このトピックでは、同じCloud Enterprise Network (CEN) インスタンスにアタッチされている指定された仮想プライベートクラウド (VPC) が相互に通信できるようにルーティングポリシーを設定する方法について説明します。 これにより、ネットワークのセキュリティが向上します。 この方法を使用して、CENインスタンスのルートを管理することを推奨します。
前提条件
この機能は、Basic Editionトランジットルーターでのみサポートされます。
CEN インスタンスが作成されていること。 詳細は、「CENインスタンス」をご参照ください。
相互に通信する必要があるネットワークインスタンスは、同じCENインスタンスにアタッチされます。 詳細については、「ネットワークインスタンス接続の管理」をご参照ください。
帯域幅プランが購入され、リージョン間通信用の帯域幅が割り当てられる。 詳細については、「帯域幅プランの操作」および「リージョン間接続の管理」をご参照ください。
背景情報
デフォルトでは、CENインスタンスにアタッチされているVPCは、同じCENインスタンスにアタッチされている他のネットワークインスタンスと通信できます。 これらのネットワークインスタンスは、VPC、仮想ボーダールーター (VBR) 、およびCloud Connect network (CCN) インスタンスです。 多数のVPC、VBR、およびCCNインスタンスがCENインスタンスにアタッチされている場合、接続の管理は困難です。 この場合、接続されているすべてのネットワークインスタンスが相互に通信しないように、優先度の低いルーティングポリシーを設定することを推奨します。 次に、指定されたネットワークインスタンスのみが相互に通信できるように、優先度の高いルーティングポリシーを設定します。
前の図に示すように、VPC1とVPC2は中国 (香港) リージョンにデプロイされ、VPC3はドイツ (フランクフルト) リージョンにデプロイされています。 VPCは同じCENインスタンスにアタッチされています。 デフォルトでは、VPC1、VPC2、およびVPC3は互いに通信できます。 ネットワークの規模が拡大する可能性があります。 ネットワーク管理を容易にするために、中国 (香港) およびドイツ (フランクフルト) リージョンのトランジットルーターがVPC1、VPC2、およびVPC3と通信することを禁止するルーティングポリシーを追加できます。 次に、VPC1がVPC3と通信できるようにする優先度の高いルーティングポリシーを追加できます。
サブネット
次の表に、VPC1、VPC2、およびVPC3のCIDRブロックを示します。
ネットワークインスタンス | CIDRブロック | ECSインスタンスのIPアドレス |
VPC1 | VPC1: 10.0.0.0/8 vSwitch1: 10.0.1.0/24 vSwitch2: 10.0.2.0/24 | ECS1: 10.0.1.95 ECS2: 10.0.2.120 |
VPC2 | VPC2: 172.16.0.0/12 vSwitch: 172.16.1.0/24 | ECS: 172.16.1.80 |
VPC3 | VPC3: 192.168.0.0/16 vSwitch: 192.168.1.0/24 | ECS: 192.168.1.151 |
手順1: CENトランジットルーターがCENインスタンスにアタッチされたネットワークインスタンスと通信することを禁止するルーティングポリシーを追加する
中国 (香港) およびドイツ (フランクフルト) リージョンのトランジットルーターがVPC1、VPC2、およびVPC3と通信することを禁止するルーティングポリシーを追加するには、次の手順を実行します。
CENコンソールにログインします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
インスタンスの詳細ページで、ルーティングポリシーを作成するリージョンのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、ルートテーブルタブをクリックし、ルーティングポリシーをクリックします。
[ルーティングポリシー] タブで、[ルーティングポリシーの追加] をクリックします。 次の情報に基づいて、ドイツ (フランクフルト) リージョンのトランジットルーターのルーティングポリシーを追加し、[OK] をクリックします。
ルーティングポリシーの優先度: ルーティングポリシーの優先度の値を入力します。 数字が小さいほど、優先度が高くなります。 この例では、100が入力されます。
Description: ルーティングポリシーの説明を入力します。 このパラメーターはオプションです。 この例では、ドイツ (フランクフルト) リージョンのVPCがトランジットルーターからのルートを拒否します。
リージョン: ルーティングポリシーを適用するリージョンを選択します。 この例では、ドイツ (フランクフルト) が選択されています。
ポリシーの方向: ルーティングポリシーを適用する方向を選択します。 この例では、[Egress Regional Gateway] が選択されています。
一致条件: ルーティングポリシーの一致条件を設定します。 この例では、宛先インスタンスタイプはVPCに設定されています。
アクションポリシー: 一致条件を満たすルートで実行するアクションを選択します。 この例では、[拒否] が選択されています。
[ルーティングポリシーの追加] ページで、次のパラメーターを設定し、[OK] をクリックします。
ルーティングポリシーの優先度: ルーティングポリシーの優先度の値を入力します。 数字が小さいほど、優先度が高くなります。 この例では、100が入力されます。
Description: ルーティングポリシーの説明を入力します。 このパラメーターはオプションです。 この例では、中国 (香港) リージョンのVPCがトランジットルーターからのルートを拒否します。
リージョン: ルーティングポリシーを適用するリージョンを選択します。 この例では、中国 (香港) が選択されています。
ポリシーの方向: ルーティングポリシーを適用する方向を選択します。 この例では、[Egress Regional Gateway] が選択されています。
