Alibaba Cloud Container Service for Kubernetes (ACK) Edge を使用すると、オンプレミスのデータセンターのサーバーをクラスターのノードとして統合し、専用のプライベート接続を介して接続できます。 これらのサーバーをクラスターに参加させる前に、基盤となるネットワークインフラストラクチャを正しく設定する必要があります。 このトピックでは、専用線接続環境で必要なネットワークデバイスを設定する方法について説明します。 これらの手順に従うことで、オンプレミスのデータセンターとクラウドの VPC (Virtual Private Cloud) との間に、信頼性が高く、安全で、高速なプライベート通信チャネルを確立できます。
ネットワークアーキテクチャ
データセンターのネットワークトポロジー
上の図のデータセンターネットワークは、サーバーとスイッチがレイヤー 2 LAN を構成する 3 層ネットワークアーキテクチャ上に構築されています。 複数のレイヤー 2 LAN がレイヤー 3 ルーティングドメインに集約され、統一されたオンプレミスネットワーク環境が作成されます。 この例では、データセンターのプライベート CIDR ブロックは 10.0.0.0/8 です。
VPC トポロジー
VPC は仮想化されたネットワーク上にデプロイされます。 VPC 内の Elastic Compute Service (ECS) インスタンスや elastic container instance などのコンピューティングインスタンスは、VPC 内の vSwitch を介して相互に通信します。 特定の Alibaba Cloud サービスは 100.0.0.0/8 を使用しており、これはデフォルトで VPC 内の vSwitch を介してアクセス可能です。
専用線接続ネットワーク
Alibaba Cloud は、さまざまなリージョンにわたる専用アクセスポイントのネットワークを提供しています。 レイテンシーを最小限に抑えるには、データセンターに物理的に最も近いアクセスポイントを選択してください。 詳細については、「アクセスポイントのロケーション」をご参照ください。 接続は、データセンターのコアスイッチからネットワークファイアウォールを経由し、Alibaba Cloud Express Connect のアクセスポイントにある仮想ボーダールータ (VBR) にルーティングされます。 その後、Express Connect Router (ECR) または Cloud Enterprise Network (CEN) のいずれかを使用してこのアクセスポイントを Alibaba Cloud VPC にリンクし、安全で高速なプライベートネットワークを確立できます。
ネットワークの設定
データセンターのコアスイッチとそのサブネットのレイヤー 3 ネットワーク設定が完了し、コアスイッチとサブネット間の通信が確立されていることを前提とします。
インバウンドルート:データセンターから VPC またはクラウドサービスへのアクセスを許可します。
アウトバウンドルート:VPC からデータセンターへのアクセスを許可します。
ネットワーク設定例
VPC CIDR ブロック:192.168.0.0/16。
データセンター CIDR ブロック:10.0.0.0/8。
クラウドサービスおよびプロダクトの CIDR ブロック:100.0.0.0/8。
エッジコンテナーの CIDR ブロック:172.16.0.0/12。ACK Edge クラスターが Terway Edge プラグインを使用する場合、エッジコンテナーの CIDR ブロックを指定する必要があります。
ACK Edge クラスターは、中国 (杭州) リージョンで以下の依存関係があります:
Object Storage Service (OSS):100.118.28.0/24、100.114.102.0/24、100.98.170.0/24、および 100.118.31.0/24。
Container Registry:100.103.9.188/32 および 100.103.7.181/32。
ACK Management:ドメイン名は cs-anony-vpc.cn-hangzhou.aliyuncs.com です。 VPC でドメイン名を解決することを推奨します。この例では、解決結果は 100.103.42.233 です。
以降のセクションでは、上記のトポロジー例に基づいてネットワークを設定する方法について説明します。ここでは、Alibaba Cloud サービスを表すために 100.0.0.0/8 CIDR ブロックを使用します。この IP 範囲が広すぎると判断した場合は、ACK Edge で必要な特定の IP 範囲に置き換えることができます。これらの範囲の完全なリストについては、「専用線接続モードでのエンドポイントと対応するルート CIDR ブロック」をご参照ください。このトピックの残りの部分では、デモンストレーションのために引き続き 100.0.0.0/8 範囲を使用します。
データセンターのコアスイッチの設定
パラメーター | 説明 | 注意事項 |
インバウンドルート | アクセスしたい VPC とクラウドサービスの CIDR ブロックを指定し、ECR を VBR に関連付けます。
