仮想プライベートクラウド (VPC) で利用可能なClassicLink機能により、クラシックネットワークのECS (Elastic Compute Service) インスタンスはVPCのリソースと通信できます。
ClassicLinkは、クラシックネットワークが利用可能なリージョンでのみサポートされます。 ClassicLinkの可用性の詳細については、「インスタンスクォータ」をご参照ください。
概要
仕組み
クラシックネットワークをVPCに接続し、クラシックネットワークを相互に接続するための基本的なメカニズムは一貫しています。つまり、内部ネットワークのレイテンシと帯域幅の制限は、ClassicLinkを有効にする前後で変更されません。 フェールオーバー移行、ホット移行、停止、起動、再起動、システムディスクの変更などの操作では、既存のClassicLink接続は変更されません。
クラシックネットワークとVPCは別々のネットワークプレーンで動作します。 ClassicLinkは、プレーンを橋渡しするルートを作成することで、2種類のネットワーク間の通信を可能にします。 したがって、競合を回避するには、適切な住所計画が不可欠です。
Alibaba Cloudのクラシックネットワークは、CIDRブロック10.0.0.0/8 (10.111.0.0/16を除く) を使用します。 ClassicLink接続を確立するには、VPCのCIDRブロックがクラシックネットワークのCIDRブロックと重複しないようにします。 クラシックネットワークと通信できるCIDRブロックには、10.111.0.0/16、172.16.0.0/12、および192.168.0.0/16があります。
原則
クラシックネットワークとVPCのECSインスタンス間にClassicLink接続を作成した後:
クラシックネットワーク内のECSインスタンスは、VPC内のリソースにアクセスできます。
ECS、Relational Database Service (RDS) 、Server Load Balancer (SLB) インスタンスなどのVPC内のリソースには、クラシックネットワークのECSインスタンスからアクセスできます。 たとえば、クラシックネットワークのECSインスタンスがVPC (CIDRブロック10.0.0.0/8) にリンクされている場合、vSwitch (CIDRブロック10.111.1.0/24) にECSやRDSインスタンスなどのリソースが含まれている場合、クラシックネットワークのECSインスタンスはClassicLinkを介してvSwitchにデプロイされているインスタンスにアクセスできます。
VPC内のECSインスタンスは、クラシックネットワーク内の未接続のリソースにアクセスできません。
VPC内のECSインスタンスは、クラシックネットワーク内の接続されたECSインスタンスにのみアクセスできます。 クラシックネットワーク内の未接続のリソースにはVPCからアクセスできません。
シナリオ
次の表は、クラシックネットワークとVPCのECSインスタンス間に接続を作成する方法の概要です。
イニシエーター | 地域 /アカウント | レシーバー /内部接続 | |
クラシックネットワーク | [VPC] | ||
クラシックネットワーク | 同じリージョン、同じアカウント | 同じアカウントのセキュリティグループルールを更新します。 | ClassicLink接続の作成 |
同じリージョン、クロスアカウント | セキュリティグループルールのクロスアカウントを更新します。 |
| |
クロスリージョン、同じアカウント |
|
| |
クロスリージョン、クロスアカウント | |||
VPC | 同じリージョン、同じアカウント | ClassicLink接続を開始します。 | VPCを接続します。 |
同じリージョン、クロスアカウント |
| ||
クロスリージョン、同じアカウント |
| ||
クロスリージョン、クロスアカウント | |||
制限事項
ClassicLinkを使用する前に、次の制限事項を理解してください。
VPCは、クラシックネットワーク内の最大1,000のECSインスタンスに関連付けることができます。
リージョン内のアカウントによって作成されたクラシックネットワーク内のECSインスタンスは、1つのVPCにのみリンクできます。
クラシックネットワークのECSインスタンスは、VPCのプライマリCIDRブロック内のECSインスタンスとのみ通信できます。 セカンダリCIDRブロック内のインスタンスとの通信はサポートされていません。
