Alibaba Cloudは、柔軟なスケーリングと、仮想プライベートクラウド (VPC) をインターネット、他のVPC、およびオンプレミスデータセンターに接続するための高速で信頼性の高い接続ソリューションを備えた、安全で分離されたネットワーク環境を提供します。 VPCに必要なサービスを追加して、ビジネスニーズに合ったネットワーク接続を設定できます。
インターネットアクセスの有効化
パブリックIPアドレスタイプの選択
インターネットからクラウドにデプロイされたアプリケーションにアクセスする場合、またはその逆の場合、アプリケーションサーバーにパブリックIPアドレスが必要です。 静的パブリックIPアドレスとelastic IPアドレス (EIP) の2つのタイプのいずれかを選択できます。
静的パブリックIPアドレス: ECS (Elastic Compute Service) またはSLB (Server Load Balancer) インスタンスを作成するときに、パブリックIPv4アドレスの割り当てを有効にできます。 システムは、アウトバウンドとインバウンドの両方のパブリックネットワークアクセスをサポートするIPアドレスを自動的に割り当てます。 IPアドレスが割り当てられた後、IPアドレスは変更できず、インスタンスを削除することによってのみ削除できます。 このオプションでは、IPアドレスのバインド解除と管理を柔軟に行うことはできません。
EIP: EIPは独立したパブリックIPリソースであり、必要に応じてインスタンスとの関連付けを解除でき、柔軟な管理が可能です。 アプリケーションサーバーにEIPを使用することを推奨します。
統合されたインターネットトラフィックの入力
1つのバックエンドサーバーがパブリックIPを使用してサービスを提供する場合、サーバーに問題があると、1つの障害点が発生し、システムが使用できなくなる可能性があります。
ビジネスシナリオでは、Server Load Balancer (SLB) を使用してトラフィックの入力を一元化し、異なるゾーンにバックエンドサーバーをデプロイすることを推奨します。 このアプローチは、トラフィックを異なるバックエンドサーバーに分散するため、サービスのスループットが向上し、単一障害点がなくなり、システムの可用性が向上します。
SLB製品には、Application Load Balancer (ALB) 、Network Load Balancer (NLB) 、Classic Load Balancer (CLB) が含まれます。 要件に最適な製品を選択してください。
統合インターネットトラフィックの出力
単一のサーバがパブリックIPでインターネットにアクセスできる一方で、複数のサーバを使用すると、パブリックIPリソースが消費される可能性があります。 これに対処するには、NATゲートウェイのSNAT機能を有効にします。 これにより、VPC内のECSインスタンスがインターネットアクセス用のEIPを共有できるようになり、パブリックIPアドレスが保存されます。
インターネットアクセスの制御
適切なインターネットアクセス制御は、クラウド上のアプリケーションがインターネット経由でサービスを提供する場合に重要です。
たとえば、VPC内のECSサーバーを考えてみましょう。 集中アクセス制御には、次の方法を使用できます。
IPv4 Gatewayは、パブリックIPv4トラフィックのゲートウェイとして機能します。 この機能がない場合、ECSインスタンスはパブリックIPをバインドした後にインターネットにアクセスできます。 ただし、IPv4ゲートウェイが作成および有効化されると、VPCからのインターネットアクセスはIPv4ゲートウェイによって管理されます。 パブリックIPv4アクセスの集中制御のために、サブネットルーティングと一緒に使用できます。
IPv6 Gatewayは、パブリックIPv6トラフィックのゲートウェイとして機能します。 VPC内のインスタンスに割り当てられたデフォルトのIPv6アドレスは、プライベート通信のみが可能です。 IPv6ゲートウェイでIPv6アドレスのパブリック帯域幅を有効にすることで、インターネットにアクセスする機能を提供します。 送信アクセスのみを許可する送信のみのルールがサポートされています。
特定のビジネス要件を満たすクラウドリソースまたは機能を選択できます。 次の表に、これらのオプションの利点と制限を示します。
シナリオ | プロダクト | 関数 | 利点と制限 |
アプリケーションサーバーのパブリックIPの構成 | 静的パブリックIP | ECSインスタンスの作成時にパブリックIPアドレスの割り当てを有効にすると、システムは自動的にIPアドレスを割り当て、インターネットからアクセスします。 | インターネット共有帯域幅とデータ転送プランを使用してコストを削減します。 静的パブリックIPアドレスはECSインスタンスからバインド解除できないため、EIPに置き換えることができます。 |
