すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:ACK マネージドクラスターのネットワークを計画する

最終更新日:Jul 09, 2026

Virtual Private Cloud (VPC) のレイアウトと CIDR ブロックを計画し、Terway または Flannel を選択します。CNI プラグインと CIDR は、クラスター作成後に変更できません。

ネットワーク規模の計画

リージョンとゾーン

同一リージョン内のすべてのゾーンは内部ネットワークで通信できますが、障害は相互に分離されています。VPC はリージョンリソースであり、リージョンをまたいで使用できません。

リージョンとゾーンを選択する際は、次の点を考慮してください:

考慮事項 説明
レイテンシー ネットワークのレイテンシーを最小化するため、エンドユーザーに近い場所にデプロイします。
サービスの可用性 Alibaba Cloud のサービスはリージョンとゾーンにより異なります。対象リージョンでの提供状況を確認してください。
コスト クラウドサービスの料金はリージョンによって異なります。予算に合うリージョンを選択してください。
高可用性と災害復旧 高可用性が必要なワークロードは、同一リージョン内の複数ゾーンにまたがってデプロイします。より強い分離が必要な場合は、リージョンをまたいでデプロイします。
コンプライアンス データ所在地や規制要件を満たすリージョンを選択してください。

利用可能なリージョン」をご参照ください。

VPC はリージョンをまたいで使用できません。マルチリージョンのシステムでは、リージョンごとに VPC を 1 つ作成し、VPC ピアリング接続VPN Gateway、または Cloud Enterprise Network (CEN) を使用して接続します。vSwitch はゾーンリソースです。

VPC 数

VPC は完全に分離されています。同一 VPC 内のリソースは、デフォルトでプライベートネットワーク経由で通信します。

シナリオ ユースケース
単一 VPC 分離要件のない、小規模な単一リージョンのデプロイ。クロス VPC のオーバーヘッドを避けたいコスト重視の構成。
複数 VPC マルチリージョンのデプロイ。厳格な分離が必要なシステム (例:本番環境とステージング環境)。リソースを独立して管理する複数チームのアーキテクチャ。
デフォルトクォータ:リージョンあたり 10 個の VPC。引き上げるには、Quota Management page または Quota Center を使用してください。

vSwitch 数

vSwitch はゾーンリソースです。VPC 内のクラウドリソースは vSwitch にアタッチされ、vSwitch 同士はデフォルトで相互通信できます。

考慮事項 ガイダンス
レイテンシー ゾーン間のレイテンシーは低いものの、複雑なシステムコールやゾーン間トラフィックが増えると長くなります。高可用性とレイテンシーのバランスを取ってください。
高可用性 異なるゾーンに少なくとも 2 つの vSwitch を作成してください。いずれかのゾーンで障害が発生しても、もう一方がトラフィックの処理を継続できます。
業務の分割 vSwitch を機能別にグループ化してください (例:Web、ロジック、データレイヤー)。インターネット向けのサービスには専用のパブリック vSwitch を使用すると、セキュリティルールを簡素化できます。
デフォルトクォータ:VPC あたり 150 個の vSwitch。引き上げるには、Quota Management page または Quota Center を使用してください。

クラスター規模

ノード数 ユースケース VPC の計画 ゾーンの計画
100 ノード未満 非中核ワークロード 単一 VPC 1 (2 以上を推奨)
100 ノード以上 複数ゾーンの冗長化が必要な一般ワークロード 単一 VPC 2 以上
100 ノード以上 複数リージョンにまたがる高い信頼性が必要な中核ワークロード 複数 VPC 2 以上

ネットワーク接続性の計画

単一 VPC 内の単一クラスター

VPC の CIDR ブロックは作成時に変更できなくなります。各クラスターに対して、Pod CIDR ブロックと Service CIDR ブロックを重複しないように割り当ててください。

image

単一 VPC 内の複数クラスター

複数のクラスターで 1 つの VPC を共有できます。各クラスターの CIDR ブロックを計画する際は、次の点を考慮してください:

  • VPC CIDR ブロックは作成後に変更できません。各クラスターは、Pod に対して重複しない CIDR ブロックを使用する必要があります。

  • Service CIDR ブロックは仮想ネットワークであり、クラスター間で重複してもかまいません。

  • Flannel モードでは、Pod パケットは VPC を経由してルーティングされます。ACK は、各 Pod CIDR ブロックへのルートを VPC のルートテーブルに自動的に追加します。

このトポロジーでは、あるクラスターの Pod は、別のクラスターの Pod と ECS インスタンスにアクセスできますが、ClusterIP Service にはアクセスできません。ClusterIP Service はクラスター内ローカルです。クラスター間で Service にアクセスするには、LoadBalancer または Ingress を使用してください。
image

