このトピックでは、VPC NATゲートウェイを使用して、重複するCIDRブロックを持つ仮想プライベートクラウド (VPC) が相互にアクセスできるようにする方法について説明します。
背景情報
初期のネットワーク計画またはビジネス統合により、互いに通信するために重複するCIDRブロックを持つ2つのVPCが必要になる場合があります。 VPC NATゲートウェイを作成し、各VPCにNAT IPアドレスを設定できます。 2つのNAT IPアドレスは競合できません。 一方のVPCはSNATを使用して、送信元IPアドレスを設定済みのNAT IPアドレスに変換します。これにより、VPCはもう一方のVPCにアクセスできます。 他のVPCは、DNATエントリで設定されたNAT IPアドレスを使用してサービスを提供します。 このようにして、2つのVPCは互いにアクセスできます。
シナリオ
このトピックでは、次のシナリオを例として使用します。 ある企業が中国 (青島) リージョンにVPC1とVPC2という名前の2つのVPCを作成しました。2つのVPCには同じCIDRブロック192.168.0.0/16があります。 VPC1にCIDRブロック192.168.0.0/24を持つVSW1という名前のサービスvSwitchが作成されています。 ECS1という名前のElastic Compute Service (ECS) インスタンスがVSW1に作成されます。 VPC2では、CIDRブロック192.168.0.0/24を持つVSW3という名前のサービスvSwitchが作成されます。 ECS2という名前のECSインスタンスがVSW3に作成されます。 ビジネス開発要件により、VPC1はVPC2にアクセスする必要があります。 VPC1とVPC2には同じCIDRブロックがあるため、VPC1とVPC2は、Cloud Enterprise Network (CEN) インスタンスを使用して相互に直接アクセスすることはできません。 VPC1でCIDRブロック192.168.100.0/24でVSW2という名前のトランジットvSwitchを作成し、VPC2でCIDRブロック192.168.200.0/24でVSW4という名前のトランジットvSwitchを作成し、VSW2およびVSW4でVPC NATゲートウェイを作成できます。 このように、VPC1とVPC2は、VPC NATゲートウェイのSNAT機能とDNAT機能を使用して相互にアクセスできます。 
手順
前提条件
Alibaba Cloud アカウントが作成済みであること。 詳細については、次をご参照ください: Alibaba Cloudアカウントの作成
VPCとvSwitchは、次の表のように作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
VPC名
リージョン
CIDRブロック
vSwitch名
ゾーンとCIDRブロック
VPC1
中国 (青島)
192.168.0.0/16
サービスvSwitch: VSW1
トランジットvSwitch: VSW2
VSW1: 青島ゾーンB、192.168.0.0/24
VSW2: 青島ゾーンC、192.168.100.0/24
VPC2
中国 (青島)
192.168.0.0/16
サービスvSwitch: VSW3
トランジットvSwitch: VSW4
VSW3: 青島ゾーンB、192.168.0.0/24
VSW4: 青島ゾーンC、192.168.200.0/24
ECS1という名前のECSインスタンスがVSW1に作成されます。 ECS2という名前のECSインスタンスがVSW3に作成されます。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
CEN インスタンスが作成されていること。 詳細については、「CENインスタンスの作成」をご参照ください。
ステップ1: 2つのVPC NATゲートウェイを作成する
次の手順を実行して、VSW2にVPC NATGW1という名前のVPC NATゲートウェイを作成し、VSW4にVPC NATGW2という名前のVPC NATゲートウェイを作成します。
NAT Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
VPC NAT ゲートウェイ ページで、VPC NAT Gateway の作成 をクリックします。
[VPC NAT Gateway (従量課金)] ページで、次のパラメーターを設定し、[今すぐ購入] をクリックします。
次の表に、VPC NATGW1およびVPC NATGW2のパラメーターを示します。
パラメーター
説明
値
リージョン
VPC NATゲートウェイを作成するリージョンを選択します。
両方のVPC NAT Gatewayに [中国 (青島)] を選択します。
VPC ID
VPC NATゲートウェイが属するVPCを選択します。 VPC NATゲートウェイを作成した後、所属するVPCを変更することはできません。
VPC NATGW1: VPC1
VPC NATGW2: VPC2
ゾーン
VPC NATゲートウェイが属するゾーンを選択します。
VPC NATGW1: VSW2のゾーン。
VPC NATGW2: VSW4のゾーン。
vSwitch ID
VPC NATゲートウェイが属するvSwitchを選択します。 独立したvSwitchを選択することを推奨します。
VPC NATGW1: VSW2。
VPC NATGW2: VSW4。
名前
VPC NATゲートウェイの名前を入力します。
名前は 1 から 128 文字にしなければなりません。
VPC NATGW1を入力します。
VPC NATGW2を入力します。
サービスにリンクされたロール
VPC NATゲートウェイに対してサービスにリンクされたロールが作成されているかどうかを表示します。
インターネットNATゲートウェイとVPC NATゲートウェイを含むNATゲートウェイを初めて使用する場合は、[サービスにリンクされたロールの作成] をクリックしてサービスにリンクされたロールを作成する必要があります。