| ご利用の ACK Edge クラスターが Terway Edge プラグインを使用している場合、データセンターのコアスイッチとスイッチでボーダーゲートウェイプロトコル (BGP) を設定し、Terway Edge がコンテナーのルートをコアスイッチとスイッチにアドバタイズできるようにする必要があります。詳細については、「Terway Edge の使用ガイド」および「Terway Edge を使用したコンテナー通信の実装」をご参照ください。 |
アウトバウンドルート | VBR からデータセンターサーバーへのパケットをルーティングするアウトバウンドルートを設定します。サーバーのネットワーク設定がコアスイッチで既に完了していることを確認してください。 |
データセンターのネットワークファイアウォールの設定
パラメーター | 説明 | 注意事項 |
アウトバウンド | アクセスしたい VPC とクラウドサービスの CIDR ブロックを指定します:
詳細な設定が必要な場合は、中国 (杭州) リージョンで次の CIDR ブロックを指定できます:
| ご利用の ACK Edge クラスターが Flannel プラグインを使用している場合、UDP ポート 8472 を介したアウトバウンドおよびインバウンドトラフィックを許可するようにデータセンターのネットワークファイアウォールを設定する必要があります。
|
インバウンド | アクセスしたい VPC とクラウドサービスの CIDR ブロックを指定します:
詳細な設定が必要な場合は、前述の CIDR ブロックが kubelet の TCP ポート 10250 と 10255、および Node-Exporter の TCP ポート 9100 と 9445 にアクセスできるように許可する必要があります。 |
VBR の設定
パラメーター | 説明 | 注意事項 |
インバウンドルート | VPC CIDR ブロック (192.168.0.0/16) とクラウドサービス CIDR ブロック (100.0.0.0/8) にパケットをルーティングするインバウンドルートを指定します。VPC ダイレクト接続、ECR、または CEN インスタンスを設定できます。詳細については、「Express Connect」をご参照ください。 | なし。 |
アウトバウンドルート | Express Connect とデータセンターのネットワークファイアウォールを使用して、データセンター CIDR ブロック (10.0.0.0/8) とデータセンターのコアスイッチにパケットをルーティングするアウトバウンドルートを設定します。 | ご利用の ACK Edge クラスターが Terway Edge プラグインを使用している場合、VBR でアウトバウンドルートを指定し、そのアウトバウンドルートにエッジコンテナーの CIDR ブロック (172.16.0.0/12) を指定する必要があります。 |
ECR または CEN インスタンスの設定
パラメーター | 説明 | 注意事項 |
インバウンドルート | ECR または CEN インスタンスのトランジットルータールートテーブルにインバウンドルートを追加して、VPC CIDR ブロック (192.168.0.0/16) とクラウドサービス CIDR ブロック (100.0.0.0/8) にパケットをルーティングします。 | なし。 |
アウトバウンドルート | ECR または CEN インスタンスのトランジットルータールートテーブルにアウトバウンドルートを追加して、VBR を介してデータセンター CIDR ブロック (10.0.0.0/8) にパケットをルーティングします。 | ご利用の ACK Edge クラスターが Terway Edge プラグインを使用している場合、ECR または CEN インスタンスにアウトバウンドルートを指定して、エッジコンテナーの CIDR ブロック (172.16.0.0/12) にパケットをルーティングする必要があります。 |
VPC ルートテーブルの設定
パラメーター | 説明 | 注意事項 |
インバウンドルート | デフォルトでは、ネットワーク設定は VPC 上で完了しています。VPC はデータセンターから受信したリクエストを自動的にルーティングします。 | なし。 |
アウトバウンドルート | VPC ルートテーブルにアウトバウンドルートを追加して、CEN インスタンス、ECR、および VBR を介してデータセンター CIDR ブロック (10.0.0.0/8) にパケットをルーティングします。 | ご利用の ACK Edge クラスターが Terway Edge プラグインを使用している場合、VPC ルートテーブルにアウトバウンドルートを追加して、エッジコンテナーの CIDR ブロック (172.16.0.0/12) にパケットをルーティングする必要があります。 |
VPC セキュリティグループの設定
パラメーター | 説明 | 注意事項 |
アウトバウンド | データセンター CIDR ブロック (10.0.0.0/8) へのアウトバウンドトラフィックを許可する必要があります。特定のポートに対して詳細な制御を設定できます。たとえば、kubelet の TCP ポート 10250 と 10255、および Node-Exporter の TCP ポート 9100 と 9445 へのアウトバウンドトラフィックを許可できます。 | ご利用の ACK Edge クラスターが Flannel プラグインを使用している場合、UDP ポート 8472 を介したアウトバウンドおよびインバウンドトラフィックを許可するように VPC セキュリティグループを設定する必要があります。
