VPCピアリング接続は、2つの仮想プライベートクラウド (VPC) 間にプライベートネットワーク接続を作成するための高速で安全なソリューションです。
概要
VPCピアリング接続は、2つのVPCを相互接続できるようにするネットワーキングソリューションであり、IPv4トラフィックとIPv6トラフィックの両方をサポートします。 この接続により、同じアカウント内または異なるアカウント間、同じリージョン内、または異なるリージョン間のVPC間のプライベートネットワーク通信が可能になります。
シナリオ
安全なアクセス: VPCピアリング接続は、異なるVPC内のリソースがプライベートネットワークを介して通信できるようにすることでセキュリティを強化します。 これにより、インターネットの公開が回避され、DDoS攻撃などの一般的なネットワーク攻撃から保護されます。
マルチアカウント接続: VPC間で安全な通信を実現できます。 これにより、チーム間のコラボレーションが促進され、リソース共有の効率が向上します。
ディザスタリカバリ: データ同期とバックアップのために、クロスリージョンVPCピアリング接続を活用します。 これにより、データの冗長性、ディザスタリカバリ、およびビジネスの安定性が確保されます。
Requesterおよびaccepter
ピアリング接続の2つのVPCは、リクエスタとアクセプタです。 リクエスタはピアリング要求を開始し、一方、アクセプタは入ってくる要求を待つ。 これらの役割は、接続を確立するためだけのものです。 VPCピアリング接続が確立されると、リクエスタとアクセプタの両方が同じネットワークにあるかのようにデータを送受信できます。
同じアカウントのVPCピアリング接続の場合、システムは要求者からの要求を自動的に受け入れ、接続を確立します。 アクセプターは要求を受け入れる必要はありません。
クロスアカウントVPCピアリング接続の場合、受領者はリクエストを受け入れるか拒否することができます。 VPCピアリング接続は、リクエストが受け入れられた場合にのみ有効になります。
リクエスターおよびアクセプターVPCは、同じリージョンまたは異なるリージョンに配置できます。
VPCピアリング接続のステータス
VPCピアリング接続プロセスは、リクエスタがアクセプトに接続リクエストを送信すると開始されます。 リクエストが受け入れられると、接続が作成されます。
要求者と受け入れ者のVPCが両方とも同じAlibaba Cloudアカウントにある場合、ピアリング接続要求が自動的に開始および承認され、確立時に接続がアクティブになります。
VPCピアリング接続のステータスは、接続プロセス全体で変更されます。
ステータス | 説明 |
作成中 | リクエスタが接続要求を送信した後のステータス。 |
ピア受け入れ | 接続が受信者によって受け入れられるのを待っているときのステータス。 |
更新中 | 受信者が接続要求を受け入れた後のステータス。 |
有効化 | VPCピアリング接続が有効化された後のステータス。 |
Rejected | アクセプタが接続要求を拒否した後のステータス。 |
期限切れ | 接続リクエスト後のステータスは、7日以上保留中のままです。 |
削除中 | VPCピアリング接続が削除されているときのステータス。 |
削除済み | VPCピアリング接続が削除された後のステータス。 |
VPCピアリング接続の操作
VPCピアリング接続の作成
シンプルで安全なプライベートネットワークのために2つのVPC間にピアリング接続を作成するには、以下の手順に従います。 詳細については、「プライベート通信にVPCピアリング接続を使用する」をご参照ください。
VPCを接続する前に、ネットワークを適切に計画し、CIDRブロックが重複しないようにします。
リクエスタは、ピアリング接続要求をアクセプタに送信する。
アクセプタは、要求を受け入れ、ピアリング接続をアクティブにする。
説明アクセプターアカウントが [同じアカウント] の場合、アクセプターアカウントからのアクションなしで、リクエストが開始された後にシステムが自動的に接続を作成します。
VPCがプライベートネットワーク経由で通信するように、ピアリング接続の両端にルートを設定します。
ルーティング設定をします。
VPCピアリング接続のルートを設定するときは、必要に応じて次のいずれかの方法を選択します。
ピアVPCのCIDRブロックを宛先として使用して、リソースへのフルアクセスを許可します。 Elastic Compute Service (ECS) インスタンスは、ピアVPCのvSwitch内のすべてのリソースと通信できるため、管理が簡素化されます。
セキュリティを強化するには、ピアVPCのvSwitchのCIDRブロックを宛先として使用し、ピアリング接続トラフィックの帯域幅を制限します。
例
VPCピアリング接続が作成され、ステータスが [有効化] に変更された後、トラフィックを転送し、プライベートネットワークの相互接続を有効にするために、接続の両端にルートを追加する必要があります。
このシナリオでは、ピアVPCのCIDRブロックを指すように両端のルートを設定します。 詳細な例については、「VPCピアリング接続の例」をご参照ください。
ルートテーブル | 宛先アドレス | 次のホップ |
VPC1 | 192.168.0.0/16 | pcc-aaabbb |
2408:XXXX:XXXX:4000::/56 | pcc-aaabbb | |
VPC2 | 172.16.0.0/12 | pcc-aaabbb |
2408:XXXX:XXXX:3f00::/56 | pcc-aaabbb |
両端のVPCとvSwitchのCIDRブロックが重複しないようにします。
2つのVPCのCIDRブロックが重複するが、vSwitchのCIDRブロックが重複しない場合、ピアVPCを指すように宛先アドレスを設定すると、ルーティングの問題が発生する可能性があります。 システムルートは、ピアリング接続によって確立されたルートをオーバーライドします。 つまり、ピアVPCを対象としたトラフィックは、リクエスタVPC内で内部的に誤ってルーティングされ、アクセプタに到達しません。 この問題を回避するために、ピアVPCのvSwitchの重複しないCIDRブロックを宛先として設定できます。
