Virtual Private Cloud (VPC) はデフォルトで相互に分離されています。VPC ピアリング接続は、CIDR ブロックが重複しない 2 つの VPC を接続し、両方のリソースがプライベート IP アドレスを使用して通信できるようにします。VPC ピアリング接続は、同一または異なるアカウント内の VPC 間、および同一または異なるリージョン内の VPC 間で作成できます。
複数の VPC を接続するには、VPC ピアリングまたは Cloud Enterprise Network (CEN) を使用します。それぞれのユースケースとトレードオフについては、「VPC の接続」をご参照ください。
仕組み
VPC ピアリング接続には、リクエスト元と受信側があります。ピアリング接続を作成するには、以下の手順に従ってください。
リクエスト元の VPC が接続リクエストを開始します。
同一アカウント:リクエスト先の VPC が同一アカウント内にある場合、システムは接続を自動的に承諾してアクティブ化します。
クロスアカウント:リクエスト先の VPC が別のアカウントにある場合、その所有者がリクエストを手動で承諾します。
両方の VPC でルートを設定
各 VPC の所有者は、もう一方の VPC (ピア VPC とも呼ばれます) の CIDR ブロックを指すルートを手動で追加します。
注意事項
推移的ルーティングなし
VPC ピアリングは非推移的です。VPC A が VPC B および VPC C とピアリングされている場合、VPC B と VPC C は VPC A を介して通信することはできません。VPC B と VPC C 間のトラフィックを許可するには、それらの間に VPC ピアリング接続を作成する必要があります。
両方の VPC でルートを設定
ルートは自動的に設定されません。接続を有効にするには、リクエスト元とリクエスト先の両方の VPC のピア VPC CIDR ブロックを指すルートエントリを手動で追加する必要があります。
セキュリティコントロールの更新
接続を作成しても、セキュリティコントロールが自動的に上書きされることはありません。ピア VPC からのインバウンドトラフィックを許可するには、セキュリティグループ、ネットワーク ACL、および ApsaraDB RDS などのサービスレベルの許可リストを更新する必要があります。
リージョン間接続のための CDT のアクティブ化
リージョン間接続の場合、初回利用者はリクエスト元とリクエスト先の両方のアカウントで Cloud Data Transfer (CDT) をアクティブ化する必要があります。
同一サイトへのピアリングの制限
VPC ピアリングは、同一の Alibaba Cloud サイト上のアカウントに限定されます。中国サイト (aliyun.com) のアカウントと国際サイト (alibabacloud.com) のアカウント間でピアリング接続を作成することはできません。
共有 VPC の権限
共有 VPC では、作成、変更、削除の権限はリソース所有者に予約されています。リソースユーザー (プリンシパル) はこれらの操作を実行できません。
VPC ピアリング接続の作成
コンソール
VPC ピアリング接続の作成:
VPC - VPC ピアリング接続ページに移動します。トップナビゲーションバーで、VPC があるリージョンを選択し、VPC ピアリング接続の作成 をクリックします。
受信側アカウントタイプを選択してください。
同一アカウント:接続は自動的に承諾され、アクティブ化されます。[ピア VPC CIDR へのルートを追加] をクリックして、ピア VPC を指すルートを自動的に設定します。
クロスアカウント:リクエスト先の所有者はログインし、同じリージョンでリクエストを見つけ、操作 列の 許可 をクリックする必要があります。
リクエスト先はリクエストを 拒否 または 削除 できます。詳細については、「ライフサイクル」をご参照ください。
「クロスリージョン」接続の場合、接続タイプ および 接続先のリージョン を設定する必要があります。
プラチナとゴールドは異なるレベルのデータ転送品質を提供し、それぞれの 課金価格 も異なります。
プラチナ (99.995% の可用性):音声通話、ビデオ会議、リアルタイムゲームなど、ジッターに敏感なアプリケーションに最適です。
ゴールド (99.95% の可用性):ファイル転送やデータ同期など、レイテンシーの影響を受けにくいタスクに適しています。
帯域幅とリンクタイプは、後でインスタンス詳細ページの 編集 をクリックして変更できます。
ルートの設定:通信には両方の VPC で明示的なルートが必要です。
リクエスト元 VPC:送信側 VPC インスタンス 列の ルートエントリの設定 をクリックします。vSwitch に関連付けられたリクエスト元のルートテーブルを選択し、CIDR をリクエスト先 VPC の CIDR に設定します。
リクエスト先 VPC:Accepter 列の ルートエントリの設定 をクリックします。vSwitch に関連付けられたリクエスト元のルートテーブルを選択し、CIDR をリクエスト先 VPC の CIDR に設定します。
IPv6 の場合は、ピアの IPv6 CIDR ブロックに対するルートも追加してください。
接続性の検証:
方法 A:到達可能性アナライザー (推奨)。実際のデータパケットは送信されず、サービスに影響はありません。
ピアリング接続の ワンクリック診断 列で、 を選択します。
