概要
背景情報
仮想プライベートクラウド (VPC) は、クラウドコンピューティングにおける最も基本的なコンポーネントです。ビジネスをクラウドに移行するための最初のステップは、VPC を作成することです。不適切なネットワーク設計は、潜在的なスケーラビリティの問題につながる可能性があります。ネットワークの再構成は、コストの増加だけでなく、ビジネスワークフローの中断も引き起こす可能性があります。一部のビジネスのインターネットアクセスを制限し、ビジネスを相互に分離する場合は、1 つのリージョンに 1 つの VPC をデプロイできます。このトピックで説明されているアドレス割り当て、サブネット化、ルート構成、およびセキュリティ強化に注意することをお勧めします。
用語
VPC: VPC は、クラウド内の専用のプライベートネットワークです。VPC を完全に制御できます。たとえば、CIDR ブロックを指定し、VPC のルートテーブルとゲートウェイを構成できます。 Elastic Compute Service (ECS) インスタンス、ApsaraDB RDS インスタンス、Server Load Balancer (SLB) インスタンスなどのクラウドリソースを VPC にデプロイできます。各 VPC は、少なくとも 1 つのプライベート CIDR ブロック、vSwitch、およびルートテーブルで構成されます。
プライベート CIDR ブロック: VPC と vSwitch を作成するときは、CIDR 表記で VPC のプライベート IP アドレス範囲を指定する必要があります。
ルートテーブル: VPC を作成すると、システムは自動的にシステムルートテーブルを作成し、システムルートをテーブルに追加します。ルートテーブルは、VPC のトラフィックの転送方法を定義します。
vSwitch: vSwitch を作成して、VPC を 1 つ以上のサブネットに分割できます。同じ VPC 内の vSwitch は相互に通信できます。サービスの可用性を向上させるために、異なるゾーンに属する vSwitch にアプリケーションをデプロイできます。
IPv4 ゲートウェイ: IPv4 ゲートウェイは、VPC をインターネットに接続するインターネットゲートウェイです。インバウンドおよびアウトバウンドのインターネット IPv4 トラフィックは、IPv4 ゲートウェイによって転送および制御され、インターネットアクセスの管理と制御を容易にします。 VPC の IPv4 ゲートウェイのルートを構成して、VPC 内のインスタンスのインターネットアクセスを規制できます。たとえば、ルートが IPv4 ゲートウェイを指している vSwitch のみがインターネットにアクセスできます。
NAT ゲートウェイ: NAT ゲートウェイは NAT サービスを提供し、インターネット NAT ゲートウェイと VPC NAT ゲートウェイに分類されます。複数の ECS インスタンスがインターネットにアクセスする必要がある場合は、インターネット NAT ゲートウェイの SNAT 機能を使用して、ECS インスタンスが NAT ゲートウェイの Elastic IP アドレス (EIP) を使用してインターネットにアクセスできるようにすることができます。これにより、パブリック IP アドレス リソースを節約できます。ネットワーク セキュリティを向上させるために、クラウド サービス アドレスを変換して非表示にし、プライベート アドレスの公開を防ぐことができます。VPC NAT ゲートウェイは、プライベート IP アドレスを変換することで、IP アドレスの競合を防ぐことができます。
SLB: 1 台の ECS インスタンスのみを使用してインターネット経由でサービスを提供する場合、単一障害点(SPOF)が発生し、システムの可用性が損なわれる可能性があります。SLB インスタンスを統合インターネットトラフィックイングレスとして使用し、異なるゾーンの複数の ECS インスタンスをバックエンドサーバーとして SLB インスタンスに追加することをお勧めします。これにより、SPOF を回避し、サービスの可用性を向上させることができます。
ソリューションのハイライト
セキュリティ: インターネットアクセス可能なアプリケーションとインターネットアクセス不可能なアプリケーションは、異なる vSwitch にデプロイされます。アクセス制御リスト (ACL) を使用して vSwitch 間のアクセスを制御し、セキュリティグループを使用してサーバーグループ間のアクセスを制御できます。アプリケーションシステムのセキュリティを強化するために、Cloud Firewall を使用して、インターネット境界、VPC 境界、および NAT ゲートウェイ境界での保護を強化できます。: インターネットにアクセス可能なアプリケーションとインターネットにアクセスできないアプリケーションは、異なる vSwitch にデプロイされます。アクセス制御リスト (ACL) を使用して vSwitch 間のアクセスを制御し、セキュリティグループを使用してサーバーグループ間のアクセスを制御できます。アプリケーションシステムのセキュリティを強化するために、Cloud Firewall を使用して保護を強化できます。