マルチクラスターの VPC 間接続

次のシナリオでは、VPC 間の接続性を計画してください。

マルチリージョンのデプロイ

VPC はリージョンリソースです。マルチリージョンのシステムでは、リージョンごとに VPC とクラスターを 1 つ作成し、VPC ピアリング接続VPN Gateway、または Cloud Enterprise Network (CEN) を使用して接続します。

image

複数業務システムの分離

同一リージョン内で、本番環境とステージング環境などシステム間の厳格なネットワーク分離が必要な場合は、システムごとに別の VPC にデプロイします。VPC ピアリング接続VPN Gateway、または Cloud Enterprise Network (CEN) を使用して接続します。

image

大規模な複数チームのアーキテクチャ

チームごとに別の VPC をデプロイし、クラスターとリソースを独立して管理します。これにより、アクセス制御を簡素化し、柔軟性を向上できます。

image
重要

マルチクラスターの VPC 間接続構成で IP の競合を回避するため、新しいクラスターの CIDR ブロックが次と重複しないことを確認してください:

  • 接続先ネットワーク内の任意の VPC CIDR ブロック

  • 他の任意のクラスターの CIDR ブロック

  • 他の任意のクラスターの Pod CIDR ブロック

  • 他の任意のクラスターの Service CIDR ブロック

クラウドクラスターとオンプレミスデータセンターの接続性

クラスターをオンプレミスデータセンター (IDC) に接続する場合、Pod アドレスは、IDC にルーティングされる VPC CIDR ブロックと重複してはいけません。IDC から Pod アドレスに直接アクセスする必要がある場合は、IDC 側の Virtual Border Router (VBR) でルートを設定してください。

image

CNI プラグインの計画

Container Service for Kubernetes (ACK) は 2 つの CNI プラグイン (Terway と Flannel) をサポートしています。プラグインはクラスター作成後に変更できません。利用可能なネットワーク機能と CIDR 設定は、選択したプラグインによって決まります。

CNI プラグインの選択

要件に合うプラグインを選択してください:

Terway Flannel
最適な用途 NetworkPolicy、固定 Pod IP、Pod に紐付く Elastic IP アドレス (EIP)、またはクラスター間アクセスが必要なワークロード これらの機能が不要な、よりシンプルな構成
Pod IP の割り当て元 VPC の vSwitch から割り当て 仮想 CIDR ブロックから割り当て
IP プールの規模 vSwitch CIDR ブロックのサイズに依存 /16 のコンテナ CIDR ブロックで最大 65,536 個の Pod IP
IPv6 サポート 非サポート

機能比較

機能 Terway Flannel
NetworkPolicy サポート 非サポート
IPv4/IPv6 デュアルスタック サポート 非サポート
固定 Pod IP サポート 非サポート
Pod に紐付く EIP サポート 非サポート
クラスター間アクセス サポート (セキュリティグループで必要なポートが許可されている場合) 非サポート
ACK は Alibaba Cloud 向けに最適化した改変版の Flannel プラグインを使用します。このプラグインは upstream の変更を追従しません。更新履歴については、「Flannel」をご参照ください。

Terway と Flannel のコンテナネットワークプラグインの比較」をご参照ください。

CIDR ブロックの計画

Terway ネットワークモード

Terway モードでは、Pod は専用の Pod vSwitch から IP を取得します。Pod vSwitch の CIDR ブロックは、ノードとゾーン全体のすべての Pod を収容できるように、ローリングアップグレード用のヘッドルームも含めて設計してください。

terway

[設定例]

単一ゾーン:

VPC CIDR ブロック vSwitch CIDR ブロック Pod vSwitch CIDR ブロック Service CIDR ブロック 割り当て可能な Pod IP の最大数
192.168.0.0/16 ゾーン I:192.168.0.0/19 192.168.32.0/19 172.21.0.0/20 8,192

複数ゾーン:

VPC CIDR ブロック vSwitch CIDR ブロック Pod vSwitch CIDR ブロック Service CIDR ブロック 割り当て可能な Pod IP の最大数
192.168.0.0/16 ゾーン I:192.168.0.0/19 192.168.32.0/19 172.21.0.0/20 8,192
ゾーン J:192.168.64.0/19 192.168.96.0/19

VPC

VPC のプライマリ IPv4 CIDR ブロックには、次の RFC 標準のプライベート CIDR ブロックのいずれか、またはそのサブネットを使用します: 192.168.0.0/16172.16.0.0/12、または 10.0.0.0/8。有効なマスク長は /8 から /28 の範囲です (ブロックによって異なります)。 例: 192.168.0.0/16