|
インバウンド | データセンター CIDR ブロック (10.0.0.0/8) へのインバウンドトラフィックを許可する必要があります。特定のポートに対して詳細な制御を設定できます。たとえば、API サーバーの TCP ポート 6443 へのインバウンドトラフィックを許可できます。 |
エッジノードのインバウンドポート要件
次の表は、クラウド側の VPC からのアクセスを許可するために、エッジノードでインバウンドトラフィックに対して開く必要があるポートの一覧です。
プロトコル | ポート | 送信元 | 説明 |
TCP | 10250, 10255 | ご利用の VPC の CIDR ブロック。 説明 (オプション) 詳細な制御を行うには、送信元をクラスターで使用されている特定の vSwitch CIDR ブロックに制限できます。 |
|
9100, 9445 | ご利用の VPC の CIDR ブロック。 説明 (オプション) 詳細な制御を行うには、送信元をクラスターで使用されている特定の vSwitch CIDR ブロックに制限できます。 | Prometheus は、ポート 9100 および 9445 を介して各ノードの Node-Exporter サービスからモニタリングデータを収集します。 | |
UDP | 8472 | ご利用の VPC とノードの CIDR ブロック。 説明 Flannel ネットワークプラグインを使用している場合にのみ必要です。 | Flannel は、各ノードで UDP ポート 8472 を使用して、ノード間の Pod 間通信のための VXLAN オーバーレイネットワークを構築します。 |
エッジノードのアウトバウンドドメイン名とポート
専用線接続モードのエッジノードでは、特定のドメイン名とポートへのアクセスを許可する必要があります。エンドポイント内の {region} は、クラスターが配置されているリージョンの ID を表します。たとえば、杭州リージョンのリージョン ID は cn-hangzhou です。リージョン ID のリストについては、「サポートされているリージョン」をご参照ください。
宛先 | 専用線接続のエンドポイント | ポート | 説明 |
Container Service コントロールプレーン | cs-anony-vpc.{region}.aliyuncs.com |
| Container Service コントロールプレーンのアドレス。 |
OSS インストールパッケージ | aliacs-k8s-{region}.oss-{region}-internal.aliyuncs.com |
| OSS のダウンロードエンドポイント。edgeadm、kubelet、Container Network Interface (CNI)、ランタイム、edgehub などのアドオンのインストールパッケージを OSS からダウンロードできます。 |
API サーバー内部エンドポイント | クラスター詳細ページの [基本情報] タブで確認できます。 | TCP 6443 | kube-apiserver と対話します。 |
NTP | ntp1.aliyun.com cn.ntp.org.cn | NTP プロトコルに関連し、通常は UDP ポート 123 を使用します。 | NTP サーバーのアドレス。 接続プロセス中に |
システムアドオンイメージレジストリエンドポイント |
| TCP 443 | システムアドオンイメージのエンドポイント。これらのエンドポイントに対応する CIDR ブロックについては、「専用線接続モードでのエンドポイントと対応するルート CIDR ブロック」をご参照ください。 |
システムツール | オンラインインストール用のシステムツール (追加のドメイン名は不要): net-tools, iproute, chrony (または ntpdate), crontabs, pciutils, socat, ebtables, iptables, conntrack-tools | 該当なし | システムは、追加するノードに必要なシステムツールがインストールされているかどうかを確認します。インストールされていない場合、ツールはオンラインでインストールされます。特定のエンドポイントは、ノードの yum/apt ソース設定によって決まります。
|
専用線接続モードでのエンドポイントと対応するルート CIDR ブロック
データセンター内のデバイスは、内部ネットワークを介して ACK アドオンイメージレジストリエンドポイントにアクセスできます。CEN、Express Connect、専用線接続、または VPN を使用して、データセンターを VPC 内部ネットワークに接続します。接続が確立されたら、ACK アドオンイメージレジストリエンドポイントへのルートを設定します。イメージは OSS に保存されているため、OSS CIDR ブロックのルートも設定する必要があります。次の表は、専用線接続モードでのエンドポイントとルート CIDR ブロックのマッピングを示しています。
ACK アドオン内部イメージレジストリエンドポイントとルート CIDR ブロック
パブリッククラウド
リージョン | リージョン ID | VPC エンドポイント | ルート |
