできません。
スペックの変更は下記のドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/127268.htm
VServerグループとマスタースレーブグループの違いについて
Vserverグループを利用した場合、ディレクトリ転送機能を利用できます。 転送設定されてないディレクトリの場合、デフォルトバックエンドサーバーに分散されます。
デフォルトグループまたは、Vserverグループにて重みを0に設定してもマスタースレーブ構成になりませんので、マスタースレーブグループを利用する必要があります。
VServerグループは下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/129205.htm
マスタースレーブグループは下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/129367.htm
サードパーティ証明書のアップロード方法について
SLBにサードパーティ証明書をアップロードすることができます。
アップロード方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/129373.htm
SLBの接続要求のタイムアウト時間について
接続要求のタイムアウト時間については、指定したタイムアウト期間中にバックエンドサーバーからレスポンスがない場合、Server Load Balancer は待機を止め、エラーコード HTTP 504 をクライアントに送信します。
この値を「60(秒)」とした場合は、「バックエンドサーバーからのレスポンス待ち時間」の最大値が60秒となります。接続要求(リクエスト)のタイムアウト期間は秒単位で設定すすることができ、有効値は 1〜180となります。
「接続要求のタイムアウト時間」を「60(秒)」にて作成したSLBに接続しているクライアントが10秒で接続を閉じた場合、SLBとバックエンドサーバーの間のコネクションは接続された状態となります。
なお、同じメニュー内に「接続アイドルのタイムアウト時間」を設定する項目があります。 こちらは接続のアイドルタイムアウトを秒単位で指定し(有効値: 1~60)、指定したタイムアウト期間中にリクエストが受信されない場合は、Server Load Balancer はいったん接続を閉じ、次のリクエストが入ってきたら接続を再開します。
SLBスペック変更に伴うサービス切断について
SLBのタイプ変更時には、IPアドレスの変更はございませんが、パフォーマンス共有型→各パフォーマンス専有型に変更する際は、サービスは 10〜30 秒間切断することがございます。
なお、パフォーマンス専有型の上位タイプへご変更の際は、サービスの瞬断も発生する可能性があります。
詳細はこちらのドキュメントをご参考ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/127268.htm
パブリックSLBとプライベートSLBの違いについて
パブリックSLBはインターネットからのリクエストを受け取るため、パブリックIPアドレスを提供しています。AlibabaCloudの仕様として、パブリックSLBがVPC内にあるバックエンドECSと通信できますが、該当VPCのプライベートIPアドレスを持っていません。
プライベートSLBはパブリックIPアドレスを提供しておらず、Alibaba Cloud イントラネットからのリクエストのみ受信できます。AlibabaCloudの仕様として、プライベートSLBはVPCのプライベートIPを持っています。
プライベートSLBにEIPを付与することにより、パブリックSLBとして機能することもできます。
パブリックSLBとバックエンドECS間の通信仕様について
パブリックSLBとバックエンドECS間はプロキシ通信となります。該当通信は、ECSのセキュリティグループで遮断できない仕様となります。
SLBのアーキテクチャは下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/27544.htm
パブリックIPとプライベートIP付きSLBの作成方法について
パブリックSLBにプライベートIPがない仕様に対して、プライベートIPとパブリックIP両方が必要の場合、プライベートSLBにEIPをバインド機能を利用して実現できます。
作成手順
- 先にイントラネット型のSLBを作成します。
- 作成したSLBにEIPをバインドします。
ホワイトリストとブラックリストについて
SLBはホワイトリストとブラックリスト方式でアクセスを制御しています。
ホワイトリストとブラックリストの設定方法は下記のドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/85979.htm
SLBのインバウンド/アウトバウンド帯域幅について
SLBのインターネット通信帯域幅はコンソール上で表示されている値に準じます。
- 日本リージョン:インバウンド: 1024Mbps、アウトバウンド: 1024Mbps
- 中国リージョン:インバウンド: 5120Mbps、アウトバウンド: 5120Mbps
証明書をSLB側とECS側に設置の違いについて
証明書の設置場所により、SSL通信区間は違います。
- 証明書をSLB側に設置: クライアント ---> SLB の間の通信はHTTPSで行います。(SLB-->ECSはHTTPで行います。)
- 証明書をECS側に設置: SLB ---> バックエンドECS の間の通信はHTTPSで行います。
証明書をSLB側に設置した場合、SLBとECS間にHTTP通信のみ設定可能な仕様になります。
TCP over SSLの対応について
SLB現在レイヤー4のTCP over SSLを対応していません。SSL通信が必要な場合、レイヤー7のHTTPSを利用する必要があります。
SLBのTLSバージョン選択機能について
SLBにHTTPSリスナーを利用する場合、利用可能のTLSバージョンを選択することが可能です。
低いバージョンを利用すると互換性がいいですが、ROBOT Attack のような脆弱性を対応するためには、TLSセキュリティポリシーで以下のいづれかを選択してください。
- "Support TLS 1.2 and later version and only perfect forword secrecy(PFS) cipher suites. This policy offers very high security."
