Virtual Private Cloud (VPC) を使用してサービスをデプロイする場合は、現在のビジネス要件と将来予想される拡張に基づいて、VPCのネットワークを計画する必要があります。 これにより、現在のサービスが期待どおりに実行され、ビジネスの成長が可能になります。
サービスの安定性とネットワークのスケーラビリティを確保するには、セキュリティの分離、ディザスタリカバリ、およびO&Mコストを考慮する必要があります。 不適切に設計されたネットワークは、将来のビジネスの成長には適しておらず、予期しないリスクをもたらす可能性さえあります。 既存のネットワークアーキテクチャがビジネスの成長要件を満たしていない場合、ネットワークの再構築によりコストが高くなり、現在のビジネスに影響を与える可能性があります。 したがって、複数のレベルとディメンションからネットワークを適切に設計することが不可欠です。 ネットワークの安定性とスケーラビリティを確保するために、次の手順を実行してVPCを計画します。
リージョンとゾーンの計画
リージョン内の異なるゾーンのインスタンスは互いに通信できます。 1つのゾーンがダウンしていても、他のゾーンは期待どおりに機能します。 同じゾーン内のインスタンス間のネットワークレイテンシは低いです。 次の情報に基づいて、リージョンとゾーンを計画できます。
項目 | 説明 |
レイテンシ要件 | ユーザーの場所がリソースがデプロイされているリージョンに近い場合、ネットワークの待ち時間は短く、アクセスは高速です。 |
サポートされているリージョンとゾーン | 異なるAlibaba Cloudサービスは、異なるリージョンとゾーンでサポートされています。 必要なサービスに基づいて、ゾーンとリージョンを選択できます。 |
コスト | クラウドサービスの価格は地域によって異なる場合があります。 要件に基づいてリージョンを選択することを推奨します。 |
高可用性とディザスタリカバリ | サービスに高いディザスタリカバリ機能が必要な場合は、同じリージョン内の異なるゾーンにサービスをデプロイできます。 サービスを複数のリージョンにデプロイして、リージョン間のディザスタリカバリを実装することもできます。 |
コンプライアンス | お住まいの国または地域のデータコンプライアンス要件とビジネスファイリングポリシーを満たすリージョンを選択する必要があります。 |
1 つの VPC をリージョンをまたいで 使用することはできません。 各リージョンにサービスをデプロイする場合は、各リージョンにVPCを作成する必要があります。 VPCピアリング接続またはCloud Enterprise Network (CEN) を使用して、異なるリージョンのVPC間の通信を有効にできます。 vSwitchはゾーンレベルのリソースです。 vSwitchを使用する場合は、次の情報に注意してください。
Elastic Compute Service (ECS) インベントリ要素のために複数のゾーンを選択した場合、事前に十分なCIDRブロックを予約し、ゾーン間のトラフィック迂回によって引き起こされるレイテンシの増加を考慮する必要があります。
中国 (南京-ローカルリージョン) など、一部のリージョンは1つのゾーンのみを提供します。 リージョン内ディザスタリカバリの要件がある場合は、このリージョンの選択を慎重に検討することを推奨します。
アカウントとVPCの計画
リージョンとゾーンを計画したら、VPCリソースを作成できます。 このプロセスでは、アカウント計画、VPC計画、およびvSwitch計画のビジネス規模とセキュリティ分離の要件を考慮する必要があります。 これにより、リソース使用量が最適化され、コストが削減されます。
アカウント計画
ビジネス規模が小さい場合は、1つのAlibaba Cloudアカウントまたは1つのRAMユーザーを使用してリソースを管理できます。 この場合、このセクションをスキップできます。 ビジネス規模が拡大した場合、ユーザー権限とセキュリティ分離要件に基づいてアカウントを計画する必要があります。
項目 | 説明 |
部門の隔離 | リソース、コスト、および権限の管理を容易にするために、さまざまなビジネス部門に独立したアカウントを作成することをお勧めします。 プロジェクトに特定のリソースと権限が必要な場合は、プロジェクト用に独立したアカウントを作成することをお勧めします。 |