複数 VPC またはハイブリッドクラウドのデプロイでは、/16 以下 (つまり /16 またはそれより短い) のマスクを持つサブネットを使用してください。VPC 間やオンプレミスデータセンターとの重複がないことを確認してください。

IPv6 を有効にすると、VPC は IPv6 CIDR ブロックを自動的に割り当てます。コンテナで IPv6 を使用するには、Terway を選択してください。

VPC CIDR ブロックにパブリック IP 範囲を使用するには、[クォータセンター]ack.white_list/supportVPCWithPublicIPRanges クォータを申請してください。

vSwitch

vSwitch は ECS インスタンスをホストし、ノード間トラフィックを処理します。vSwitch CIDR ブロックは VPC CIDR ブロックのサブセットである必要があります。

  • ECS インスタンスは、この CIDR ブロックから IP を取得します。すべてのノードを収容できるようにサイズを設計してください。

  • 同一 VPC 内の複数 vSwitch の CIDR ブロックは重複できません。

  • 各 Pod vSwitch は、対応するノード vSwitch と同じゾーンに配置する必要があります。

Pod vSwitch

Pod vSwitch は Pod に IP を割り当て、Pod トラフィックを処理します。CIDR ブロックは VPC CIDR ブロックのサブセットである必要があります。

  • 想定する最大 Pod 数に加え、アップグレード用のバッファも含めてサイズを設計してください。

  • Pod vSwitch CIDR ブロックは Service CIDR ブロックと重複できません。

Service CIDR ブロック

重要

Service CIDR ブロックは、クラスター作成後に変更できません。

Service CIDR ブロックは、ClusterIP Service の IP 範囲を定義します。各 Service には 1 つの IP が割り当てられます。

  • Service IP はクラスター内からのみ到達可能で、クラスター外からは到達できません。

  • Service CIDR ブロックは、vSwitch CIDR ブロックおよび Pod vSwitch CIDR ブロックと重複できません。

Service IPv6 CIDR ブロック (IPv4/IPv6 デュアルスタックが有効な場合)

  • fc00::/7 範囲のユニークローカルアドレス (ULA) を使用してください。プレフィックス長は /112~/120 である必要があります。

  • Service CIDR ブロックの使用可能アドレス数と一致させてください。

Flannel ネットワークモード

Flannel モードでは、Pod IP は vSwitch に紐付かない仮想のコンテナ CIDR ブロックから割り当てられます。Pod パケットは VPC を経由してルーティングされ、ACK は各 Pod CIDR ブロックへのルートを VPC のルートテーブルに自動的に追加します。

Flannel network diagram

[設定例]

VPC CIDR ブロック vSwitch CIDR ブロック コンテナ CIDR ブロック Service CIDR ブロック 割り当て可能な Pod IP の最大数
192.168.0.0/16 192.168.0.0/24 172.20.0.0/16 172.21.0.0/20 65,536

VPC

VPC のプライマリ IPv4 CIDR ブロックとして、次のいずれかの RFC 標準プライベート CIDR ブロック、またはそのサブネットを使用します: 192.168.0.0/16172.16.0.0/12、または 10.0.0.0/8。有効なマスク長は /8 から /28 の範囲です (ブロックによって異なります)。マルチ VPC またはハイブリッドクラウドデプロイメントの場合、VPC 間またはオンプレミスのデータセンターと重複しないように、/16 以下のマスクを使用します。

VPC CIDR ブロックにパブリック IP 範囲を使用するには、[クォータセンター]ack.white_list/supportVPCWithPublicIPRanges クォータを申請してください。

vSwitch

  • ECS インスタンスは、この CIDR ブロックから IP を取得します。すべてのノードを収容できるようにサイズを設計してください。

  • 同一 VPC 内の複数 vSwitch の CIDR ブロックは重複できません。

コンテナ CIDR ブロック

重要

コンテナ CIDR ブロックは、クラスター作成後に変更できません。

この仮想 CIDR ブロックは、クラスター全体に Pod IP を割り当てます。

  • いずれの vSwitch にも紐付きません。

  • vSwitch CIDR ブロックおよび Service CIDR ブロックと重複できません。

例えば、VPC CIDR ブロックが 172.16.0.0/12 の場合、コンテナ CIDR ブロックとして 172.16.0.0/16 または 172.17.0.0/16 を使用しないでください。どちらも 172.16.0.0/12 に含まれるためです。

Service CIDR ブロック

重要

Service CIDR ブロックは、クラスター作成後に変更できません。

Service CIDR ブロックは、ClusterIP Service の IP 範囲を定義します。

  • Service IP はクラスター内からのみ到達可能です。

  • Service CIDR ブロックは、vSwitch CIDR ブロックおよびコンテナ CIDR ブロックと重複できません。

次のステップ