[注文の確認] ページで情報を確認し、[利用規約] チェックボックスをオンにして、[今すぐ有効化] をクリックします。
メッセージが注文完了。 が表示されると、VPC NATゲートウェイが作成されたことを示します。
ステップ2: カスタムルートテーブルの作成
VSW2とVSW4のカスタムルートテーブルを作成するには、次の手順を実行します。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
ルートテーブルページで、ルートテーブルの作成をクリックします。
[ルートテーブルの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表に、VSW2およびVSW4のカスタムルートテーブルのパラメーターを示します。
パラメーター
説明
値
リソースグループ
ルートテーブルが属するリソースグループを選択します。
両方のルートテーブルに対して [すべて] を選択します。
[VPC]
ルートテーブルが属する VPC を選択します。
VSW2のルートテーブル: VPC1を選択します。
VSW4のルートテーブル: VPC2を選択します。
名前
ルートテーブルの名前を入力します。
VSW2のルートテーブル: VSW2VTB
VSW4のルートテーブル: VSW4VTB
説明
ルートテーブルの説明を入力します。
VSW2のルートテーブル: VSW2カスタムルートテーブルを入力します。
VSW4のルートテーブル: VSW4カスタムルートテーブルを入力します。
[ルートテーブル] ページで、作成したルートテーブルを見つけ、そのIDをクリックします。
ルートテーブルの詳細ページで、[関連vSwitch] タブをクリックし、[vSwitchの関連付け] をクリックします。
[vSwitchの関連付け] ダイアログボックスで、関連付けるvSwitchを選択し、[OK] をクリックします。
VSW2VTBをVSW2に関連付けます。
VSW4VTBをVSW4に関連付けます。
ステップ3: VPCをCENインスタンスにアタッチする
VPC1とVPC2を中国 (青島) リージョンのトランジットルーターに接続します。 このようにして、CENは自動的にルートを分散して学習し、VPC1とVPC2間の通信を有効にします。
VPCをEnterprise Editionトランジットルーターに接続する前に、VPCにEnterprise Editionトランジットルーターをサポートするゾーンに少なくとも1つのvSwitchがあることを確認してください。 vSwitchには、少なくとも1つのアイドルIPアドレスが必要です。 この例では、トランジットルーターは中国 (青島) リージョンに作成されています。 青島ゾーンBおよび青島ゾーンCは、エンタープライズ版トランジットルーターをサポートしています。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、管理するトランジットルーターを見つけ、アクション 列の 接続の作成 をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
説明この操作を初めて実行すると、サービスにリンクされたロールAliyunServiceRoleForCENが自動的に作成されます。 このロールにより、トランジットルーターは、接続するVPCのvSwitchにelastic network interface (ENI) を作成できます。 詳細については、「AliyunServiceRoleForCEN」をご参照ください。
次の表に、VPC1接続およびVPC2接続のパラメーターを示します。
パラメーター
説明
値
ネットワークタイプ
接続するネットワークインスタンスのタイプを選択します。
[VPC] を選択します。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
中国 (青島) を選択します。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
中国 (青島) リージョンのトランジットルーターが表示されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
[アカウント] を選択します。
課金方法
デフォルトでは、トランジットルーターは従量課金の課金方法を使用します。
課金ルールの詳細については、「課金ルール」をご参照ください。
従量課金が表示されます。
添付ファイル名
VPC接続の名前を入力します。
VPC1接続: VPC1と入力します。
VPC2接続: VPC2と入力します。
ネットワーク
接続するVPCのIDを選択します。
VPC1接続: VPC1のIDを選択します。
VPC2接続: VPC2のIDを選択します。
vSwitch
トランジットルーターをサポートするゾーンでvSwitchを選択します。
VPC1接続:
青島ゾーンB: VSW1を選択します。
青島ゾーンC: VSW2を選択します。
VPC2接続:
青島ゾーンB: VSW3を選択します。
青島ゾーンC: VSW4を選択します。
詳細設定
デフォルトでは、次の高度な機能が選択されています。トランジットルーターのデフォルトルートテーブルに関連付ける、トランジットルーターのデフォルトルートテーブルにシステムルートを転送する、トランジットルーターへのルートを自動的に作成し、現在のVPCのすべてのルートテーブルに追加します。
デフォルト設定が使用されます。
VPCコンソールに戻ります。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
[ルートテーブル] ページで、VPC1のシステムルートテーブルを見つけ、そのIDをクリックします。
タブで、競合するルートを見つけ、[CENのルートステータス] 列の [撤回] をクリックします。
ステップ4: カスタムルートテーブルにルートを追加する
次の手順を実行して、VSW2VTBおよびVSW4VTBにルートを追加します。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