- "tls_cipher_policy_1.2_strict_with_1_3: TLS 1.2およびTLS 1.3をサポートし、前方秘匿性を備えた暗号スイートのみに対応可能、最高セキュリティ。"
なお、この機能につきましては、SLBの"パフォーマンス共有タイプ"については対象外となります。
ラウンドロビン利用時に分散されない事象について
SLBの仕様上、セッションの保持時間内に再度SLBアクセスを実施すると 保持されているセッションにアクセスするため、重みと剥離してアクセスが偏ることがあります。
実際にセッションの切り替えを確認する方法は下記となります。
- リスナー設定(HTTP)の場合 、リスナー設定で「セッションの保持」を無効にし、リロードすることで確認できます。
- リスナー設定(TCP)の場合 、リスナー設定の「接続タイムアウト」で最小値の10秒と設定し、10秒以上の間隔でリロードすることで確認できます。
バックエンドECSの重み設定について
SLBのバックエンドECSの重みの仕組みは下記となります。
例えば ECS インスタンス A の重みを 10 に設定し、ECS インスタンス B の重みを 100 に設定した場合、インスタンス A には総アクセス数の 10/(10+100)% が転送され、インスタンス B は 100/(10+100)% が転送されます。
APIでVserverグループ追加時の引数書き方について
APIでVServerグループを操作する際に、引数に「\」を利用する必要がります。
■バックエンドサーバを追加
aliyun slb AddBackendServers --RegionId ap-northeast-1 --LoadBalancerId SLB_ID --BackendServers [{\"ServerId\"\:\"instance_ID\"\,\"Weight\"\:\"100\"}]
■バックエンドサーバを削除
aliyun slb RemoveBackendServers --LoadBalancerId SLB_ID --BackendServers [{\"ServerId\"\:\"instance_ID\"\}]
SLBを利用したsorryサーバーの実装方法について
SLB自体はsorryサーバーの実装に対応していませんが、DNSの機能GTM(Global Traffic Management)を利用すれば、Sorryサーバーの切り替えを実現することができます。
GTMの概要は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/86630.htm
SLBのヘルスチェック頻度の仕様について
SLBヘルスチェックの頻度はコンソール上で設定可能です。設定方法は以下のドキュメントを参照してください。
https://www.alibabacloud.com/cloud-tech/doc-detail/85959.htm
なお、監視の信頼性を向上するため、複数台の監視サーバーから同時にヘルスチェックするような仕様となっています。
コンソール上のヘルスチェック間隔設定は、1台の監視サーバーに対する設定値となりますので、結果的には、設定値より多いチェックが発生してしています。
SLBのヘルスチェック用CIDRブロックについて
SLBのヘルスチェック用CIDRは下記となります。
- 100.64.0.0./10
ヘルスチェックは下記のドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/55205.htm
CDNでのAlibaba Cloud の無料証明書申請について
CDN無料証明書の取得条件は、DNS設定にてCDN用ドメインとCDNで払い出されているCNAMEとバインドすることですが、CDN用ドメインはトップドメイン、またはwwwドメインでCDN無料証明書を取得する場合、トップドメインとwwwドメイン両方をCDNで払い出されているCNAMEとバインドする必要があります。
DNS設定にて以下のようなCNAMEレコードを追加していただく、CDNコンソールにて無料証明書を取得可能になります。
例:CNAMEhugo.com -----------> www.hugo.com.w.cdngslb.comCNAMEwww.hugo.com ----------> www.hugo.com.w.cdngslb.com
CDNオリジンへのリクエストタイムアウト値について
AlibabaCloud CDN/DCDNに対して、オリジンへのリクエストタイムアウト値上限はデフォルトで30秒となります。
コンソールから900秒まで設定可能です。
https://www.alibabacloud.com/cloud-tech/doc-detail/125242.htm
CDN + OSS 構成の静的ウェブサイトホスティングについて
OSSを非公開し、CDNの設定にて、プライベートバケットの Back-to-Originの設定を有効化した場合、下記の制限があります。
インデックスドキュメントの設定が利用できません。例えば、http://example.com/ へアクセスしても、403や404になり、結果として http://example.com/index.html へリダイレクトされません。
制限を回避するには、CDNキャッシュ設定のカスタムページの設定で、403や404になると、http://example.com/index.html を返すような設定をする必要があります。
だたし、この場合、http://example.com/ へアクセスすると、http://example.com/index.html としてアドレスバーにも表示されてしまいます。
VPNGatewayにて作成可能なSSL証明書数について
VPN GatewayのSSLサーバでは、クライアント向けのSSL証明書を作成できますが、作成可能な上限数があり、VPN Gatewayインスタンスあたり50個まで証明書を保存できます。
VPN Gateway作成時に指定する「SSL接続数」が最大で1,000となりますが、これは複数のSSLクライアントでSSL証明書を共有することを想定しています。
また、スペックの「SSL接続数」と関係なく、50証明書を作成することは可能です。「SSL接続数」が10のVPN Gatewayインスタンスでも、20個の証明書を作ることが可能です。ただし、この場合、同時接続数は10です。
VPN Gatewayのヘルスチェック設定について
VPN Gatewayヘルスチケットは該当IPsec Connection経由の往復通信を両方検知した場合、正常となります。
