このトピックでは、ルーティングポリシーを使用して仮想プライベートクラウド (VPC) とCIDRブロック間の通信を無効にする方法について説明します。
前提条件
この機能は、Basic Editionトランジットルーターでのみサポートされます。
データセンターは、Express Connect回線を使用してAlibaba Cloudに接続されています。 詳細については、「Express Connect回路を使用したデータセンターのECSへの接続」をご参照ください。
Cloud Enterprise Network (CEN) インスタンスが作成されます。 相互に接続するネットワークインスタンスは、CENインスタンスにアタッチされています。 詳細については、「CENインスタンス」および「ネットワークインスタンス接続の管理」をご参照ください。
背景情報
デフォルトでは、CENインスタンスにアタッチされているVPCは、CENインスタンスにアタッチされている他のVPC、仮想ボーダールーター (VBR) 、およびCloud Connect Network (CCN) インスタンスと通信できます。 一部のシナリオでは、VPCとVPC、VBR、またはCCNインスタンスのCIDRブロックとの間の通信を無効にする必要がある場合があります。
前の図に示すように、VPCとVBRはCENインスタンスにアタッチされています。VBRは、BGPを介してデータセンターからCIDRブロック1とCIDRブロック2を指す2つのルートを学習します。 デフォルトでは、VPCはCIDRブロック1およびCIDRブロック2と通信できます。 VPCがCIDRブロック1と通信しない場合は、ルーティングポリシーを設定して、それらの間の通信を無効にすることができます。 VPCは引き続きCIDRブロック2と通信できます。
ステップ1: CIDRブロック1を指すVBRルートを拒否するようにVPCを設定するルーティングポリシーを追加する
次の手順を実行して、CIDRブロック1を指すVBRルートを拒否するようにVPCを設定するルーティングポリシーを追加します。
CENコンソールにログインします。
インスタンスページで、管理するCENインスタンスのIDをクリックします。
インスタンスの詳細ページで、ルーティングポリシーを追加するリージョンを見つけ、そのリージョンにデプロイされているトランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、ルートテーブルタブをクリックし、ルーティングポリシー.
[ルーティングポリシー] タブで、[ルーティングポリシーの追加] をクリックします。 次のパラメーターを設定し、[OK] をクリックします。
ルーティングポリシーの優先度: ルーティングポリシーの優先度の値を入力します。 数字が小さいほど、優先度が高くなります。 この例では、20が入力されます。
リージョン: ルーティングポリシーを適用するリージョンを選択します。 この例では、中国 (杭州) が入力されます。
ポリシーの方向: ルーティングポリシーを適用する方向を選択します。 この例では、[Egress Regional Gateway] が選択されています。
一致条件: ルーティングポリシーの一致条件を設定します。 この例では, 次の一致条件を指定します。
ソースインスタンスIDリスト: VBRのIDが選択されています。
ルートプレフィックス: 192.168.0.0/24が使用されます。 条件タイプは完全一致に設定されます。
アクションポリシー: 一致条件を満たすルートで実行するアクションを選択します。 この例では、[拒否] が選択されています。
ルーティングポリシーを追加したら、[ネットワークルート] タブに移動して、192.168.0.0/24を指すルートがVPCから削除されているかどうかを確認できます。
ステップ2: ネットワーク接続のテスト
次の手順を実行して、VPCとCIDRブロック1間の接続をテストします。
VPCのECSインスタンスにログインします。
pingコマンドを実行して、CIDRブロック1のIPアドレスをpingします。
結果は、ECSインスタンスがCIDRブロック1のIPアドレスにアクセスできないことを示しています。
次の手順を実行して、VPCとCIDRブロック2間の接続をテストします。
VPCのECSインスタンスにログインします。
pingコマンドを実行して、CIDR Block 2のIPアドレスをpingします。
結果は、ECSインスタンスがCIDRブロック2のIPアドレスにアクセスできることを示しています。