スケーラビリティ: VPC が長期的なビジネス開発の要件に適合するように、相互に競合しない十分な IP アドレスを予約する必要があります。そうしないと、ネットワークアーキテクチャに大幅な変更が必要になる場合があります。
信頼性: 1 つのリージョンに 1 つの VPC をデプロイする場合は、少なくとも 2 つの vSwitch を使用することをお勧めします。アクティブなゾーン冗長性を確保するために、vSwitch が異なるゾーンにデプロイされていることを確認してください。 VPC を NAT Gateway、SLB、Cloud Enterprise Network (CEN) などの他のネットワーキングサービスと組み合わせて、ゾーンをまたがるデプロイメントを実装できます。vSwitch は 2 つ以上使用することをお勧めします。 確実にするために、アクティブなゾーン冗長性の場合、vSwitch が異なるゾーンにデプロイされていることを確認します。 VPC を NAT Gateway、SLB、Cloud Enterprise Network ( CEN ) などの他のネットワークサービスと組み合わせて、ゾーンをまたがるデプロイメントを実装できます。
オブザーバビリティ: Network Intelligence Service (NIS) を使用して、ネットワーク品質、ネットワークトラフィック、ネットワークインスタンスの検査と診断、およびネットワークトポロジーを可視化できます。 データの可視化により、ネットワークの運用と保守が簡素化されます。また、フローログとトラフィックミラーリング を使用して、ネットワークトラフィックを観察し、エラーをトラブルシューティングすることもできます。
主要な設計
次の重要なポイントは、さまざまな要件に合わせて、複数の側面から 1 つのリージョンに 1 つの VPC をデプロイする方法を設計する方法を示しています。以下の重要なポイントさまざまな要件に合わせて多次元から
明確なネットワーク要件
リージョンとゾーンを選択する際は、ネットワーク遅延やサポートされているクラウドサービスなど、すべての要因を考慮する必要があります。
インターネット品質はアクセシビリティを決定します。NIS を使用してインターネット アクセシビリティをプローブし、日々のプローブ結果を監視できます。
ビジネスで低いネットワーク遅延が求められる場合は、NIS を使用してクラウドネットワーク間の接続性をテストし、同じリージョン内または異なるリージョン内のゾーン間のネットワーク遅延を監視できます。
VPC を使用する目的と要件も確認する必要があります。たとえば、本番環境とステージング環境の VPC の隔離要件は異なります。セキュリティグループの構成、ACL の構成、Cloud Firewall の構成、およびネットワークソリューションは、ネットワーク要件に基づいて決定されます。
適切な CIDR ブロックの割り当て
VPC に適切な数の IP アドレスを割り当てます。ビジネス開発のために十分な IP アドレスを確保しますが、IP アドレス リソースを無駄にしないでください。適切な数の パブリック vSwitch と プライベート vSwitch をデプロイします。各アプリケーションが属する vSwitch を確認します。インターネットに接続するアプリケーションと内部向けのアプリケーションが、VPC 内の安全なドメインにデプロイされていることを確認します。
正確なルート
パブリック vSwitch とプライベート vSwitch を使用して パブリック アプリケーションとプライベート アプリケーションを分離する 場合は、パブリック vSwitch とプライベート vSwitch を異なるルートテーブルに関連付けてネットワークトラフィックを分離する必要があります。ゲートウェイルートテーブルを有効にして、vSwitch のインターネットアクセスを制限できます。
セキュリティ
セキュリティグループと ACL を使用して、VPC のインバウンドトラフィックとアウトバウンドトラフィックを制限できます。たとえば、各インスタンスまたはサービスのセキュリティグループルールを構成して、指定されたポートまたは指定されたプロトコルへのアクセスのみを許可できます。セキュリティグループと ACL は基本的な保護を提供します。セキュリティを強化するために、Cloud Firewall を使用することをお勧めします。