冗長構成で、複数IPsec Connectionが構築された場合、トラフィックの往路はバックアップのIPsec Connection経由となっても、復路はマスターのIPsec Connectionとなることもありますので、バックアップ側に複路のトラフィックを検出できず、ヘルスチェックが失敗となるケースがあります。
SSL-VPNに払い出されるIPアドレスの仕様について
AlibabaCloud SSL-VPNを利用する場合、設定されたクライアントレンジから払い出されるIP数に制限があります。制限数は、「レンジIP総数/4-2」となります。
192.168.0.0/28の場合は「2^4/4-2 = 2」で2つのIPアドレスが利用可能です。
また、リリースしたクライアントアドレスはすぐ再取得できなく、1−2分おいてから、再取得可能です。
SSL証明書の更新について
Alibaba Cloud SSL Certificates Serviceでは、 GlobalSignのみサポートしています。Entrustは購入のみをサポートし、更新をサポートしていません。
そのため、Entrust既存のSSL証明書を継続してご利用の場合、再度、購入し直していただく必要がございます。 新規にSSL証明書をご購入いただく場合、お時間がかかる場合がございますこと、ご了承いただけますと幸いです。
期限切れに伴う新規購入
https://www.alibabacloud.com/cloud-tech/doc-detail/28544.htm
購入ガイド
https://www.alibabacloud.com/cloud-tech/doc-detail/28542.htm
SSL証明書申請後のドメイン変更について
審査が完了し、発行済みとなったSSL証明書の対象ドメインは変更することができません。
ただし、対象証明書IDの右側で[取り消し]ボタンが表示される場合、申請した内容をキャンセルし、ドメイン変更後に再度申請することは可能です。
CENの帯域幅変更時の通信断発生について
CENでの帯域幅は2つの概念があります。ひとつは「帯域幅パッケージ」もうひとつは「リージョンの接続」です。
前者は、あるリージョンエリア(中国本土・アジア太平洋など)間で使用する帯域幅全体を指定します。これは購入するものです。
後者は、その帯域幅パッケージの配分先となるリソースで、具体的に接続するリージョンを指定します。
例えば「帯域幅パッケージ」として【中国本土・アジア太平洋】を『10Mbps』購入し、「リージョン接続」において【上海ー日本】に『4Mbps』を配分、【杭州ー香港】に『4Mbps』配分するといったイメージです。
ICMPベースの通信定義として、CENの帯域幅変更時に通信断は発生しません。
NASで利用できるネットワーク帯域はどの程度ありますか。
イントラネット帯域幅は各ECSのインスタンスタイプにより異なります。 NAS自体のスループットは、ストレージタイプと容量により異なりますが、Performanceタイプ最大20 GB/s、Capacityタイプ最大10 GB/sとなります。
https://www.alibabacloud.com/cloud-tech/doc-detail/61136.htm
AlibabaCloud側で提供される外部ディスクをNFSで提供し、ECSで利用できますか。
Alibaba CloudではNASサービスを提供しており、NFSV3、V4対応しております。NASについてのFAQは下記をご確認ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/184057.htm
ネットワークトラフィックの料金についてまとまったページはありますか。
ネットワークだけでまとまったページはございません。各プロダクトのネットワーク料金をご確認いただく形になります。
幾つか例をご紹介します。
- 同一リージョン内の通信は無料です。
- 同一リージョンのCENは帯域費用がかかりません。
- プライベートネットワーク内通信であれば無料です。
- リージョンを跨ぐ場合の通信はCENを利用して帯域を確保いただければ、トラフィック費用はかかりません。この場合、リージョンを跨ぐため、CENの帯域費用は発生します。
- リージョンを跨がず、VPCが別で、ゾーンも別なインスタンス同士では、CENでVPCを接続することでプライベートネットワークの通信をすることができます。この場合、同一リージョン内の通信となり無料、同一リージョンのCENとなりますので、帯域費用も発生しません。
Express Connectのダイレクト・アクセスがAWSのDirect Connect相当で、VPCコネクションがAWSのVPC Peeringという認識であっていますか。
ご認識の通りです。国際サイトのURLをご案内いたします。
https://www.alibabacloud.com/cloud-tech/doc-detail/54582.htm
※Express Connectでのリージョン間接続はできなくなり、CENに統一をされております。
Express Connectのルーターインターフェース料金はどちらを見ればよいですか。
以下のURLをご確認ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/54582.htm
Security CenterのAgentを一括で他社クラウドのサーバにインストールできますか。
スクリプトを使えば一括インストールできます。なお、対応OSに種類がございますのでご注意ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/68743.htm
Security Centerの価格モデルで、数時間の稼働させた場合、追加費用は請求されますか。
スポットで稼働させた場合は、スポット分が自動で請求されることはございません。ただし、更新時に購入したライセンス以上のサーバ台数があった場合は、更新時に正しいサーバ台数分のライセンスの購入を行わないと更新が不可となります。
その他一般的なご購入に関するドキュメントは以下になります。
Security Centerでパッチ適応はAlibabaCloudのみですか。
他社クラウドのサーバに対してもパッチの適応は可能です。弊社ソフトバンクでは他社Cloud上のCentOS7でリモートパッチ適用ができることを確認いたしました。
脆弱性情報が取得できるまで数時間程度待つ必要があることがございます。
Security CenterのAlibaba側の評価基準は何ですか。
CVEの大部分の脆弱性をカバーしております。評価基準は非公開です。不足しているものがございましたら、弊社ソフトバンクまでお問い合わせください。
Security Centerで管理している脆弱性は何ですか。
