すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:プライベート通信にVPCピアリング接続を使用する

最終更新日:Dec 11, 2024

VPCピアリング接続は、IPv4とIPv6の両方をサポートする2つのVPC間のネットワーク接続です。 同じアカウント内または異なるアカウント間、および同じリージョン内または異なるリージョン間の2つのVPC間にIPv4またはIPv6接続を作成できます。

シナリオ

ある企業は、中国 (北京) リージョンと中国 (上海) リージョンにそれぞれVPC1とVPC2を設立しました。

リソースアクセスを保護するために、同社はVPC1とVPC2の間にピアリング接続を設定します。 リージョン間トラフィックはプライベートネットワークに残るため、データ漏洩DDoS攻撃などの一般的なセキュリティ上の脅威を軽減します。

説明

アカウント間でVPCピアリング接続を作成する前に、リクエスタとアクセプタの両方にVPCがあることを確認してください。

image

手順

手順1: VPCピアリング接続の作成

  1. VPCコンソールにログインします。 上部のナビゲーションバーで、リクエスタVPCが配置されているリージョン (この例では中国 (北京)) を選択します。 左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。

  2. 以前にVPCピアリング接続を使用していない場合は、VPC ピアリング接続ページのCDT サービスの有効化をクリックし、ダイアログボックスでOKをクリックします。

    説明

    アカウント間でVPCピアリング接続を作成するには、アクセプターがクラウドデータ転送 (CDT) 機能を有効にしていることを確認します。

  3. VPC ピアリング接続 ページに移動し、VPC ピアリング接続の作成 をクリックして、次のようにパラメーターを設定します。

    E20A1099-C438-410B-9DBD-C0CDCB223EDF.png

    説明
    • VPCピアリング接続には、intra-region same-accountinter-region same-accountintra-region cross-accountinter-region cross-accountの4種類があります。

    • アクセプターアカウントがSame-accountの場合、リクエスタがリクエストを開始した後、システムは自動的に接続を確立します。 アクセプターからのアクションは必要ありません。

    • アクセプターアカウントがクロスアカウントの場合、アクセプターアカウントは、VPCピアリング接続を作成する前にピアリング要求を受け入れる必要があります。 受領者は、要求を拒否し、VPCピアリング接続プロセスを終了することができる。 ステップを取る必要があるアクセプターは次のとおりです:

      1. accepterアカウントVPCコンソールにログインします。左側のナビゲーションウィンドウで、VPC ピアリング接続をクリックします。

      2. VPC ピアリング接続 ページで、対象のVPCピアリング接続を見つけます。 現在、接続のステータスはAcceptingです。 imageリクエストを受け入れるかどうかを決定します。

        • 承認: ステータスが承認から更新に変わります。

          ステータスが有効に変わると、接続が使用可能であることを示します。

        • 拒否: ステータスが承認から拒否に変わります。

          拒否されたVPCピアリング接続は使用できません。 リクエスト側または受信側から削除できます。

        • 受領者がクロスアカウントVPCピアリング接続リクエストに対して何の操作も行わなかった場合、接続ステータスは7日後に期限切れに変わります。

手順2: ルートの設定

VPCピアリング接続が作成され、有効化されたら、接続を有効にするために、両端のピアVPCを指すルートエントリを追加する必要があります。

  1. でVPCピアリング接続を検索します。VPC ピアリング接続ページをクリックし、ルートの設定どちらかのリクエスターVPCまたは受け入れVPC列を作成します。

  2. 要求者と受け入れ者の両方のVPCのIPv4またはIPv6ルートエントリを設定します。 以下は、IPv4ルートエントリの設定例です。

    A5670115-E729-4548-B2A1-1C74843A220E.png

    パラメーターの説明

    パラメーター

    説明

    VPC

    リクエスタVPCインスタンスが自動的に表示されます。

    ルートテーブル

    ドロップダウンリストからVPCに関連付けられているルートテーブルを選択します。

    ターゲット CIDR

    • VPCピアリング接続のIPv4ルートの設定

      宛先CIDRブロックタイプとしてIPv4を選択し、アクセプタVPCのIPv4 CIDRブロックを入力します。

    • VPCピアリング接続のIPv6ルートの設定

      宛先CIDRブロックタイプとしてIPv6を選択し、アクセプタVPCのIPv6 CIDRブロックを入力します。

    ネクストホップ

    ピアリング接続が自動的に表示されます。

説明

クロスアカウントピアリング接続の場合は、アクセプターアカウントでVPCコンソールにログインします。 リクエスタVPCのIPv4またはIPv6 CIDRブロックを入力して、アクセプタVPCのルートを追加します。

