このトピックでは、Express Connect回線とCloud Enterprise Network (CEN) を使用して、データセンターと仮想プライベートクラウド (VPC) 間にアクティブ /スタンバイ接続を作成し、接続のBorder Gateway Protocol (BGP) ルーティングを設定する方法について説明します。
シナリオ
次の例は、Express Connect回路を使用してデータセンターとVPC間にアクティブ /スタンバイ接続を作成し、接続のBGPルーティングを設定する方法を示しています。 企業は上海にデータセンターを持ち、データセンターにデータベースクラスターなどのビジネスクリティカルなシステムを展開します。 さらに、中国 (上海) リージョンにVPCを作成し、VPC内のElastic Compute Service (ECS) インスタンスにアプリケーションをデプロイします。 データ転送の安定性を確保するために、企業は2つのExpress Connect回線をリースして、顧客宅内機器 (CPE) と仮想ボーダールーター (VBR) を接続する必要があります。 各Express Connect回路は、データセンター内の別のCPEに接続します。 次に、VBRとVPCをCENインスタンスにアタッチします。 これにより、データセンターとVPCは互いに通信できます。 データセンターは、プライマリExpress Connect回路とセカンダリExpress Connect回路を使用してVPCに接続されます。 企業は、データセンターとVPC間のルート収束を加速し、サービスの可用性を向上させるために、BGPルーティングとBidirectional Forwarding Detection (BFD) を設定します。
準備
始める前に、次の準備が完了していることを確認してください。
Alibaba Cloud アカウントが作成済みであること。 Alibaba Cloudアカウントをお持ちでない場合は、アカウントを作成します。 詳細については、「」をご参照ください。 Alibaba Cloudにサインアップします。
中国 (上海) リージョンにVPCが作成され、ビジネスシステムをホストするECS (Elastic Compute Service) インスタンスなどのクラウドリソースがVPCにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
説明Enterprise EditionトランジットルーターをVPCに接続する前に、VPCにEnterprise Editionトランジットルーターをサポートするゾーンに少なくとも1つのvSwitchがあることを確認してください。 vSwitchには、少なくとも1つのアイドルIPアドレスが必要です。 この例では、トランジットルーターは中国 (上海) リージョンに作成されます。 上海ゾーンFと上海ゾーンGは、Enterprise Editionトランジットルーターをサポートしています。
仮想プライベートクラウド (VPC) のElastic Compute Service (ECS) インスタンスのセキュリティグループルールを理解しています。 ルールにより、ECSインスタンスがデータセンターと通信できるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
CEN インスタンスが作成されていること。 詳細については、「CENインスタンス」トピックの「CENインスタンスの作成」セクションをご参照ください。
Enterprise EditionトランジットルーターでサポートされているゾーンのVPCには、十分なvSwitchがあります。 各vSwitchには、少なくとも1つのアイドルIPアドレスがあります。 vSwitchの作成方法の詳細については、「vSwitchの作成」をご参照ください。
Enterprise Editionトランジットルーターが中国 (南京-ローカルリージョン) など、1つのゾーンのみをサポートするリージョンにデプロイされている場合、VPCにはゾーン内に少なくとも1つのvSwitchが必要です。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョン (中国 (上海) など) にデプロイされている場合、VPCにはゾーン内に少なくとも2つのvSwitchが必要です。 vSwitchは異なるゾーンにある必要があります。
この例でのCIDRブロックの割り当て方法を次の表に示します。 ビジネス要件に基づいてCIDRブロックを割り当てることができます。 CIDRブロックが互いに重ならないようにしてください。
エンティティ
CIDRブロック
サーバーまたはクライアントのIPアドレス
データセンター
10.1.1.0/24
クライアントIPアドレス: 10.1.1.1
VPC
192.168.20.0/24
サーバーIPアドレス: 192.168.20.161
VBR1
仮想ローカルエリアネットワーク (VLAN) ID: 110
VBRのIPv4 CIDRブロック: 172.16.1.2/30
データセンターのゲートウェイデバイス用のIPv4 CIDRブロック: 172.16.1.1/30
非該当
VBR2