- Linux:OVALを採用。CVEと互換性のある脆弱性データベースを採用
- Windows:オフィシャルの脆弱性バッチ採用
- Web-CMS:サイトのディレクトリを監視
- 緊急脆弱性:近日インターネット突如に現れた脆弱性検知
- アプリケーション脆弱性:AlibabaCloudのECS上のMySQL、phpMyAdminやElasticsearchなど主流なアプリケーションのパスワード要件と脆弱性
一般的なFAQをご確認ください。
Security Centerで脆弱性番号から対象の有無を判断できますか。利用Verでの検索はできますか。
表示されている脆弱性であれば脆弱性番号で検索できます。検索結果をクリック頂き詳細画面で対象サーバーの一覧をご確認いただけます。 詳細から脆弱性のリファレンス画面へ遷移できます。
Security Centerでミドルウェアのバージョンから脆弱性があるサーバの検索はできますか。
アセットフィンガープリントの画面でミドルウェアを確認できます。そのミドルウェアが入っているサーバー一覧や、ミドルウェアのバージョン、PID、インストールしたパスを確認できます。
Apacheをインストールしているサーバーの一覧を表示して、バージョンの欄にそれぞれのバージョンを表示しています。
Security CenterのAPI(JSONなどで)は操作は可能ですか。
APIでの操作は可能です。APIの概要は下記のドキュメントにございます。
https://www.alibabacloud.com/cloud-tech/doc-detail/112134.htm
Security CenterからDDoSはどうやって検出していますか。
Cloud threat detection機能の中にNW層でDDoS検知し、アラートを発砲する機能があります。
https://www.alibabacloud.com/cloud-tech/doc-detail/89379.htm
また、DDoS攻撃加害者にならないために、トロイの木馬のウイルス検知機能も持っております。ウイルス検索エンジンはAlibaba Cloudでの独自開発したエンジンとなります。業界主流のエンジンと類似したエンジンとなります。
Security Centerから各Editionの他社クラウドで適応できる機能一覧はありますか。
Security Centerは、サードパーティのクラウドサーバーを保護できます。ただし、一部機能しない機能もございますので、詳細は個別にお問い合わせください。
FAQやインストール方法は下記の通りです。
https://www.alibabacloud.com/cloud-tech/doc-detail/164778.htm https://www.alibabacloud.com/cloud-tech/doc-detail/68597.htm
中国東部1のOSSを利用しなくても課金される事象について
OSSコンソールでのパケット操作は実質上にAPIで実行されています。GetBucketなどのようなパケットを特定しないに操作以外、共通な属性を取得するようなリクエストを実行された場合、デフォルトで中国東部1リージョンのエンドポイントが利用される仕様となります。該当APIリクエストにより発生した料金は中国東部1のパケットに記録されますので、中国東部1のOSSを利用しなくても課金される事象の原因となります。
標準、IA、アーカイブの違いについて
標準ストレージと比較する場合、低頻度アクセスストレージに保存したファイルを30日以内、アーカイブストレージは60日以内に削除した場合、料金がかかります。 そして、アーカイブストレージからファイルを取り出す場合、解凍時間が必要となります。
標準ストレージ
- 高パフォーマンス、高信頼性、高可用性を実現する OSS インスタンス
- 特徴:高スループット、ホットファイル、頻繁なアクセスを特徴とするサービスシナリオに適用可能
- 信頼性: 99.999999999%
- 最小保存期間:なし
- 適用シナリオ: モバイルアプリケーション、大規模な Web サイト、画像共有、アクセス頻度の高いオーディオとビデオ
低頻度アクセスストレージ
- 比較的低いストレージコストとリアルタイムのアクセスを特徴とする OSS インスタンス
- 特徴: リアルタイムの低頻度データアクセスをサポートするサービスシナリオに適用可能
- 信頼性: 99.999999999%
- 最小保存期間:30 日
- 適用シナリオ: アプリケーションデータとエンタープライズデータのバックアップ、モニタリングデータ、オンラインストレージアプリケーション
アーカイブストレージ:
- 低単価で長期のアーカイブデータストレージをサポートする OSS インスタンス
- 特徴: データ復元の待機時間が発生し、データ保管期間に関する要件があるサービスシナリオに適用可能
- 信頼性: 99.999999999%
- 最小保存期間:60 日
- 適用シナリオ: 長期のアーカイブデータストレージ、医療用画像、ビデオ映像
クロスリージョンレプリケーションについて
クロスリージョンレプリケーションは対応しています。
クロスリージョンレプリケーションは下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/31864.htm
パケット間のファイル複製方法について
下記の前提条件であれば、OSSBrowserを利用してコピー/移動することが可能です。
- 同じリージョンの別バケット間のコピー/移動
- 標準パケットからアーカイブパケットへのコピー/移動 ※アーカイブパケットから標準パケットへのコピー/移動も可能ですが、事前にアーカイブファイルを解凍する必要があります。 一括解凍機能がないため、多数ファイルの場合、手間かかります。
手順は下記となります。
- ソースパケットのルートディレクトリにて全ファイルを選択し、「コピー」または「移動」をクリック
- ターゲットのアーカイブパケットのルートディレクトリにて、「ペースト」をクリック
OSSBrowserのダウンロードは下記ドキュメントをご参考お願いします。
https://www.alibabacloud.com/cloud-tech/doc-detail/61872.html
ブロックストレージに関して、システムディスクとデータディスクをわける用途は以下のような用途ですか。
- パフォーマンス面で別の種類のディスクや、PLを選ぶことが可能
- 暗号化の設定が可能
- システムディスクはインスタンスのリリース時に削除、データディスクは削除しないといった使い分け方ができる
システムディスクはサイズ上限は500GiBとなります。
https://www.alibabacloud.com/cloud-tech/doc-detail/35095.htm
