Express Connect 回線と仮想ボーダールーター (VBR) を使用してオンプレミスのインターネットデータセンター (IDC) を Alibaba Cloud に接続した後、VBR と VPC インスタンスをトランジットルーターに接続できます。これにより、同じリージョン内のオンプレミス IDC と Virtual Private Cloud (VPC) インスタンス間、および同じリージョン内の異なる VPC インスタンス間のネットワーク通信が可能になります。
例
ある企業は、Express Connect 回線と VBR を使用して Alibaba Cloud に接続されたオンプレミス IDC を杭州に持っています。同社はまた、中国 (杭州) リージョンに VPC1 と VPC2 を作成しました。2 つの VPC は、Elastic Compute Service (ECS) インスタンスを使用してアプリケーションをホストします。オンプレミス IDC、VPC1、VPC2 は相互に通信できません。ビジネスの成長により、同社はオンプレミス IDC、VPC1、VPC2 間の通信とリソースアクセスを有効にする必要があります。
同社は Cloud Enterprise Network (CEN) を使用して、2 つの VPC と VBR を中国 (杭州) リージョンのトランジットルーターに接続できます。これにより、オンプレミス IDC と VPC 間、および 2 つの VPC 間のリソースアクセスが迅速に可能になります。
前提条件
Express Connect 回線と VBR を使用して、オンプレミス IDC を Alibaba Cloud に接続済みであること。詳細については、「」および「Express Connect 回線を使用してオンプレミス IDC から ECS インスタンスにアクセスする」をご参照ください。
中国 (杭州) リージョンに 2 つの VPC を作成済みであること。ECS インスタンスは両方の VPC にデプロイされ、アプリケーションをホストします。詳細については、「IPv4 CIDR ブロックを持つ VPC を作成する」をご参照ください。
各 VPC には、Enterprise Edition トランジットルーターでサポートされているゾーンに十分な数の vSwitch があり、各 vSwitch には少なくとも 1 つのアイドル IP アドレスがあることを確認してください。
詳細については、「VPC 接続の仕組み」をご参照ください。
次の表に、この例の 2 つの VPC、1 つの VBR、およびオンプレミス IDC のネットワーク計画を示します。ネットワークを計画するときは、接続するネットワークの CIDR ブロックが重複しないようにしてください。
プロパティ
VPC1
VPC2
VBR
オンプレミス IDC
ネットワークインスタンスのリージョン
中国 (杭州)
中国 (杭州)
中国 (杭州)
杭州
ネットワークインスタンスの CIDR ブロック計画
VPC CIDR ブロック: 192.168.0.0/16
vSwitch 1 CIDR ブロック: 192.168.20.0/24
vSwitch 2 CIDR ブロック: 192.168.21.0/24
VPC CIDR ブロック: 10.0.0.0/16
vSwitch 1 CIDR ブロック: 10.0.0.0/24
vSwitch 2 CIDR ブロック: 10.0.1.0/24
VLAN ID: 0
Alibaba Cloud 側のピア IPv4 アドレス: 172.16.1.2。サブネットマスクは 255.255.255.252 です。
お客様側のピア IPv4 アドレス: 172.16.1.1。サブネットマスクは 255.255.255.252 です。
オンプレミスネットワークの CIDR ブロック: 172.16.0.0/16
vSwitch のゾーン
vSwitch 1 は杭州ゾーン H にあります。
vSwitch 2 は杭州ゾーン I にあります。
vSwitch 1 は杭州ゾーン H にあります。
vSwitch 2 は杭州ゾーン I にあります。
該当なし
該当なし
サーバー IP アドレス
ECS1 IP アドレス: 192.168.20.161
ECS2 IP アドレス: 10.0.0.33
該当なし
オンプレミスサーバーの IP アドレス: 172.16.0.89
2 つの VPC の ECS インスタンスのセキュリティグループルールと、オンプレミス IDC サーバーのアクセス制御ルールをよく理解していること。ECS インスタンスのセキュリティグループルールとオンプレミス IDC サーバーのアクセス制御ルールで、VPC 間、および VPC とオンプレミス IDC 間のリソースアクセスが許可されていることを確認してください。詳細については、「セキュリティグループルールのクエリ」および「セキュリティグループルールの追加」をご参照ください。
設定フロー
ステップ 1: CEN インスタンスの作成
CEN インスタンスは、統合ネットワークを作成および管理するための基本リソースです。ネットワーク通信を有効にする前に、CEN インスタンスを作成する必要があります。
CEN コンソールにログオンします。
[インスタンス] ページで、[CEN インスタンスの作成] をクリックします。
CEN インスタンスの作成 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。
名前: CEN インスタンスの名前を入力します。
説明: CEN インスタンスの説明を入力します。
リソースグループ: CEN インスタンスのリソースグループを選択します。
この例では、リソースグループは選択されていません。CEN インスタンスが作成されると、デフォルトのリソースグループに追加されます。
タグ: CEN インスタンスにタグを追加します。この例では、CEN インスタンスにタグは追加されません。
ステップ 2: トランジットルーターインスタンスの作成
ネットワークインスタンスを接続する前に、ネットワークインスタンスがデプロイされているリージョンにトランジットルーターを作成する必要があります。
CEN コンソールにログオンします。
インスタンス ページで、ステップ 1 で作成した CEN インスタンスの ID をクリックします。