EIPは、ECSインスタンスとの関連付けおよび関連付けの解除が可能です。 EIPは、SNATを介したアウトバウンドインターネットアクセスとDNATを介したインバウンドアクセスをサポートします。 | EIPは、いつでもECSインスタンスからバインドおよびバインド解除できます。 インターネット共有帯域幅とデータ転送プランを使用してコストを削減します。 | ||
統合インターネットトラフィックの入力 | ポートに基づいて、レイヤー4とレイヤー7で負荷分散サービスを提供します。 SLBを介したECSへのインターネットアクセスを有効にします。 | SLBは、単一障害点を防ぐために、ネットワークトラフィックをECSインスタンス全体に分散します。 これにより、アプリケーションシステムの可用性が向上します。 ECSは、SLBを介してインターネットにアクティブにアクセスできません。 | |
統合インターネットトラフィックの出力 | 複数のECSインスタンスがインターネットからアクセスできるようにします。 | インターネットNAT Gatewayは、複数のECSインスタンスとインターネット間の通信を容易にしますが、EIPは1つのECSインスタンスとインターネット間の通信のみをサポートします。 SLBとは異なり、インターネットNATゲートウェイはECSインスタンスの負荷を分散できません。 | |
インターネットアクセスの制御 | インスタンスのインターネットアクセスを管理し、パブリックトラフィックを厳密に制御することでセキュリティを強化します。 | ルーティングによるインターネットアクセスを制御し、パブリックIPを使用してインターネットアクセスに関連するセキュリティリスクを軽減します。 インバウンドルーティングポリシー制御は、セキュリティ保護のために仮想ファイアウォールと組み合わせることができる。 |
VPC の接続
2つのVPCの接続
2つのVPCを接続する必要がある場合は、高速で安全なネットワークのためにVPCピアリング接続を作成できます。
VPCピアリング接続により、同じまたは異なるアカウントで、同じまたは異なるリージョンの2つのVPC間のプライベートネットワーク通信が可能になります。 VPCピアリング接続が設定されたら、接続を有効にするように要求元VPCと受信元VPCのルートエントリを設定できます。
2つ以上のVPCを接続する
広大なクラウドコンピューティング環境では、企業は多くの場合、さまざまなリージョンに配置され、重要な操作を処理する可能性のある多数のVPCを管理する必要があります。 Cloud Enterprise Networks (CEN) を使用して、これらのVPCを接続し、統合ネットワークアーキテクチャを形成し、安定した安全で高速な接続を提供できます。 これにより、効率的なリソース共有と柔軟なスケジューリングが容易になります。 また、マルチクラウド環境で、さまざまなリージョンやアカウント間でのデータ同期、アプリケーションの移行、および共同作業もサポートしています。 これにより、ネットワーク管理の複雑さが大幅に減少し、運用効率が向上します。
CENは、トランジットルーターを介してネットワークインスタンスを接続し、同じリージョンまたは異なるリージョンのインスタンス間でトラフィックをルーティングします。 接続の作成時にVPCをトランジットルーターに追加すると、ルートが自動的に同期されます。 各リージョンで使用できるトランジットルーターは1つだけです。 異なる地域のトランジットルーターは互いに接続する必要があります。 CENおよびEnterprise Editionトランジットルーターを使用して、リージョンおよびアカウント間でVPCを接続できます。
モニタリングチャートはCENコンソールで利用でき、ネットワークの運用状況をすばやく把握し、O&M効率を向上させます。
同じリージョンのVPC間のプライベートネットワークアクセス
VPCにデプロイされたクラウドサービスを他のVPCに提供するには、PrivateLinkを使用できます。これは、NATゲートウェイやEIPなどのインターネット出力を必要としません。 PrivateLinkは、データがインターネット経由で送信されないため、高いデータセキュリティとネットワーク品質を提供します。 エンドポイント接続を使用して、エンドポイントが属するVPC間にプライベート接続を作成します。 これにより、ネットワークアーキテクチャが簡素化され、プライベートネットワークアクセスが可能になり、インターネットアクセスによる潜在的なセキュリティリスクが排除されます。
VPCを接続するためのビジネス要件に合ったソリューションを選択できます。 詳細については、「VPC接続の概要」をご参照ください。
シナリオ | オプション | 関数 | メリットと限界 |
2 つの VPC を接続する | 異なるアカウントおよび異なるリージョン間の2つのVPC間のプライベートネットワーク通信を可能にします。 | 低レイテンシ。 同じリージョンのVPCは無料です。 ルート伝播をサポートしていません。 複雑な設定。 大規模に管理するのが難しい。 | |
