Cloud Network Well-architected Design Guidelines:同一リージョン内での複数 VPC のデプロイ

概要

背景情報

クラウドコンピューティングの急速な発展に伴い、さまざまなビジネスシナリオに対応するために複雑なネットワークアーキテクチャを構築する企業が増えています。企業は、よりきめ細かい運用と管理に移行し、ネットワークのセキュリティ、スケーラビリティ、ディザスタリカバリに重点を置いています。複数の Virtual Private Cloud (VPC) で構成されるリージョン間ネットワークを設計することは、ネットワークの効率、セキュリティ、可用性を確保する上で特に重要です。このトピックでは、VPC ピアリング接続とトランジットルーターを使用して、Alibaba Cloud 上の同一リージョン内に複数の VPC を含む、高効率、高セキュリティ、高可用性のネットワークアーキテクチャを構築する方法について説明します。これは、さまざまなお客様の要件とビジネスシナリオに焦点を当てた、優れた設計のソリューションです。

用語

• VPC：VPC は、お客様が Alibaba Cloud 上に作成するカスタムプライベートネットワークです。VPC は相互に隔離されています。VPC には CIDR ブロック、サブネット、ルートテーブルを指定できます。

• VPC ピアリング接続：VPC ピアリング接続は、2 つの VPC を接続するネットワーク接続です。VPC ピアリング接続は IPv4 と IPv6 をサポートします。VPC ピアリング接続は、IPv4 と IPv6 のネットワーク通信をサポートします。ピアリング接続を作成して、同一リージョンまたは異なるリージョンにある、同一または異なる Alibaba Cloud アカウントに属する VPC を接続できます。

• Cloud Enterprise Network (CEN)：Cloud Enterprise Network (CEN) は、リージョン内のカスタム通信、隔離、リダイレクトポリシーをサポートし、柔軟で信頼性の高い、大規模なエンタープライズクラスのグローバルネットワークの構築を支援します。

• トランジットルーター：トランジットルーターは CEN コンポーネントの一種です。異なる VPC、VPN ゲートウェイ、仮想ボーダールータ (VBR)、クラウドサービスを接続するルーターです。トランジットルーターは、非常に柔軟なルーティング機能をサポートします。たとえば、複数のルートテーブルと高度なルーティングポリシーを使用して、複雑なネットワーク環境でのトラフィック転送を管理できます。トランジットルーターは、アカウントをまたいで複数の VPC を含む複雑なネットワークアーキテクチャを設計する場合に重要なコンポーネントです。トランジットルーターを使用して、異なるネットワーク間のネットワークトラフィックを管理および制御し、ネットワークアーキテクチャと運用を簡素化できます。

ソリューションのハイライト

持続可能なアーキテクチャ：お客様がクラウドでより多くのビジネスをデプロイする際、アーキテクチャを変更することなく、より多くの VPC 接続、ルートエントリ、セキュリティポリシーが必要になります。

安全で制限されたアクセス：よりきめ細かい権限管理とアクセス制御を実装するために、VPC CIDR ブロック間の通信はオンデマンドでのみ確立され、機密データやシステムを不正アクセスから保護します。

高いサービスパフォーマンス：ネットワークはビジネス要件に基づいて設計されます。たとえば、特定のアプリケーションに合わせてネットワークトポロジーをカスタマイズしたり、トラフィックパターンに基づいてネットワークパフォーマンスを最適化したりします。

主要な設計

VPC ピアリング接続とトランジットルーターにはそれぞれ異なる利点があります。同一リージョン内に複数の VPC をデプロイする場合は、ビジネス要件を考慮する必要があります。

VPC ピアリング接続は、ネットワークアーキテクチャが単純で、トラフィック量が少なく、スケーラビリティ要件が低い環境に適しています。さらに、VPC ピアリング接続は直接的で低遅延のアクセスをサポートします。そのため、VPC ピアリング接続は運用の複雑さとコストを削減します。

