Virtual Private Cloud:ネットワーク接続

パブリックIPアドレスタイプの選択

インターネットからクラウドにデプロイされたアプリケーションにアクセスする場合、またはその逆の場合、アプリケーションサーバーにパブリックIPアドレスが必要です。 静的パブリックIPアドレスとelastic IPアドレス (EIP) の2つのタイプのいずれかを選択できます。

• 静的パブリックIPアドレス: ECS (Elastic Compute Service) またはSLB (Server Load Balancer) インスタンスを作成するときに、パブリックIPv4アドレスの割り当てを有効にできます。 システムは、アウトバウンドとインバウンドの両方のパブリックネットワークアクセスをサポートするIPアドレスを自動的に割り当てます。 IPアドレスが割り当てられた後、IPアドレスは変更できず、インスタンスを削除することによってのみ削除できます。 このオプションでは、IPアドレスのバインド解除と管理を柔軟に行うことはできません。

• EIP: EIPは独立したパブリックIPリソースであり、必要に応じてインスタンスとの関連付けを解除でき、柔軟な管理が可能です。 アプリケーションサーバーにEIPを使用することを推奨します。

統合されたインターネットトラフィックの入力

1つのバックエンドサーバーがパブリックIPを使用してサービスを提供する場合、サーバーに問題があると、1つの障害点が発生し、システムが使用できなくなる可能性があります。

ビジネスシナリオでは、Server Load Balancer (SLB) を使用してトラフィックの入力を一元化し、異なるゾーンにバックエンドサーバーをデプロイすることを推奨します。 このアプローチは、トラフィックを異なるバックエンドサーバーに分散するため、サービスのスループットが向上し、単一障害点がなくなり、システムの可用性が向上します。

SLB製品には、Application Load Balancer (ALB) 、Network Load Balancer (NLB) 、Classic Load Balancer (CLB) が含まれます。 要件に最適な製品を選択してください。

統合インターネットトラフィックの出力

単一のサーバがパブリックIPでインターネットにアクセスできる一方で、複数のサーバを使用すると、パブリックIPリソースが消費される可能性があります。 これに対処するには、NATゲートウェイのSNAT機能を有効にします。 これにより、VPC内のECSインスタンスがインターネットアクセス用のEIPを共有できるようになり、パブリックIPアドレスが保存されます。

インターネットアクセスの制御

適切なインターネットアクセス制御は、クラウド上のアプリケーションがインターネット経由でサービスを提供する場合に重要です。

たとえば、VPC内のECSサーバーを考えてみましょう。 集中アクセス制御には、次の方法を使用できます。

• IPv4 Gatewayは、パブリックIPv4トラフィックのゲートウェイとして機能します。 この機能がない場合、ECSインスタンスはパブリックIPをバインドした後にインターネットにアクセスできます。 ただし、IPv4ゲートウェイが作成および有効化されると、VPCからのインターネットアクセスはIPv4ゲートウェイによって管理されます。 パブリックIPv4アクセスの集中制御のために、サブネットルーティングと一緒に使用できます。

• IPv6 Gatewayは、パブリックIPv6トラフィックのゲートウェイとして機能します。 VPC内のインスタンスに割り当てられたデフォルトのIPv6アドレスは、プライベート通信のみが可能です。 IPv6ゲートウェイでIPv6アドレスのパブリック帯域幅を有効にすることで、インターネットにアクセスする機能を提供します。 送信アクセスのみを許可する送信のみのルールがサポートされています。

2つのVPCの接続

2つのVPCを接続する必要がある場合は、次のソリューションから選択できます。

• VPCピアリング接続: 同じまたは異なるアカウントで、同じまたは異なるリージョンの2つのVPC間でプライベートネットワーク通信を有効にします。 VPCピアリング接続が設定されたら、接続を有効にするように要求元VPCと受信元VPCのルートエントリを設定できます。