2つ以上のVPCを接続する | 複数のリージョンとアカウントをまたいで、VPCに安定した、安全で高速な接続を提供します。 | ルート伝播をサポートします。 マルチリージョンネットワークの高速接続をサポートします。 O&M効率を高める体系的な管理。 低レイテンシと高速伝送を提供します。 スタンバイ接続とディザスタリカバリ。 近くのアクセスポイントを介してネットワークに接続します。 | |
同じリージョンのVPC間のプライベートネットワークアクセス | エンドポイント接続を介してエンドポイントサービスが属するVPCを接続します。 VPCにデプロイされたサービスを他のVPCに提供します。 | 低レイテンシ。 ネットワークの信頼性を向上させるためのサービスプロバイダーとサービスユーザー向けの独立ネットワーク。 安全で制御可能。 セキュリティグループを追加し、エンドポイントポリシーを設定してソース認証を実装できます。 シンプルな管理。 柔軟なクロスアカウントおよびクロスVPCアクセスを提供し、複雑なルーティングおよびセキュリティ設定を回避します。 エンドポイントelastic network interface (ENI) に関するインバウンドおよびアウトバウンドトラフィックを記録し、透過性と制御性を確保するフローログが利用可能です。 リージョン間の接続はサポートされていません。 |
ハイブリッドクラウド
適切なソリューションを選択して、オンプレミスのデータセンターをVPCに接続し、ビジネスニーズと、ネットワークパフォーマンス、データセキュリティ、費用対効果、スケーラビリティなどの要素に基づいてハイブリッドクラウドを構築できます。
高可用性ハイブリッドクラウド
Express Connectは、オンプレミスデータセンターとVPCの間に信頼性が高く、安全で高速な接続を確立するために、次のシナリオで推奨されます。
オンプレミスデータセンターとVPC間の大規模なデータ移行または頻繁なデータ同期のために、Express Connectは安定した高速接続を保証し、伝送時間を短縮します。
非常に高い可用性を必要とするオンプレミス操作では、オンプレミスインフラストラクチャとのシームレスな統合を維持しながら、柔軟なスケーラビリティとディザスタリカバリのために複数の専用回線接続を構築できます。
シンプルなハイブリッドクラウド
遅延ではなくコストと構築時間が大きな懸念事項である場合は、インターネット通信によるネットワークの遅延と可用性が異なるVPNゲートウェイを選択できます。 暗号化されたトンネルを使用して、オンプレミスのデータセンター、オフィスネットワーク、インターネットクライアント、Alibaba Cloud間のネットワーク接続を作成します。
IPsec-VPNおよびSSL-VPN接続は、さまざまなネットワークシナリオで使用できます。
エンタープライズレベルのハイブリッドクラウド
大規模で複雑なネットワークアーキテクチャの場合、CENを使用して、グローバルに分散されたネットワークリソースを集中管理および監視できます。 これは、O&M効率を高める。 CENは、クラウドとオンプレミスネットワーク間のマルチクラウド接続と通信をサポートし、多様なビジネス要件に対応するハイブリッドクラウドアーキテクチャを構築します。
ニーズに合ったハイブリッドクラウドソリューションを選択できます。 次の表に、機能と利点を示します。
シナリオ | プロダクト | 関数 | 利点と制限 |
高可用性ハイブリッドクラウド | Express Connect回路を介してオンプレミスのデータセンターとVPCを接続します。 | 低レイテンシのためにISPのバックボーンネットワークを活用する。 安全で信頼性の高い専用回線で通信品質を保証します。 長い建設サイクルとかなりのコスト。 | |
シンプルなハイブリッドクラウド | IPsec-VPNを確立して、オンプレミスのデータセンターとVPCを接続します。 SSL-VPNを確立して、オンプレミスのクライアントとVPCを接続します。 | 安全で安定した、高可用性の予算にやさしい接続を提供します。 トラフィックをインターネット経由で転送する必要があるため、プライベートネットワークアクセスよりもレイテンシが高くなります。 | |
エンタープライズレベルのハイブリッドクラウド | オンプレミスのデータセンターとの接続: データセンターに関連付けられている仮想ボーダールーター (VBR) をCENインスタンスにロードし、相互接続されたネットワークを構築します。 複数のVPCとオンプレミスデータセンター間の接続: VPCやVBRなどの複数のネットワークインスタンスをCENインスタンスにロードして、エンタープライズレベルの相互接続ネットワークを構築します。 | ルート伝播をサポートします。 異なるリージョン間でネットワークを接続します。 O&M効率を向上させる体系的な管理。 低遅延と高速ネットワーク伝送を提供します。 スタンバイ接続とディザスタリカバリ。 近くのアクセスポイントを介してネットワークに接続します。 |