中国 (杭州) | cn-hangzhou | registry-cn-hangzhou-vpc.ack.aliyuncs.com | 100.103.9.188/32 100.103.7.181/32 |
中国 (上海) | cn-shanghai | registry-cn-shanghai-vpc.ack.aliyuncs.com | 100.103.94.158/32 100.103.7.57/32 100.100.80.231/32 |
中国 (福州-ローカルリージョン) | cn-fuzhou | registry-cn-fuzhou-vpc.ack.aliyuncs.com | 100.100.0.43/32 100.100.0.28/32 |
中国 (青島) | cn-qingdao | registry-cn-qingdao-vpc.ack.aliyuncs.com | 100.100.0.172/32 100.100.0.207/32 |
中国 (北京) | cn-beijing | registry-cn-beijing-vpc.ack.aliyuncs.com | 100.103.99.73/32 100.103.0.251/32 100.103.6.63/32 |
中国 (張家口) | cn-zhangjiakou | registry-cn-zhangjiakou-vpc.ack.aliyuncs.com | 100.100.1.179/32 100.100.80.152/32 |
中国 (フフホト) | cn-huhehaote | registry-cn-huhehaote-vpc.ack.aliyuncs.com | 100.100.0.194/32 100.100.80.55/32 |
中国 (ウランチャブ) | cn-wulanchabu | registry-cn-wulanchabu-vpc.ack.aliyuncs.com | 100.100.0.122/32 100.100.0.58/32 |
中国 (深セン) | cn-shenzhen | registry-cn-shenzhen-vpc.ack.aliyuncs.com | 100.103.96.139/32 100.103.6.153/32 100.103.26.52/32 |
中国 (河源) | cn-heyuan | registry-cn-heyuan-vpc.ack.aliyuncs.com | 100.100.0.150/32 100.100.0.193/32 |
中国 (広州) | cn-guangzhou | registry-cn-guangzhou-vpc.ack.aliyuncs.com | 100.100.0.101/32 100.100.0.21/32 |
中国 (成都) | cn-chengdu | registry-cn-chengdu-vpc.ack.aliyuncs.com | 100.100.0.48/32 100.100.0.64/32 |
鄭州 (CUCC 合弁事業) | cn-zhengzhou-jva | registry-cn-zhengzhou-jva-vpc.ack.aliyuncs.com | 100.100.0.111/32 100.100.0.84/32 |
中国 (香港) | cn-hongkong | registry-cn-hongkong-vpc.ack.aliyuncs.com | 100.103.85.19/32 100.100.80.157/32 |
米国 (シリコンバレー) | us-west-1 | registry-us-west-1-vpc.ack.aliyuncs.com | 100.103.13.55/32 100.100.80.93/32 |
米国 (バージニア) | us-east-1 | registry-us-east-1-vpc.ack.aliyuncs.com | 100.103.12.19/32 100.100.80.11/32 |
日本 (東京) | ap-northeast-1 | registry-ap-northeast-1-vpc.ack.aliyuncs.com | 100.100.0.167/32 100.100.80.198/32 |
韓国 (ソウル) | ap-northeast-2 | registry-ap-northeast-2-vpc.ack.aliyuncs.com | 100.100.0.71/32 100.100.0.33/32 |
シンガポール | ap-southeast-1 | registry-ap-southeast-1-vpc.ack.aliyuncs.com | 100.103.103.254/32 100.100.80.136/32 |
マレーシア (クアラルンプール) | ap-southeast-3 | registry-ap-southeast-3-vpc.ack.aliyuncs.com | 100.100.0.17/32 100.100.80.137/32 |
インドネシア (ジャカルタ) | ap-southeast-5 | registry-ap-southeast-5-vpc.ack.aliyuncs.com | 100.100.0.226/32 100.100.80.200/32 |
フィリピン (マニラ) | ap-southeast-6 | registry-ap-southeast-6-vpc.ack.aliyuncs.com | 100.100.0.75/32 100.100.0.24/32 |