トランジットルーターは、大規模なネットワーク通信、高い信頼性、高いスケーラビリティ、柔軟なルート管理を必要とするシナリオに適しています。トランジットルーターはコストが高くなりますが、より高度な機能と高い運用柔軟性を提供します。多数の VPC を含むネットワークアーキテクチャがある場合、セキュリティ、信頼性、パフォーマンス、コスト最適化、デプロイメント最適化を考慮する必要があります。Well-Architected フレームワークの上記の主要な利点を重視する場合、トランジットルーターがより適しています。

セキュリティ

• VPC 間通信：セキュリティグループとネットワークアクセスコントロールリスト (ACL) に加えて、トランジットルーターでルーティングポリシーを構成してトラフィック転送を管理できます。統一されたセキュリティポリシーとモニタリングを実装できます。トランジットルーターを Cloud Firewall と統合して、データを隔離し、異なるビジネスユニット間のセキュリティを強化できます。

• トランジットルーターの複数のルートテーブル：トランジットルーターは複数のルートテーブルをサポートします。異なるルートテーブルを使用して、パブリック、本番、テスト、開発環境間のネットワークトラフィックを隔離できます。各 VPC は特定のルートテーブルとルーティングポリシーに関連付けることができるため、異なる環境間のアクセスを制御できます。トランジットルーターは複数のルートテーブルをサポートしており、インターネットにアクセスできる vSwitch、プライベートネットワーク内でのみアクセスできる vSwitch、相互にアクセスできる vSwitch を定義できます。

• サービスチェーン：サービスチェーンは、ファイアウォール、侵入検知システム、ロードバランサーなど、特定の順序で実行される一連のネットワークサービスです。サービスチェーンを使用すると、ネットワークトラフィックのセキュリティチェックポイントを指定できるため、セキュリティとコンプライアンスが向上します。たとえば、すべてのインバウンドまたはアウトバウンドトラフィックを Cloud Firewall にリダイレクトし、トラフィックをフィルタリングして信頼できるトラフィックのみを許可することができます。

• トランジットルーターによる隔離：異なるトランジットルーターを使用して、本番、開発、ネットワーク管理環境などのネットワーク環境を隔離できます。また、トランジットルーターを使用して、子会社間のネットワークを隔離することもできます。各トランジットルーターは、ルートテーブルとセキュリティポリシーをサポートし、よりきめ細かいネットワーク隔離とアクセス制御を実装します。このような設計は、内部ガバナンスとコンプライアンス要件を満たすために、異なる部門や事業部門間でネットワークを隔離する必要がある複雑な組織構造を持つ企業で一般的に使用されます。

パフォーマンス

• VPC ピアリング接続は、直接的で安定したアクセスをサポートします。静的ルートを構成して、ネットワーク距離を短縮し、ネットワークの信頼性を向上させることができます。VPC ピアリング接続は、単純なネットワークトポロジーでより高い可用性と容易な管理をサポートします。

• トランジットルーターは、動的ルーティングとフェイルオーバーをサポートし、ネットワークの冗長性と接続のフェイルオーバーを向上させます。VPC ピアリング接続はポイントツーポイント接続ですが、トランジットルーターはより複雑なネットワーク通信をサポートし、ネットワークの信頼性を向上させます。さらに、トランジットルーターはゾーンレベルでのリソース管理をサポートします。リソースのあるゾーンのトランジットルーターを選択して、転送遅延を削減し、可視化された高可用性アーキテクチャを構築できます。

弾力性

• VPC ピアリング接続は、ネットワーク遅延が低く、遅延の影響を受けやすいアプリケーションにより適しています。VPC ピアリング接続は、同一リージョン内の VPC 間で最も直接的なデータ伝送を提供します。

