ピアリング接続は、2つの仮想プライベートクラウド (VPC) を接続します。 VPCピアリング接続を作成して、複数のVPC間の通信を有効にできます。 VPCピアリング接続は、Cloud Enterprise Network (CEN) トランジットルーターと連携して、VPC間の通信を可能にすることもできます。 このトピックでは、VPCピアリング接続の使用例を示します。
シナリオ
以下のシナリオでは、VPCピアリング接続を使用できます。
VPCピアリング接続を使用して複数のVPC間の通信を有効にする
VPCピアリング接続を作成して、2つ以上のVPCを接続できます。 異なるAlibaba Cloudアカウント内のVPC間にVPCピアリング接続を作成することもできます。 これにより、VPCは相互に通信し、リソースを共有できます。
手順
接続するVPCを作成します。 詳細については、「VPCとvSwitchの作成」をご参照ください。
VPCピアリング接続を作成します。 詳細については、「VPCピアリング接続の作成と管理」をご参照ください。
ルートを設定します。 詳細は、「ルートの設定」をご参照ください。
2つのVPC間の通信
次の図に示すように、VPC aとVPC Bの間にピアリング接続pcc-aaabbbが作成されます。2つのVPCは互いに通信し、リソースを共有できます。
VPC AとVPC Bの両方にIPv6 CIDRブロックが割り当てられている場合、ピアVPCのIPv4またはIPv6ルートを各VPCのルートテーブルに追加できます。 ビジネス要件に基づいてIPv4またはIPv6を選択できます。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb |
VPC AとVPC Bが同じCIDRブロックを使用しているが、VPC AとVPC BのvSwitchのCIDRブロックが重複していない場合、ピアVPCのvSwitch CIDRブロックを宛先アドレスとして追加してピアリング接続を作成できます。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC A | 10.2.1.0/24 | pcc-aaabbb |
VPC B | 10.2.0.0/24 | pcc-aaabbb |
3つのVPC間の通信
次の図に示すように、ピアリング接続はVPC AとVPC Bの間、VPC BとVPC Cの間、およびVPC AとVPC Cの間で確立されます。各VPCは他の2つのVPCと通信し、リソースを共有できます。
VPC AとVPC Bの両方にIPv6 CIDRブロックが割り当てられているが、VPC CにIPv6 CIDRが割り当てられていない場合、VPCのルートテーブルは次の表のように構成されます。 VPC AとVPC Bは、IPv6環境でピアリング接続を介して相互に通信できます。 VPC CはIPv6経由でVPC AまたはVPC Bと通信できません。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
172.16.0.0/16 | pcc-bbbccc |
3つ以上のVPC間の通信
次の図に示すように、VPC A、VPC B、VPC C、VPC D、およびVPC Eの間でピアリング接続が確立されています。各VPCは他のVPCと通信し、リソースを共有できます。 このシナリオでは、5つのVPCが互いに通信する必要があります。
前の図に示すように、5つのVPCの各2つの間にピアリング接続が確立されます。 VPCピアリング接続の数はN × (N-1)/2です。 Nが5の場合、合計10個のピアリング接続が確立される。 各VPCピアリング接続を指すルートは、各VPCに設定されます。 これにより、各VPCは他のVPCと通信できます。 各VPCにはIPv6 CIDRブロックが割り当てられます。 次の表に、ルートの設定方法を示します。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-bbbccc | |
2408:4006:121b:5b00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-bbbddd | |
2408:4006:121b:5d00::/56 | pcc-bbbddd | |
10.2.0.0/16 | pcc-bbbeee | |
2408:4006:121b:5c00::/56 | pcc-bbbeee | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
172.16.0.0/16 | pcc-bbbccc | |
2408:4006:121b:3f00::/56 | pcc-bbbccc | |
172.17.0.0/16 | pcc-cccddd | |
2408:4006:121b:5d00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-ccceee | |
2408:4006:121b:5c00::/56 | pcc-ccceee | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
172.16.0.0/16 | pcc-bbbddd | |
2408:4006:121b:3f00::/56 | pcc-bbbddd | |
10.1.0.0/16 | pcc-cccddd | |
2408:4006:121b:5b00::/56 | pcc-cccddd | |
10.2.0.0/16 | pcc-dddeee | |
2408:4006:121b:5c00::/56 | pcc-dddeee | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee | |
172.16.0.0/16 | pcc-bbbeee | |
2408:4006:121b:3f00::/56 | pcc-bbbeee | |
10.1.0.0/16 | pcc-ccceee | |
2408:4006:121b:5b00::/56 | pcc-ccceee | |
172.17.0.0/16 | pcc-dddeee | |
2408:4006:121b:5d00::/56 | pcc-dddeee |
VPCピアリング接続の数とルートエントリの数は、VPCの数によって異なります。 たとえば、10台のVPCのうち2台ごとに接続する場合は、45台のVPCピアリング接続を作成し、VPCごとに他の9台のVPCへのルートを設定する必要があります。 この場合、構成が複雑になる。 10個以下のVPCに対してVPCピアリング接続を作成することを推奨します。
VPCピアリング接続を使用して複数のVPCとセントラルVPC間の通信を有効にする
