Enterprise Editionトランジットルーターは、柔軟なルート管理機能をサポートします。 Enterprise Editionトランジットルーターを使用して、ネットワークトラフィックをアクセス制御サーバーにルーティングし、トラフィックをスクラブできます。 信頼できるトラフィックのみが送信されるため、ネットワークセキュリティが向上します。 このトピックでは、Enterprise Editionトランジットルーターを使用してネットワーク通信を確立および保護する方法について説明します。
例:
開始する前に、アクセス制御サーバーがデプロイされている仮想プライベートクラウド (VPC) がEnterprise Editionトランジットルーターをサポートしていることを確認してください。 そうしないと、ネットワーク通信を確立または保護できません。 Enterprise Editionトランジットルーターをサポートするリージョンとゾーンの詳細については、「Enterprise Editionトランジットルーターをサポートするリージョンとゾーン」をご参照ください。
次の例は、Enterprise Editionトランジットルーターを使用してリージョン内ネットワーク通信を確立および保護する方法を示しています。 ある企業は、中国 (香港) リージョンに3つのVPCをデプロイしました。 セキュリティサービスはVPC Aにデプロイされています。3つのVPCは互いに通信できません。 ビジネスの成長とセキュリティ要件に対応するために、VPC BとVPC C間のネットワーク通信を確立し、ネットワークトラフィックをVPC Aにルーティングしてスクラブしたいと考えています。
この場合、企業はVPC BとVPC CをEnterprise Editionトランジットルーターに接続し、カスタムルーティングポリシーをトランジットルーターに追加してVPC BとVPC C間のネットワーク通信を確立できます。
前提条件
3つのVPC (A、B、C) が中国 (香港) リージョンに作成され、ECS (Elastic Compute Service) インスタンスが各VPCにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
Enterprise Editionトランジットルーターのゾーンの各VPCには、十分なvSwitchがデプロイされています。 各vSwitchには、少なくとも1つのアイドルIPアドレスがあります。
Enterprise Editionトランジットルーターが中国 (南京-ローカルリージョン) など、1つのゾーンのみをサポートするリージョンにデプロイされている場合、VPCにはゾーン内に少なくとも1つのvSwitchが必要です。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョン (中国 (上海) など) にデプロイされている場合、VPCにはゾーン内に少なくとも2つのvSwitchが必要です。 vSwitchは異なるゾーンにある必要があります。
たとえば、中国 (香港) リージョンに1つのVPCを作成する場合、ゾーンBに少なくとも1つのvSwitch、ゾーンCに1つのvSwitchを作成する必要があります。各vSwitchには、少なくとも1つのアイドルIPアドレスが必要です。
説明Enterprise Editionトランジットルーターは、ゾーン内の各vSwitchにelastic network interface (ENI) を関連付けます。 ENIは、VPCからトランジットルーターにネットワークトラフィックを転送するingressとして機能します。 各ENIは1つのIPアドレスを占有します。
この例では、VPC Aに3つのvSwitchがあります。 vSwitch 1およびvSwitch 2は、Enterprise Editionトランジットルーターに接続するために使用されます。 vSwitch 3は、セキュリティ制御サービスをホストするために使用されます。 次の表に、VPCに割り当てられたCIDRブロックを示します。 CIDRブロックが重複しないようにしてください。
[VPC]
vSwitch
vSwitchゾーン
CIDRブロック
ECS IPアドレス
VPC_A
プライマリCIDRブロック: 10.1.0.0/16
vSwitch 1
ゾーンB
10.1.0.0/24
10.1.2.13
vSwitch 2
ゾーンC
10.1.1.0/24
vSwitch 3
ゾーンB
10.1.2.0/24
VPC_B
プライマリCIDRブロック: 10.2.0.0/16
vSwitch 1
ゾーンB
10.2.0.0/24
10.2.2.48
vSwitch 2
ゾーンC
10.2.1.0/24
vSwitch 3
ゾーンC
10.2.2.0/24
VPC_C
プライマリCIDRブロック: 10.3.0.0/16
vSwitch 1
ゾーンB
10.3.0.0/24
10.3.2.27
vSwitch 2
ゾーンC
10.3.1.0/24
vSwitch 3
ゾーンC
10.3.2.0/24
VPC A、VPC B、およびVPC CのECSインスタンスのセキュリティグループルールに精通しています。セキュリティグループルールにより、ECSインスタンスは相互に通信できます。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
手順1: CENインスタンスの作成
CENは、ネットワークリソースの作成と管理に使用されます。 Enterprise Editionトランジットルーターを使用してネットワークを接続する前に、CENインスタンスを作成する必要があります。
CENコンソールにログインします。
インスタンスページで、CENインスタンスの作成をクリックします。
CEN インスタンスの作成 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。
名前: CENインスタンスの名前を入力します。
説明: CENインスタンスの説明を入力します。
リソースグループ: CENインスタンスのリソースグループを選択します。
この例では、リソースグループは選択されていません。 CENインスタンスがデフォルトリソースグループに追加されます。
タグ: CENインスタンスにタグを追加します。 この例では、ネットワークインスタンス接続にタグは追加されません。
ステップ2: トランジットルーターの作成
ネットワークインスタンス接続を作成する前に、ネットワークインスタンスがデプロイされているリージョンにトランジットルーターを作成する必要があります。
CENコンソールにログインします。
インスタンスページで作成されたCENインスタンスのIDをクリックします。ステップ1.