VLAN ID: 120
VBRのIPv4 CIDRブロック: 172.16.2.2/30
データセンターのゲートウェイデバイス用のIPv4 CIDRブロック: 172.16.2.1/30
非該当
手順
ステップ1: Express Connect回路を介して2つの接続を作成する
この例では、2つの専用接続が作成されます。 詳細については、「Express Connect 回線を介した専用接続の作成と管理」をご参照ください。
Express Connect Circuit 2を申請する場合、アクセスポイントに基づいて冗長なExpress Connect回路を指定する必要がある場合があります。
2つのExpress connect回路を同じアクセスポイントに接続する場合は、Redundant Express Connect Circuit IDパラメーターをExpress Connect Circuit 1のIDに設定します。 このように、2つのExpress Connect回路は異なるアクセスデバイスに接続されます。
2つのExpress Connect回路が異なるアクセスポイントに接続されている場合、冗長なExpress Connect回路を指定する必要はありません。 この場合、Redundant Express Connect Circuit IDパラメーターを設定する必要はありません。
この例では、Express Connect回路は異なるアクセスポイントに接続されています。
ステップ2: VBRの作成
各Express Connect回路のVBRを作成します。 VBRは、データセンターとVPC間のデータ交換のためのブリッジとして機能します。
Express Connectコンソールにログインします。
上部のナビゲーションバーでリージョンを選択し、左側のナビゲーションウィンドウで [仮想ボーダールーター (VBR)] をクリックします。
仮想ボーダールーター (VBR) ページで、[VBRの作成] をクリックします。 [VBRの作成] パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
[アカウント]
VBRが属するAlibaba Cloudアカウント。
この例では、現在のアカウント が選択されています。
名前
VBR の名前。
この例では、VBR1が入力される。
エクスプレスコネクト回路
Express Connect回路を介した接続のタイプ。 この例では、Dedicated Physical ConnectionとExpress Connect Circuit 1が選択されています。
VLAN ID
VBR の VLAN ID 。
この例では、110が入力されます。
VBR 帯域幅値の設定
VBRの帯域幅。
この例では、200Mbが選択されている。
Alibaba CloudサイドIPv4アドレス
VPCとデータセンター間でネットワークトラフィックをルーティングするためのVBRのIPv4アドレス。
この例では、172.16.1.2が入力されます。
データセンター側IPv4アドレス
データセンターとVPC間でネットワークトラフィックをルーティングするための、データセンター内のゲートウェイデバイスのIPv4アドレス。
この例では、172.16.1.1が入力されます。
IPv4サブネットマスク
指定されたIPv4アドレスのサブネットマスク。
この例では、255.255.255.252が使用されます。
上記の手順を繰り返して、他のExpress Connect回路用のVBR2を作成します。
次の表に、VBR2に関連するパラメーターを示します。
パラメーター
説明
[アカウント]
VBRが属するAlibaba Cloudアカウント。
この例では、現在のアカウント が選択されています。
名前
VBR の名前。
この例では、VBR2が入力される。
エクスプレスコネクト回路
Express Connect回路を介した接続のタイプ。 この例では、Dedicated Physical ConnectionとExpress Connect Circuit 2が選択されています。
VLAN ID
VBR の VLAN ID 。
この例では、120が入力されます。
VBR 帯域幅値の設定
VBRの帯域幅。
この例では、200Mbが選択されている。
Alibaba CloudサイドIPv4アドレス
VPCとデータセンター間でネットワークトラフィックをルーティングするためのVBRのIPv4アドレス。
この例では、172.16.2.2が入力されます。
データセンター側IPv4アドレス
データセンターとVPC間でネットワークトラフィックをルーティングするための、データセンター内のゲートウェイデバイスのIPv4アドレス。
この例では、172.16.2.1が入力されます。
IPv4サブネットマスク
指定されたIPv4アドレスのサブネットマスク。
この例では、255.255.255.252が使用されます。
手順3: トランジットルーターをVPCとVBRに接続する