ソースと宛先を設定し、プロトコルとポートを指定してビジネストラフィックをシミュレートし、接続性を検証します。
システムは、ライブトラフィックに影響を与えることなく、ルート、セキュリティグループ、およびネットワーク ACL をチェックします。
成功した場合、[リバースパスアナリティクス] をクリックして、双方向トラフィックを確認します。
方法 B:Ping テスト
リクエスト元の VPC 内の ECS インスタンスにログインし、
ping <Private IP of Peer ECS>を実行します。
削除:どちらの VPC も接続を削除できます。
警告:この操作は元に戻すことができず、プライベートネットワークアクセスが即座に中断されます。
API
ピアリング接続の作成
CreateVpcPeerConnection を呼び出して、VPC ピアリング接続を作成します。
2 つの VPC が異なるアカウントに属している場合、リクエスト先アカウントの所有者は AcceptVpcPeerConnection を呼び出して VPC ピアリング接続を承諾する必要があります。
リクエスト先は RejectVpcPeerConnection を呼び出して VPC ピアリング接続を拒否できます。
両方の VPC の所有者は GetVpcPeerConnectionAttribute を呼び出して、2 つの VPC の CIDR ブロックをクエリする必要があります。
両方の VPC の所有者は CreateRouteEntry を呼び出して、ピアリング接続を指すルートを作成する必要があります。
リージョン間ピアリング接続の変更
ModifyVpcPeerConnection を呼び出して、リージョン間の VPC ピアリング接続の帯域幅またはリンクタイプを変更します。
ピアリング接続の削除
DeleteRouteEntry を呼び出して、ピアリング接続を指すルートを削除します。
DeleteVpcPeerConnection を呼び出して、VPC ピアリング接続を削除します。
到達可能性アナライザー
到達可能性アナライザーを使用して接続性を確認するには、以下の API 操作を順番に呼び出します。
Terraform
同一アカウントのピアリング接続
リソース:alicloud_vpc_peer_connection、alicloud_route_entry
データソース:alicloud_account
# VPC が属するアカウント
data "alicloud_account" "default" {}
provider "alicloud" {
alias = "local"
region = "ap-southeast-1" # リクエスト元の VPC があるリージョン。
}
provider "alicloud" {
alias = "accepting"
region = "eu-west-1" # リクエスト先の VPC のリージョン。リクエスト元の VPC のリージョンと同じでもかまいません。リクエスト先の VPC のリージョンに基づいてこのパラメーターを設定します。
}
# リクエスト元の VPC ID
variable "local_vpc_id" {
default = "vpc-t4ns******"
}
# リクエスト先の VPC ID
variable "accepting_vpc_id" {
default = "vpc-d7ot******"
}
# VPC ピアリング接続の作成
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
provider = alicloud.local
peer_connection_name = "example_peer_connection_name"
vpc_id = var.local_vpc_id # リクエスト元の VPC ID
accepting_ali_uid = data.alicloud_account.default.id # リクエスト先のアカウント ID
accepting_region_id = "eu-west-1" # リクエスト先の VPC があるリージョン
accepting_vpc_id = var.accepting_vpc_id # リクエスト先の VPC ID
bandwidth = 1024 # 帯域幅 (Mbit/s)。このパラメーターは、リクエスト元のリージョンとリクエスト先のリージョンが異なる場合にのみ設定できます。
link_type = "Gold" # リンクタイプ。このパラメーターは、リクエスト元のリージョンとリクエスト先のリージョンが異なる場合にのみ設定できます。
}
# リクエスト元の VPC のルートを設定
resource "alicloud_route_entry" "example_local_route" {
provider = alicloud.local
route_table_id = "vtb-t4nl******" # リクエスト元のインスタンスがある vSwitch にバインドされたルートテーブル
destination_cidrblock = "172.16.0.0/12" # リクエスト先の VPC の CIDR ブロック
nexthop_type = "VpcPeer" # ネクストホップは VPC ピアリング接続
nexthop_id = alicloud_vpc_peer_connection.example_peer_connection.id