システムディスクの交換を行った場合はシステムディスクがリリースされるため、システムディスクとデータディスクは分けることが推奨されています。
システムディスクとデータディスクはストレージの種類によって単価が異なりますが、同一ストレージであれば単価は一緒になります。
ESSDを基本として頂いても問題はありませんが、システムディスクでの利用であれば Ultra disk でも十分な場合が多いです。10000 IOPS を超えるようなIOPS性能が必要であればESSDを選んでいただくのがよろしいかと思います。
ディスクのパフォーマンスに関してはこちら
https://www.alibabacloud.com/cloud-tech/doc-detail/25382.htm
また、一部のインスタンスタイプ(t5など)ではESSDに対応していないものもあるので、各ディスクへの対応に関してはお気を付け頂ければと思います。 逆にESSDしか対応していないエンハンス型のインスタンスタイプ(g6eなど)もあります。
ディスクの価格表
ブロックストレージに関して 基本的にはESSDが価格も性能も優れてそうですが、他のオプションを選ぶのはコストを下げたい時でしょうか
https://www.alibabacloud.com/cloud-tech/doc-detail/25382.htm
ESSDを選択するのは、IPOS、スループットが求められる時で、ESSD以外をご選択いただくとコストは安価になります。
ただし、構成・ご要件によっては性能のよいストレージを利用したほうがサーバ台数を減らした結果、コストが安価になる場合があります。
NASのマウント方法について教えてください。
下記をご確認ください。
留意事項
https://www.alibabacloud.com/cloud-tech/doc-detail/27527.htm
Windows
https://www.alibabacloud.com/cloud-tech/doc-detail/67165.htm
Linux
https://www.alibabacloud.com/cloud-tech/doc-detail/128737.htm
NASにsnapshot機能はありますか。
Extreme NASのみスナップショットがサポートされております。
General-purpose NASの場合、Hybrid Backup Recoveryプロダクトがございますので、こちらがNASのバックアップとしてsnapshot(増分バックアップ)相当の機能を提供しております。
https://www.alibabacloud.com/cloud-tech/doc-detail/132248.htm
5G以上のファイルのアップロード方法について
コンソールからアップロード可能のファイルサイズは5GBまでなります。5GB以上のファイルをアップロードする場合、APIまたはSDKを利用する必要があります。
アップロード方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/31850.htm
同名ファイルを入れ替え後の即時反映について
OSS上に同名ファイルを入れ替え後に即時全ノードに反映することを保証していません。一定期間内に入れ替え前のファイルが取り出させる可能性があります。
リアルタイム反映を求める場合、別ファイル名での利用が必要です。
プライベート/パブリックエンドポイントの違いについて
プライベートエンドポイントは同じリージョン内のインスタンスのみアクセス可能ですが、セキュリティ性が高く、トラフィック料金がかかりません。
パブリックエンドポイントはインターネットからアクセス可能です。
OSSのアクセスログの取得方法について
OSSのアクセスログはLogServiceに転送することが可能です。
転送方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/29002.htm
OSSのアクセスログの取得方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/31900.htm
OSSのイメージ/ビデオ処理の利用方法について
OSSイメージ処理機能は下記ドキュメントをご参照ください。
OSSイメージ処理機能
https://www.alibabacloud.com/cloud-tech/doc-detail/31873.htm
OSSイメージ処理手順
https://www.alibabacloud.com/cloud-tech/doc-detail/44686.htm
上記の機能により、お客様は好きなイメージ処理(リサイズなど)内容を 「スタイル」として保存することができます。 その後、保存した「スタイル」を適応することで、任意の画像にイメージ処理を実施することができます。
また、OSSでは動画のフレームキャプチャー機能も実装されております。 動画から任意のフレームを取得して、画像のリサイズ及び保存形式を設定することができます。
ただし、上記で作成した画像は自動で保存されないため、手動でローカル上に保存する必要があります。 また、上記機能で動画ファイルのサムネイル自動生成はできず、 以下の例のように画像URLに対して操作を指定する必要がございます。
OSSに保存されている画像、動画にイメージ処理を実施した場合、 処理を適応した画像URLにアクセスすることで処理結果画像を取得できます。 その際に、OSSのファイルURLの有効期間を設定する必要がありますのでご認識いただければと存じます。 画像にイメージ処理を適応した画像URLを利用する場合、 この有効期間がサムネイルの利用時間となります。
URLの有効期間の詳細につきましては、下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/31912.htm
例: 例えば、下記の条件で動画から画像を取得します。
- 対象のBucketドメイン名:a-image-demo.oss-cn-qingdao.aliyuncs.com
- 対象Bucketに保存された動画ファイル:demo.mp4
- ①動画の7秒目の映像を画像として取得します。
- ②取得した画像のサイズを「800×600」にします。
- ③エクスポートした画像の形式をjpgにします。
- ④画像取得モードをfastにします。fastは7秒目の直前のフレームを取得します。
- サンプル: http://a-image-demo.oss-cn-qingdao.aliyuncs.com/demo.mp4?x-oss-process=video/snapshot,t_7000,f_jpg,w_800,h_600,m_fast