Express Connect回路をインストールしたら、中国 (上海) リージョンのトランジットルーターを、データセンターに接続するVPCに接続する必要があります。 次に、トランジットルーターをExpress connect回路に関連付けられているVBRに接続します。 これにより、VPCとデータセンターは互いに通信できます。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、管理するトランジットルーターを見つけ、アクション 列の 接続の作成 をクリックします。
ピアネットワークインスタンスとの接続ページで、以下のパラメーターを設定し、OKをクリックします。
説明この操作を初めて実行すると、AliyunServiceRoleForCENという名前のサービスにリンクされたロールが自動的に作成されます。 このロールにより、トランジットルーターはVPCのvSwitchにelastic network interface (ENI) を作成できます。 詳細については、「AliyunServiceRoleForCEN」をご参照ください。
パラメーター
説明
[インスタンスタイプ]
ネットワークインスタンスのタイプ。
この例では、VPCが選択されています。
リージョン
VPCがデプロイされているリージョン。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンにトランジットルーターが自動的に表示されます。
リソース所有者ID
VPCが属するAlibaba Cloudアカウント。
この例では、[現在のアカウント] が選択されています。
課金方法
デフォルトでは、トランジットルーターは従量課金方式を使用します。
詳細については、「課金ルール」をご参照ください。
添付ファイル名
VPC接続の名前。
この例では、VPCテストが使用されています。
タグ
Tag Key: タグのキー。 キーを選択または入力できます。 タグキーの長さは最大64文字です。 タグキーは
aliyunまたはacs:で始めることはできません。また、http://またはhttps://を含めることはできません。タグ値: タグの値。 値を選択または入力できます。 タグの値の長さは、最大 128 文字です。 タグ値は
aliyunまたはacs:で始めることはできません。また、http://またはhttps://を含めることはできません。
ネットワークインスタンス
VPC の ID です。
この例では、作成したVPCが選択されています。
VSwitch
トランジットルーターをサポートするゾーンのvSwitch。
この例では、対応するゾーンのvSwitchが選択されています。
詳細設定
デフォルトでは、次の高度な機能が有効になっています。トランジットルーターのデフォルトルートテーブルとの関連付け、トランジットルーターのデフォルトルートテーブルへのシステムルートの転送、トランジットルーターへのルートポイントの作成と現在のVPCのすべてのルートテーブルへの追加。
この例では、デフォルト設定を使用します。
On theピアネットワークインスタンスとの接続ページをクリックします。より多くの接続を作成する.
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックしてVBR1の接続を作成します。
パラメーター
説明
[インスタンスタイプ]
ネットワークインスタンスのタイプ。 この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン
VBRがデプロイされているリージョン。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンにトランジットルーターが自動的に表示されます。
リソース所有者ID
VBRが属するAlibaba Cloudアカウント。
この例では、[現在のアカウント] が選択されています。
添付ファイル名
VBR接続の名前。
この例では、VBR-testが使用されます。
ネットワークインスタンス
VBR の ID 。
この例では、VBR1が選択される。
詳細設定
デフォルトでは、次の高度な機能が有効になっています。トランジットルーターのデフォルトルートテーブルに関連付ける、トランジットルーターのデフォルトルートテーブルにシステムルートを転送する、VBRにルートを転送する。
この例では、デフォルト設定を使用します。
ステップ5とステップ6を繰り返して、VBR2の接続を作成します。
ネットワーク接続が作成されたら、[領域内接続] タブで接続の詳細を表示できます。 詳細については、「ネットワークインスタンス接続の表示」をご参照ください。
手順 4: ルートの設定
データセンターとVBR間のBGPルーティングを設定する必要があります。 Autonomous System (AS) パス属性を使用して、データセンターのルート優先度を設定できます。
データセンターとVBRをBGPピアとして設定し、ルートをアドバタイズします。 詳細については、「BGPの設定と管理」をご参照ください。
Alibaba Cloud の自律システム番号 (ASN) は 45104 です。 データセンターは、2バイトまたは4バイトのASNを使用できます。
データセンターでBGPルーティングを設定する場合、Alibaba Cloudに通知するBGPルートの宛先CIDRブロックを指定する必要があります。 この例では、宛先CIDRブロックは10.1.1.0/24です。 Alibaba Cloudからデータセンターへのアクティブ /スタンバイ接続を確立するには、ASパス長を指定してルートの優先度を決定します。