• トランジットルーターは VPC 間の高速データ伝送をサポートし、ネットワークの状態に基づいて最適なルートを動的に選択できます。トランジットルーターは、大規模で複雑なネットワークアーキテクチャを使用するシナリオや、高いスループット容量を必要とするシナリオに適しています。中国 (杭州)、中国 (上海)、中国 (北京)、中国 (深セン)、中国 (香港)、シンガポールのネットワークインスタンスとトランジットルーター間の最大帯域幅は 50 Mbit/s です。他のリージョンでの最大帯域幅は 10 Gbit/s です。

可観測性

• VPC ピアリング接続では、フローログと Simple Log Service を使用して VPC 間のトラフィックを分析できます。

• Network Intelligence Service (NIS) を使用して、トランジットルーターを検出し、トポロジーを管理し、同一リージョン内の VPC 間のパフォーマンスを監視し、VPC トラフィックを分析できます。NIS は、機械学習や知識グラフなどの Artificial Intelligence for IT Operations (AIOps) メソッドと統合されており、ネットワーク管理を簡素化し、自動化された O&M (運用保守) を実装します。NIS により、ネットワークアーキテクトと O&M (運用保守) エンジニアは、より高い効率でネットワークを設計および使用できます。

ベストプラクティス

同一リージョン内に複数の VPC をデプロイした後、VPC 間の高効率な接続を維持することが非常に重要です。VPC ピアリング接続とトランジットルーターの両方が適用可能です。VPC ピアリング接続はポイントツーポイント接続です。トランジットルーターは、マルチ VPC 通信、アカウント間通信、高度なルーティングなど、より複雑なネットワーク環境に適しています。トランジットルーターを適切に構成することで、トラフィックパスを柔軟に調整および最適化し、ネットワークのスケーラビリティとセキュリティを確保できます。

シンプルなネットワーク通信シナリオ

以下のシンプルなネットワーク通信シナリオでは、2 つのビジネスユニットが別々の VPC にデプロイされています。VPC ピアリング接続を使用して、ビジネスユニット間の隔離を維持しながら安全なネットワーク通信を確立します。このアーキテクチャは、長期間にわたってネットワークのスケールアウトが不要であるという前提で、安定かつ効率的です。VPC A と VPC B はリソースを共有し、相互にアクセスできます。VPC A と VPC B の両方が IPv6 CIDR ブロックに関連付けられている場合、VPC のルートテーブルに IPv4 および IPv6 ルートを追加できます。ユーザーは要件に基づいて IPv4 ルートまたは IPv6 ルート経由で VPC にアクセスできます。

複雑なネットワーク通信シナリオ

• 非武装地帯 (DMZ)：DMZ はネットワークのセキュリティバッファーです。DMZ には通常、DDoS、Web Application Firewall (WAF)、NAT Gateway、Server Load Balancer (SLB)、フロントエンドサーバーなど、外部向けおよび内部向けのサービスコンポーネントが含まれます。DMZ は、本番環境などの内部ネットワークとインターネットなどの外部ネットワークとの間の中間層です。DMZ はネットワークセキュリティを強化します。

• 共有サービス：このようなサービスは複数の環境で共有されます。たとえば、ID 認証サービス、ログ管理サービス、内部 DNS 解決サービスは、異なる環境からアクセスできます。共有サービスにより、サービスを繰り返しデプロイする必要がなくなります。

• 本番環境：本番環境は、最高レベルのセキュリティ制御と監視のもとで、実行中のビジネスアプリケーションとサービスをホストします。高可用性とパフォーマンスを確保するために、本番環境を厳密に監視および管理する必要があります。異なる VPC を使用して、異なるビジネスやプロジェクトを区別できます。

• 開発環境：開発環境は本番環境から隔離されており、開発者がコード作成と予備テストに使用します。これにより、開発活動が本番環境のサービスに影響を与えるのを防ぎます。異なる VPC を使用して、異なるビジネスやプロジェクトを区別できます。

• テスト環境：詳細なテストエリアとして、テスト環境は本番環境をシミュレートし、統合テスト、パフォーマンステスト、ユーザー受け入れテストを実施して、実際のデプロイ前に問題が検出されるようにします。

