すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:ACK マネージドクラスターのネットワーク計画

    ドキュメントセンター

    Container Service for Kubernetes:ACK マネージドクラスターのネットワーク計画

    最終更新日:Apr 17, 2025

    ネットワークリソースを効率的に使用し、将来のビジネス拡張のために十分なスペースを確保するために、クラスターサイズ、ネットワーク機能、仮想プライベートクラウド (VPC) 関連の構成 (VPC および vSwitch)、ネットワーク構成 (コンテナーネットワークプラグイン、コンテナー CIDR ブロック、Service CIDR ブロック) を事前に計画することをお勧めします。このトピックでは、Alibaba Cloud VPC 環境でビジネス要件を満たす ACK マネージドクラスター のネットワークアーキテクチャを計画する方法について説明します。

    ネットワーク規模 計画

    リージョンとゾーン

    リージョン内の異なるゾーンにあるインスタンスは、相互に通信できます。1 つのゾーンがダウンした場合でも、他のゾーンは想定どおりに動作できます。同じゾーン内のインスタンス間のネットワークレイテンシは低くなります。次の情報に基づいてリージョンとゾーンを計画できます。

    項目

    説明

    レイテンシ要件

    ユーザーの場所がリソースがデプロイされているリージョンに近い場合、ネットワークレイテンシは低く、アクセスは高速です。

    サポートされているリージョンとゾーン

    Alibaba Cloud サービスごとに、サポートされているリージョンとゾーンが異なります。必要なサービスに基づいて、ゾーンとリージョンを選択できます。

    費用

    クラウドサービスの価格は、リージョンによって異なる場合があります。要件に基づいてリージョンを選択することをお勧めします。

    高可用性とディザスタリカバリ

    サービスに高いディザスタリカバリ機能が必要な場合は、同じリージョン内の異なるゾーンにサービスをデプロイできます。また、複数のリージョンにサービスをデプロイして、リージョン間のディザスタリカバリを実装することもできます。

    コンプライアンス

    自国または地域のデータコンプライアンス要件とビジネスファイリングポリシーを満たすリージョンを選択する必要があります。

    VPC はリージョンをまたいでデプロイできません。リージョンをまたいでサービスをデプロイする場合は、各リージョンに VPC を作成する必要があります。VPC ピアリング接続または Cloud Enterprise Network (CEN) を使用して、異なるリージョンにある VPC 間の通信を有効にすることができます。vSwitch はゾーンレベルのリソースです。vSwitch を使用する場合、次の情報に注意してください。

    • Elastic Compute Service (ECS) のインベントリ要因により複数のゾーンを選択する場合は、事前に十分な CIDR ブロックを確保し、ゾーン間のトラフィックの迂回によって生じるレイテンシの増加を考慮する必要があります。

    • 一部のリージョン (中国 (南京 - ローカルリージョン) など) では、1 つのゾーンのみが提供されています。リージョン内ディザスタリカバリの要件がある場合は、このリージョンの選択を慎重に検討することをお勧めします。

    説明

    ACK でサポートされているリージョンの詳細については、「サポートされているリージョン」をご参照ください。

    VPC の数

    VPC は、クラウドで安全で柔軟なネットワーク環境を提供します。異なる VPC は互いに分離されています。VPC 内のインスタンスは相互に通信できます。ビジネス要件に基づいて VPC の数を計画できます。

    シナリオ

    単一 VPC

    • サービスは 1 つのリージョンにデプロイされ、ビジネス規模は小さいです。また、ネットワーク分離の要件はありません。

    • 初めて VPC を使用する場合は、1 つの VPC を使用してすぐに使い始めることをお勧めします。

    • コストに重点を置き、複数の VPC に対して料金を支払いたくありません。

    複数 VPC

    • サービスを異なるリージョンにデプロイする必要があり、ビジネス規模が大きいです。

    • 1 つのリージョン内のサービスを分離する必要があります。

    • ビジネスアーキテクチャが複雑で、各部門が個別に管理する必要があります。

    説明

    デフォルトでは、各リージョンに最大 10 個の VPC を作成できます。クォータ管理 ページまたは クォータセンター ページにアクセスして、クォータの増加をリクエストできます。

    vSwitch の数

    vSwitch はゾーンレベルのリソースです。VPC 内のすべてのインスタンスは、vSwitch にデプロイされます。vSwitch の分割は、IP アドレスを適切に計画するのに役立ちます。VPC 内の vSwitch は、デフォルトで相互に通信できます。