プライマリExpress Connect回路はCPE1に接続します。 セカンダリExpress Connect回路はCPE2に接続します。 ASパスの長さを設定して、ルートの優先度を設定できます。 より短いASパスは、より高い優先度を示す。 次の表に、データセンターの2つのCPEでBGPルーティングを設定する方法を示します。 コマンドの詳細については、CPEのサービスプロバイダーにお問い合わせください。
パラメーター | CPE1 | CPE2 |
VLAN タグ | 110 | 120 |
ネットワーク | 10.1.1.0/24 | 10.1.1.0/24 |
BGP ASN | 6 *** 3 | 6 *** 4 |
インターフェイス IP | 172.16.1.1/24 | 172.16.2.1 / 24 |
ASパス | B、A | C、B、A |
トランジットルーターは自動的にルートを学習して宣伝します。 BGPルーティングを設定すると、トランジットルーターはルートの優先順位に基づいて自動的にルートを学習します。 次の表に、ルート学習の詳細を示します。
VBRのBGPルーティング情報
項目
VBR1
VBR2
送信先 CIDR ブロック
10.1.1.0/24
10.1.1.0/24
次ホップ
172.16.1.1
172.16.2.1
上記の表は、VBRがBGPピアから学習するルーティング情報を示しています。 トランジットルーターにVBR接続が作成されます。 したがって、VBRは、ASパスを含む、データセンタからトランジットルータに学習されたBGPルートを広告することができる。
グローバルルート設定
CPEのルート設定
パラメーター
CPE1
CPE2
VLAN タグ
110
120
ネットワーク
10.1.1.0/24
10.1.1.0/24
BGP ASN
6 *** 3
6 *** 4
インターフェイス IP
172.16.1.1/24
172.16.2.1 / 24
ASパス
B、A
C、B、A
VBRのルート設定
パラメーター
VBR1
VBR2
送信先 CIDR ブロック
10.1.1.0/24
10.1.1.0/24
次ホップ
172.16.1.1
172.16.2.1
データセンターのルート設定
送信先 CIDR ブロック
192.168.20.0/24
次ホップ
172.16.1.2
172.16.2.2
中継ルータのルート設定
送信先 CIDR ブロック
10.1.1.0/24
次ホップ
VBR1
VBR接続とVPC接続がトランジットルーターに作成されます。 したがって、VBRから学習されたBGPルートは、ルート優先度に基づいてトランジットルータに広告され得る。
VBRがデータセンターから学習するBGPルートは、同じ宛先CIDRブロックを共有しますが、優先度が異なります。 VBR1に接続されているExpress Connect回路は、プライマリリンクとして機能します (asパスは短くなります) 。 VBR2に接続されているExpress Connect回路は、セカンダリリンクとして機能します (asパスが長くなります) 。 BGPルートがトランジットルーターにアドバタイズされた後、VPCなどのトランジットルーターに接続されたネットワークインスタンスはルートを学習できます。 ネクストホップがVBR1である10.1.1.0/24のルートがVPCのルートテーブルに表示されます。
トランジットルーターは、そのシステムルートをデータセンターのBGPルートテーブルにアドバタイズします。 VBR上のインターフェイスのIPアドレスを指すルートは、データセンターのBGPルートテーブルに表示されます。 インターフェイスは、データセンターのBGPピアとして設定したものです。
データセンターからVPC (192.168.20.0/24) へのプライマリおよびセカンダリルーティングパスを指定するには、ASパス属性を使用してVBR1およびVBR2で学習したルートの優先度を設定します。
手順 5: ヘルスチェックを設定する
Express Connect回路のヘルスチェックを設定する必要があります。 ヘルスチェックが設定された後、プローブパケットは指定された時間間隔で送信されます。 指定された数のプローブパケットが送信された後、いずれかのExpress Connect回線から応答が返されない場合、CENは他のExpress Connect回線に自動的に切り替えます。
CENコンソールにログインします。
左側のナビゲーションウィンドウで、[ヘルスチェック] をクリックします。
[ヘルスチェック] ページで、VBRがデプロイされているリージョンを選択します。 [ヘルスチェックの設定] をクリックします。
この例では、VBR1のリージョンである中国 (上海) が選択されている。
ヘルスチェックの設定ダイアログボックスで、次の表に記載されているパラメーターを設定し、OKをクリックします。
パラメーター
説明
[インスタンス数]
VBRがアタッチされているCENインスタンス。
仮想ボーダールーター (VBR)
監視するVBR。The VBR that you want to monitor.