}
# リクエスト先の VPC のルートを設定
resource "alicloud_route_entry" "example_acceptor_route" {
provider = alicloud.accepting
route_table_id = "vtb-d7od******" # リクエスト先のインスタンスがある vSwitch にバインドされたルートテーブル
destination_cidrblock = "10.0.0.0/8" # リクエスト元の VPC の CIDR ブロック
nexthop_type = "VpcPeer" # ネクストホップは VPC ピアリング接続
nexthop_id = alicloud_vpc_peer_connection.example_peer_connection.id
}
クロスアカウントのピアリング接続
リソース:alicloud_vpc_peer_connection、alicloud_vpc_peer_connection_accepter、alicloud_route_entry
provider "alicloud" {
alias = "local"
region = "ap-southeast-1" # リクエスト元の VPC のリージョン
}
# リクエスト先の VPC のリージョン。リクエスト元の VPC のリージョンと同じでもかまいません。リクエスト先の VPC のリージョンに基づいて設定する必要があります。
variable "accepting_region" {
default = "eu-west-1"
}
# リクエスト先のアカウント
variable "accepting_uid" {
default = "1234******"
}
# リクエスト先アカウントの AccessKey ID
variable "access_key_id" {
description = "インフラストラクチャを操作するための AccessKey ID"
}
# リクエスト先アカウントの AccessKey Secret
variable "access_key_secret" {
description = "インフラストラクチャを操作するための AccessKey Secret"
}
provider "alicloud" {
alias = "acceptor"
region = var.accepting_region
access_key = var.access_key_id
secret_key = var.access_key_secret
}
# リクエスト元の VPC ID
variable "local_vpc_id" {
default = "vpc-t4ns******"
}
# リクエスト先の VPC ID
variable "accepting_vpc_id" {
default = "vpc-d7ot******"
}
# VPC ピアリング接続の作成
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
provider = alicloud.local
peer_connection_name = "example_peer_connection_name"
vpc_id = var.local_vpc_id # リクエスト元の VPC ID
accepting_ali_uid = var.accepting_uid # リクエスト先のアカウント ID
accepting_region_id = var.accepting_region # リクエスト先のリージョン
accepting_vpc_id = var.accepting_vpc_id # リクエスト先の VPC ID
bandwidth = 1024 # 帯域幅 (Mbit/s)。このパラメーターは、リクエスト元のリージョンとリクエスト先のリージョンが異なる場合にのみ設定できます。
link_type = "Gold" # リンクタイプ。このパラメーターは、リクエスト元のリージョンとリクエスト先のリージョンが異なる場合にのみ設定できます。
}
# リクエスト先がピアリング接続リクエストを承諾
resource "alicloud_vpc_peer_connection_accepter" "example_peer_connection_accepter" {
provider = alicloud.acceptor
instance_id = alicloud_vpc_peer_connection.example_peer_connection.id
}
# リクエスト元の VPC のルートを設定
resource "alicloud_route_entry" "example_local_route" {
provider = alicloud.local
route_table_id = "vtb-t4nl******" # リクエスト元のインスタンスがある vSwitch にバインドされたルートテーブル
destination_cidrblock = "192.168.0.0/24" # リクエスト先の VPC の CIDR ブロック
nexthop_type = "VpcPeer" # ネクストホップは VPC ピアリング接続
nexthop_id = alicloud_vpc_peer_connection.example_peer_connection.id