システムの分離 | 業務に運用環境とステージング環境の分離などの分離要件がある場合は、独立したアカウントを作成できます。 |
セキュリティコンプライアンス | 特定のセキュリティコンプライアンス要件を満たすために、機密データまたはワークロードを独立したアカウントに保持することを推奨します。 |
課金管理 | 複数のアカウントを使用してリソースを分離できます。 これにより、コスト追跡と請求管理が容易になります。 |
ログ管理とO&M | 独立したアカウントを使用して、すべてのアカウントのログデータを保存できます。 これにより、セキュリティ監査が容易になる。 |
VPCとアカウントの数が増えると、ネットワークの複雑さが増します。 VPC共有機能を使用すると、ネットワークのセキュリティと安定性を維持しながら、ネットワークの複雑さを軽減できます。
VPC数量計画
VPCは、クラウド内に安全で柔軟なネットワーク環境を提供します。 異なるVPCは互いに分離されています。 VPC内のインスタンスは相互に通信できます。 ビジネス要件に基づいてVPCの数を計画できます。
シナリオ | |
1 つの VPC |
 |
複数の VPC |
次のシナリオでは、複数のVPCを使用することを推奨します。
|
vSwitch数量計画
vSwitchはゾーンレベルのリソースです。 VPCのすべてのインスタンスはvSwitchにデプロイされます。 vSwitch部門は、IPアドレスを適切に計画するのに役立ちます。 VPC内のvSwitchは、デフォルトで相互に通信できます。
項目 | 説明 |
Latency | 同じリージョン内のゾーン間のレイテンシは低くなります。 しかしながら、複雑なシステムコール及びクロスゾーンコールは、待ち時間を増加させ得る。 |
高可用性とディザスタリカバリ | ゾーン間のディザスタリカバリを実装するには、VPCに少なくとも2つのvSwitchを作成し、異なるゾーンにvSwitchをデプロイすることを推奨します。 複数のゾーンにサービスをデプロイし、セキュリティルールを一元的に設定できます。 これにより、システムの可用性とディザスタリカバリ機能が向上します。 |
ビジネス規模と部門 | 通常、異なるサービスモジュールを異なるvSwitchにデプロイできます。 たとえば、webレイヤー、ロジックレイヤー、およびデータレイヤーをさまざまなvSwitchにデプロイして、標準のwebアーキテクチャを作成できます。 |
次の情報に基づいてvSwitchを計画できます。
VPCを使用する場合は、少なくとも2つのvSwitchを異なるゾーンにデプロイすることを推奨します。 このようにして、1つのvSwitchがダウンしているとき、別のゾーンの他のvSwitchが引き継ぐことができ、ゾーン間のディザスタリカバリが実装されます。
同じリージョン内のゾーン間のレイテンシは低くなります。 しかしながら、レイテンシは、ビジネスシステムによって適合され、検証される必要がある。 ネットワーク待ち時間は、複雑なネットワークトポロジに起因して増加し得る。 高可用性と低レイテンシの要件を満たすように、システムを最適化および調整することを推奨します。
さらに、作成するvSwitchの数を決定する際には、サービスシステムの規模と計画も考慮する必要があります。 通常、ビジネス属性に基づいてvSwitchを計画できます。 たとえば、インターネットサービスをパブリックvSwitchに展開する必要があり、それに応じて他のサービスを展開できます。 サービスが複数のゾーンにデプロイされた後、セキュリティポリシーを一元的に構成できます。
CIDRブロック計画
VPCとvSwitchを作成するときは、VPC CIDRブロックとvSwitch CIDRブロックを指定する必要があります。 CIDRブロックのサイズによって、デプロイできるリソースの量が決まります。 適切なCIDRブロック計画はアドレスの競合を回避し、ネットワークのスケーラビリティを保証しますが、不適切な計画はネットワークの再構築に高いコストをもたらす可能性があります。
vSwitch CIDRブロックを指定した後は、変更できません。
不適切な計画のためにアドレス空間が不十分な場合は、セカンダリCIDRブロックを追加してアドレス空間を拡張できます。 セカンダリCIDRブロックは変更できません。