を選択し、トランジットルーターの作成をクリックします。
トランジットルーターの作成 ダイアログボックスでパラメーターを設定し、OK をクリックします。 下表にパラメーターを示します。
パラメーター
説明
値
リージョン
トランジットルーターを作成するリージョンを選択します。
この例では、中国 (香港) が選択されています。
エディション
トランジットルーターのエディション。
選択したリージョンでサポートされているトランジットルーターのエディションが自動的に表示されます。
マルチキャストの有効化
マルチキャストを有効にするかどうかを指定します。
この例では、マルチキャストは無効です。 デフォルトでは、マルチキャストは無効になっています。
名前
トランジットルーターの名前を入力します。
この例では、トランジットルーターにカスタム名が指定されています。
説明
トランジットルーターの説明を入力します。
この例では、トランジットルーターにカスタム記述が指定されています。
タグ
トランジットルーターにタグを追加します。
この例では、トランジットルーターにタグは追加されません。
TR アドレスセグメント
トランジットルーターのCIDRブロックを指定します。
詳細については、「トランジットルーターCIDRブロック」をご参照ください。
この例では、トランジットルーターにCIDRブロックが指定されていません。
ステップ3: VPCをトランジットルーターに接続する
各ネットワークインスタンスがデプロイされているリージョンのEnterprise Editionトランジットルーターに接続するネットワークインスタンスをアタッチします。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、管理するトランジットルーターを見つけて、アクション 列の 接続の作成 をクリックします。
ピアネットワークインスタンスとの接続 ページで、パラメーターを設定し、OK をクリックします。 下表にパラメーターを示します。
次の表に、各VPCの設定を示します。 VPC A、VPC B、およびVPC CをEnterprise Editionトランジットルーターに接続します。
パラメーター
説明
VPC A
VPC B
VPC C
ネットワークタイプ
接続するネットワークインスタンスのタイプを選択します。
[VPC]
[VPC]
[VPC]
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
中国 (香港)
中国 (香港)
中国 (香港)
トランジットルーター
選択したリージョンのトランジットルーターのIDが表示されます。
リソース所有者 ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
現在のアカウント
現在のアカウント
現在のアカウント
課金方法
デフォルト値: 従量課金
接続名
ネットワーク接続の名前を入力します。
VPC_A_接続
VPC_B_接続
VPC_C_接続
タグ
ネットワークインスタンス接続にタグを追加します。
この例では、ネットワークインスタンス接続にタグは追加されません。
この例では、ネットワークインスタンス接続にタグは追加されません。
この例では、ネットワークインスタンス接続にタグは追加されません。
ネットワーク
トランジットルーターに接続するネットワークインスタンスを選択します。
VPC A
VPC B
VPC C
VSwitch
トランジットルーターのゾーンでvSwitchを選択します。
トランジットルーターの各ゾーンにvSwitchがある場合、複数のゾーンを選択し、各ゾーンでvSwitchを選択してゾーンディザスタリカバリを有効にできます。
香港ゾーンB: vSwitch 1
香港ゾーンC: vSwitch 2
香港ゾーンB: vSwitch 1
香港ゾーンC: vSwitch 2
香港ゾーンB: vSwitch 1
香港ゾーンC: vSwitch 2
詳細設定
VPC A、VPC B、およびVPC Cでは、次の高度な機能が無効になっています。
トランジットルーターのデフォルトルートテーブルに関連付ける
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する
説明高度な機能が有効になっている場合、VPC A、VPC B、およびVPC Cは相互にルートを自動的に学習できますが、ネットワークトラフィックはスクラブされません。 この例では、高度な機能は無効になっています。 次の手順では、カスタムルートテーブルとルートエントリを使用して、ネットワークトラフィックをスクラブできるようにネットワークトラフィックのルーティング方法を定義します。
手順4: VPCへのルートエントリの追加
VPC A、VPC B、およびVPC Cにルートエントリを追加して、ネットワークトラフィックをEnterprise Editionトランジットルーターにルーティングします。 次に、ネットワークトラフィックは、スクラブのためにEnterprise Editionトランジットルーターによって配布されます。
VPCコンソールにログインします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
VPC BおよびVPC Cにルートエントリを追加します。
VPC BおよびVPC Cのシステムルートテーブルに宛先CIDRブロック0.0.0.0/0を追加します。VPC BまたはVPC C宛てのネットワークトラフィックをトランジットルーターにルーティングするために、トランジットルーターへのネクストホップを設定します。
左側のナビゲーションウィンドウで、ルートテーブル.