vSwitchのCIDRブロックが重複する場合、システムルートよりも多くの特定のルートを構成することができないため、ピアvSwitchのCIDRブロックを宛先として使用することはできません。
トラブルシューティング
CloudMonitorを使用して、リージョン間VPCピアリング接続のトラフィック帯域幅やパケット損失などのメトリックを収集します。 アラートルールを作成してインスタンスのステータスをリアルタイムで監視し、ビジネスの安定性を確保できます。
VPCピアリング接続インスタンスのアクセスの問題については、Network Intelligence Service (NIS) を使用して双方向パス分析を行い、構成エラーを診断します。
説明NISは現在、同時双方向パス分析をサポートしていません。 Reverse Path Analysisを使用して接続を確認できます。
到達不可能: ルート設定を確認し、ルートテーブルに、宛先がピアVPCのCIDRブロックで、ネクストホップがVPCピアリング接続であるエントリがあることを確認します。
リクエストがセキュリティグループルールと一致するか、デフォルトで拒否されます: VPC内のECSインスタンスのセキュリティグループがピアVPCからのトラフィックを許可していることを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
リクエストがネットワークACL拒否ルールに一致するか、デフォルトで拒否されます: vSwitchのネットワークACLがピアVPCからのトラフィックを許可しているかどうかを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
課金
VPCピアリング接続は、同じリージョンの同じアカウント、同じリージョンのクロスアカウント、リージョン間の同じアカウント、リージョン間のクロスアカウントの4つのシナリオで作成できます。 同じリージョンでの接続には料金は発生しませんが、リージョン間の接続にはデータ転送料金が発生します。これは、アウトバウンドトラフィックに基づいて計算され、クラウドデータ転送 (CDT) によって請求されます。 詳細については、「クロスリージョンデータ転送」をご参照ください。
Service-Level Agreement (SLA) は、クロスリージョンVPCピアリングの99.95% の最小可用性を保証します。
CDTは課金および請求機能のみを提供し、VPC間接続はVPCピアリング接続によってサポートされます。
リージョン間接続の課金例
イメージに示すように、顧客1は中国 (フフホト) でVPC1を作成し、顧客2は中国 (広州) でVPC2を設定しました。 その結果、2つのVPC間のリージョン間、クロスアカウントピアリング接続が確立される。 アウトバウンドトラフィック課金ルールに従って、顧客1はVPC2に送信されたトラフィックに対して課金され、顧客2はVPC1に送信されたトラフィックに対して課金されます。
ピアリング接続を介してVPC1から200 GB、VPC2から100 GBのデータが転送され、中国 (フフホト) と中国 (広州) 間のデータ転送にかかるリージョン間トラフィック料金が0.6 RMB/GBの場合、2人の顧客には次の方法で課金されます。
顧客1: CNY 0.6/GB × 200 GB = CNY 120
顧客2: CNY 0.6/GB × 100 GB = CNY 60
制限事項
機能制限
一度に2つのVPC間に作成できるVPCピアリング接続は1つだけです。
VPCピアリング接続はルーティング伝播をサポートしていません。 VPCピアリング接続を確立した後、接続を有効にするために、リクエスタとアクセプタの両方のルートエントリを手動で設定する必要があります。
VPC1、VPC2、およびVPC3の3つのVPCが作成されると仮定する。 ピアリング接続がVPC1とVPC2の間に確立され、別のピアリング接続がVPC2とVPC3の間に確立されます。 VPC2はトランジットルーターとして機能できないため、VPC1とVPC3の間にピアリング接続を作成し、それらを接続するルートエントリを設定する必要があります。
マルチアカウント共有VPCシナリオでは、リソース所有者はVPCピアリング接続を作成、変更、または削除できます。 ただし、プリンシパルには管理権限がありません。
サポートされるリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地域),中国 (青島),中国 (北京),中国 (張家口),中国 (フフホト),中国 (ウランカブ),中国 (深セン),中国 (河源),中国 (広州),中国 (成都),香港 (中国),中国 (武漢-地域),中国 (福州-地域),日本 (東京),韓国 (ソウル),シンガポール,マレーシア (クアラルンプール),インドネシア (ジャカルタ),フィリピン (マニラ)、およびタイ (バンコク). |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) 。 |
中東 | UAE (ドバイ) およびSAU (リヤド-パートナー地域) 。 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
制限とクォータ
名前 /ID | 説明 | デフォルト値 | 調整可能 |
vpc_quota_cross_region_peer_num_per_vpc | 各VPCのリージョン間VPCピアリング接続の最大数 | 20 | 次の操作を実行して、クォータを増やすことができます。
|
vpc_quota_intra_region_peer_num_per_vpc | 各VPCのリージョン内VPCピアリング接続の最大数 | 10 | |
vpc_quota_peer_num | 各リージョンの各アカウントで作成できるVPCピアリング接続の最大数 | 20 | |
vpc_quota_peer_cross_border_帯域幅 | クロスボーダーVPCピアリング接続の最大帯域幅 | 1,024 Mbps | |
vpc_quota_peer_cross_region_帯域幅 | リージョン間VPCピアリング接続の最大帯域幅 | 1,024 Mbps | |
非該当 | リージョン内接続のデフォルトの最大帯域幅 | -無制限の帯域幅を示す1 Mbps | 非該当 |