サービスをデプロイするときは、サービスのセキュリティを確保するために、別々のVPCを異なるサービスまたはブランチに割り当てる必要があります。 これらのVPCは、リソースを共有するために中央サービスVPCまたは中央ブランチVPCに接続する必要があります。 設定例:
企業は部門ごとに異なるVPCを作成します。 企業は、部門が互いに独立しているが、ファイル共有サービスやミドルウェアサービスなど、中央VPCにデプロイされている一般的なサービスにアクセスできることを望んでいます。
企業は複数のユーザーにサービスを提供し、サービスは別のサービスVPCにデプロイされます。 企業は、異なるユーザーのVPCが互いに独立しているが、別のサービスVPCと通信できることを望んでいます。
手順
接続するVPCを作成します。 詳細については、「VPCとvSwitchの作成」をご参照ください。
VPCピアリング接続を作成します。 詳細については、「VPCピアリング接続の作成と管理」をご参照ください。
ルートを設定します。 詳細は、「ルートの設定」をご参照ください。
前の図は、企業に4つのブランチと1つの中央部門があり、中央部門にサービスがデプロイされていることを示しています。 企業は、各ブランチが中央部門のサービスにアクセスできるようにするが、互いに独立していることを望んでいます。 前の図に示すように、VPCピアリング接続を作成し、ブランチVPCのVPCピアリング接続を指すルートを設定できます。 このようにして、各ブランチは中央部門のサービスにアクセスできますが、互いに通信することはできません。 次の表に、ルートの設定方法を示します。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC A | 172.16.0.0/16 | pcc-aaabbb |
2408:4006:121b:3f00::/56 | pcc-aaabbb | |
10.1.0.0/16 | pcc-aaaccc | |
2408:4006:121b:5b00::/56 | pcc-aaaccc | |
172.17.0.0/16 | pcc-aaaddd | |
2408:4006:121b:5d00::/56 | pcc-aaaddd | |
10.2.0.0/16 | pcc-aaaeee | |
2408:4006:121b:5c00::/56 | pcc-aaaeee | |
VPC B | 192.168.0.0/16 | pcc-aaabbb |
2408:4006:121b:4000::/56 | pcc-aaabbb | |
VPC C | 192.168.0.0/16 | pcc-aaaccc |
2408:4006:121b:4000::/56 | pcc-aaaccc | |
VPC D | 192.168.0.0/16 | pcc-aaaddd |
2408:4006:121b:4000::/56 | pcc-aaaddd | |
VPC E | 192.168.0.0/16 | pcc-aaaeee |
2408:4006:121b:4000::/56 | pcc-aaaeee |
VPCピアリング接続とトランジットルーターを使用して複数のVPC間の通信を可能にする
次の表に、VPCピアリング接続とトランジットルーターの違いを示します。
課金方法 | VPCピアリング接続 | トランジットルーター |
接続方法 | フルメッシュ。VPCがVPCピアリング接続を介して相互に通信できるようにします。 | これにより、VPCはVPC接続を介してトランジットルーターに接続できます。 |
ルート広告 | サホートされていない | 対応 |
設定の複雑さ | 構成は複雑です。 VPCピアリング接続を作成し、各ピアVPCの各VPCピアリング接続を指すルートを設定する必要があります。 | 構成は簡単です。 VPCをトランジットルーターに接続し、VPCからトランジットルーターにネットワークトラフィックをルーティングするルートを設定するだけで済みます。 |
サポートされるVPCの最大数 | 10 | 1,000 |
課金ルール | リージョン内ピアリング接続は無料です。 異なるリージョンにあるVPC間にVPCピアリング接続を作成すると、VPCのアウトバウンドトラフィックに対して課金されます。 | トランジットルーターとトラフィック処理に対して課金されます。 リージョン間接続を介したアウトバウンドデータ転送に対しても課金されます。 |
多数のVPCに対してVPCピアリング接続を作成する場合、VPCピアリング接続の接続モードとポイントツーポイントルート構成の要件により、構成がより複雑になります。 VPCピアリング接続は、多数のVPCを完全に接続する必要があるシナリオには適していません。 ただし、VPCピアリング接続は低レイテンシをサポートし、リクエスターVPCとアクセプターVPCが同じリージョンにある場合は無料です。
トランジットルーターのハブスポーク接続モードでは、VPC接続を介してVPCをトランジットルーターに接続できます。 その後、トランジットルーターはVPCのルートを自動的に同期します。 トランジットルータは、単純な構成を必要とし、様々なルーティングポリシー及びサービス品質 (QoS) メカニズムをサポートする。 これにより、複雑なネットワークを構築し、アクセス制御を実装できます。 ただし、トランジットルーターは限られた帯域幅をサポートし、データ処理料金を請求します。 VPCピアリング接続と比較して、トランジットルーターはより高いコストを必要とします。
VPCピアリング接続のみ、またはトランジットルーターのみを使用して、高帯域幅と費用対効果の両方を必要とする複雑なネットワークを構築することはできません。 VPCピアリング接続をトランジットルーターと一緒に使用して、要件を満たすことができます。
たとえば、企業は複数のリージョンで複数のVPCを作成し、VPC間の通信、ルーティングポリシー制御、およびコスト削減を必要とします。
同じリージョンのVPC間で通信を有効にするには、VPCピアリング接続を作成します。 料金は発生せず、ネットワークの遅延も少なくなります。
異なるリージョンのVPC間の通信を有効にするには、トランジットVPCを使用してVPCをトランジットルーターに接続します。 トランジットルーターは、きめ細かいルーティングの実装に役立つルーティングポリシーもサポートしています。
異なるリージョンにデプロイされ、高帯域幅が必要なVPCの場合、リージョン間VPCピアリング接続を作成できます。 この例では、VPC AとVPC Cの間にリージョン間VPCピアリング接続が作成されます。
手順
各リージョンにCENインスタンスとトランジットルーターを作成します。 詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。
VPCをリージョン内のトランジットルーターに接続します。 詳細については、「VPC接続の作成」をご参照ください。
リージョン間VPCピアリング接続を作成します。 詳細については、「VPCピアリング接続の作成」をご参照ください。
ルートを設定します。 詳細は、「ルートの設定」をご参照ください。