すべてのプロダクト
Search

このプロダクト

    Cloud Enterprise Network:分離VPCの共有VPCへのアクセスを許可する

    ドキュメントセンター

    Cloud Enterprise Network:分離VPCの共有VPCへのアクセスを許可する

    最終更新日:Aug 21, 2024

    Cloud Enterprise Network (CEN) は、同じリージョン内の仮想プライベートクラウド (VPC) の通信、分離、およびリダイレクトポリシーをサポートします。 このトピックでは、CENを使用して、分離されたVPCが共有VPCにアクセスできるようにする方法について説明します。

    背景情報

    このトピックでは、次のシナリオを例として使用します。 企業は、米国 (シリコンバレー) リージョンに3つのVPCをデプロイしました。 VPC 3は共有VPCとして機能します。 企業は、VPC 1とVPC 2がVPC 3にアクセスできるようにしたいと考えていますが、VPC 1とVPC 2は分離されたままです。

    TR快速入门-统一出口

    ネットワーク

    VPC 1およびVPC 2がVPC 3にアクセスできるようにするには、次の操作を実行して、カスタムルートテーブル、関連する転送、ルート学習など、CENが提供する機能を設定します。

    • VPC 3をトランジットルーターに接続する場合は、トランジットルーターのデフォルトルートテーブルに関連付けるトランジットルーターのデフォルトルートテーブルにシステムルートを転送高度な機能を有効にします。

      これらの機能を有効にすると、トランジットルーターのデフォルトルートテーブルがVPC 3のシステムルートを自動的に学習します。 VPC 3は、トランジットルーターのデフォルトルートを照会することで、ネットワークトラフィックを転送できます。

    • VPC 1とVPC 2をトランジットルーターに接続する場合、高度な機能はトランジットルーターのデフォルトルートテーブルにシステムルートを転送のみ有効にします。 次に、VPC 3を指すルートをトランジットルーターのカスタムルートテーブルに追加し、VPC 1とVPC 2をカスタムルートテーブルに関連付けます。

      このようにして、トランジットルーターのデフォルトルートテーブルは、VPC 1とVPC 2のシステムルートを学習できます。 VPC 1とVPC 2は、カスタムルートテーブルをクエリすることで、トラフィックをVPC 3に転送できます。 この場合、VPC 1はVPC 2と通信できません。

    • VPC 1、VPC 2、およびVPC 3のルートテーブルにルート0.0.0.0/0を追加し、トランジットルーターを指すルートにネクストホップを設定します。

    • この例では、3つのVPCが米国 (シリコンバレー) リージョンに作成され、vSwitchはリージョンの指定されたゾーンに作成されます。 次の表に、VPCのCIDRブロックを示します。

      重要

      VPCのCIDRブロックが重複しないようにしてください。

      VPC in US (シリコンバレー)

      vSwitch

      vSwitchゾーン

      CIDRブロック

      Elastic Compute Service (ECS) IPアドレス

      VPC1

      プライマリCIDRブロック: 192.168.0.0/16。

      vSwitch 1

      ゾーン A

      192.168.0.0/24

      192.168.1.224

      vSwitch 2

      ゾーンB

      192.168.1.0/24

      VPC2

      プライマリCIDRブロック: 172.16.0.0/16

      vSwitch 3

      ゾーン A

      172.16.0.0/24

      172.16.0.222

      vSwitch 4

      ゾーンB

      172.16.1.0/24

      VPC3

      プライマリCIDRブロック: 10.0.0.0/16

      vSwitch 5

      ゾーン A

      10.0.0.0/24

      10.0.0.112

      vSwitch 6

      ゾーンB

      10.0.1.0/24

    前提条件

    手順

    TR快速入门-出口-步骤

    手順1: CENインスタンスの作成

    ネットワークインスタンスを接続するには、CENインスタンスを作成する必要があります。

    1. CENコンソールにログインします。

    2. インスタンスページで、CENインスタンスの作成をクリックします。

    3. [CENインスタンスの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

      • 名前: CENインスタンスの名前を入力します。

      • 説明: CENインスタンスの説明を入力します。

    手順2: VPCをCENインスタンスにアタッチする

    1. インスタンスページで、管理するCENインスタンスのIDをクリックします。

    2. 基本設定CENインスタンスのタブをクリックし、VPCの右側にあるアイコン添加网络实例のをクリックします。

    3. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      • ネットワークタイプ: デフォルトでは、VPCが選択されています。

