VPCピアリング接続は、IPv4とIPv6の両方をサポートする2つのVPC間のネットワーク接続です。 同じアカウント内または異なるアカウント間、および同じリージョン内または異なるリージョン間の2つのVPC間にIPv4またはIPv6接続を作成できます。
シナリオ
ある企業は、中国 (北京) リージョンと中国 (上海) リージョンにそれぞれVPC1とVPC2を設立しました。
リソースアクセスを保護するために、同社はVPC1とVPC2の間にピアリング接続を設定します。 リージョン間トラフィックはプライベートネットワークに残るため、データ漏洩やDDoS攻撃などの一般的なセキュリティ上の脅威を軽減します。
アカウント間でVPCピアリング接続を作成する前に、リクエスタとアクセプタの両方にVPCがあることを確認してください。
手順
手順1: VPCピアリング接続の作成
VPCコンソールにログインします。 上部のナビゲーションバーで、リクエスタVPCが配置されているリージョン (この例では中国 (北京)) を選択します。 左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。
以前にVPCピアリング接続を使用していない場合は、VPC ピアリング接続ページのCDT サービスの有効化をクリックし、ダイアログボックスでOKをクリックします。
説明アカウント間でVPCピアリング接続を作成するには、アクセプターがクラウドデータ転送 (CDT) 機能を有効にしていることを確認します。
VPC ピアリング接続 ページに移動し、VPC ピアリング接続の作成 をクリックして、次のようにパラメーターを設定します。
説明VPCピアリング接続には、intra-region same-account、inter-region same-account、intra-region cross-account、inter-region cross-accountの4種類があります。
アクセプターアカウントがSame-accountの場合、リクエスタがリクエストを開始した後、システムは自動的に接続を確立します。 アクセプターからのアクションは必要ありません。
アクセプターアカウントがクロスアカウントの場合、アクセプターアカウントは、VPCピアリング接続を作成する前にピアリング要求を受け入れる必要があります。 受領者は、要求を拒否し、VPCピアリング接続プロセスを終了することができる。 ステップを取る必要があるアクセプターは次のとおりです:
accepterアカウントVPCコンソールにログインします。左側のナビゲーションウィンドウで、VPC ピアリング接続をクリックします。
VPC ピアリング接続 ページで、対象のVPCピアリング接続を見つけます。 現在、接続のステータスはAcceptingです。 リクエストを受け入れるかどうかを決定します。
承認: ステータスが承認から更新に変わります。
ステータスが有効に変わると、接続が使用可能であることを示します。
拒否: ステータスが承認から拒否に変わります。
拒否されたVPCピアリング接続は使用できません。 リクエスト側または受信側から削除できます。
受領者がクロスアカウントVPCピアリング接続リクエストに対して何の操作も行わなかった場合、接続ステータスは7日後に期限切れに変わります。
手順2: ルートの設定
VPCピアリング接続が作成され、有効化されたら、接続を有効にするために、両端のピアVPCを指すルートエントリを追加する必要があります。
でVPCピアリング接続を検索します。VPC ピアリング接続ページをクリックし、ルートの設定どちらかのリクエスターVPCまたは受け入れVPC列を作成します。
要求者と受け入れ者の両方のVPCのIPv4またはIPv6ルートエントリを設定します。 以下は、IPv4ルートエントリの設定例です。
クロスアカウントピアリング接続の場合は、アクセプターアカウントでVPCコンソールにログインします。 リクエスタVPCのIPv4またはIPv6 CIDRブロックを入力して、アクセプタVPCのルートを追加します。
ステップ3: 接続性を確認する
ECS1インスタンスにログインし、ECS2インスタンスのプライベートIPアドレスにアクセスします。
ECS2インスタンスにログインし、ECS1インスタンスのプライベートIPアドレスにアクセスします。
前の図に示す戻りメッセージを受信した場合は、VPC1とVPC2が接続されていることを示します。 検証後、接続された2つのVPCにビジネスアプリケーションをデプロイして使用し、安全なアクセスを実現できます。
ネットワーク接続の問題が発生した場合は、network Intelligence Service (NIS) とreverse path analyticsを使用して、構成の問題を診断し、双方向パスの接続を確認します。 次の設定が正しく設定されていることを確認します。
