30.0.0.0/16など、オンプレミスのデータセンターまたは仮想プライベートクラウド (VPC) にRFC 1918以外のプライベートCIDRブロックを使用する場合、VPCはデフォルトでネットワーク接続を作成するときにRFC以外の1918をパブリックアドレスとして扱います。 その結果、オンプレミスデータセンターまたはVPCを指す宛先CIDRブロック30.0.0.0/16のルートエントリがあっても、トラフィックは、意図されたオンプレミスデスティネーションではなくインターネットにルーティングされる可能性があります。 IPv4ゲートウェイは適切なトラフィックルーティングに使用でき、トラフィックが目的のプライベートネットワークに確実に到達します。 これにより、意図しないインターネット露出を防ぎ、ネットワークセキュリティを強化します。
シナリオ
Alibaba Cloudの中国 (杭州) にVPC1とVPC2がデプロイされており、VPC2はRFC以外の1918のプライベートCIDRブロック30.0.0.0/16を使用しています。 ネットワーク通信を有効にするために、VPC1とVPC2間のピアリング接続が作成されます。 ただし、Elastic IPアドレス (EIP) を持つECS1がECS2にアクセスしようとすると、トラフィックは意図したECS2ではなくインターネットにルーティングされます。 これは、VPCが非RFC 1918アドレス空間をパブリックアドレスとして扱い、ECS1がインターネットアクセスを持ち、集中型パブリックトラフィックゲートウェイによって制御されないようにするためです。 IPv4ゲートウェイを作成し、それを指すルートを設定し、ゲートウェイをアクティブ化することにより、会社はプライベートネットワークで使用するための適切なルーティングを保証します。
使用上の注意
IPv4ゲートウェイを作成したら、それを指すルートを設定し、ゲートウェイをアクティブ化する必要があります。 VPCのインスタンスは、IPv4ゲートウェイがアクティブ化され、ルートテーブルに宛先のルートが含まれている場合にのみ、インターネットにアクセスできます。
ゲートウェイの有効化は、VPC内トラフィックを妨害しません。 しかし、トラフィックの再ルーティングにより、アクティブ化中に一時的な接続中断が発生する可能性があります。
宛先CIDRブロック
0.0.0.0/0を持つデフォルトルートエントリは、アクティベーション時にIPv4ゲートウェイを指すように自動的に作成されます。 これにより、関連するvSwitchがインターネットにアクセスできるようになり、構成の欠如によるアクセス障害が防止されます。宛先CIDRブロックが
0.0.0.0/0のルートエントリがルートテーブルにすでに存在する場合、ゲートウェイを指す別のデフォルトルートを追加することはできず、ゲートウェイのアクティブ化時にルートテーブルを選択することはできません。 vSwitchがインターネットへのアクセスを必要とする場合は、ルーティング設定を慎重に計画することを推奨します。
前提条件
中国 (杭州) で2つのVPCが作成されます。 VPC1およびVPC2のCIDRブロックは、それぞれ
10.0.0.0/16および30.0.0.0/16です。 詳細については、「VPCの作成と管理」をご参照ください。ECS1はVPC1で作成され、ECS2はVPC2で作成されます。 詳細については、「コンソールでのECSインスタンスの作成と管理」をご参照ください。
Elastic IPアドレス (EIP) はECS1に関連付けられています。 詳細については、「EIPとECSインスタンスの関連付け」をご参照ください。
VPCピアリング接続が確立され、VPC1がイニシエータ、VPC2がアクセプタになります。 トラフィックをピアリング接続の反対側に向けるルートエントリは、各VPCで設定されます。詳細については、「VPCピアリング接続の作成と管理」をご参照ください。
vSwitch1のカスタムルートテーブルが作成されます。 宛先CIDRブロック
30.0.0.0/16のネクストホップをピアリング接続に設定します。 詳細については、「ルートテーブルの作成と管理」をご参照ください。vSwitch2のカスタムルートテーブルが作成されます。 宛先CIDRブロック
10.0.0.0/16のネクストホップをピアリング接続に設定します。
手順
手順1: IPv4ゲートウェイの作成
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、IPv4ゲートウェイをクリックします。
上部のナビゲーションバーで、IPv4ゲートウェイのリージョンを選択します。
IPv4ゲートウェイページで、IPv4ゲートウェイの作成をクリックします。
[IPv4ゲートウェイの作成] ページで、次のパラメーターを設定し、[作成] をクリックします。
VPC: IPv4ゲートウェイが属するVPCを選択します。 この例ではVPC1が選択されています。
手順2: IPv4ゲートウェイの有効化
[IPv4ゲートウェイの有効化] ページで、vSwitch 1に関連付けられているルートテーブルを選択し、[有効化] をクリックします。 デフォルトルートが自動的に作成され、宛先CIDRブロック0.0.0.0/0がIPv4ゲートウェイを指します。
ステップ3: 結果の確認
NIS (Network Intelligence Service) を使用して、VPCピアリング接続の接続性を確認します。
VPCコンソールの左側のナビゲーションウィンドウでVPCピアリング接続を選択し、VPCピアリング接続インスタンスを見つけます。 [診断] 列で、 をクリックし、次のパラメーターを設定します。
ソース: ソースタイプを選択します。 この例では、[ECSインスタンスID] を選択し、ECS1インスタンスを選択します。
宛先: 宛先タイプを選択します。 この例では、[ECSインスタンスID] を選択し、ECS2インスタンスを選択します。
プロトコル: 到達可能性分析用のプロトコルを選択します。 ここでは、ICMPプロトコルを選択します。
分析結果によると、EIPを持つECS1が、RFC 1918以外のプライベートCIDRブロック30.0.0.0/16を持つVPC2にあるECS2にアクセスしようとすると、トラフィックはインターネットにルーティングされます (左のスクリーンショットを参照) 。 IPv4ゲートウェイが作成されてアクティブ化されると、トラフィックはプライベートネットワークの目的の宛先に送信されます (右のスクリーンショットを参照) 。
関連ドキュメント
IPv4、使用可能なリージョン、制限、およびその使用方法の詳細については、IPv4ゲートウェイを参照してください。