VPC CIDRブロックとvSwitch CIDRブロックの計画について、以下の提案を行います。
RFC 1918で定義されているプライベートIPv4 CIDRブロックを使用し、VPC用に /16ネットワークマスクを使用することを推奨します。 VPCアドレススペースを拡張するには、セカンダリCIDRブロックをVPCに追加することを推奨します。
1つのVPCにサービスをデプロイする場合は、後で使用するために十分なアドレスを予約するために、大規模なネットワークマスクを使用することを推奨します。
VPCのCIDRブロックを計画する場合は、CIDRブロックの重複を避けることを推奨します。
また、ディザスタリカバリのゾーンを計画する場合は、CIDRブロックの重複を避けることをお勧めします。
ネットワークの規模が大きくなるにつれて、CIDRブロックの計画はより複雑で困難になります。 IPアドレスマネージャー (IPAM) を使用して、IPアドレスを自動的に割り当て、潜在的なIPアドレスの競合を検出できます。 これにより、CIDRブロック計画の効率が向上します。 詳細については、「IPアドレスマネージャー (IPAM) 」をご参照ください。
IPAMの使用に関する次の提案を提供します。
開発環境や本番環境など、さまざまな環境に対して異なるIPAMプールを設計します。
IPAMプールを使用してプライベートCIDRブロックをVPCに割り当てる場合は、CIDRブロックが互いに重複しないようにしてください。
IPAMを使用して、VPC CIDRブロックとアドレス使用量に関する情報を表示できます。
VPC CIDRブロック計画
標準のRFC CIDRブロック10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16、またはそのサブセットをVPC CIDRブロックとして使用できます。 カスタムVPC CIDRブロックを指定することもできます。
VPC CIDRブロック | IPアドレス範囲 | マスク範囲 | VPC CIDRブロックの例 |
|
| 8から24 |
|
|
| 12から24 |
|
|
| 16から24 |
|
VPCにCIDRブロックを指定する場合は、次のルールに注意してください。
VPCが1つしかなく、VPCがデータセンターと通信する必要がない場合は、RFC CIDRブロックまたはそのサブセットのいずれかをVPC CIDRブロックとして指定できます。
複数のVPCがある場合、またはVPCとデータセンターの間にハイブリッドクラウド環境をセットアップする場合は、VPCのRFC CIDRブロックのサブセットを指定することを推奨します。 この場合、サブネットマスクの長さを16ビット以下に設定することを推奨します。 VPCとデータセンターのCIDRブロックが重複しないようにしてください。
100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、またはそれらのサブセットのいずれかをカスタムCIDRブロックとして指定することはできません。VPCにCIDRブロックを指定する前に、クラシックネットワークが使用されているかどうかを確認する必要があります。 クラシックネットワークが使用されており、クラシックネットワークのECSインスタンスをVPCに接続する場合は、クラシックネットワークのCIDRブロックが
10.0.0.0/8であるため、VPC CIDRブロックとして10.0.0.0/8を指定しないでください。IPAMを使用してプールを計画し、割り当てのデフォルトのネットワークマスクを指定できます。 IPAMを使用してVPCのアドレス使用状況を表示することもできます。
vSwitch CIDRブロック計画
vSwitchのCIDRブロックは、vSwitchが属するVPCのCIDRブロックのサブセットである必要があります。 たとえば、VPCのCIDRブロックが192.168.0.0/24の場合、VPCのvSwitchのネットワークマスクは /25〜 /29である必要があります。
vSwitchにCIDRブロックを指定する場合は、次の制限事項に注意してください。
vSwitchのIPv4 CIDRブロックのネットワークマスクは、/16〜 /29である必要があります。これにより、8〜65,536個のIPアドレスを提供できます。
vSwitch CIDRブロックがVPC CIDRブロックと異なることを確認します。