タイ (バンコク) | ap-southeast-7 | registry-ap-southeast-7-vpc.ack.aliyuncs.com | 100.100.0.62/32 100.100.0.34/32 |
ドイツ (フランクフルト) | eu-central-1 | registry-eu-central-1-vpc.ack.aliyuncs.com | 100.100.0.92/32 100.100.80.155/32 |
イギリス (ロンドン) | eu-west-1 | registry-eu-west-1-vpc.ack.aliyuncs.com | 100.100.0.175/32 100.100.0.18/32 |
サウジアラビア (リヤド - パートナー運営) | me-central-1 | registry-me-central-1-vpc.ack.aliyuncs.com | 100.100.0.109/32 100.100.0.18/32 |
OSS 内部エンドポイントと VIP CIDR ブロック
パブリッククラウド
中国本土以外のいくつかのリージョンの名前は、OSS の料金ページとリソースプランの購入ページで異なる場合があります。ただし、これらの異なる名前は同じ物理的な場所を指します。たとえば、米国 (シリコンバレー) リージョンは、US West 1 または US West と表示されることがあります。詳細については、「OSS の料金」または「リソースプランの購入」をご参照ください。
コンプライアンスとセキュリティを向上させるための ポリシーの変更 に伴い、2025 年 3 月 20 日以降、新規 OSS ユーザーが中国本土リージョンにある OSS バケットでデータ API 操作を実行するには、カスタムドメイン名を使用する (CNAME) 必要があります。これらの操作では、デフォルトのパブリックエンドポイントの使用が制限されます。影響を受ける操作の完全なリストについては、公式発表をご参照ください。HTTPS 経由でデータにアクセスする場合、カスタムドメインに有効な SSL 証明書をバインドする必要があります。コンソールでは HTTPS が適用されているため、これは OSS コンソールへのアクセスには必須です。
アジア太平洋 - 中国
リージョン | リージョン ID | パブリックエンドポイント | 内部エンドポイント | デュアルスタックエンドポイント | 内部 VIP CIDR ブロック |
中国 (杭州) | cn-hangzhou | oss-cn-hangzhou.aliyuncs.com | oss-cn-hangzhou-internal.aliyuncs.com | cn-hangzhou.oss.aliyuncs.com |
|
中国 (上海) | cn-shanghai | oss-cn-shanghai.aliyuncs.com | oss-cn-shanghai-internal.aliyuncs.com | cn-shanghai.oss.aliyuncs.com |
|
中国 (南京-ローカルリージョン) (閉鎖予定) | cn-nanjing | oss-cn-nanjing.aliyuncs.com | oss-cn-nanjing-internal.aliyuncs.com | 100.114.142.0/24 | |
中国 (青島) | cn-qingdao | oss-cn-qingdao.aliyuncs.com | oss-cn-qingdao-internal.aliyuncs.com | cn-qingdao.oss.aliyuncs.com |
|
中国 (北京) | cn-beijing | oss-cn-beijing.aliyuncs.com | oss-cn-beijing-internal.aliyuncs.com | cn-beijing.oss.aliyuncs.com |
|
中国 (張家口) | cn-zhangjiakou | oss-cn-zhangjiakou.aliyuncs.com | oss-cn-zhangjiakou-internal.aliyuncs.com | cn-zhangjiakou.oss.aliyuncs.com |
|
中国 (フフホト) | cn-huhehaote | oss-cn-huhehaote.aliyuncs.com | oss-cn-huhehaote-internal.aliyuncs.com | cn-huhehaote.oss.aliyuncs.com |
|
中国 (ウランチャブ) | cn-wulanchabu | oss-cn-wulanchabu.aliyuncs.com | oss-cn-wulanchabu-internal.aliyuncs.com | cn-wulanchabu.oss.aliyuncs.com |
|
中国 (深セン) | cn-shenzhen | oss-cn-shenzhen.aliyuncs.com | oss-cn-shenzhen-internal.aliyuncs.com | cn-shenzhen.oss.aliyuncs.com |
|
中国 (河源) | cn-heyuan | oss-cn-heyuan.aliyuncs.com | oss-cn-heyuan-internal.aliyuncs.com | cn-heyuan.oss.aliyuncs.com |