一致条件: ルーティングポリシーの一致条件を設定します。 この例では、宛先インスタンスタイプはVPCに設定されています。
アクションポリシー: 一致条件を満たすルートで実行するアクションを選択します。 この例では、[拒否] が選択されています。
ルーティングポリシーを追加したら、[ネットワークルート] タブに移動して、中国 (香港) およびドイツ (フランクフルト) リージョンからのルートがVPC1、VPC2、およびVPC3によって拒否されているかどうかを確認できます。 次の図は、VPC1が中国 (香港) およびドイツ (フランクフルト) リージョンのトランジットルーターからのルートを拒否することを示しています。
ステップ2: VPC1がVPC3からのルートを受け入れることを許可するルーティングポリシーを追加する
次の手順を実行して、VPC1がVPC3からのルートを受け入れられるようにします。
左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
インスタンスの詳細ページで、ルーティングポリシーを作成するリージョンのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、ルートテーブルタブをクリックし、ルーティングポリシーをクリックします。
[ルーティングポリシー] タブで、[ルーティングポリシーの追加] をクリックします。 次のパラメーターを設定し、[OK] をクリックします。
ルーティングポリシーの優先度: ルーティングポリシーの優先度の値を入力します。 数字が小さいほど、優先度が高くなります。 この例では、50が入力されます。
Description: ルーティングポリシーの説明を入力します。 このパラメーターはオプションです。 この例では、[VPC1がVPC3からのルートを受け入れることを許可する] を入力します。
リージョン: ルーティングポリシーを適用するリージョンを選択します。 この例では、中国 (香港) が選択されています。
ポリシーの方向: ルーティングポリシーを適用する方向を選択します。 この例では、[Egress Regional Gateway] が選択されています。
一致条件: ルーティングポリシーの一致条件を設定します。 この例では, 次の一致条件を指定します。
ソースリージョン: ドイツ (フランクフルト) が選択されています。
ソースインスタンスIDリスト: VPC3のIDが選択されています。
宛先インスタンスIDリスト: VPC1のIDが選択されています。
アクションポリシー: 一致条件を満たすルートで実行するアクションを選択します。 この例では、[許可] が選択されています。
ルーティングポリシーを追加したら、[ネットワークルート] タブに移動して、VPC1がVPC3からのルートを拒否するかどうかを確認できます。
ステップ3: VPC3がVPC1からのルートを受け入れることを許可するルーティングポリシーを追加する
次の操作を実行して、VPC3がVPC1からのルートを受け入れられるようにします。
左側のナビゲーションウィンドウで、[インスタンス] をクリックします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
インスタンスの詳細ページで、ルーティングポリシーを作成するリージョンのトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、ルートテーブルタブをクリックし、ルーティングポリシーをクリックします。
[ルーティングポリシー] タブで、[ルーティングポリシーの追加] をクリックします。 次のパラメーターを設定し、[OK] をクリックします。
ルーティングポリシーの優先度: ルーティングポリシーの優先度の値を入力します。 数字が小さいほど、優先度が高くなります。 この例では、50が入力されます。
Description: ルーティングポリシーの説明を入力します。 このパラメーターはオプションです。 この例では、VPC3がVPC1からのルートを受け入れることを許可すると入力されます。
リージョン: ルーティングポリシーを適用するリージョンを選択します。 この例では、ドイツ (フランクフルト) が選択されています。
ポリシーの方向: ルーティングポリシーを適用する方向を選択します。 この例では、[Egress Regional Gateway] が選択されています。
一致条件: ルーティングポリシーの一致条件を設定します。
ソースリージョン: 中国 (香港) が選択されています。
ソースインスタンスIDリスト: VPC1のIDが選択されています。
宛先インスタンスIDリスト: VPC3のIDが選択されています。
アクションポリシー: 一致条件を満たすルートで実行するアクションを選択します。 この例では、[許可] が選択されています。
ルーティングポリシーを追加したら、[ネットワークルート] タブに移動して、VPC3がVPC1からのルートを拒否するかどうかを確認できます。
ステップ 4:ネットワーク接続のテスト
VPC間の接続をテストするには、次の手順を実行します。
VPC1でECS1にログインします。
を実行します。Run thepingコマンドをping接続をテストするためのVPC3のECSインスタンスのIPアドレス。
結果は、VPC1がVPC3のECSインスタンスにアクセスできることを示しています。 これは、VPC1とVPC3が互いに通信できることを示します。
VPC2でECSインスタンスにログインします。
を実行します。Run thepingコマンドをping接続をテストするためのVPC1のECS1のIPアドレス。
結果は、VPC2のECSインスタンスがVPC1へのアクセスに失敗したことを示しています。 これは、VPC1とVPC2が互いに通信できないことを示します。
VPC3でECSインスタンスにログインします。
を実行します。Run thepingコマンドをping接続をテストするためのVPC2のECSインスタンスのIPアドレス。
結果は、VPC3のECSインスタンスがVPC2へのアクセスに失敗したことを示しています。 これは、VPC2とVPC3が互いに通信できないことを示します。