インターネットトラフィックのインバウンドルールとアウトバウンドルール
インターネット トラフィックのインターネット入力として SLB インスタンスを使用することをお勧めします。インターネット アクセスが必要なサーバーが多数ある場合は、NAT ゲートウェイをインターネット出力として使用できます。 VPC に NAT ゲートウェイと SLB インスタンスをデプロイする場合は、NAT ゲートウェイと VPC に個別の vSwitch を割り当てる必要があります。インターネットの入力と出力の vSwitch は、ネットワークの柔軟性とセキュリティを高めるために、アプリケーションの vSwitch から分離する必要があります。
高可用性
VPC を設計する際は、高可用性とスケーラビリティの要件を考慮してください。 1 つの VPC をリージョンにデプロイする場合は、少なくとも 2 つの vSwitch を使用することをお勧めします。VPC を NAT Gateway、SLB、CEN などの他のネットワークサービスと組み合わせて、ゾーン間のデプロイメントを実装できます。
運用と保守、および監視
高い可観測性により、O&M エンジニアと開発者はエラーを迅速に特定し、パフォーマンスを最適化し、潜在的な障害を予測できます。 NIS、フローログ、およびトラフィックミラーリングを使用して O&M を視覚化することをお勧めします。
ベストプラクティス
ソリューションの概要
1 つのリージョンに VPC をデプロイする設計を行う場合は、データセンターの内部ネットワーク、ハイブリッドクラウド ネットワーク、クラウド内のワイドエリア ネットワークなど、ビジネス要件に基づいてネットワークアーキテクチャ全体を設計する必要があります。
このソリューションでは、VPC、vSwitch、および IPv4 ゲートウェイを使用してクラウドにデータセンターを構築します。リージョンには 1 つの VPC のみがデプロイされます。
セキュリティ: VPC はパブリック vSwitch とプライベート vSwitch に分割され、インターネットに接続するアプリケーションはパブリック vSwitch にデプロイされます。内部向けのアプリケーションとデータベースはプライベート vSwitch にデプロイされます。前の図では、vSwitch A と vSwitch B のサーバーは、パブリック IP アドレスを持っている場合でもインターネットにアクセスできません。セキュリティグループ、ACL、および を使用することで、アプリケーションのセキュリティを向上させることができます。 Cloud Firewall。
スケーラビリティ: ECS インスタンス、ネットワーク、ストレージデバイスなどのクラウド リソースは IP アドレスを使用します。大きなサブネットマスクを使用して、十分な IP アドレスを確保することをお勧めします。計画が不適切なために IP アドレスが不足する場合は、セカンダリ CIDR ブロックを追加して、より多くの IP アドレスを提供できます。セカンダリ CIDR ブロックは変更できません。VPC は、複数のアプリケーションをデプロイできる複数のパブリック vSwitch と非公開 vSwitch をサポートしています。
信頼性: 1 つのリージョンに 1 つの VPC をデプロイする場合、VPC 内に少なくとも 2 つの vSwitch を作成します。 vSwitch が異なるゾーンに作成され、アクティブなゾーン冗長性が実装されていることを確認します。
オブザーバビリティ: NIS を使用して、 ネットワーク品質、ネットワークトラフィック、ネットワークインスタンスの検査と診断、およびネットワークトポロジを視覚化できます。
ソリューションの概要
リージョンとゾーンを選択します
ユーザーの所在地に基づいてリージョンを選択します。 クラウドリソースの在庫とレイテンシ要件に基づいてゾーンを選択します。 詳細については、「ゾーン間またはリージョン間の平均ネットワークレイテンシを監視する」および「インターネットアクセスレイテンシを監視する」をご参照ください。
IP アドレスを割り当てます
標準の RFC CIDR ブロック