タブで、トランジットルーターの作成 をクリックします。
トランジットルーターの作成 ダイアログボックスで、トランジットルーターの次のパラメーターを設定し、OK をクリックします。
パラメーター
説明
設定
リージョン
トランジットルーターがデプロイされているリージョンを選択します。
この例では、[中国 (杭州)] が選択されています。
エディション
トランジットルーターのエディション。
システムは現在のリージョンのトランジットルーターエディションを自動的に選択して表示します。
マルチキャストの有効化
トランジットルーターのマルチキャスト機能を有効にするかどうかを指定します。
この例では、デフォルト設定が使用され、マルチキャスト機能は無効になっています。
名前
トランジットルーターの名前を入力します。
トランジットルーターのカスタム名を入力します。
説明
トランジットルーターの説明を入力します。
トランジットルーターのカスタム説明を入力します。
タグ
トランジットルーターのタグを入力します。
この例では、このパラメーターは空のままです。
TR アドレスセグメント
トランジットルーターの CIDR ブロックを入力します。
詳細については、「トランジットルーターの CIDR ブロック」をご参照ください。
この例では、トランジットルーターの CIDR ブロックを設定する必要はありません。
ステップ 3: VPC インスタンスの接続
VPC1 と VPC2 を中国 (杭州) リージョンのトランジットルーターに接続します。
インスタンス ページで、ステップ 1 で作成した CEN インスタンスの ID をクリックします。
タブに移動し、管理するトランジットルーターを見つけて、アクション 列の 接続の作成 をクリックします。
ピアネットワークインスタンスとの接続 ページで、次のパラメーターを設定し、OK をクリックします。
次の表に、VPC1 と VPC2 のパラメーターとその値を示します。表の情報に基づいて、VPC1 と VPC2 をトランジットルーターに接続します。
説明この操作を実行すると、システムはサービスリンクロール AliyunServiceRoleForCEN を自動的に作成します。このロールにより、トランジットルーターは VPC の vSwitch 上に Elastic Network Interface (ENI) を作成できます。詳細については、「AliyunServiceRoleForCEN」をご参照ください。
パラメーター
説明
VPC1
VPC2
ネットワークタイプ
接続するネットワークインスタンスのタイプを選択します。
仮想プライベートクラウド (VPC)
仮想プライベートクラウド (VPC)
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
[中国 (杭州)]
[中国 (杭州)]
トランジットルーター
システムは、リージョンで作成されたトランジットルーターの ID を自動的に表示します。
リソース所有者 ID
ネットワークインスタンスが属するアカウントのタイプを選択します。
現在のアカウント
現在のアカウント
課金方法
デフォルト値: 従量課金。
詳細については、「課金」をご参照ください。
接続名
ネットワークインスタンス接続の名前を入力します。
VPC1-test
VPC2-test
タグ
ネットワークインスタンス接続にタグを追加します。
この例では、このパラメーターは空のままです。
この例では、このパラメーターは空のままです。
ネットワーク
接続するネットワークインスタンスを選択します。
VPC1 を選択します。
VPC2 を選択します。
VSwitch
トランジットルーターがサポートするゾーンの vSwitch を選択します。
トランジットルーターがサポートする複数のゾーンに vSwitch がある場合は、複数のゾーンと各ゾーンの vSwitch を選択して、ゾーンディザスタリカバリを実装できます。
杭州ゾーン H: vSwitch 1 を選択します。
杭州ゾーン I: vSwitch 2 を選択します。
杭州ゾーン H: vSwitch 1 を選択します。
杭州ゾーン I: vSwitch 2 を選択します。
詳細設定
システムはデフォルトで次の 3 つの高度な機能を選択します。必要に応じて、1 つ以上の機能の選択を解除できます。
VPC1 と VPC2 については、デフォルト設定を使用します。すべての高度な機能が選択されています。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC 接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。トランジットルーターは、デフォルトルートテーブルに基づいて VPC インスタンスからのトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能を有効にすると、VPC インスタンスはそのシステムルートをトランジットルーターのデフォルトルートテーブルに伝播します。これはネットワーク通信に使用されます。
トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する
この機能を有効にすると、システムは VPC インスタンスのすべてのルートテーブルに 3 つのルートエントリ (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を自動的に追加します。これらのルートのネクストホップは VPC 接続を指します。これは、VPC インスタンスからトランジットルーターにトラフィックを誘導するために使用されます。デフォルトでは、トランジットルーターはルートを VPC インスタンスに伝播しません。
重要VPC インスタンスが IPv6 通信を必要とする場合、VPC 接続を作成した後、VPC 接続の ルート同期 機能を有効にするか、VPC で VPC 接続を指す IPv6 ルートエントリを手動で追加する 必要があります。そうして初めて、IPv6 トラフィックがトランジットルーターに入ることができます。
[リストに戻る] をクリックして、CEN インスタンスの詳細ページに戻ります。
ステップ 4: VBR インスタンスの接続