|
中国 (広州) | cn-guangzhou | oss-cn-guangzhou.aliyuncs.com | oss-cn-guangzhou-internal.aliyuncs.com | cn-guangzhou.oss.aliyuncs.com |
|
中国 (成都) | cn-chengdu | oss-cn-chengdu.aliyuncs.com | oss-cn-chengdu-internal.aliyuncs.com | cn-chengdu.oss.aliyuncs.com |
|
中国 (香港) | cn-hongkong | oss-cn-hongkong.aliyuncs.com | oss-cn-hongkong-internal.aliyuncs.com | cn-hongkong.oss.aliyuncs.com |
|
アジア太平洋 - その他
リージョン | リージョン ID | パブリックエンドポイント | 内部エンドポイント | デュアルスタックエンドポイント | 内部 VIP CIDR ブロック |
日本 (東京) | ap-northeast-1 | oss-ap-northeast-1.aliyuncs.com | oss-ap-northeast-1-internal.aliyuncs.com |
| |
韓国 (ソウル) | ap-northeast-2 | oss-ap-northeast-2.aliyuncs.com | oss-ap-northeast-2-internal.aliyuncs.com | 100.99.119.0/24 | |
シンガポール | ap-southeast-1 | oss-ap-southeast-1.aliyuncs.com | oss-ap-southeast-1-internal.aliyuncs.com |
| |
マレーシア (クアラルンプール) | ap-southeast-3 | oss-ap-southeast-3.aliyuncs.com | oss-ap-southeast-3-internal.aliyuncs.com |
| |
インドネシア (ジャカルタ) | ap-southeast-5 | oss-ap-southeast-5.aliyuncs.com | oss-ap-southeast-5-internal.aliyuncs.com | 100.114.98.0/24 | |
フィリピン (マニラ) | ap-southeast-6 | oss-ap-southeast-6.aliyuncs.com | oss-ap-southeast-6-internal.aliyuncs.com | 100.115.16.0/24 | |
タイ (バンコク) | ap-southeast-7 | oss-ap-southeast-7.aliyuncs.com | oss-ap-southeast-7-internal.aliyuncs.com | 100.98.249.0/24 |
ヨーロッパおよびアメリカ
リージョン | リージョン ID | パブリックエンドポイント | 内部エンドポイント | デュアルスタックエンドポイント | 内部 VIP CIDR ブロック |
ドイツ (フランクフルト) | eu-central-1 | oss-eu-central-1.aliyuncs.com | oss-eu-central-1-internal.aliyuncs.com | eu-central-1.oss.aliyuncs.com | 100.115.154.0/24 |
イギリス (ロンドン) | eu-west-1 | oss-eu-west-1.aliyuncs.com | oss-eu-west-1-internal.aliyuncs.com | 100.114.114.128/25 | |
米国 (シリコンバレー) | us-west-1 | oss-us-west-1.aliyuncs.com | oss-us-west-1-internal.aliyuncs.com | 100.115.107.0/24 | |
米国 (バージニア) | us-east-1 | oss-us-east-1.aliyuncs.com | oss-us-east-1-internal.aliyuncs.com |
| |
メキシコ | na-south-1 | oss-na-south-1.aliyuncs.com | oss-na-south-1-internal.aliyuncs.com | 100.115.112.0/27 |
中東
リージョン | リージョン ID | パブリックエンドポイント | 内部エンドポイント | デュアルスタックエンドポイント | 内部 VIP CIDR ブロック |
UAE (ドバイ) | me-east-1 | oss-me-east-1.aliyuncs.com | oss-me-east-1-internal.aliyuncs.com | 100.99.235.0/24 | |
サウジアラビア (リヤド - パートナー運営) | me-central-1 | oss-me-central-1.aliyuncs.com | oss-me-central-1-internal.aliyuncs.com | 100.99.121.0/24 |