• VPN Gateway: 暗号化されたトンネルを介して2つのVPC間に安全な接続を確立し、それらの間でリソース共有を有効にします。

2つ以上のVPCを接続する

広大なクラウドコンピューティング環境では、企業は多くの場合、さまざまなリージョンに配置され、重要な操作を処理する可能性のある多数のVPCを管理する必要があります。 Cloud Enterprise Networks (CEN) を使用して、これらのVPCを接続し、統合ネットワークアーキテクチャを形成し、安定した安全で高速な接続を提供できます。 これにより、効率的なリソース共有と柔軟なスケジューリングが容易になります。 また、マルチクラウド環境で、さまざまなリージョンやアカウント間でのデータ同期、アプリケーションの移行、および共同作業もサポートしています。 これにより、ネットワーク管理の複雑さが大幅に減少し、運用効率が向上します。

CENは、トランジットルーターを介してネットワークインスタンスを接続し、同じリージョンまたは異なるリージョンのインスタンス間でトラフィックをルーティングします。 接続の作成時にVPCをトランジットルーターに追加すると、ルートが自動的に同期されます。 各リージョンで使用できるトランジットルーターは1つだけです。 異なる地域のトランジットルーターは互いに接続する必要があります。 CENおよびEnterprise Editionトランジットルーターを使用して、リージョンおよびアカウント間でVPCを接続できます。

モニタリングチャートはCENコンソールで利用でき、ネットワークの運用状況をすばやく把握し、O&M効率を向上させます。

同じリージョンのVPC間のプライベートネットワークアクセス

VPCにデプロイされたクラウドサービスを他のVPCに提供するには、PrivateLinkを使用できます。これは、NATゲートウェイやEIPなどのインターネット出力を必要としません。 PrivateLinkは、データがインターネット経由で送信されないため、高いデータセキュリティとネットワーク品質を提供します。 エンドポイント接続を使用して、エンドポイントが属するVPC間にプライベート接続を作成します。 これにより、ネットワークアーキテクチャが簡素化され、プライベートネットワークアクセスが可能になり、インターネットアクセスによる潜在的なセキュリティリスクが排除されます。

高可用性で安定したハイブリッドクラウド

Express Connectは、オンプレミスデータセンターとVPCの間に信頼性が高く、安全で高速な接続を確立するために、次のシナリオで推奨されます。

• オンプレミスデータセンターとVPC間の大規模なデータ移行または頻繁なデータ同期のために、Express Connectは安定した高速接続を保証し、伝送時間を短縮します。

• 非常に高い可用性を必要とするオンプレミス操作では、オンプレミスインフラストラクチャとのシームレスな統合を維持しながら、柔軟なスケーラビリティとディザスタリカバリのために複数の専用回線接続を構築できます。

シンプルなハイブリッドクラウド

遅延ではなくコストと構築時間が大きな懸念事項である場合は、インターネット通信によるネットワークの遅延と可用性が異なるVPNゲートウェイを選択できます。 暗号化されたトンネルを使用して、オンプレミスのデータセンター、オフィスネットワーク、インターネットクライアント、Alibaba Cloud間のネットワーク接続を作成します。

IPsec-VPNおよびSSL-VPN接続は、さまざまなネットワークシナリオで使用できます。

• IPsec-VPNは、オンプレミスのデータセンターまたはオフィスネットワークとVPC間の接続に使用されます。

• SSL-VPNは、インターネットクライアント (リモートクライアント) とVPC間の接続に適用されます。

エンタープライズレベルのハイブリッドクラウド

大規模で複雑なネットワークアーキテクチャの場合、CENを使用して、グローバルに分散されたネットワークリソースを集中管理および監視できます。 これは、O&M効率を高める。 CENは、クラウドとオンプレミスネットワーク間のマルチクラウド接続と通信をサポートし、多様なビジネス要件に対応するハイブリッドクラウドアーキテクチャを構築します。