サービス・エンドポイントを使用した CIS へのプライベート接続

IBM Cloud® Internet Servicesを使用する際に、設定のコントロールとセキュリティを強化するために、IBM Cloud®サービス・エンドポイントへのプライベート・ルートを使用することができます。インターネットからは、プライベート・ルートにアクセスすることも到達することもできません。 IBM Cloud のプライベートサービスエンドポイント機能を使用することで、パブリックネットワークからの脅威からお客様の構成を保護し、プライベートネットワークを論理的に拡張することができます。

CISプライベートエンドポイントを使用すると、パブリックネットワーク上のDNSレコードやグローバルロードバランサーに到達することができます。

開始前に

まず、インフラストラクチャアカウントで仮想ルーティングおよび転送（VRF）とサービスエンドポイントを有効にします。アカウントで VRF を有効にすると、CIS Private ネットワークでしかアクセスできないプライベート IP を使用して IBM Cloud に接続できます。

IBM Cloud のプライベート接続についての詳細は、「プライベート接続のサービスエンドポイント」を参照してください。

CIS のサービス・エンドポイントのセットアップ

これらのサービス・エンドポイントは、コントロール・プレーンであるAPIやCLIでインスタンスのコンフィギュレーションを管理するためだけのものだ。 IBM Cloud プライベート・サービス・エンドポイント機能を使用しても、データ・プレーンには影響しません。コントロールプレーンとデータプレーンについては、CISアーキテクチャとワークロード分離についてを参照してください。

ターゲット・プライベート・エンドポイント

CIS のためにプライベート・エンドポイントをターゲットにする前に、以下を行ってください。

IBM Cloudインフラストラクチャのアカウントが、仮想ルーティングおよび転送(VRF)で有効になっていることを確認してください。

VRF を有効にすると、ご使用のアカウント用に別個のルーティング・テーブルが作成され、アカウントのリソースとの間の接続は IBM Cloud ネットワーク上で別個にルーティングされます。 VRF テクノロジーの詳細については、 IBM Cloud の「仮想ルーティングと転送」をご覧ください。

VRFを有効にすると、アカウントのネットワーク設定が恒久的に変更されます。アカウントおよびリソースへの影響を理解しておく必要があります。 VRFを有効にすると、無効にすることはできません。
IBM Cloudインフラストラクチャアカウントが、サービスエンドポイントに対して有効になっていることを確認してください。

アカウントで VRF およびサービス・エンドポイントを有効にすると、パブリック・エンドポイントとプライベート・エンドポイントの両方から、既存および将来の CIS リソースとインスタンスのすべてを使用できるようになります。

CLI の使用

ステップ 1. 仮想サーバー上の IBM Cloud プライベート・ネットワークを構成する

IBM Cloudプライベートネットワーク用のルーティングテーブルを設定して、仮想サーバーインスタンスまたはテストサーバーを準備します。

IBM Cloud プライベートネットワークにトラフィックをルーティングするには、仮想サーバーインスタンスで次のコマンドを実行します
```
route add -net 166.9.0.0/16 gw <gateway> dev <gateway_interface>
```
<gateway> (10.x.x.x など) および <gateway_interface> (eth10 など) を適切な値に置き換えます。
オプション: 新しいルーティング・テーブルを表示して、経路が正常に追加されたことを確認します。
```
route -n
```

ステップ 2 CIS のプライベートエンドポイントをターゲットに

IBM Cloud のプライベートネットワークトラフィックを受け入れるように仮想サーバーインスタンスを設定した後、プライベートエンドポイントをターゲットにすることができます CIS ( CIS API または CIS CLI プラグインを使用)。

IBM Cloud コンソールにログインします。
```
ibmcloud login
```
ログインに失敗した場合は、ibmcloud login --ssoコマンドを実行して再試行してください。フェデレーテッドIDを使用してログインする場合は、--ssoパラメーターが必要です。このオプションを使用する場合は、 CLI 出力に表示されるリンクに移動して、ワンタイムパスコードを生成します。
オプション：アカウントが VRF とサービスエンドポイントに対して有効になっていることを確認してください。
```
ibmcloud account show
```
以下の CLI 出力には、VRF とサービス・エンドポイントが有効にされたアカウントの詳細が示されています。
```
Retrieving account John Doe's Account of john.doe@email.com...
OK

Account ID:                   d154dfbd0bc2edefthyufffc9b5ca318
Currently Targeted Account:   true
Linked Softlayer Account:     1008967
VRF Enabled:                  true
Service Endpoint Enabled:     true
```
プライベート・ネットワークに接続するためにアカウントをセットアップする方法については、 VRF およびサービス・エンドポイントの有効化を参照してください。

ステップ 3。プライベートネットワーク上に CIS リソースを作成する

CIS CLI プラグインを使用して、プライベート・ネットワーク接続をテストします。

CIS のプライベートエンドポイントインスタンスにログインします。
```
ibmcloud login -a private.cloud.ibm.com
```

API の使用

次の例に示すように、サービスにアクセスするには、 URL のサービスエンドポイントの FQDN api.private.cis.cloud.ibm.com を使用します。

curl https://api.private.cis.cloud.ibm.com/v1/:crn/zones -H 'content-type: application/json' -H 'accept: application/json' -H 'x-auth-user-token: Bearer xxxxxx'