次の表に、VPCのClassicLinkを有効にするために満たす必要がある条件を示します。
CIDRブロック
制限事項
172.16.0.0/12
VPCのカスタムルートエントリに10.0.0.0/8の宛先CIDRブロックがないことを確認します。
10.0.0.0/8
VPCのカスタムルートエントリに10.0.0.0/8の宛先CIDRブロックがないことを確認します。
クラシックネットワーク内のECSインスタンスと通信するvSwitchが10.111.0.0/16内にあることを確認します。
192.168.0.0/16
VPCのカスタムルートエントリに10.0.0.0/8の宛先CIDRブロックがないことを確認します。
クラシックネットワークのECSインスタンスに対して、宛先CIDRブロックが192.168.0.0/16のカスタムルートエントリを作成する必要があります。 ネクストホップをプライベートネットワークインターフェースコントローラ (NIC) として設定します。 ルートスクリプトを使用してルートエントリを追加できます。
説明スクリプトを実行する前に、スクリプト内のreadme.txtファイルを必ず読んでください。
ClassicLinkの管理
ClassicLink機能の有効化または無効化
VPCコンソールにログインします。
上部のナビゲーションバーで、VPCが存在するリージョンを選択します。
[VPC] ページで、対象VPCのIDをクリックします。
詳細ページで、Classiclinkの有効化右上隅にあります。
Classiclinkの有効化ダイアログボックスで、OKをクリックします。
ClassicLinkが有効になると、ステータスは有効に変わります。
接続が不要になった場合は、ClassicLinkを無効にできます。
ClassicLinkを無効にする前に、クラシックネットワークとVPC間のClassicLink接続をキャンセルしてください。
ClassicLinkを無効にすると、クラシックネットワークがVPCに接続できなくなります。
[VPC] ページで、対象VPCのIDをクリックします。
詳細ページで、Classiclinkを無効にするをクリックします。
ClassicLink接続の作成またはキャンセル
ClassicLink接続を作成する前に、次の条件が満たされていることを確認してください。
ClassicLink接続の作成の制限を理解しています。
ClassicLink機能が有効になっているVPC保留中の接続。
ECSコンソールにログインします。
左側のナビゲーションウィンドウで、 をクリックします。 インスタンスが属するリージョンを選択します。
[インスタンス] ページで、クラシックネットワーク内のターゲットECSインスタンスを見つけます。 [操作] 列で、 を選択します。
[VPCに接続] ダイアログボックスで、接続するVPCを選択します。 [インスタンスのセキュリティグループリストに移動してClassicLinkルールを追加] をクリックします。
[セキュリティグループ] で、セキュリティグループIDをクリックします。 On theセキュリティグループルールページで、ClassicLinkルールの追加をクリックします。
ClassicLinkルールの追加ダイアログボックスで、ClassicLinkセキュリティグループルールを次のように設定します。
パラメーター
説明
クラシックネットワークセキュリティグループ
クラシックネットワークのセキュリティグループが表示されます。
VPCタイプのセキュリティグループ:
VPCのセキュリティグループを選択します。
モード
次の認証モードから選択します。
クラシックネットワーク <=> VPC: 2種類のネットワーク間の相互アクセス。 (推奨)
VPC => クラシックネットワーク: VPCリソースからクラシックネットワーク内のECSインスタンスへの単方向アクセス。
クラシックネットワーク=> VPC: クラシックネットワーク内のECSインスタンスからVPC内のリソースへの単方向アクセス。
プロトコルタイプ
通信用のプロトコルを選択します。
ポート範囲
ポート範囲をxx/xxの形式で定義します。 たとえば、ポート80に80/80と入力します。
優先度
ルールに優先度レベルを割り当てます。 より低い値は、より高い優先度を意味する。
ClassicLink接続を無効にすると、クラシックネットワークのECSインスタンスとVPC間の接続が切断されます。
[インスタンス] ページで、クラシックネットワークインスタンスを見つけます。 [操作] 列で、 をクリックします。
VPCの接続解除ダイアログボックスで、OKをクリックします。