}
# リクエスト先の VPC のルートを設定
resource "alicloud_route_entry" "example_acceptor_route" {
provider = alicloud.acceptor
route_table_id = "vtb-d7od******" # リクエスト先のインスタンスがある vSwitch にバインドされたルートテーブル
destination_cidrblock = "172.16.0.0/12" # リクエスト元の VPC の CIDR ブロック
nexthop_type = "VpcPeer" # ネクストホップは VPC ピアリング接続
nexthop_id = alicloud_vpc_peer_connection.example_peer_connection.id
}
トラブルシューティング
まず、到達可能性アナライザーを使用してネットワーク接続を確認してください。
接続ステータスの確認
ピアリング接続のステータスが「アクティブ化済み」であることを確認します。
アクション:ステータスが「承諾中」の場合、リクエスト先の VPC の所有者がログインして「承諾」をクリックする必要があります。
CIDR の重複の確認
リクエスト元とリクエスト先の VPC の CIDR が重複していないことを確認します。
根本原因:CIDR が重複している場合、ピア VPC 宛てのトラフィックはローカルのシステムルートと優先的に一致し、ローカル VPC 内にとどまります。ローカルシステムルートは、常にカスタムピアリングルートよりも優先されます。
ピア vSwitch へのルートを設定することはできますが、接続が不安定になる可能性があります。サービスを重複しない CIDR ブロックを持つ VPC に移行し、ピアリング接続を再作成することを強く推奨します。
RFC 1918 準拠の確認:標準の RFC 1918 プライベートアドレス空間の代わりに、30.0.0.0/16 などの非標準 IP 範囲を使用していないか確認します。
根本原因:VPC は RFC 1918 以外の IP アドレスをパブリック CIDR ブロックとして扱います。ご利用の VPC が NAT Gateway または EIP を介してインターネットにアクセスできる場合、ピア宛てのトラフィックはピアリング接続を介さずにインターネットにルーティングされます。
アクション:IPv4 ゲートウェイを作成してこのデフォルトの動作を上書きし、トラフィックを宛先 VPC にルーティングします。
ローカルネットワークの競合の確認:Docker ブリッジ IP などのローカル Docker ネットワーク設定が、ピア VPC の CIDR と競合していないことを確認します。
両方の VPC のルートの検証
リクエスト元とリクエスト先の両方の VPC にルートエントリが存在することを確認します。ルーティングは自動的に設定されません。
デフォルトのシステムルートテーブルだけを確認するのではなく、インスタンスの vSwitch に関連付けられたルートテーブルにルートエントリが追加されていることを確認します。
アクセス制御ルールの検証
インスタンスレベル (セキュリティグループ):ECS セキュリティグループのインバウンドおよびアウトバウンドルールが、ピア IP からのトラフィックを許可していることを確認します。
vSwitch レベル (ネットワーク ACL):vSwitch に関連付けられたネットワーク ACL のインバウンドおよびアウトバウンドルールが、ピア IP からのトラフィックを許可していることを確認します。
アプリケーションレベル (許可リスト):ApsaraDB RDS や Redis などの PaaS サービスの場合、ピア VPC の CIDR ブロックが許可リストに追加されていることを確認します。
例
3 つの VPC を接続する
VPC ピアリングのルートを設定する際、2 つのルーティング戦略から選択できます。
フルアクセス:宛先をピア VPC の CIDR に設定し、両方の VPC のすべてのインスタンスが完全に通信できるようにします。
詳細なアクセス:宛先を vSwitch の CIDR またはインスタンスの IP に設定します。これにより、スコープを制限してセキュリティを強化しますが、新しいリソースがアクセスを必要とするたびに手動でルートを更新する必要があります。
例:
VPC1 (詳細):VPC2 の vSwitch 3 と VPC3 の ECS04 のみを指す特定のルートで設定されています。VPC1 は、これらの特定のリソースへのアクセスのみに制限されます。
VPC2 & VPC3 (フル):ピア VPC の CIDR 全体を指すルートで設定されています。これらは、承認されたピアとの完全な通信を許可します。
複数の VPC を中央の VPC に接続する (ハブアンドスポーク)
スポーク VPC は中央のハブ VPC 内のサービスにアクセスできますが、相互に通信することはできません。
一般的なユースケース:
部門の分離:人事や財務などの部門 VPC は相互に分離されたままですが、ロギングや認証などの共有リソースをホストする中央の VPC へのアクセスを共有します。
マルチテナント分離:顧客の VPC は中央の SaaS プロバイダーの VPC に接続します。各顧客は他の顧客から分離されていますが、プロバイダーがホストする共有サービスにアクセスできます。
監視と O&M