ピアリング接続の両端にあるVPCのIPv4/IPv6ルートエントリが正しく設定されています。 宛先CIDRブロックはピアVPCのブロックであり、ネクストホップはVPCピアリング接続です。
ECSセキュリティグループのインバウンドルールとアウトバウンドルールは、ピアIPアドレスからのトラフィックを許可するように設定されています。
vSwitchに関連付けられたネットワークACLのインバウンドルールとアウトバウンドルールは、ピアIPアドレスからのトラフィックを許可するように設定されています。
関連するステップ
VPCピアリング接続の削除
不要になったVPCピアリング接続を削除できます。
VPCピアリング接続を削除すると、プライベートネットワークアクセスは終了し、復元できません。 接続を削除する前に、ビジネスに影響がないことを確認し、注意して続行してください。
VPC ピアリング接続ページに移動し、削除するVPCピアリング接続を見つけて、アクション列の削除をクリックします。
表示されるダイアログボックスで、確認をクリックします。
自然削除: VPCピアリング接続を削除する前に、それを指すルートエントリをルートテーブルから削除する必要があります。
強制削除: システムは、VPCピアリング接続を指すルートエントリを自動的に削除します。
VPCピアリング接続を強制的に削除するには、サービスが影響を受けないことを確認し、前述のVPCピアリング接続とルートをすべて削除します。をクリックします。
リージョン間VPCピアリング接続の帯域幅の変更
[VPC ピアリング接続] ページに移動し、帯域幅を調整するリージョン間VPCピアリング接続を見つけて、インスタンスIDをクリックします。
詳細ページで、基本情報セクションをクリックし、帯域幅 (Mbit/s)横の編集をクリックします。
表示されるダイアログボックスで、新しい帯域幅の値を入力し、OKをクリックします。
帯域幅の値は正の整数で、1024を超えることはできません。
PrivateLinkを使用してVPCピアリング接続のOpenAPIサービスにアクセスする
プライベートネットワーク内のOpenAPIサービスへのPrivateLinkアクセスは、中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (深セン) 、香港 (中国) 、シンガポール、米国 (シリコンバレー) 、および米国 (バージニア) でサポートされています。
エンドポイントコンソールにログインします。 [エンドポイント] ページに移動し、[エンドポイントの作成] をクリックします。
[エンドポイントの作成] ページで、次の表に基づいてエンドポイントを設定し、[OK] をクリックします。 このトピックに関連するパラメーターのみを表に示します。 その他のパラメーターについては、「エンドポイントの作成と管理」をご参照ください。 作成後、エンドポイントドメイン名
vpcpeer.vpc-proxy.aliyuncs.com
を使用してVPCピアリング接続APIにアクセスできます。項目
説明
エンドポイントタイプ
この例では、Interface Endpointが選択されています。
エンドポイントサービス
エンドポイントサービスを選択します。
この例では、Alibaba Cloudサービスが選択されています。 次に、
com.aliyuncs.privatelink.cn-[Region-ID].vpcpeer
という名前のエンドポイントサービスを選択します。
関連ドキュメント
導入、シナリオ、制限、課金など、VPCピアリング接続の詳細については、「VPCピアリング接続」をご参照ください。
VPCピアリング接続のルート設定例については、「VPCピアリング接続の例」をご参照ください。
次のAPIを呼び出して、SDK、Terraform、またはROSを介したVPCピアリング接続を管理することもできます。
CreateVpcPeerConnection: VPCピアリング接続を作成します。
DeleteVpcPeerConnection: VPCピアリング接続を削除します。
AcceptVpcPeerConnection: VPCピアリング接続リクエストを受け入れます。
RejectVpcPeerConnection: VPCピアリング接続リクエストを拒否します。
GetVpcPeerConnectionAttribute: VPCピアリング接続の詳細を照会します。
ModifyVpcPeerConnection: VPCピアリング接続の名前または説明を変更します。
CreateRouteEntry: カスタムルートエントリを追加します。
DeleteRouteEntry: カスタムルートエントリを削除します。