• セキュリティ VPC：セキュリティ VPC は、東西ファイアウォール、侵入検知システム (IDS)、クラウドセキュリティスキャナーなど、セキュリティ関連のツールとサービスをホストし、マルチ VPC アーキテクチャ全体を監視および保護します。

• O&M (運用保守) および VPN 統合エリア：O&M (運用保守) エンジニアとクラウド環境からのリモートアクセスを許可するエリアです。このエリアには通常、VPN サービスや Elastic Desktop Service (EDS) などのリモートアクセスツールが含まれており、クラウドサービスへのアクセスを制御できます。

シナリオ 1：シングルプレーンネットワーク

トランジットルーターを使用して複数の VPC を接続し、ビジネス要件に基づいて VPC 間の通信を確立します。DMZ VPC を作成して、すべてのインバウンドおよびアウトバウンドのインターネットトラフィックを管理します。トランジットルーターのルートテーブルにルートエントリを追加し、ルーティングポリシーを作成して、本番、開発、テスト環境間のアクセスを制御します。

シナリオ 2：マルチプレーンネットワーク

企業は、組織構造に基づいて「企業」「子会社」「ビジネスユニット」の 3 層からなるネットワークレイアウトを構築します。このレイアウトには、マルチプレーン構造が必要です。マルチプレーン構造では通常、次の戦略が使用されます：複数のトランジットルーターまたはプレーンを分割できるトランジットルーターのルートテーブル。プレーンは水平または垂直に分割できます。水平分割は、集中管理型の O&M (運用保守) に最適です。ネットワークは、本番、開発、テスト、共有サービスのプレーンに分割されます。垂直分割は、独立した O&M (運用保守) チームを持つ子会社に最適です。ネットワークは子会社に基づいて分割されます。

複数のトランジットルーターに基づくマルチプレーンネットワーク

複数の VPC を含むマルチプレーンネットワークは、トランジットルーターを使用して作成されます。環境は相互に隔離されています。共有サービス VPC のみが、すべてのプレーン上の他の VPC に接続されます。次の図に示すように、Transit Router-1 はプレーン 1 上のネットワークを構築するために使用されます。Transit Router-2 はプレーン 2 上のネットワークを構築するために使用されます。共有サービス VPC のみが、Transit Router-1 または Transit Router-2 に接続された VPC にアクセスできます。

複数のトランジットルータールートテーブルに基づくマルチプレーンネットワーク

ネットワークは、トランジットルーターのルートテーブルに基づいて複数のプレーンに分割されます。各子会社の VPC は、個別のトランジットルータールートテーブルに関連付けられます。VPC 間のネットワーク通信は、トランジットルータールートテーブルのルートとルーティングポリシーに基づいて制御されます。一方、インターネットルートテーブルを使用して、DMZ VPC のトラフィック転送を制御できます。DMZ VPC は、各子会社の VPC の南北インターネットトラフィックの出口および入口として機能します。

利用シーン

ビジネス向けのシンプルなネットワーク：ビジネス A とビジネス B の間で直接通信が必要な、単純なクラウドネットワーク構造に最適です。たとえば、高いセキュリティや弾力性を必要としない単純なサービス呼び出しなどです。

クラウドでの標準的なネットワーク：多様なビジネスユニットを持ち、完全な通信、制限された通信、隔離など、さまざまな通信モードを必要とする中規模から大規模の企業に最適です。このような通信モードには、迅速なビジネス開発と集中型ネットワーク管理をサポートするための高いネットワーク信頼性、セキュリティ、弾力性が求められます。

Terraform リファレンス

CADT でのアーキテクチャの仮想化

VPC ピアリング接続を使用したシンプルなネットワーク

可視化されたデプロイメントアーキテクチャ

手順

複数のトランジットルータールートテーブルを使用した複雑なネットワーク

可視化されたデプロイメントアーキテクチャ

手順