    項目

    説明

    レイテンシ

    同じリージョン内のゾーン間のレイテンシは低くなります。ただし、複雑なシステムコールやクロスゾーンコールによってレイテンシが増加する可能性があります。

    高可用性とディザスタリカバリ

    VPC に少なくとも 2 つの vSwitch を作成し、異なるゾーンに vSwitch をデプロイして、クロスゾーンディザスタリカバリを実装することをお勧めします。複数のゾーンにサービスをデプロイし、セキュリティルールを一元的に構成できます。これにより、システムの可用性とディザスタリカバリ機能が向上します。

    ビジネス規模と分割

    通常、異なるサービスモジュールを異なる vSwitch にデプロイできます。たとえば、Web 層、ロジック層、データ層を異なる vSwitch にデプロイして、標準の Web アーキテクチャを作成できます。

    次の情報に基づいて vSwitch を計画できます。

    • VPC を使用する場合、異なるゾーンに少なくとも 2 つの vSwitch をデプロイすることをお勧めします。こうすることで、1 つの vSwitch がダウンした場合、別のゾーンにあるもう 1 つの vSwitch が引き継ぐことができ、クロスゾーンディザスタリカバリが実装されます。

      同じリージョン内のゾーン間のレイテンシは低くなります。ただし、レイテンシはビジネスシステムによって適合および検証される必要があります。複雑なネットワークトポロジにより、ネットワークレイテンシが増加する可能性があります。高可用性と低レイテンシの要件を満たすために、システムを最適化および適合させることをお勧めします。

    • さらに、作成する vSwitch の数を決定する際には、サービスシステムの規模と計画も考慮する必要があります。通常のケースでは、ビジネス属性に基づいて vSwitch を計画できます。たとえば、インターネットサービスはパブリック vSwitch にデプロイする必要があり、他のサービスはそれに応じてデプロイできます。サービスを複数のゾーンにデプロイした後、セキュリティポリシーを一元的に構成できます。

    説明

    デフォルトでは、各 VPC に最大 150 個の vSwitch を作成できます。クォータ管理 ページまたは クォータセンター ページにアクセスして、クォータの増加をリクエストできます。

    クラスター規模

    ノード数

    シナリオ

    VPC 計画

    ゾーン計画

    100 ノード未満

    非中核ビジネス

    単一 VPC

    1 (2 以上推奨)

    100 ノード以上

    複数ゾーンを必要とする一般的なビジネス

    単一 VPC

    2 以上

    100 ノード以上

    高信頼性と複数リージョンを必要とする中核ビジネス

    複数 VPC

    2 以上

    ネットワーク接続計画

    単一 VPC 内の単一クラスター

    VPC の CIDR ブロックは、VPC の作成時に指定されます。VPC に ACK クラスタを作成する場合は、ポッド CIDR ブロックと Service CIDR ブロックが VPC CIDR ブロックと重複しないようにしてください。これにより、クラスター内のネットワーク通信が確保され、外部 VPC との競合を防ぎます。

    単一 VPC 内の複数クラスター

    VPC に複数のクラスターを作成します。

    • VPC の CIDR ブロックは、VPC の作成時に指定されます。クラスターを作成する場合、各クラスターの VPC CIDR ブロック、Service CIDR ブロック、ポッド CIDR ブロックは互いに重複できません。

    • ポッド CIDR ブロックはすべてのクラスター間で重複できませんが、Service CIDR ブロック (仮想 CIDR ブロック) は互いに重複できます。

    • クラスターで Flannel を使用する場合、ポッドのパケットは VPC ルーターによって転送される必要があります。ACK マネージドクラスター は、VPC ルーター上の各宛先ポッド CIDR ブロックのルートテーブルを自動的に生成します。

    説明

    この場合、クラスターは部分的に相互接続されています。1 つのクラスター内のポッドは、別のクラスター内のポッドと ECS インスタンスにアクセスできますが、別のクラスター内のサービスにはアクセスできません。たとえば、クラスター IP サービスはクラスター内からのみアクセスできます。サービスを公開するには、LoadBalancer サービスまたは Ingress を使用できます。