サポート範囲:メトリックはリージョン間ピアリング接続でのみ利用可能です。
アラート:CloudMonitor を使用して、しきい値ベースのアラートルールを作成します。接続ステータスをリアルタイムで監視し、ネットワーク輻輳や障害を迅速に検出します。
コンソール
メトリックの表示
VPC - VPC ピアリング接続ページに移動します。トップナビゲーションバーで、VPC があるリージョンを選択します。
対象のリージョン間VPCピアリング接続の モニタリング 列で、
アイコンをクリックします。帯域幅使用量およびパケット損失などの主要なメトリックについて、リアルタイムデータを表示します。
アラートの設定 (CloudMonitor)
ページに移動し、アラームルールを作成 をクリックします。
各アラートレベルのしきい値を設定します。メトリックがしきい値に達すると、アラーム連絡先グループ に通知が自動的に送信されます。
過去のアラートを表示するには、アラーム履歴 をクリックします。
ルールを 変更、無効化、または 削除 するには、アクション 列のオプションを使用します。
API
PutResourceMetricRules を呼び出して、VPC ピアリング接続の指定されたメトリックに対して複数のしきい値ベースのアラートルールを設定します。詳細については、「ピアリング接続の CloudMonitor メトリック」をご参照ください。
EnableMetricRules を呼び出して、1 つ以上のアラートルールを有効にします。
DisableMetricRules を呼び出して、アラートルールを無効にします。
DeleteMetricRules を呼び出して、1 つ以上のアラートルールを削除します。
Terraform
しきい値ベースのアラートルールを設定します。詳細については、「ピアリング接続の CloudMonitor メトリック」をご参照ください。
リソース:alicloud_cms_alarm_contact、alicloud_cms_alarm_contact_group、alicloud_cms_alarm
# 監視対象のピアリング接続インスタンスの ID
variable "vpc_peer_id" {
default = "pcc-28cv******"
}
# アラート連絡先の作成
resource "alicloud_cms_alarm_contact" "example_cms_alarm_contact" {
alarm_contact_name = "example_cms_alarm_contact_name"
describe = "example_vpc_peer_alarm"
channels_mail = "xxx@xxx.com" # ご自身のメールアドレスに変更してください。
lifecycle {
ignore_changes = [channels_mail]
}
}
# アラートグループの作成
resource "alicloud_cms_alarm_contact_group" "example_cms_alarm_contact_group" {
alarm_contact_group_name = "example_cms_alarm_contact_group"
contacts = [alicloud_cms_alarm_contact.example_cms_alarm_contact.id] # アラート連絡先
}
# アラートルールの作成
resource "alicloud_cms_alarm" "example_cms_alarm" {
name = "example_cms_alarm_name"
project = "acs_vpcpeer" # クラウドサービスのデータ名前空間
metric = "IntranetRX" # メトリックの名前
period = 60 # 統計期間
contact_groups = [alicloud_cms_alarm_contact_group.example_cms_alarm_contact_group.alarm_contact_group_name]
effective_interval = "06:00-20:00" # 有効期間
metric_dimensions = <<EOF
[
{
"instanceId": "${var.vpc_peer_id}"
}
]
EOF
escalations_critical { # Info レベルのアラート
statistics = "Sum" # アラートの統計メソッド
comparison_operator = ">=" # しきい値の比較演算子
threshold = 104857600 # しきい値
times = 2 # アラートのリトライ回数
}
}課金
接続タイプと料金
課金ルール
単価:ソース/宛先リージョンとリンクタイプによって異なります。
課金サイクル:時間単位。
ティアの切り替え:課金時間内にリンクタイプを切り替えた場合、その時間全体が上位ティアのレートで課金されます。
課金例
VPC1 (アカウント A、シンガポール) と VPC2 (アカウント B、イギリス ロンドン) 間のゴールド接続で、レートが 0.08 USD/GB の場合:
アカウント A の支払い:0.08 USD/GB × 200 GB = 16 USD
アカウント B の支払い:0.08 USD/GB × 100 GB = 8 USD
よくある質問
Q:クロスボーダーピアリング接続はサポートされていますか?