vSwitchのCIDRブロックを計画するときは、vSwitchに割り当てることができるECSインスタンスとその他のクラウドリソースの数を考慮する必要があります。 後で使用するために十分なIPアドレスを予約するために、大きなCIDRブロックを指定することを推奨します。 ただし、CIDRブロックが大きすぎる場合は、拡張できません。 VPC CIDRブロックが
10.0.0.0/16の場合、VPCは65,536のIPアドレスをサポートします。 ECSインスタンスとApsaraDB RDSインスタンスはvSwitchにデプロイする必要があるため、256 IPアドレスをサポートするvSwitchネットワークマスクとして/24を指定することを推奨します。 CIDRブロックが10.0.0.0/16のVPCは、マスクが /24の最大256個のvSwitchに分割できます。 上記の提案に基づいて適切な調整を行うことができます。vSwitchにIPv4 CIDRブロックが割り当てられている場合、最初のIPv4アドレスと最後の3つのIPv4アドレスがシステムによって予約されます。 vSwitchにIPv6 CIDRブロックが割り当てられている場合、最初のIPv6アドレスと最後の3つのIPv6アドレスがシステムによって予約されます。 次の表に例を示します。
vSwitch CIDRブロック
予約済みIPアドレス
IPv4 CIDR block
192.168.1.0/24192.168.1.0192.168.1.253192.168.1.254192.168.1.255IPv6 CIDRブロック
2001:XXXX:XXXX:1a0 /642001:XXXX:XXXX:1a00::2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fff72001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fff82001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fff92001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fffa2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fffb2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fffc2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fffd2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff:fffe2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff複数のVPCがデプロイされ、vSwitchが別のVPCまたはデータセンター内の別のvSwitchと通信する必要がある場合は、vSwitch CIDRブロックがピアCIDRブロックと重複しないようにしてください。 そうでない場合、通信は失敗する。
ClassicLink機能を使用すると、クラシックネットワークのECSインスタンスは、CIDRブロックが
10.0.0.0/8、172.16.0.0/12、または192.168.0.0/16であるVPCのECSインスタンスと通信できます。 クラシックネットワークと通信するVPCのCIDRブロックが10.0.0.0/8の場合、VPCに属するvSwitchのCIDRブロックは10.111.0.0/16である必要があります。 詳細については、「ClassicLinkの概要」をご参照ください。
ルートテーブル計画
ルートテーブルはルートで構成されています。 ルートは、宛先CIDRブロック、ネクストホップタイプ、およびネクストホップで構成されます。 ルートは、トラフィックを特定の宛先に転送するために使用されます。 各VPCには、システムルートテーブルを含む最大10個のルートテーブルを含めることができます。 ルートテーブルの数を計画するには、次の提案を参照してください。
1つのルートテーブルを使用する
