サービスエンドポイントゲートウェイ

[更新: 2025年10月30日]

「スイッチ」の拡張機能である「サービスエンドポイントゲートウェイ」に関する情報です。

概要

サービスエンドポイントゲートウェイは、プライベートネットワーク内のサーバから、「さくらのクラウド」のマネージドサービスに安全に接続できるようにする「スイッチ」の拡張機能です。
外部ネットワークから隔離された通信環境にあるサーバでも、オブジェクトストレージなどのインターネット経由での利用を前提としたマネージドサービスへ安全にアクセスできます。
接続できるマネージドサービスは順次拡大してまいります。

また、サービスエンドポイントゲートウェイはNTPサーバーおよびDNSプロキシとしての機能も備えており、プライベートネットワーク内のサーバが時刻同期や名前解決を安全に行うことができます。

特徴とユースケース

閉域経路での安全な通信

通常、プライベートネットワーク内のサーバからインターネット上のマネージドサービスに直接接続することはできませんが、サービスエンドポイントゲートウェイを有効化することで、サーバはさくらのクラウド内部ネットワークを介して安全にマネージドサービスへ接続することができます。
これにより、外部ネットワークへの経路を開放することなく、マネージドサービスを利用できます。

既存ネットワークに簡単導入

サービスエンドポイントゲートウェイを利用するサーバは、参照するDNSをサービスエンドポイントゲートウェイに設定されたIPアドレスに設定するだけで利用することができます。
このため、ルーティング設定の変更などを行うことなく、既存のシステムに導入することができます。

シンプル構成で安全な通信経路を確立

従来必要だったプロキシサーバやNAT機器を設置することなく、サービスエンドポイントゲートウェイを有効化するだけで安全な通信経路を確立することができます。

NTPサーバー・DNSプロキシ機能の提供

サービスエンドポイントゲートウェイは、プライベートネットワーク内のサーバに対してNTPサーバー(時刻同期)およびDNSプロキシ(名前解決)機能も提供します。これにより、外部ネットワークに接続せずに、時刻同期や名前解決を安全に行うことができます。

ユースケース

プライベートネットワークからオブジェクトストレージを安全に利用する

外部通信を禁止している隔離された環境にあるサーバから、オブジェクトストレージへ安全にアクセスする際に使用します。

提供価格

提供料金については サービスサイト を参照ください。

制限事項・注意事項

利用における注意事項

  • 「スイッチ」のみでご利用いただけます。「ルータ+スイッチ」ではご利用いただけません。

  • サービスエンドポイントゲートウェイを有効化したスイッチに接続されているサーバからのみご利用いただけます。

  • 1つのスイッチに対して複数のサービスエンドポイントゲートウェイを有効化することはできません。

  • 2025年10月現在、接続できるマネージドサービスは「オブジェクトストレージ」のみです。

  • 2025年10月現在、冗長化構成には対応していません。

運用中の注意事項

  • サービスエンドポイントゲートウェイはさくらのクラウド基盤上で稼働します。そのため、クラウド基盤の障害・メンテナンスにより通信断が発生することがあります。

  • 接続先マネージドサービスの変更時、サービスエンドポイントゲートウェイを経由した通信が一時的に中断することがあります。

ネットワークに関する注意事項

  • IPv4のみ対応しています。

  • 通信経路はさくらのクラウド内部のネットワークを通過し、インターネットを経由しません。

  • マネージドサービスへの接続には100Mbps共有回線を利用します。帯域はベストエフォートです。

  • お客様独自のファイアーウォールやルーティングの設定は行えません。

その他注意事項

  • サービスエンドポイントゲートウェイはHTTPSの通信を転送します。このためサービスエンドポイントゲートウェイはTLSの終端を行いません。

利用方法

サービスエンドポイントゲートウェイのご利用には、スイッチの事前作成が必要です。
スイッチの作成方法は スイッチ, ルータ+スイッチの作成・削除 を参照ください。

有効化

コントロールパネルから「スイッチ」をクリックします。

スイッチ一覧画面の表示

サービスエンドポイントゲートウェイを有効化したいスイッチをダブルクリックします。

スイッチ詳細画面の表示

重要

「ルータ+スイッチ」ではサービスエンドポイントゲートウェイはご利用いただけません。

「サービスエンドポイントゲートウェイ」タブをクリックし、「有効化」をクリックします。

SEGの有効化

サービスエンドポイントゲートウェイに割り当てるIPアドレスとサブネットマスクを指定し、「有効化」をクリックします。

SEGの有効化

有効状態が「利用可能」になったことを確認し、「接続先マネージドサービスの変更」をクリックします。

接続先マネージドサービスの変更

警告

接続先マネージドサービスの指定に関わらず、サービスエンドポイントゲートウェイを有効にした時点からご利用料金が発生いたします。

接続先のマネージドサービスを選択し、「変更」をクリックします。

接続先マネージドサービスの変更

接続先マネージドサービスが表示されていることを確認します。

接続先マネージドサービスの変更

以上でサービスエンドポイントゲートウェイの有効化は完了です。
マネージドサービスを利用するサーバのDNSに、有効化時に設定したサービスエンドポイントゲートウェイのIPアドレスを指定してください。