上記、利用した引数について、video/snapshotは操作内容と操作名で、 動画処理の場合は、上記リンクのように動画ファイル名の後に?x-oss-process=video/snapshotと記載いただき、 パラメータ指定を行なっていいただく必要がございます。
t スクリーンショット時間(単位ms) w 画像の横サイズ(Pixel単位) h 画像の高サイズ(Pixel単位) m 画像の取得モード(fast) f 画像のフォーマット(jpg,png)
OSS SDKのプロキシサポートについて
OSS SDKは、一部言語のみプロキシサーバの指定を提供しています。 現在Java、.Net、GoバージョンのSDKを対応しています。
OSSへアップロードしたオブジェクト(ファイル)の検索方法について
オブジェクトストレージでは、ファイル(オブジェクト)検索を行う場合、プレフィックス検索(前方一致検索)を用いている為、オブジェクト名中の文字をキーで検索することができません。
オブジェクトストレージでの "オブジェクトの検索" についての詳細は以下のマニュアルをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/31911.html
参考として、例えば"通話録音_100M.wav" があるとして、これを文字列で検索する場合に検索可能なパターンと不可のパターンの一例を参考にご紹介いたします。
検索可能:通通話録音_10検索不可:話録音100M
OSSコンソールでプレビューできるファイルタイプについて
OSSコンソール上のプレビュー画面で プレビューできるのは画像ファイルのみとなっております。サポートしているフォーマットは以下の画像ファイルです。
拡張子:jpg、jpeg、png、gif、bmp
OSSをディスクとしてマウントする方法について
OSSFSツールを利用し、LinuxシステムでAlibaba Cloud OSSバケットをローカルファイルにマウントできます。
ただし、現在「Linux システム」のみ対応可能です。「Windows Server」には対応していません。また、該当仮想ディスクの性能は低く、複数インスタンスの同時マウントに利用できませんので、NASの利用を推奨します。
OSSFSの利用方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/32196.htm
FunctionComputeのトリガーとして利用方法について
OSSのイベントをFcunctionComputeのトリガーに設定することができます。
OSSトリガーの利用方法は下記のドキュメントをご参照ください。
- https://www.alibabacloud.com/cloud-tech/doc-detail/74761.htm
- https://www.alibabacloud.com/cloud-tech/doc-detail/74762.htm
- https://www.alibabacloud.com/cloud-tech/doc-detail/74763.htm
- https://www.alibabacloud.com/cloud-tech/doc-detail/74764.htm
- https://www.alibabacloud.com/cloud-tech/doc-detail/74765.htm
CDNでOSS静的サイトの公開方法について
CDNのオリジンサイトをOSSに構築された静的サイトに指定することができます。
OSSで静的サイト構築方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/67323.htm
CDNのオリジンサイト指定方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/57589.htm
OSSに静的サイトを設置した場合のICP必要性について
中国本土リージョンのOSSを利用し、所有するドメインとバインドし、静的サイトを公開する場合、該当ドメインは事前にICPを取得する必要です。OSSが提供するドメインを利用する場合、ICPを取得する必要がありません。
OSSにインターネット経由で接続する際のFQDNについて
API、SDK、またはOSS-browserを利用する場合、OSSへのアクセスにつきましては、OSSコンソールで表示される「エンドポイント(東京リージョンはoss-ap-northeast-1.aliyuncs.com)」及び「パケットポイント(backetname.oss-ap-northeast-1.aliyuncs.com)」の2つのFQDNを許可する必要があります。
Alibaba CloudアカウントでOSSコンソールにログイン後、該当バケットを選択した際に画面中央に表示される「アクセスドメイン名」の中の「インターネットアクセス」行にある2つのアクセスドメイン名をご登録下さい。
※東京リージョンの場合、エンドポイントには「oss-ap-northeast-1.aliyuncs.com」と表示されております。
OSSのIPアドレスは固定ではないため、ファイアウォールでIPフィルタすることができなく、FQDNフィルタする必要があります。
RAMユーザー対象にバケットアクセス権限の制御方法について
下記のようなカスタマイズポリシーを作成し、RAMユーザに適用することで、バケットごとに制御することが可能です。
カスタマイズポリシーは下記のドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/28640.htm
{ “Statement”: [ {“Effect”: “Allow”,“Action”: “oss:ListBuckets”,“Resource”: “acs:oss:*:*:*” },{ “Action”: “oss:*”,“Effect”: “Allow”,“Resource”: [ “acs:oss:*:*:<bucketname>”,“acs:oss:*:*:<bucketname>/*” ]}],“Version”: “1”}
OSS公開してもディレクトリにアクセスできない事象について
OSSパケットはフォルダのように見えますが、構造上にオブジェクト方式となります。
ディレクトリがありませんので、OSSに保存されるファイルにアクセスするには、ファイルまでのパスを指定する必要がありますので、ディレクトリを指定して配下の全ファイルを表示する機能がありません。
RAMユーザー利用時のBucketList権限の必要性について
RAMユーザーに指定パケットのフル権限を付与した場合、バケット内のオブジェクトの操作に支障がありませんが、OSSコントロールから該当パケットを確認することができません。