      • リージョン: アタッチするVPCがデプロイされているリージョンを選択します。 この例では、US (シリコンバレー) が選択されています。

      • トランジットルーター: 選択したリージョンにトランジットルーターが自動的に作成されます。

      • リソース所有者ID: VPCが属するAlibaba Cloudアカウントを選択します。 この例では、現在のアカウントが使用されます。

      • 課金方法: この例では、デフォルト値従量課金が使用されています。

      • 添付ファイル名: 接続の名前を入力します。

      • ネットワークインスタンス: CENインスタンスにアタッチするVPCのIDを選択します。 この例では、VPC 3が選択されています。

      • VSwitch: トランジットルーターでサポートされているゾーンでvSwitchを選択します。

        • Enterprise Editionトランジットルーターが1つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンでvSwitchを選択します。

        • Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョンにデプロイされている場合は、少なくとも2つのvSwitchを選択します。 2つのvSwitchは異なるゾーンにある必要があります。 2つのvSwitchはゾーンディザスタリカバリをサポートしており、VPCとトランジットルーター間の中断のないデータ伝送を保証します。

          データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。

      • 詳細設定: デフォルトでは、システムは次の詳細機能を自動的に選択します。 この例では、VPC 3では、トランジットルーターのデフォルトルートテーブルに関連付けるトランジットルーターのデフォルトルートテーブルにシステムルートを転送するのみが選択されています。

        • トランジットルーターのデフォルトルートテーブルに関連付ける

          この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。

        • システムルートをトランジットルーターのデフォルトルートテーブルに伝播する

          この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

        • トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する

          この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートの次のホップはVPCを指します。 ルートは、VPCからトランジットルーターにトラフィックを転送するために使用されます。 デフォルトでは、トランジットルーターはVPCへのルートをアドバタイズしません。

          重要

          そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。

          そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。

    4. VPC 3をCENインスタンスにアタッチした後、より多くの接続を作成する.

      ステップ3を繰り返して、VPC 1とVPC 2をCENインスタンスにアタッチします。 VPC 1とVPC 2をCENインスタンスに接続する場合は、[システムルートをトランジットルーターのデフォルトルートテーブルに転送] のみを選択します。

    5. VPC 1、VPC 2、およびVPC 3をCENインスタンスに接続した後、リストに戻るCENインスタンスの詳細ページに戻ります。

    手順3: VPC 1とVPC 2をトランジットルーターのカスタムルートテーブルに関連付けます。

    1. CENインスタンスの詳細ページで、管理するトランジットルーターのIDをクリックします。

    2. トランジットルーターの詳細ページで、ルートテーブルタブをクリックします。

    3. 左側のセクションで、ルートテーブルの作成.

    4. では、ルートテーブルの作成ダイアログボックスで、次のパラメーターを設定し、OK.

      • トランジットルーター: 現在のリージョンのトランジットルーターが自動的に選択されます。

      • ルートテーブル名: ルートテーブルの名前を入力します。

      • ルートテーブルの説明: ルートテーブルの説明を入力します。

      • マルチリージョンECMPルーティング: この例ではデフォルト値が使用されています。

    5. クリックルートテーブルの詳細を見るに戻ります。ルートテーブルタブをクリックします。

    6. [ルートテーブル] タブで、前の手順で作成したルートテーブルをクリックし、[ルートテーブルの関連付け] タブをクリックします。 このタブで、[アソシエーションの作成] をクリックします。

    7. では、アソシエーションの追加ダイアログボックスで、ルートテーブルに関連付けるネットワークインスタンス接続を選択し、OKをクリックします。

      このトピックでは、VPC 1とVPC 2がカスタムルートテーブルに関連付けられています。 次に、VPC 1とVPC 2は、カスタムルートテーブルをクエリすることでトラフィックを転送できます。

    8. カスタムルートテーブルの詳細ページで、[ルートエントリ] タブをクリックし、[ルートエントリの追加] をクリックします。

    9. では、ルートエントリの追加ダイアログボックスで、次のパラメーターを設定し、OK.