[ルートテーブル] ページで、管理するカスタムルートテーブルを見つけ、そのIDをクリックします。
を選択し、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
値
名前
ルートの名前を入力します。
VSW2VTB: VPCNATGW1ENTRY
VSW4VTB: VPCNATGW2ENTRY
宛先CIDRブロック
ネットワークトラフィックが転送されるCIDRブロックを入力します。
このパラメーターをピア中継vSwitchのCIDRブロックに設定します。
VSW2VTB: 192.168.200.0/24
VSW4VTB: 192.168.100.0/24
ネクストホップタイプ
ネクストホップタイプを選択します。
トランジットルーターを選択します。
トランジットルーター
トランジットルーターを選択します。
VPC1: VPC1接続のカスタムルートテーブル
VPC2: VPC2接続のカスタムルートテーブル
ステップ5: システムルートテーブルにルートを追加する
次の手順を繰り返して、VPC1およびVPC2のシステムルートテーブルにルートを追加します。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
[ルートテーブル] ページで、管理するシステムルートテーブルのIDをクリックします。
を選択し、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
値
名前
ルートの名前を入力します。
VPC1: VPC1のシステムルートテーブル。
VPC2: VPC2のシステムルートテーブル。
宛先CIDRブロック
ネットワークトラフィックが転送されるCIDRブロックを入力します。
このパラメーターをピア中継vSwitchのCIDRブロックに設定します。
VPC1のシステムルートテーブル: 192.168.200.0/24
VPC2のシステムルートテーブル: 192.168.100.0/24
ネクストホップタイプ
ネクストホップタイプを選択します。
[NAT Gateway] を選択します。
NATゲートウェイ
NATゲートウェイを選択します。
VSW2VTB: VPC NATGW1を選択します。
VSW4VTB: VPC NATGW2を選択します。
ステップ6: VPC NATGW1でSNATエントリを設定する
NAT Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、VPC NATゲートウェイが作成されているリージョンを選択します。
VPC NAT ゲートウェイ ページで、管理するVPC NAT gatewayを見つけ、[操作] 列の SNAT の管理 をクリックします。
SNAT の管理 タブで、SNAT エントリの作成 をクリックします。
SNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
SNAT エントリ
VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、VPC の指定 が選択されています。これは、VPC NATゲートウェイが属するVPC内のすべてのECSインスタンスがSNATエントリを使用して外部ネットワークにアクセスすることを指定します。
NAT IP アドレスの選択
外部ネットワークへのアクセスに使用するNAT IPアドレスを選択します。 この例では、デフォルトのNAT IPアドレスが選択されています。
エントリ名
SNATエントリの名前を入力します。
ステップ7: VPC NATGW2でDNATエントリを設定する
NAT Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、VPC NATゲートウェイが作成されているリージョンを選択します。
VPC NAT ゲートウェイ ページで、管理するVPC NAT gatewayを見つけ、[操作] 列の DNAT の管理 をクリックします。
DNAT の管理 タブで、DNAT エントリの作成 をクリックします。
DNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
NAT IP アドレスの選択
外部ネットワークからのリクエストの受信に使用するNAT IPアドレスを選択します。 この例では、デフォルトのNAT IPアドレスが選択されています。
プライベート IP アドレスの選択
DNATエントリを使用して外部ネットワークと通信するECSインスタンスのプライベートIPアドレスを指定します。 [ECSまたはENIで選択] を選択し、ECS2のプライベートIPアドレスを選択します。
ポート設定
DNATマッピング方法を選択します。 この例では、ポートマッピングが使用される。 [特定のポート] を選択します。 フロントエンドポート および バックエンドポート に22を入力し、[プロトコルタイプ] に [TCP] を選択します。
エントリ名
DNATエントリの名前を入力します。
ステップ8: 接続をテストする
VSW1でECS1にログオンします。 詳細については、「接続方法」をご参照ください。
pingコマンドを実行してVPC NATGW2のデフォルトNAT IPアドレスをpingし、ECS1がECS2にアクセスできるかどうかをテストします。テスト結果は、ECS1がECS2にアクセスできることを示しています。
ssh root @ NAT IP addressコマンドを実行します。NAT IPアドレスはVPC NATGW2のデフォルトNAT IPアドレスです。 次に、ECS2のパスワードを入力して、ECS1がECS2にリモート接続できるかどうかをテストします。Alibaba Cloud Elastic Compute Serviceへようこそ!が表示されると、ECS2に接続されます。テスト結果は、ECS1がVPC NATGW2のDNAT機能を使用してECS2にアクセスできることを示しています。