コンソールで確認するために、別途全パケットを参照する権限ListBucketsが必要です。また、ListBuckets権限には対象パケットの指定ができなく、全表示/全非表示しかできません。
権限ポリシーには、以下のような部分を設定する必要があります。
"Effect": "Allow","Action": "oss:ListBuckets","Resource": "acs:oss:*:*:*"
Logstore の「internal-alert-history」ログについて
アラートルールを設定する際に、Log Serviceは自動的に対象アラートが所属されているプロジェクトにinternal-alert-historyを作成します。
このプロジェクト内に全てのアラートルールが実施される時にアラートが発生したかどうか関わらず、LogStoreのinternal-alert-historyに記録されます。
「internal-alert-history」により料金は発生しませんが、直接削除することはできません。 対象プロジェクトを削除するとinternal-alert-historyも削除されます。
Logtailの履歴ログのインポートモードについて
履歴ログのインポートモード(ローカルイベントを追加した状態)と、通常のログ収集モードに違いがあります。
名前の通り、通常のログ収集モードは、「Logtail 設定」完了後に、指定されたログファイルからリアルタイムでログを吸い上げます。
過去のログも一部取れますが、限度は1MBまでです。
詳細は下記ドキュメントの「Read log files」部分をご参考ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/89928.htm
履歴ログのインポートモードは指定されたログファイルを一度のみ丸ごと吸い上げます。
また、ローカルイベントで指定するログディレクトリは「Logtail 設定」で指定するディレクトリと一致する必要がありません。
ただし、重要なのは履歴ログのインポートモードのログディレクトリはローカルイベントにて指定されます。コンソールの「Logtail 設定」には存在しないディレクトリでもOKです。
DataVでの「コールバックID」の呼び出し範囲について
DataVで「コールバックID」を利用して、パラメータを別のウィジェットに渡すことが便利です。
ただし、コールバックのパラメータを呼び出すウィジェットにデータソースの制限があります。データソースが「CSV」、「静的データ」の場合コールバックのパラメータを呼び出せませんので、ご注意ください。
RDSのトラフィック料金について
RDS現在トラフィック(インバウンド、アウトバウンド含む)料金は無料です。
PolarDB-O Cloud Native Databaseは、PLSQLに対応していますか。
はい、PL / SQL構文をサポートしています。Oracleとの互換性は下記をご確認ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/116365.htm
JavaからのPolarDB-O Cloud Native Databaseへの接続に利用するドライバは提供されていますか。
はい、提供されています。「POLARDB JDBC:polardb-jdbc_installer.zip」を利用する事で可能です。
詳しくは下記のURLをご確認ください。
https://www.alibabacloud.com/cloud-tech/ja/doc-detail/124998.htm
ADAMは開発で使用すれば良いですか。
ADAMは移行したいDBに対して診断を行います。開発環境に対して実行する場合、開発環境の情報のみしか取得できません。本番環境と差分がある場合は差分の分は取得できません。
その他、ADAMの特徴については、下記をご確認ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/53705.htm
ApsaraDB for PoloarDBで使用するDiskはSSDですか。
Polar DBのストレージはSSDのみとなります。Polar DBはESSDというAlibaba独自開発のハイパフォーマンスSSDを採用しております。
Apsara DB for PolarDBの料金には、バックアップに必要な料金は入っていますか。
バックアップと復元機能は無料ですが、保管料は請求されます。PolarDBはコンピューティングとストレージを分割した構成かつ、ストレージは共有ストレージ(PolarStore)で 中にあるRedo Logをすぐに復元する構成なので障害には強い構成となります。
バックアップの機能が入っていますがこちらは以下の用途がメインとなります、
- 作業ミスなどで過去バージョンに戻す場合
- 他のリージョンのPolarDBへデータを渡す時のブランチ的な扱い
バックアップデータは7日間保持されます。
https://www.alibabacloud.com/cloud-tech/doc-detail/72672.htm
PolarDBのバックアップ機能以外ですとDatabase Backup Serviceというサービスがございますので、こちらをご利用頂くということも可能です。料金は以下URLをご確認お願い致します。
https://www.alibabacloud.com/cloud-tech/doc-detail/70005.htm
PolarDB-O Cloud Native Databaseではソフトウェアのライセンスが他にかかったりはしませんか。
クラウド料金以外のライセンス等はございいません。
PolarDBでメモリの引き上げが必要になった場合、格納されたデータはそのままでスペックの引き上げはできますか。
PolarDBはデータを保持したまま、SQL処理中でもScaleIn、ScaleOut、ScaleDown、ScaleUp が出来ます。
PolarDBで拡張時はメンテナンスが必要になりますか。
オンラインで拡張できるのか、サービス停止が必要なのか確認させてください。
インスタンスサイズを変更した場合は、サービス停止が発生します。
https://www.alibabacloud.com/cloud-tech/doc-detail/72674.htm
sysadminの権限提供について
インスタンスの安定性とセキュリティを保証するために、RDS for SQL Server では、sysadmin 権限を提供しておりません。
RDSの制限詳細は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/26141.htm