      • ルートテーブル: システムはデフォルトで現在のカスタムルートテーブルを選択します。

      • トランジットルーター: デフォルトでは、現在のリージョンのトランジットルーターが選択されます。

      • 名前: ルートエントリの名前を入力します。

      • 宛先CIDR: ルートエントリの宛先CIDRブロックを入力します。 この例では10.0.0.0/16を使用します。

      • ブラックホールルート: [はい] を選択すると、このルート宛のトラフィックがドロップされます。 この例では、[いいえ] が選択されています。

      • 次のホップ: ルートエントリの次のホップを選択します。 この例では、VPC 3が選択されています。

      • 説明: ルートエントリの説明を入力します。

    ステップ4: VPCへのデフォルトルートの追加

    宛先CIDRブロックが0.0.0.0/0で、ネクストホップがVPC 1、VPC 2、およびVPC 3へのトランジットルーターであるルートを追加します。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、ルートテーブル.

    3. 上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。

    4. ルートテーブルページで、管理するルートテーブルのIDをクリックします。

      この例では、VPC 3のルートテーブルが選択されています。

    5. ルートテーブルの詳細ページで、カスタムルート上のルートエントリ一覧タブをクリックし、ルートエントリの追加.

    6. では、ルートエントリの追加パネル、次のパラメータを設定し、OK.

      • 名前: ルートエントリの名前を入力します。

      • 宛先CIDRブロック: ルートエントリの宛先CIDRブロックを入力します。 この例では0.0.0.0/0を使用します。

      • 次のホップタイプ: 次のホップタイプを選択します。 この例では、トランジットルーターが選択されています。

      • トランジットルーター: VPCへの接続を選択します。 この例では、VPC 3が選択されています。

      詳細は、「サブネットルーティング」をご参照ください。

    7. ステップ4からステップ6を繰り返して、宛先CIDRブロックが0.0.0.0/0で、ネクストホップがVPC 1およびVPC 2へのトランジットルーターであるルートを追加します。

      次に、CENコンソールのトランジットルーターの詳細ページで、VPC 1、VPC 2、VPC 3、およびトランジットルーターのルートテーブルを表示できます。

      1. トランジットルーターの詳細ページで、[ネットワークルート] をクリックして、VPC 1、VPC 2、およびVPC 3のルートを表示します。

        1. トランジットルーターの詳細ページで、[ネットワークルート] をクリックします。

        2. [ネットワークインスタンス] ドロップダウンリストから、VPC 1、VPC 2、またはVPC 3のIDを選択します。

          図1: VPC 1TR快速入门-出口-VPC1路由のルート

          図2: VPC 2TR快速入门-出口-VPC2路由のルート

          図3: VPC 3VPC3的路由のルート

      2. [ルートテーブル] タブで、トランジットルーターのデフォルトルートテーブルがVPC 1、VPC 2、およびVPC 3から学習したルートを表示します。

        1. トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックします。

        2. [ルートテーブル] タブで、ルートテーブルのルートを表示します。

          図4: デフォルトのルートテーブル TR快速入门-出口-默认路由表

          図5: カスタムルートテーブル p250818

    ステップ5: テキストネットワーク接続

    上記の手順を完了した後、次の操作を実行して、VPC1、VPC 2、およびVPC 3間の接続をテストできます。

    説明

    開始する前に、VPC 1、VPC 2、およびVPC 3のセキュリティグループルールでVPC内のECSインスタンスが相互に通信できることを確認してください。 詳細については、「セキュリティグループルールの表示」をご参照ください。

    1. VPC 1のECSインスタンスにログインします。 詳細については、「接続方法の概要」をご参照ください。

    2. pingコマンドを実行して、VPC 3にデプロイされたECSインスタンスのIPアドレスをpingします。 これにより、VPC 1とVPC 3間のネットワーク接続がテストされます。

      結果は、VPC 1がVPC 3と通信できることを示しています。共享VPC-VPC1-VPC3

    3. VPC 2のECSインスタンスにログインし、pingコマンドを実行してVPC 3のECSインスタンスのIPアドレスをpingします。 これにより、VPC 2とVPC 3間のネットワーク接続がテストされます。

      結果は、VPC 2がVPC 3と通信できることを示しています。共享VPC-VPC2-VPC3

    4. VPC 1のECSインスタンスにログインし、pingコマンドを実行してVPC 2のECSインスタンスのIPアドレスをpingします。 これにより、VPC 1とVPC 2間のネットワーク接続がテストされます。

      結果は、VPC 1がVPC 2と通信できないことを示しています。共享VPC-VPC1-VPC2