10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16、またはそれらのサブセットを VPC CIDR ブロックとして使用できます。 カスタム VPC CIDR ブロックを指定することもできます。100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、またはそれらのサブネットのいずれかをカスタム CIDR ブロックとして指定することはできません。複数の VPC がある場合、または VPC とデータセンター間にハイブリッドクラウド環境をセットアップする場合、VPC に RFC CIDR ブロックのサブセットを指定することをお勧めします。 この場合、サブネットマスク長を 20 ビット以下に設定することをお勧めします。 VPC とデータセンターの CIDR ブロックが重複していないことを確認してください。 vSwitch の CIDR ブロックを計画する際は、vSwitch 内に作成できる ECS インスタンスおよびその他のクラウドリソースの数を考慮する必要があります。 後で使用するために十分な IP アドレスを確保するために、大きな CIDR ブロックを指定することをお勧めします。 ただし、ビジネス要件を大幅に超える CIDR ブロックは指定しないでください。 そうしないと、VPC のアイドル状態の IP アドレスが無駄になり、他の VPC は IP アドレスが不足しているためスケールアウトできません。
vSwitch を設計する
vSwitch
vSwitch 内のリソース
インターネットアクセスを持つパブリック vSwitch
SLB vSwitch
ALB インスタンスや NLB インスタンスなどのインターネット向け SLB インスタンスのみがデプロイされます。 ECS インスタンスはデプロイされません。
NAT ゲートウェイ vSwitch
NAT ゲートウェイのみがデプロイされます。 ECS インスタンスはデプロイされません。
アプリケーション vSwitch A
インターネット向けアプリケーションサーバーがデプロイされます。 ただし、ECS インスタンスはパブリック IP アドレスを持っていてもインターネットにアクセスできません。 ECS インスタンスは、SLB インスタンスまたは NAT ゲートウェイを使用してインターネットと通信できます。
インターネットアクセスを持たないプライベート vSwitch
SLB vSwitch
ALB インスタンスや NLB インスタンスなどのイントラネット SLB インスタンスのみがデプロイされます。 ECS インスタンスはデプロイされません。
アプリケーション vSwitch B
イントラネット向けアプリケーションサーバーまたはデータベースがデプロイされます。 サーバーはインターネットにアクセスできません。
転送ルータ vSwitch
VPC は転送ルータを使用して、他の VPC および CEN インスタンスに接続されている仮想ボーダールータ (VBR) と通信します。
ルートテーブルを設計する
ゾーン E およびゾーン Fシステムルートテーブルゾーン E およびゾーン Fゾーン E およびゾーン F
vSwitch
ゾーン
関連付けられたルートテーブル
ルート構成
パブリック vSwitch
SLB vSwitch
ゾーン E およびゾーン F
システムルートテーブル
デフォルトルートを IPv4 ゲートウェイにポイントし、vSwitch A 内の ECS インスタンスを SLB インスタンスに追加します。 SLB インスタンスは、インターネットトラフィックのイングレスとして機能します。
NAT ゲートウェイ vSwitch
デフォルトルートを IPv4 ゲートウェイにポイントします。NAT ゲートウェイはインターネットにアクセスできます。
アプリケーション vSwitch A
ゾーン E およびゾーン F
カスタムルートテーブル 1
デフォルトルートを NAT ゲートウェイにポイントします。 ECS インスタンスは NAT ゲートウェイを使用してインターネットと通信したり、SLB インスタンスに追加してインターネットにサービスを提供したりできます。 IPv4 ゲートウェイをポイントするデフォルトルートは構成されていません。 vSwitch A には、IPv4 ゲートウェイをポイントするデフォルトルートはありません。 ECS インスタンスは、パブリック IP アドレスを持っていてもインターネットと通信できません。 これにより、ECS インスタンスのインターネットイングレスが完全に制御されるため、システムセキュリティが強化されます。
プライベート vSwitch
SLB vSwitch
ゾーン E およびゾーン F
カスタムルートテーブル 2
イントラネット向け SLB インスタンスをデプロイし、vSwitch B 内の ECS インスタンスを SLB インスタンスに追加します。 ECS インスタンスは内部サービスを提供します。 NAT ゲートウェイまたは IPv4 ゲートウェイをポイントするデフォルトルートは構成されていません。