A:はい。VPC ピアリング接続は、両方の接続シナリオをサポートしています。
非クロスボーダー:中国本土内の 2 つのリージョン、または中国本土以外の 2 つのリージョンを接続します。
クロスボーダー:中国本土のリージョンと中国本土以外のリージョンを接続します。アカウントが事業者本人確認を完了していることをご確認ください。事業者本人確認。
Q:ピアリング接続を作成する際に、ターゲット VPC を選択できないのはなぜですか?
A:選択したリージョンとアカウントが、ターゲット VPC の場所と所有者と一致していることを確認してください。
リクエスト元:現在のリージョンとログインしているアカウントがリクエスト元として機能します。
リクエスト先:リクエスト先のリージョンとアカウントは設定時に指定されます。これらの設定が正しい場合にのみ、ターゲット VPC が表示されます。
Q:Docker を実行している ECS インスタンスがピア VPC に接続できないのはなぜですか?
A:ルーティングとセキュリティグループが正しく設定されている場合、問題は Docker ブリッジネットワーク (デフォルトは docker0) とピア VPC の CIDR との間の CIDR 競合である可能性が高いです。
問題の診断:
ECS インスタンスで
ip addrを実行して、Docker インターフェイスの IP アドレスを確認します。それがピア VPC の CIDR ブロックと重複している場合、トラフィックはピア VPC ではなくローカルにルーティングされます。解決策:Docker ブリッジの CIDR を変更する
警告:この手順では Docker サービスを再起動する必要があり、実行中のすべてのコンテナーが中断されます。この操作はメンテナンスウィンドウ中に実行し、新しい CIDR ブロックが既存のアプリケーションと競合しないことを確認してください。
Docker の停止:
sudo systemctl stop docker。Docker 設定ファイルの編集:設定ファイル (通常は
/etc/docker/daemon.jsonまたは/etc/docker/daemon.conf) を開きます。vim などのエディタを使用できます:sudo vim /etc/docker/daemon.json。ブリッジ IP の更新:bip パラメーターを競合しない CIDR に追加または変更します。
{ "bip":"新しい Docker CIDR ブロック" }再起動と検証:
sudo systemctl start docker。
詳細情報
ライフサイクル
開始されると、VPC ピアリング接続は以下の段階を経て移行します。
同一アカウント:システムは接続を即座に自動的に開始、承諾、およびアクティブ化します。
ステータスの説明
サポートされているリージョン
エリア | VPC ピアリング接続をサポートするリージョン |
アジア太平洋 - 中国 | 中国 (杭州)、中国 (上海)、中国 (南京-ローカルリージョン - 提供終了)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、中国 (武漢 - ローカルリージョン)、中国 (福州-ローカルリージョン - 提供終了) |
アジア太平洋 - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (シリコンバレー)、米国 (バージニア) |
中東 | アラブ首長国連邦(ドバイ)、サウジアラビア(リヤド - パートナー リージョン) |
クォータ
クォータ名 | 説明 | デフォルトクォータ | クォータの引き上げ |
vpc_quota_cross_region_peer_num_per_vpc | 1 つの VPC が持つことができるリージョン間 VPC ピアリング接続の数。 | 20 | |
vpc_quota_intra_region_peer_num_per_vpc | 1 つの VPC が持つことができるリージョン内 VPC ピアリング接続の数。 | 10 | |
vpc_quota_peer_num | 1 つの Alibaba Cloud アカウントが 1 つのリージョンで作成できる VPC ピアリング接続の数。 | 20 | |
vpc_quota_peer_cross_border_bandwidth | 最大のクロスボーダー帯域幅。 | 1,024 Mbps | |
vpc_quota_peer_cross_region_bandwidth | 最大のリージョン間帯域幅。 | 1,024 Mbps |