カスタマイズ可能なパラメーターについて
RDSはマネジメントサービスのため、カスタマイズ可能なパラメーターはRDSコンソールのパラメーターの設定ページに表示されているパラメーターのみとなります。
RDSのストレージ容量の拡張方法について
RDSのストレージ容量は拡張することができます。下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/96061.htm
また、自動拡張も対応していますので、下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/173826.htm
ホワイトリストの設定方法について
RDSにはホワイトリストを利用してアクセスIPを制限することができます。
RDSのホワイトリストの設定は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/43186.html
インターネットアドレスとイントラネットアドレスの違いについて
RDSにインターネットアドレスとイントラネットアドレスがあります。
イントラネットアドレスは同じVPC内のインスタンスのみアクセスすることができます。インターネットアドレスはインターネットからアクセスすることができます。
Oracleライセンスの持ち込みについて
AlibabaCloudにOracleライセンスを持ち込みの場合、Oracle社と再契約する必要があります。
現時点の情報として、契約するCPU数はECSのCPU数ではなく、ECSがフェイルオーバー可能な全物理機のCPU数となります。
つまり、日本リージョンのECSに持ち込みますと、日本データセンターの全物理サーバーCPUの契約となりますので、事実上困難です。
ECS Bare Metal InstanceとDedicated Host (DDH)製品でも例外がありません。
バックアップ取得時の性能影響について
RDSのバックアップはスレーブインスタンスから取得するため、取得時にスレーブインスタンスへ影響がありますが、マスターインスタンスの性能に影響がありません。
RDSバックアップの保存先について
RDSバックアップはアーキテクチャ上にOSS上に保存されますが、お客様のOSS領域ではありませんので、ダウンロードする際には、RDSコンソールからとなります。
リカバリ時に指定可能な時刻について
バックアップからリカバリ時に希望時刻を指定することができます。指定可能の時刻は最初のフルバックアップ時刻から現時刻の間となります。
RDSリリース後のバックアップ提供について
RDSのリリースに伴い、バックアップもリリースされます。RDSのバックアップをお客様のOSSに移管する機能は現在ありません。必要な場合、リリース前にRDSコンソールからダウンロードする必要があります。
マルチゾーンの確認方法について
下記メニューからマスターインスタンスとスレーブインスタンスの所在ゾーンを確認することができます。
コンソール > RDS > インスタンス > インスタンスの可用性 > マスターノード ID/スレーブノード ID
マルチゾーンの切り替え方法について
下記メニューからマスターインスタンスとスレーブインスタンスを切り替えることができます。マスターノード ID/スレーブノード IDにて切り替え前後のゾーンを確認することができます。
コンソール > RDS > インスタンス > インスタンスの可用性 > スイッチオーバー
保存データの暗号化方法について
RDSのデータ暗号化TDEを対応しています。
TDEの設定方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/96121.htm
TDEの場合 Key Management Service(KMS)は、 Alibaba Cloud によって提供される安全で使いやすい管理サービスです。 KMS を用いて安全かつ便利にキーを管理することで、暗号化/復号化機能の開発に集中できます。
Key Management Serviceは下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/28935.htm
SSLを利用するデータ転送方法について
RDSの通信暗号化にはSSLを対応しています。
SSLの設定方法は下記ドキュメントをご参照ください。
https://www.alibabacloud.com/cloud-tech/doc-detail/32474.htm
Redisのパスワードでの接続方法について
Redis購入後に、コンソールに表示されたデフォルトアカウントの場合、ユーザー名不要、パスワードのみで接続可能ですが、コンソールにて別のアカウントを新規作成した場合、下記のようにauthコマンドを使用してデータベースにログインする必要がございます。
新規アカウントのパスワードのみで認証するとエラーになりますので、ご注意ください。
redis-cli -h 接続先エンドポイント> auth account:password
ApsaraDB for Redisの強制アップグレードについて
強制アップグレードの用途として、クラスタ構成とHA構成にサポートするコマンドに差異があり、一部クラスタ構成でサポートしないコマンドがあります。
該当コマンドが含まれるHA構成からクラスタ構成にアップグレードする際に、「強制アップグレード」を選択する必要があります。
Commands restricted for cluster instances
https://www.alibabacloud.com/cloud-tech/doc-detail/26356.htm
Image SearchのインポートQPS制限について
Image Searchのプラン毎にAPIコードのQPSが定められています。APIからの画像アップロードではこのQPSの制限が受けられます。
大量の画像をインポートする場合、OSSからのインポートはAPIのQPS制限を受けられませんので、ご利用ください。
IoT Platformのデバイス監視機能について
IoT Platformにデバイス監視の機能があり、デバイスからのパケット受信間隔で死活を判断しています。
仕組みとして、IoT Platformからデバイスへキープアライブパケットを送信することではなく、デバイスからMQTT接続の確立時に、ヘッダにKeep Alive時間を30-1200sの間に指定する必要があります。
設定されたKeep Alive時間の1.5倍を経って、もしPUBLISH, SUBSCRIBE, PING, or PUBACKの動作がなければ、MQTT接続が切断され、該当デバイスのステータスを「オフライン」に判断されます。
Alibaba Cloudを始めてみましょう