SEGのIPアドレス

無効化

コントロールパネルから「スイッチ」をクリックします。

スイッチ一覧画面の表示

サービスエンドポイントゲートウェイを無効化したいスイッチをダブルクリックします。

スイッチ詳細画面の表示

「サービスエンドポイントゲートウェイ」タブをクリックし、「無効化」をクリックします。

SEGの無効化

操作確認が表示されるため、「無効化」をクリックします。

SEGの無効化

以上でサービスエンドポイントゲートウェイの無効化は完了です。

メンテナンス対応

サービスエンドポイントゲートウェイはさくらのクラウドサービス基盤上で稼働します。
そのため、クラウド基盤がメンテナンス等で停止する場合、サービスエンドポイントゲートウェイも一時的に停止いたします。
メンテナンスの場合は、本手順の操作を実施することで、弊社予定のメンテナンス時間にとらわれずお客様の任意のタイミングでメンテナンスを実施することが可能です。

コントロールパネルから「スイッチ」をクリックします。

スイッチ一覧画面の表示

事前メンテナンスを実施するサービスエンドポイントゲートウェイが有効になっているスイッチをダブルクリックします。

スイッチ詳細画面の表示

「サービスエンドポイントゲートウェイ」タブをクリックし、「事前メンテナンスを実行」をクリックします。

SEGの事前メンテナンス

操作確認が表示されるため、「はい」をクリックします。

SEGの事前メンテナンス

警告

実行後、数分程度の接続断が発生いたしますので、実行タイミングにご注意ください。

クイックスタート

サービスエンドポイントゲートウェイを利用して、プライベートネットワーク内のサーバからオブジェクトストレージへ接続するまでの手順を説明します。

前提条件

事前にさくらのクラウド会員ID登録及びさくらのクラウドのプロジェクト作成など、さくらのクラウドの利用準備が完了していること。
さくらのクラウドの利用開始方法は「 さくらのクラウド ご利用開始手順 」をご確認ください。

本手順では以下の設定値および環境を使用します。

項目

設定値 / 環境

オブジェクトストレージを利用するサーバのIPアドレス

192.168.2.100

オブジェクトストレージを利用するサーバのOS

Ubuntu Server 24.04.2 LTS 64bit

スイッチで構成するプライベートネットワーク用のサブネット

192.168.2.0/24

サービスエンドポイントゲートウェイのIPアドレス

192.168.2.110

オブジェクトストレージのサイト

石狩第1サイト

オブジェクトストレージのバケット名

service-endpoint-gateway-test

AWS CLIのバージョン

AWS CLI v2 2.22.35

オブジェクトストレージのサイト・バケットの作成

さくらのクラウドホームから「オブジェクトストレージ」をクリックします。

オブジェクトストレージ

石狩第1サイトに名前「service-endpoint-gateway-test」のバケットを追加します。

バケット作成

「service-endpoint-gateway-test」バケットに「READ/WRITE」権限を持つパーミッションを追加し、アクセスキーIDおよびシークレットアクセスキーを確認します。
※設定するパーミッションはご利用用途に応じて適切に設定してください。

パーミッション作成

以上でオブジェクトストレージ側の準備は完了です。
オブジェクトストレージの操作詳細については「 サービス基本情報 」をご確認ください。

オブジェクトストレージを利用する接続元サーバの作成

任意のゾーンにサーバを追加します。
コントロールパネルのサーバから「追加」をクリックします。

サーバ追加

NICから「インターネットに接続」を選択し、サーバを作成します。
※その他の設定項目は任意に設定してください。

サーバ追加

作成したサーバへ接続し、AWS CLIをインストールします。
この際、先程確認したアクセスキーIDおよびシークレットアクセスキーを使用してAWS CLIの設定を行います。

$ curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64-2.2.35.zip" -o "awscliv2.zip"
$ unzip awscliv2.zip
$ sudo ./aws/install
$ aws configure
AWS Access Key ID [None]: dummy-access-key-id
AWS Secret Access Key [None]: dummy-secret-access-key
Default region name [None]: jp-north-1
Default output format [None]:

サービスエンドポイントゲートウェイの利用準備

サーバを作成したゾーンと同一ゾーンにスイッチを作成します。
コントロールパネルのスイッチから「追加」をクリックします。

スイッチの追加

ルータは「いいえ」を選択し、スイッチを作成します。

スイッチの追加

スイッチの詳細画面のサービスエンドポイントゲートウェイタブから、サービスエンドポイントゲートウェイを有効化します。

SEGの有効化

IPv4アドレスに「192.168.2.110」、ネットマスクから「24」を選択し、「有効化」をクリックします。

SEGの有効化

「接続先マネージドサービスの変更」をクリックします。

接続先マネージドサービスの変更

「s3.isk01.sakurastorage.jp」を選択し、「変更」クリックします。

接続先マネージドサービスの変更

本手順で作成したサーバをシャットダウンし、サーバ詳細画面の「NIC」タブより「接続を編集」をクリックします。

サーバのNIC変更

NICより「スイッチに接続」を選択、本手順手作成したスイッチを接続先スイッチに指定し、「更新」をクリックします。

サーバのNIC変更

サーバを起動し、サーバのIPアドレスを「192.168.2.100」、DNSを「192.168.2.110」へ設定します。 netplanを使用した設定例を以下に示します。

$ echo "network:
  version: 2
  renderer: networkd
  ethernets:
    eth0:
      dhcp4: no
      dhcp6: no
      addresses:
        - 192.168.2.100/24
      nameservers:
        addresses:
          - 192.168.2.110" | sudo tee /etc/netplan/01-netcfg.yaml

$ sudo netplan apply

以上で、プライベートネットワーク内のサーバからオブジェクトストレージへ接続は完了です。
オブジェクトストレージへ接続可能なことをs3コマンドを実行して確認します。

$ aws s3 ls s3://service-endpoint-gateway-test --endpoint-url https://s3.isk01.sakurastorage.jp