    VPC をまたぐマルチクラスター相互接続

    次のシナリオでは、VPC をまたぐ複数クラスターの接続を計画することをお勧めします。

    リージョン間デプロイメント

    VPC はリージョンをまたいでデプロイできません。異なるリージョンにサービスをデプロイする場合は、複数の VPC と複数のクラスターを作成する必要があります。VPC ピアリング接続VPN ゲートウェイCloud Enterprise Network (CEN) を使用して、異なるリージョンにデプロイされている VPC を接続できます。

    サービス分離

    リージョン内の複数のビジネスシステムで、本番環境とステージング環境の分離など、VPC を使用した厳密な分離が必要な場合は、本番クラスターとテストクラスターを異なる VPC にデプロイして、より優れた論理分離とセキュリティを提供できます。また、VPC ピアリング接続VPN ゲートウェイCEN を使用して、同じリージョンにデプロイされている VPC を接続することもできます。

    大規模ビジネスシステム

    ビジネスアーキテクチャが複雑で、各サービスと部門がクラスターとリソースを管理し、柔軟に管理するために独立した VPC を必要とする場合は、複数の VPC と複数のクラスターを構成することをお勧めします。

    重要

    VPC をまたぐマルチクラスター相互接続シナリオで IP の競合によって発生する可能性のあるルーティングエラーなどの問題を回避するには、新しく作成されたクラスターの次のネットワーク計画要件に従う必要があります。

    • 新しいクラスターの CIDR ブロックは、VPC CIDR ブロックと重複しません。

    • 新しいクラスターの CIDR ブロックは、他のクラスターの CIDR ブロックと重複しません。

    • 新しいクラスターの CIDR ブロックは、他のクラスターのポッド CIDR ブロックと重複しません。

    • 新しいクラスターの CIDR ブロックは、他のクラスターの Service CIDR ブロックと重複しません。

    クラウドクラスターとデータセンター間の通信

    VPC をまたぐマルチクラスター相互接続のシナリオと同様に、VPC がデータセンターに接続されている場合、特定の CIDR ブロックのパケットはデータセンターにルーティングされます。この場合、VPC 内のクラスターのポッド CIDR ブロックは、これらの CIDR ブロックと重複できません。データセンターから VPC 内のポッドにアクセスするには、データセンターの仮想ボーダールーター (VBR) のルートテーブルを構成する必要があります。

    コンテナーネットワークプラグインの計画

    ACK マネージドクラスター は、Terway と Flannel の 2 種類のコンテナーネットワークプラグインをサポートしています。プラグインが異なると、サポートされる機能とネットワーク構成に影響します。たとえば、Terway はポリシーベースのネットワーク制御を提供する NetworkPolicy をサポートしていますが、Flannel はサポートしていません。Terway のコンテナー CIDR ブロックは VPC から割り当てられますが、Flannel のコンテナー CIDR ブロックは指定された仮想ネットワークセグメントです。

    重要

    コンテナーネットワークプラグインは、クラスターの作成時にインストールする必要があり、クラスターの作成後は変更できません。ネットワーク要件に基づいてネットワークプラグインを選択することをお勧めします。

    機能計画

    項目

    Terway

    Flannel

    NetworkPolicy

    ACK クラスタでネットワークポリシーを使用することができます。

    サポートされていません。

    IPv4/IPv6 デュアルスタック

    ポッドに IPv6 インターネット帯域幅を割り当てることができます。

    サポートされていません。

    説明

    ACK で使用される Flannel プラグインは、Alibaba Cloud 環境に適応するように変更されており、オープンソースコミュニティとは同期されていません。Flannel のリリースノートの詳細については、「Flannel」をご参照ください。

    静的ポッド IP アドレスの構成

    各ポッドに静的 IP アドレス、個別の vSwitch、個別のセキュリティグループを構成することができます。

    サポートされていません。

    EIP をポッドにバインドする

    排他的 EIP をポッドに関連付けることができます。

    サポートされていません。

    複数クラスター間のアクセス

    サポートされています。セキュリティグループルールで関連ポートが開いている場合、異なるクラスターのポッドは通信できます。

    サポートされていません。

    Terway と Flannel の比較の詳細については、「Terway と Flannel の比較」をご参照ください。

    CIDR ブロックの計画

    重要

    ACK マネージドクラスター のコントロールプレーンは、7.0.0.0/8 CIDR ブロックを使用します。クラスター管理アクセスを妨げる可能性のあるネットワークの競合を防ぐため、7.0.0.0/8 と重複する CIDR 範囲を選択しないでください。