この例では、VBR1が選択される。
送信元IPアドレス
送信元 IP アドレス。 次のいずれかの方法を選択して、送信元IPアドレスを指定できます。
自動IPアドレス: システムは、100.96.0.0/16 CIDRブロックからIPアドレスを自動的に割り当てます。 このオプションを選択することを推奨します。
説明このオプションを選択し、ピアでACLポリシーが設定されている場合は、このCIDRブロックを許可するようにACLポリシーを変更する必要があります。 そうでなければ、ヘルスチェックは失敗です。
カスタムIPアドレス: 10.0.0.0/8、192.168.0.0/16、または172.16.0.0/12 CIDRブロック内のアイドルIPアドレスを指定する必要があります。 指定されたIPアドレスは、通信するIPアドレス、Alibaba Cloud側のVBRのIPアドレス、またはユーザー側のVBRのIPアドレスではありません。
宛先IP
ユーザー側のVBRのIPアドレス。
プローブ間隔 (秒)
ヘルスチェックのためにプローブパケットが送信される間隔。 単位は秒です。
デフォルト値:2 有効な値: 2 ~ 3。
プローブパケット
ヘルスチェックのために送信されるプローブパケットの数。 単位: パケット。
デフォルト値: 8。 有効な値: 3 ~ 8。
ルート変更
ヘルスチェック機能を冗長ルートに切り替えるかどうかを指定します。
デフォルトでは、Change Routeがオンになっています。 これは、ヘルスチェック機能が冗長ルートに切り替えることができることを示しています。 CENインスタンスで冗長ルートが設定されている場合、Express Connect回路でエラーが検出されると、ヘルスチェック機能はすぐに冗長ルートに切り替わります。
[ルートの変更] をオフにした場合、ヘルスチェック機能は冗長ルートに切り替わりません。 プロービングのみが実行される。 Express Connect回路でエラーが検出されても、ヘルスチェック機能は冗長ルートに切り替わりません。
警告ルートの変更をオフにする前に、システムが他のメカニズムを使用して冗長ルートに切り替えることができることを確認してください。 それ以外の場合、Express Connect回路がダウンしているとネットワーク接続が中断されます。
説明システムは、指定された間隔でプローブパケットを送信します。 連続してドロップされたパケットの数が指定された値に達すると、ヘルスチェックは失敗します。
ステップ6: VBRのBFDを有効にする
VBRのBFDを有効にして、ネットワークコンバージェンスを高速化します。
Express Connectコンソールにログインします。
上部のナビゲーションバーでリージョンを選択し、左側のナビゲーションウィンドウで [仮想ボーダールーター (VBR)] をクリックします。
On the仮想ボーダールーター (VBR)ページで、管理するVBRを見つけてクリックします。編集で、アクション列を作成します。
VBRの編集パネルで、パラメータを設定し、OKをクリックします。
次の表に、BFDに関連するパラメーターを示します。 他のパラメーターにはデフォルト値を使用します。
パラメーター
説明
提出間隔
BFDパケットが送信される時間間隔。 単位:ミリ秒。
デフォルト値: 1000 この例では、デフォルト値が使用されます。
受付間隔
BFDパケットが受信される時間間隔。 単位:ミリ秒。
デフォルト値: 1000 この例では、デフォルト値が使用されます。
検出時間乗数
失われたパケットの最大数を決定するために使用される検出時間乗数。
デフォルト値: 3 この例では、デフォルト値が使用されます。
On the仮想ボーダールーター (VBR)ページで、BGPルーティングを設定するVBRのIDをクリックします。
VBRの詳細ページで、BGPピアタブをクリックします。
管理するBGPピアを見つけて、をクリックします。編集で、アクション列を作成します。
BGPピアの変更パネル、選択BFDの有効化を設定し、BFDホップカウントをクリックし、OKをクリックします。
説明BFDは、シングルホップおよびマルチホップ認証をサポートしています。 ネットワーク設定に基づいてホップを設定できます。
ステップ7: ネットワーク接続のテスト
プライマリおよびセカンダリExpress Connect回路の接続性をテストするには、次の操作を実行します。
オンプレミスデータセンターのコンピューターの [コマンドプロンプト] ウィンドウを開きます。
pingコマンドを実行して、VPCの192.168.0.0/24 CIDRブロックに属するECSインスタンスに接続します。 pingリクエストが成功すると、オンプレミスデータセンターとAlibaba Cloud間の接続が確立されます。専用回線 (VBR1からCPE1など) を切断し、
tracertコマンドを実行します。 CENインスタンスがルートを切り替え、Alibaba CloudからオンプレミスデータセンターへのすべてのトラフィックがVBR2経由で転送されていることがわかります。