ステップ3: 接続性を確認する

  1. ECS1インスタンスにログインし、ECS2インスタンスのプライベートIPアドレスにアクセスします。peer.pngpeer6.png

  2. ECS2インスタンスにログインし、ECS1インスタンスのプライベートIPアドレスにアクセスします。peer2.pngpeer62.png

  3. 前の図に示す戻りメッセージを受信した場合は、VPC1とVPC2が接続されていることを示します。 検証後、接続された2つのVPCにビジネスアプリケーションをデプロイして使用し、安全なアクセスを実現できます。

説明

ネットワーク接続の問題が発生した場合は、network Intelligence Service (NIS)reverse path analyticsを使用して、構成の問題を診断し、双方向パスの接続を確認します。 次の設定が正しく設定されていることを確認します。

  • ピアリング接続の両端にあるVPCのIPv4/IPv6ルートエントリが正しく設定されています。 宛先CIDRブロックはピアVPCのブロックであり、ネクストホップはVPCピアリング接続です。

  • ECSセキュリティグループのインバウンドルールとアウトバウンドルールは、ピアIPアドレスからのトラフィックを許可するように設定されています。

  • vSwitchに関連付けられたネットワークACLのインバウンドルールとアウトバウンドルールは、ピアIPアドレスからのトラフィックを許可するように設定されています。

関連するステップ

VPCピアリング接続の削除

不要になったVPCピアリング接続を削除できます。

重要

VPCピアリング接続を削除すると、プライベートネットワークアクセスは終了し、復元できません。 接続を削除する前に、ビジネスに影響がないことを確認し、注意して続行してください。

  1. VPC ピアリング接続ページに移動し、削除するVPCピアリング接続を見つけて、アクション列の削除をクリックします。

  2. 表示されるダイアログボックスで、確認をクリックします。

    • 自然削除: VPCピアリング接続を削除する前に、それを指すルートエントリをルートテーブルから削除する必要があります。

    • 強制削除: システムは、VPCピアリング接続を指すルートエントリを自動的に削除します。

      VPCピアリング接続を強制的に削除するには、サービスが影響を受けないことを確認し、前述のVPCピアリング接続とルートをすべて削除します。をクリックします。

リージョン間VPCピアリング接続の帯域幅の変更

  1. [VPC ピアリング接続] ページに移動し、帯域幅を調整するリージョン間VPCピアリング接続を見つけて、インスタンスIDをクリックします。

  2. 詳細ページで、基本情報セクションをクリックし、帯域幅 (Mbit/s)横の編集をクリックします。

  3. 表示されるダイアログボックスで、新しい帯域幅の値を入力し、OKをクリックします。

    帯域幅の値は正の整数で、1024を超えることはできません。

PrivateLinkを使用してVPCピアリング接続のOpenAPIサービスにアクセスする

説明

プライベートネットワーク内のOpenAPIサービスへのPrivateLinkアクセスは、中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (深セン)香港 (中国)シンガポール米国 (シリコンバレー) 、および米国 (バージニア) でサポートされています。

  1. エンドポイントコンソールにログインします[エンドポイント] ページに移動し、[エンドポイントの作成] をクリックします。

  2. [エンドポイントの作成] ページで、次の表に基づいてエンドポイントを設定し、[OK] をクリックします。 このトピックに関連するパラメーターのみを表に示します。 その他のパラメーターについては、「エンドポイントの作成と管理」をご参照ください。 作成後、エンドポイントドメイン名vpcpeer.vpc-proxy.aliyuncs.comを使用してVPCピアリング接続APIにアクセスできます。

    項目

    説明

    エンドポイントタイプ

    この例では、Interface Endpointが選択されています。

    エンドポイントサービス

    エンドポイントサービスを選択します。

    この例では、Alibaba Cloudサービスが選択されています。 次に、com.aliyuncs.privatelink.cn-[Region-ID].vpcpeerという名前のエンドポイントサービスを選択します。

関連ドキュメント