vSwitchのトラフィックパスに大きな違いがない場合は、1つのルートテーブルを使用できます。 VPCを作成すると、システムは自動的にシステムルートテーブルを作成し、そのテーブルにシステムルートを追加します。 システムルートテーブルを作成または削除することはできません。 ただし、システムルートテーブルにカスタムルートを作成して、トラフィックを特定の宛先にルーティングすることができます。
複数のルートテーブルを使用する
たとえば、一部のインスタンスでインターネットアクセスを制御する必要があるなど、vSwitchのトラフィックパスが大きく異なる場合は、複数のルートテーブルを使用できます。 パブリックvSwitchとプライベートvSwitchをデプロイできます。 プライベートvSwitchのインスタンスは、インターネットNATゲートウェイを使用してインターネットにアクセスできます。 これにより、インターネットアクセスの統一制御が保証され、分離要件が満たされます。
ネットワーク接続計画
Alibaba Cloudは、セキュアでスケーラブルなクラウドネットワークを提供し、クラウドとデータセンター間の高速かつセキュアな接続をサポートします。 VPCを使用して、インターネット、別のVPC、およびデータセンターにアクセスできます。 要件に基づいて、VPCおよびその他のサービスをネットワークに使用できます。
インターネットアクセス
インターネットとの通信に関する以下の提案を提供します。
ECSインスタンスにデプロイされたサービスがインターネットと通信する必要がある場合、ECSインスタンスのパブリックIPアドレスを設定する必要があります。 パブリックIPアドレスには、静的パブリックIPアドレスまたはelastic IPアドレス (EIP) を指定できます。 EIPをECSインスタンスに関連付けることを推奨します。
1つのECSインスタンスのみを使用してインターネット経由でサービスを提供する場合、単一障害点 (SPOF) が発生する可能性があり、これがシステムの可用性に影響します。 実際のシナリオでは、統合インターネットトラフィック入力としてServer Load Balancer (SLB) インスタンスを使用し、複数のECSインスタンスをSLBインスタンスに関連付けることを推奨します。 これにより、SPOFが防止され、サービスの可用性が向上します。
複数のECSインスタンスがインターネットにアクセスする必要がある場合、インターネットNATゲートウェイのSNAT機能を使用して、ECSインスタンス共有EIPがインターネットにアクセスできるようにします。 これにより、パブリックIPアドレスリソースが節約されます。
ECSインスタンスがインターネット経由でサービスを提供する場合、IPv4ゲートウェイとIPv6ゲートウェイを使用して、ECSインスタンスのインターネットアクセスを一元的に管理できます。
クロスVPC接続
次のサービスを使用して、VPC間の通信を有効にできます。
使用するVPCの数が少ない場合 (通常は5つ以下) 、VPCピアリング接続を使用してVPC間の通信を有効にできます。
ネットワークアーキテクチャが複雑で、多くのVPCを使用している場合は、CENを使用してVPCを効率的かつ統合的に管理できます。 これにより、O&Mが容易になり、安全なデータ伝送が保証されます。
インターネットを介してObject Storage service (OSS) などのAlibaba Cloudサービスにアクセスすると、機密データが漏洩する可能性があります。 データ漏洩を防ぐために、PrivateLinkを使用して、エンドポイントが存在するVPCをエンドポイントサービスが存在するVPCに接続できます。 これにより、インターネット経由でサービスにアクセスする際のセキュリティリスクが最小限に抑えられます。
VPNゲートウェイを使用して2つのVPC間に安全な接続を確立することもできますが、ネットワークの待ち時間は長くなります。
ハイブリッドクラウド展開
次のサービスを使用して、データセンターをVPCに接続し、ハイブリッドクラウドを構築できます。
高いセキュリティと低レイテンシが必要な場合は、Express Connect回路を使用してデータセンターをVPCに接続できます。
コストを削減したい場合は、VPNゲートウェイを使用して、暗号化されたトンネルを介してデータセンターをVPCに接続できます。
クロスVPC接続とハイブリッドクラウドのデプロイの要件は何ですか?