    Terway

    terway

    構成例

    • Terway のシングルゾーン構成

      VPC CIDR ブロック

      vSwitch CIDR ブロック

      ポッド vSwitch CIDR ブロック

      サービス CIDR ブロック

      ポッド IP アドレスの最大数

      192.168.0.0/16

      ゾーン I

      192.168.0.0/19

      192.168.32.0/19

      172.21.0.0/20

      8192

    • Terway のマルチゾーンデプロイメント

      VPC CIDR ブロック

      vSwitch CIDR ブロック

      ポッド vSwitch CIDR ブロック

      サービス CIDR ブロック

      ポッド IP アドレスの最大数

      192.168.0.0/16

      ゾーン I 192.168.0.0/19

      192.168.32.0/19

      172.21.0.0/20

      8192

      ゾーン J 192.168.64.0/19

      192.168.96.0/19

    クラスターで Terway ネットワークプラグインを使用する場合は、次のパラメーターを構成する必要があります。

    • VPC

      • 次の CIDR ブロックのいずれか、またはそれらのサブセットを VPC のプライマリ IPv4 CIDR ブロックとして指定できます: 192.168.0.0/16、172.16.0.0/12、10.0.0.0/8。これらの CIDR ブロックは、Request for Comments (RFC) ドキュメントで定義されている標準のプライベート CIDR ブロックです。サブネットマスクの長さは 8 ~ 28 ビットである必要があります。例: 192.168.0.0/16。

      • 予約済みネットワークセグメントまたはそのサブネット (100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、7.0.0.0/8) と重複しない限り、カスタム CIDR 範囲を VPC のプライマリ IPv4 CIDR ブロックとして使用できます。

      • 複数の VPC が使用されるシナリオ、またはデータセンターを VPC に接続するハイブリッドクラウドシナリオでは、サブネットマスクの長さが 16 ビット以下の標準 RFC CIDR ブロックを VPC CIDR ブロックとして使用することをお勧めします。VPC とデータセンターの CIDR ブロックが重複しないようにしてください。

      • IPv6 CIDR ブロックは、VPC の IPv6 を有効にした後、VPC によって割り当てられます。コンテナーの IPv6 を有効にする場合は、[ネットワークプラグイン] パラメーターで [Terway] を選択します。

    • vSwitch

      ECS インスタンスに関連付けられた vSwitch により、ノードは相互に通信できます。VPC 内の vSwitch の CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。これは、vSwitch の CIDR ブロックが VPC CIDR ブロックと同じか、その範囲内にある必要があることを意味します。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • システムは、vSwitch の CIDR ブロックから、vSwitch に関連付けられている ECS インスタンスに IP アドレスを割り当てます。

      • 1 つの VPC に複数の vSwitch を作成できます。ただし、これらの vSwitch の CIDR ブロックは互いに重複できません。

      • vSwitch とポッド vSwitch は同じゾーンにある必要があります。

    • ポッド vSwitch

      ポッドの IP アドレスは、ポッド vSwitch の CIDR ブロックから割り当てられます。これにより、ポッドは相互に通信できます。ポッドは ACK の抽象化です。各ポッドには IP アドレスがあります。VPC にポッド vSwitch を作成するときに指定する CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • Terway がインストールされているコンテナサービスクラスターでは、ポッドの IP アドレスはポッド vSwitch によって割り当てられます。

      • ポッド vSwitch CIDR ブロックは、Service CIDR ブロックと重複できません。

      • vSwitchポッド vSwitch は同じゾーンにある必要があります。

    • Service CIDR ブロック

      重要

      作成後は Service CIDR ブロックを変更できません。

      Service は Kubernetes の概念です。Service CIDR ブロックは、ClusterIP タイプの Service に IP アドレスを提供します。各 Service には IP アドレスがあります。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • Service の IP アドレスは、クラスター内でのみ有効です。