インスタンス ページで、ステップ 1 で作成した CEN インスタンスの ID をクリックします。
タブに移動し、管理するトランジットルーターを見つけて、アクション 列の 接続の作成 をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
ネットワークタイプ: 仮想ボーダールーター (VBR) を選択します。
リージョン: ネットワークインスタンスがデプロイされているリージョンを選択します。この例では、[中国 (杭州)] が選択されています。
トランジットルーター: 現在のリージョンのトランジットルーターの ID が自動的に表示されます。
リソース所有者 ID: ネットワークインスタンスが属する Alibaba Cloud アカウントを選択します。この例では、デフォルト値の 現在のアカウント が選択されています。
接続名: アタッチメントの名前を入力します。この例では、VBR と入力します。
タグ: ネットワークインスタンス接続にタグを追加します。この例では、ネットワークインスタンス接続にタグは追加されません。
ネットワーク: トランジットルーターに接続するネットワークインスタンスの ID を選択します。この例では、VBR の ID が選択されています。
詳細設定: デフォルトでは、次の高度な機能が選択されています。この例では、デフォルト設定が使用されます。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能が有効になると、VBR 接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。トランジットルーターは、デフォルトルートテーブルに基づいて VBR のトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能が有効になると、VBR のシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。これにより、VBR はトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
VBR にルートを伝播する
この機能が有効になると、システムは VBR 接続に関連付けられているトランジットルータールートテーブルのルートを VBR に自動的にアドバタイズします。
[リストに戻る] をクリックして、CEN インスタンスの詳細ページに戻ります。
ステップ 5: 接続性のテスト
上記の手順を完了すると、VPC1、VPC2、およびオンプレミス IDC は相互に通信できるようになります。次の操作を実行して、VPC とオンプレミス IDC 間の接続性をテストできます。
開始する前に、ECS インスタンスのセキュリティグループルールで ICMP アクセスが許可されていることを確認してください。詳細については、「セキュリティグループルールのクエリ」および「セキュリティグループルールの追加」をご参照ください。
VPC1 と VPC2 間の接続性をテストします。
VPC1 にデプロイされている ECS インスタンスにログオンします。詳細については、「ECS インスタンスへの接続」をご参照ください。
VPC1 の ECS インスタンスで、ping コマンドを実行して VPC2 の ECS インスタンスにアクセスします。
ping <VPC2 の ECS インスタンスの IP アドレス>応答メッセージを受信した場合、VPC1 と VPC2 が接続されており、相互のリソースにアクセスできることを示します。
VPC1 とオンプレミス IDC 間の接続性をテストします。
VPC1 の ECS インスタンスにログオンします。
VPC1 の ECS インスタンスで、ping コマンドを実行してオンプレミス IDC のサーバーにアクセスします。
ping <オンプレミス IDC サーバーの IP アドレス>応答メッセージを受信した場合、VPC1 とオンプレミス IDC が接続されており、相互のリソースにアクセスできることを示します。
VPC2 とオンプレミス IDC 間の接続性をテストします。
VPC2 の ECS インスタンスにログオンします。
VPC2 の ECS インスタンスで、ping コマンドを実行してオンプレミス IDC のサーバーにアクセスします。
ping <オンプレミス IDC サーバーの IP アドレス>応答メッセージを受信した場合、VPC2 とオンプレミス IDC が接続されており、相互のリソースにアクセスできることを示します。
ルートの説明
この例では、VPC1、VPC2、および VBR を接続すると、CEN はルートを自動的に配信および学習して、VPC とオンプレミス IDC 間の通信を可能にします。
中国 (杭州) リージョンのトランジットルーターは、VPC1、VPC2、および VBR からのルートを自動的に学習します。
VBR は、トランジットルーターから VPC1 および VPC2 へのルートを自動的に学習します。
CEN は、VPC1 と VPC2 のシステムルートテーブルに 3 つのカスタムルートエントリ (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16) を自動的に追加します。これらのルートのネクストホップはトランジットルーターを指します。
2 つの VPC は、これらのルートに基づいてトランジットルーターにトラフィックを送信します。その後、トランジットルーターは VPC 間、および VPC とオンプレミス IDC 間の通信を可能にします。
次の図は、この例のトランジットルーター、VPC1、VPC2、および VBR のルートを示しています。これは、ルーティングの原則を理解するのに役立ちます。CEN コンソールでトランジットルーター、VBR、VPC1、および VPC2 のルートを表示できます。詳細については、「Enterprise Edition トランジットルーターのルートテーブルを表示する」および「ネットワークインスタンスのルートテーブルを表示する」をご参照ください。
図 1. 中国 (杭州) リージョンのトランジットルーターのデフォルトルートテーブルのルート
図 2. VPC1 のシステムルートテーブルのルート
図 3. VPC2 のシステムルートテーブルのルート
図 4. VBR のルートテーブルのルート