アプリケーション vSwitch B
カスタムルートテーブル 3
ECS インスタンスまたはセキュリティに配慮したデータベースをプライベートネットワーク環境としてデプロイします。 NAT ゲートウェイまたは IPv4 ゲートウェイをポイントするルートを構成しないでください。 ECS インスタンスをインターネット向け SLB インスタンスに追加しないでください。 ECS インスタンスはインターネットにアクセスできません。
転送ルータ vSwitch
カスタムルートテーブル 4
VPC は転送ルータを使用して、CEN インスタンスに接続されている他の VPC および VBR と通信します。 転送ルータをポイントするカスタムルートを構成する必要があります。
セキュリティ保護を設計する
セキュリティグループ、ACL、および Cloud Firewall を使用することで、アプリケーションのセキュリティを向上させることができます。 Cloud Firewall。
サーバーセキュリティ: セキュリティグループを ECS インスタンスのサーバーグループに関連付けて、ECS インスタンスへのアクセスを制御します。 セキュリティグループはステートフルです。 セキュリティグループのインバウンドルールの変更は、セキュリティグループのアウトバウンドルールに自動的に適用されます。
vSwitch セキュリティ: ACL を vSwitch に関連付けて、vSwitch へのアクセスを制御します。 ACL はステートレスです。 vSwitch からの応答を許可するには、アウトバウンド方向に許可ルールを構成する必要があります。
高度なセキュリティ:
インターネットファイアウォール: インターネット向けアセットのインターネットファイアウォールを有効にすると、Cloud Firewall は、トラフィック分析ポリシー、侵入防止ポリシー、脅威インテリジェンスルール、仮想パッチ適用ポリシー、およびアクセス制御ポリシーに基づいて、インバウンドトラフィックとアウトバウンドトラフィックをフィルタリングします。 次に、インターネットファイアウォールは、インバウンドトラフィックとアウトバウンドトラフィックが指定された条件に一致するかどうかを確認し、不正なトラフィックをブロックします。 これにより、インターネット向けアセットとインターネット間のトラフィックのセキュリティが確保されます。
NAT ファイアウォール: NAT ファイアウォールまたは NAT ゲートウェイを有効にすると、NAT ファイアウォールは、同じ VPC 内のリソースと VPC 間のリソースを含め、VPC 内のイントラネット向けリソースから NAT ゲートウェイへのすべてのアウトバウンドトラフィックを監視します。
VPC ファイアウォール: VPC ファイアウォールは、VPC 間のトラフィックと、VPC とデータセンター間のトラフィックを監視および管理します。
O&M を設計する
O&M を可視化するには、NIS とフローログおよびトラフィックミラーリングを組み合わせることをお勧めします。
NIS: ネットワーク品質の可視化、トポロジーの可視化、およびトラフィックの可視化をサポートするネットワーク O&M ツール。 NIS を使用して、検査とインスタンス診断を実行できます。
フローログ: フローログを使用して、5 タプル情報 (Elastic Network Interface (ENI)、VPC、および vSwitch に関する) を収集できます。 フローログを分析して、ACL ルールを確認し、ネットワーク品質を監視し、ネットワークエラーのトラブルシューティングを行うことができます。
トラフィックミラーリング: この機能は、ENI を通過する特定のパケットをミラーリングでき、コンテンツ検査、脅威の監視、およびトラブルシューティングに使用できます。
無効な構成を修正する
IP アドレスが不足している: 不適切な計画が原因でアドレスが不足している場合は、セカンダリ CIDR ブロックを追加して、より多くの IP アドレスを提供できます。 セカンダリ CIDR ブロックは変更できません。
IP アドレスの競合: VPC に十分な CIDR ブロックが割り当てられている場合は、CIDR ブロックが重複しない vSwitch を作成し、アプリケーションを vSwitch に移行できます。 また、プライベート IP アドレスを変換できる VPC NAT ゲートウェイを使用して、IP アドレスの競合を解決することもできます。 ただし、NAT ゲートウェイはルート構成の複雑さを増大させます。 必要な場合を除き、NAT ゲートウェイを使用しないことをお勧めします。