      • Service CIDR ブロックは、vSwitch CIDR ブロックと重複できません。

      • Service CIDR ブロックは、ポッド vSwitch CIDR ブロックと重複できません。

    • Service IPv6 CIDR ブロック

      IPv4/IPv6 デュアルスタックを有効にする場合は、Service の IPv6 CIDR ブロックを指定する必要があります。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • アドレス範囲 fc00::/7 内に Unique Local Unicast Address (ULA) スペースを指定する必要があります。プレフィックスの長さは 112 ビットから 120 ビットである必要があります。

      • Service CIDR ブロックと同じ数の IP アドレスを持つ IPv6 CIDR ブロックを指定することをお勧めします。

    Flannel

    Flannel示意图

    構成例

    VPC CIDR ブロック

    vSwitch CIDR ブロック

    コンテナー CIDR ブロック

    サービス CIDR ブロック

    ポッド IP アドレスの最大数

    192.168.0.0/16

    192.168.0.0/24

    172.20.0.0/16

    172.21.0.0/20

    65536

    クラスターで Flannel ネットワークプラグインを使用する場合は、次のパラメーターを構成する必要があります。

    • VPC

      • 次の CIDR ブロックのいずれか、またはそれらのサブセットを VPC のプライマリ IPv4 CIDR ブロックとして指定できます: 192.168.0.0/16、172.16.0.0/12、10.0.0.0/8。これらの CIDR ブロックは、Request for Comments (RFC) ドキュメントで定義されている標準のプライベート CIDR ブロックです。サブネットマスクの長さは 8 ~ 28 ビットである必要があります。例: 192.168.0.0/16。

      • 予約済みネットワークセグメントまたはそのサブネット (100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、7.0.0.0/8) と重複しない限り、カスタム CIDR 範囲を VPC のプライマリ IPv4 CIDR ブロックとして使用できます。

      • 複数の VPC が使用されるシナリオ、またはデータセンターを VPC に接続するハイブリッドクラウドシナリオでは、サブネットマスクの長さが 16 ビット以下の標準 RFC CIDR ブロックを VPC CIDR ブロックとして使用することをお勧めします。VPC とデータセンターの CIDR ブロックが重複しないようにしてください。

      • IPv6 CIDR ブロックは、VPC の IPv6 を有効にした後、VPC によって割り当てられます。コンテナーの IPv6 を有効にする場合は、[ネットワークプラグイン] パラメーターで [Terway] を選択します。

    • vSwitch

      ECS インスタンスに関連付けられた vSwitch により、ノードは相互に通信できます。VPC 内の vSwitch の CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。これは、vSwitch の CIDR ブロックが VPC CIDR ブロックと同じか、その範囲内にある必要があることを意味します。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • システムは、vSwitch の CIDR ブロックから、vSwitch に関連付けられている ECS インスタンスに IP アドレスを割り当てます。

      • 1 つの VPC に複数の vSwitch を作成できます。ただし、これらの vSwitch の CIDR ブロックは互いに重複できません。

    • コンテナー CIDR ブロック

      重要

      作成後はコンテナー CIDR ブロックを変更できません。

      ポッドの IP アドレスは、コンテナー CIDR ブロックから割り当てられます。これにより、ポッドは相互に通信できます。ポッドは ACK の抽象化です。各ポッドには IP アドレスがあります。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • [ポッド CIDR ブロック] フィールドに CIDR ブロックを入力します。

      • ポッドのコンテナー CIDR ブロックは、vSwitch CIDR ブロックと重複できません。

      • ポッドのコンテナー CIDR ブロックは、Service CIDR ブロックと重複できません。

      たとえば、VPC CIDR ブロックが 172.16.0.0/12 の場合、コンテナー CIDR ブロックを 172.16.0.0/16 または 172.17.0.0/16 にすることはできません。これらの CIDR ブロックは 172.16.0.0/12 のサブセットであるためです。

    • Service CIDR ブロック

      重要

      作成後は Service CIDR ブロックを変更できません。

      Service は Kubernetes の概念です。Service CIDR ブロックは、ClusterIP タイプの Service に IP アドレスを提供します。各 Service には IP アドレスがあります。CIDR ブロックを指定する場合は、次の項目に注意してください。

      • Service CIDR ブロックは、クラスター内でのみ有効です。

      • Service CIDR ブロックは、vSwitch CIDR ブロックと重複できません。

      • Service CIDR ブロックは、コンテナー CIDR ブロックと重複できません。