VPCを別のVPCまたはデータセンターに接続する場合は、CIDRブロックが互いに重複しないようにしてください。 CIDRブロックを計画するときは、次のルールに注意してください。
標準CIDRブロックのサブネットを使用して、VPCでサポートされているCIDRブロックの使用可能数を増やすことができます。 異なるVPCに対して、重複しないCIDRブロックを指定することを推奨します。
異なるVPCに対して重複しないCIDRブロックを保証できない場合は、異なるVPCのvSwitchに対して重複しないCIDRブロックを設定することを推奨します。
異なるVPC内のvSwitchに対して重複しないCIDRブロックを確保できない場合は、互いに通信する必要があるvSwitchに対して重複しないCIDRブロックを設定することを推奨します。
次の図は、VPC1、VPC2、およびVPC3が中国 (杭州) 、中国 (北京) 、および中国 (深セン) リージョンにデプロイされているシナリオを示しています。 VPC1とVPC2は、VPCピアリング接続を介して相互に通信します。 現在、VPC3は他のVPCと通信する必要はありません。 ただし、VPC3は将来VPC2と通信する必要があるかもしれません。 さらに、中国 (杭州) のデータセンターは、Express Connect回線を介して同じリージョンのVPC1と通信する必要があります。 現在、VPC3は他のVPCと通信する必要はありません。 ただし、ビジネスをさらに拡張するために、VPCごとに重複しないCIDRブロックを設定することをお勧めします。
IPAMプールに3つのリージョンプールを作成して、各リージョンに十分なIPアドレスを割り当てることができます。 カスタム割り当てを作成し、10.0.2.0/24がデータセンター専用であることをマークする必要があります。 これにより、IPアドレスの競合を防ぎ、IPアドレスが悪用されないようにします。
セキュリティ計画
セキュリティ分離には、サービス分離、リソース分離、およびネットワーク分離が含まれます。 リージョン、ゾーン、アカウント、およびCIDRブロックを計画するときは、セキュリティ分離の要件を考慮する必要があります。 RAMユーザーを作成するとリソースを分離でき、VPC用のvSwitchを作成するとネットワークを分離できます。 リソース分離とネットワーク分離は、サービス分離を実装する方法です。 要件に基づいて分離を実装できます。
セキュリティレイヤー | 提案 |
VPC内 | VPCに複数のサービスをデプロイする場合は、サービスごとにvSwitchを作成し、セキュリティグループとネットワークACLを使用してセキュリティ分離を実装することを推奨します。 |
VPCボーダー |
|
フローログ機能とトラフィックミラーリング機能を使用して、VPCを監視し、問題をトラブルシューティングできます。 これにより、システムの安定性と信頼性が向上します。
モニタリング情報 | 説明 |
フローログ | フローログ機能を使用して、トラフィックデータを収集し、トラフィックログを分析して帯域幅を最適化し、ネットワークのボトルネックを減らすことができます。 |
トラフィックミラーリング | トラフィックミラーリング機能は、ENIを通過する特定のパケットをミラーリングでき、コンテンツの検査、脅威の監視、およびトラブルシューティングに使用できます。 |
災害復旧計画
サービスアーキテクチャに基づいてディザスタリカバリを計画し、データセキュリティとサービスの可用性を確保できます。
ディザスタリカバリの要件が高い場合は、異なるリージョンにVPCをデプロイし、異なるゾーンにvSwitchをデプロイできます。 これにより、クロスリージョンとクロスゾーンのディザスタリカバリが実装されます。
サービスに高速応答、高い同時実行性、および強化されたデータセキュリティが必要な場合は、SLBを使用して、クラスターの回復、セッションの永続化、およびゾーン間のデプロイを実装できます。
高速で安定した接続でデータセンターをVPCに接続する必要がある場合は、Express connect回路を使用できます。 これにより、データ同期が保証され、SPOFが防止され、サービスの可用性が向上します。
サービスの可用性に対する要件が高い場合は、KeepalivedまたはHeartbeatと一緒に高可用性仮想IPアドレス (HAVIP) 機能を使用して、高可用性ネットワークアーキテクチャを作成できます。 これにより、切り替え時にサービスIPアドレスが変更されず、サービスの可用性が向上します。
クラウドサービスのディザスタリカバリ機能に集中できます。 たとえば、ApsaraDB RDSはアクティブ /スタンバイアーキテクチャを使用します。 アクティブエンドポイントとスタンバイエンドポイントは、リージョン内の同じゾーンまたは異なるゾーンにデプロイできます。 サービスの可用性を向上させたい場合は、異なるゾーンにエンドポイントをデプロイして、ゾーン間ディザスタリカバリを実装できます。
次の図は、シングルゾーンアーキテクチャをアクティブ /スタンバイアーキテクチャにアップグレードする方法を示しています。
VPCを作成する前に、現在のビジネス規模と将来の拡張、セキュリティの分離、サービスの可用性とディザスタリカバリ、コスト、VPCとvSwitchの数、VPCとvSwitchに割り当てられたCIDRブロックを考慮してください。 詳細については、「VPC の作成と管理」をご参照ください。