ルートテーブルページで、管理するルートテーブルのIDをクリックします。
この例では、VPC Bのシステムルートテーブルが使用されます。
ルートエントリ一覧タブで、カスタムルートタブをクリックし、ルートエントリの追加をクリックします。
[ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
名前: カスタムルートエントリの名前を入力します。
宛先CIDRブロック: この例では、0.0.0.0/0が使用されます。
ネクストホップタイプ: この例では、トランジットルーターが選択されています。
トランジットルーター: この例では、VPC Bに関連付けられているトランジットルーターが選択されています。
上記の手順を繰り返し、次のパラメーターを設定して、VPC Cのシステムルートテーブルにルートエントリを追加します。
宛先CIDRブロック: この例では、0.0.0.0/0が使用されます。
ネクストホップタイプ: この例では、トランジットルーターが選択されています。
トランジットルーター: この例では、VPC Cに関連付けられているトランジットルーターが選択されています。
VPC A用にroutetable1、routetable2、routetable3という名前の3つのカスタムルートテーブルを作成します。詳細については、ルートテーブルの操作の「カスタムルートテーブルの作成」セクションをご参照ください。
vSwitchをカスタムルートテーブルに関連付けます。 詳細については、「ルートテーブルとvSwitchの関連付け」をご参照ください。
この例では、VPC AのvSwitch 1はroutetable1に関連付けられ、vSwitch 2はroutetable2に関連付けられ、vSwitch 3はroutetable3に関連付けられています。
VPC Aのカスタムルートテーブルにルートエントリを追加します。
ルートテーブルページで、作成したルートテーブルのIDをクリックします。
この例では、routetable1はvSwitch 1に関連付けられています。
ルートエントリ一覧タブで、カスタムルートタブをクリックし、ルートエントリの追加.
[ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
名前: ルートエントリの名前を入力します。
リソースグループ: この例では、[すべて] が選択されています。
宛先CIDRブロック: この例では、0.0.0.0/0が使用されます。
ネクストホップタイプ: この例では、ECSインスタンスが選択されています。
ECSインスタンス: この例では、セキュリティサービスを提供するECSインスタンスが選択されています。 ECSインスタンスはVPC AのvSwitch 3にデプロイされています。
上記の手順を繰り返して、vSwitch 2に関連付けられている同じルートエントリをroutetable2に追加します。
上記の手順を繰り返して、vSwitch 3に関連付けられているroutetable3にルートエントリを追加します。 ルートエントリに次のパラメーターを設定します。
宛先CIDRブロック: この例では、0.0.0.0/0が使用されます。
ネクストホップタイプ: この例では、トランジットルーターが選択されています。
トランジットルーター: この例では、VPC Aに関連付けられているトランジットルーターが選択されています。
上記の手順で追加したルートエントリの情報を次の表に示します。
ネットワークインスタンス
ルートテーブル
vSwitch
ルートエントリ
次のホップ
VPC_A
routetable1
vSwitch 1
0.0.0.0/0
vSwitch 3のECSインスタンス
routetable2
vSwitch 2
0.0.0.0/0
vSwitch 3のECSインスタンス
routetable3
vSwitch 3
0.0.0.0/0
VPC Aに関連付けられたトランジットルーター
VPC_B
システムルートテーブル
vSwitch 1
vSwitch 2
vSwitch 3
0.0.0.0/0
VPC Bに関連付けられたトランジットルーター
VPC_C
システムルートテーブル
vSwitch 1
vSwitch 2
vSwitch 3
0.0.0.0/0
VPC Cに関連付けられたトランジットルーター
ステップ5: トランジットルーターでルートを設定する
Enterprise Editionトランジットルーターは、トランジットルーターで設定されたルートテーブルとルートエントリに基づいて、VPC BおよびVPC CからVPC Aにネットワークトラフィックをルーティングできます。 VPC Aでネットワークトラフィックがスクラブされた後、ネットワークトラフィックは宛先にルーティングされます。
CENコンソールにログインします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、管理するトランジットルーターのIDをクリックします。
ルートテーブル タブで、TR_routetable1とTR_routetable2という名前の2つのカスタムルートテーブルを作成します。 詳細については、「ルートテーブルの操作」の「カスタムルートテーブルの作成」セクションをご参照ください。
VPC BとVPC CをEnterprise Editionトランジットルーターのカスタムルートテーブルに関連付け、ルートテーブルにルートエントリを追加します。
ルートテーブルタブでTR_routetable1を選択し、ルートテーブル関連付けタブをクリックし、アソシエーションの作成をクリックします。
では、アソシエーションの追加ダイアログボックスで、ルートテーブルに関連付けるネットワークインスタンス接続を選択し、OKをクリックします。
この例では、VPC BとVPC CはTR_routetable1に関連付けられています。
カスタムルートテーブルの詳細ページで、ルートエントリタブをクリックし、ルートエントリの追加をクリックします。
[ルートエントリの追加] ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。
宛先CIDR: この例では、0.0.0.0/0が使用されます。
ブラックホールルート: [はい] を選択すると、このルート宛のトラフィックがドロップされます。 この例では、[いいえ] が選択されています。
ネクストホップ: この例では、VPC_A_Connectionが選択されています。
詳細については、「トランジットルーターのカスタムルートの管理」をご参照ください。
上記の手順を完了すると、VPC BまたはVPC C宛てのネットワークトラフィックはVPC BまたはVPC Cにルーティングされる前にVPC Aにルーティングされます。
他のカスタムルートテーブルをVPC Aに関連付け、ルートテーブルのルートを設定します。
ルートテーブル タブで、TR_routetable2を選択し、ルートテーブル関連付け タブをクリックし、[関連付けの作成] をクリックします。
では、アソシエーションの追加ダイアログボックスで、ルートテーブルに関連付けるネットワークインスタンス接続を選択し、OKをクリックします。
この例では、VPC AはTR_routetable2に関連付けられています。
カスタムルートテーブルの詳細ページで、ルート伝播タブをクリックし、ルート伝播の有効化.
では、ルート伝播の有効化ダイアログボックスで、ルート伝播を有効にするネットワークインスタンスを選択し、OKをクリックします。
この例では、TR_routetable2はVPC BとVPC Cに伝播されます。ルート伝播が有効になると、VPC BとVPC CのルートをルートテーブルTR_routetable2にアドバタイズできます。 これにより、TR_routetable2を使用して、VPC AとVPC B間、およびVPC AとVPC C間のネットワーク通信を確立できます。
次の表に、Enterprise Editionトランジットルーターのルートテーブルに追加されたルートエントリの情報を示します。
ルートテーブル
宛先CIDRブロック
次のホップ
TR_routetable1
0.0.0.0/0
VPC_A_Connection
TR_routetable2
10.2.0.0/24
VPC_B_Connection
10.2.1.0/24
VPC_B_Connection
10.2.2.0/24
VPC_B_Connection
10.3.0.0/24
VPC_C_Connection
10.3.1.0/24
VPC_C_Connection
10.3.2.0/24
VPC_C_Connection
ステップ6: ネットワーク接続のテスト
上記の手順を完了すると、VPC A、VPC B、およびVPC C間のネットワーク接続をテストできます。ネットワーク接続をテストするには、次の手順を実行します。
VPC AにデプロイされたECSインスタンスにログインします。次のコマンドを実行してデータ転送を有効にします。 ECSインスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。
説明データ転送が無効になっている場合、VPC AとVPC Bは相互に通信でき、VPC AとVPC Cは相互に通信できます。 ただし、VPC BとVPC Cは相互に通信できません。
echo 1 > /proc/sys/net/ipv4/ip_forward #Enable data forwarding. This command temporarily enables data forwarding. If the ECS instance is restarted, data forwarding is disabled.VPC BにデプロイされたECSインスタンスにログインします。pingコマンドを実行して、VPC BとVPC A間、およびVPC BとVPC C間の接続をテストします。
エコー応答パケットを受信した場合、VPC BとVPC Aの間、およびVPC BとVPC Cの間でネットワーク通信が確立されていることを示します。
ping <The IP address of the ECS instance in the destination network>VPC CにデプロイされたECSインスタンスにログインします。pingコマンドを実行して、VPC CとVPC A間、およびVPC CとVPC B間の接続をテストします。
エコー応答パケットを受信した場合、VPC CとVPC Aの間、およびVPC CとVPC Bの間でネットワーク通信が確立されていることを示します。
ping <The IP address of the ECS instance in the destination network>