Cloud Enterprise Network:Enterprise Editionトランジットルーターを使用して、リージョンおよびアカウント間でVPCを接続する

シナリオ

以下のシナリオは、例として使用される。 会社は、アカウントAを使用して、中国 (杭州) リージョンにVPC1という名前のVPCをデプロイし、中国 (青島) リージョンにVPC3という名前のVPCをデプロイします。 同社はアカウントBを使用して、中国 (杭州) リージョンにVPC2という名前のVPCをデプロイしています。 ECSインスタンスはVPCにデプロイされています。 VPCは互いに通信できません。 ビジネスの成長に伴い、企業はVPCが相互に通信できるようにしたいと考えています。

この場合、会社はCENを使用してVPC1とVPC2をアカウントAに属する中国 (杭州) リージョンのEnterprise Editionトランジットルーターに接続できます。その後、会社はVPC3をアカウントAに属する中国 (青島) リージョンのEnterprise Editionトランジットルーターに接続できます。同社は、帯域幅プランを使用して、中国 (杭州) および中国 (青島) リージョンのトランジットルーター間にリージョン間接続を作成し、VPC1、VPC2、およびVPC3間のネットワーク通信を有効にすることができます。

前提条件

• VPCは、アカウントAを使用して、それぞれ中国 (杭州) および中国 (青島) リージョンにデプロイされます。 VPCはアカウントBを使用して中国 (杭州) リージョンにデプロイされます。VPCにはECSインスタンスがデプロイされます。 詳細については、「IPv4 VPC ネットワークの作成」をご参照ください。

  Enterprise Editionトランジットルーターでサポートされているゾーンの各VPCに少なくとも1つのvSwitchがデプロイされていることを確認します。 各vSwitchには、少なくとも1つのアイドルIPアドレスが必要です。

  クリックしてEnterprise Editionトランジットルーターをサポートするリージョンとゾーンを表示

  表 1. Enterprise Edition のトランジットルーターがサポートされるリージョンおよびゾーン

  地域	リージョン	ゾーン
  中国本土	中国 (杭州)	Zone H, Zone I, Zone J, and Zone K
  	中国 (上海)	ゾーンF、ゾーンG、ゾーンE、ゾーンB、ゾーンN、ゾーンM、ゾーンL
  	中国 (南京 - ローカルリージョン)	ゾーン A
  	中国 (福州-地域)	ゾーン A
  	中国 (深セン)	ゾーン D およびゾーン E
  	中国 (河源)	ゾーン A およびゾーン B
  	中国 (広州)	ゾーン A およびゾーン B
  	中国 (青島)	ゾーン B およびゾーン C
  	中国 (北京)	ゾーンH、ゾーンG、ゾーンJ、ゾーンK、ゾーンI、ゾーンL
  	中国 (張家口)	ゾーンA、ゾーンB、ゾーンC
  	中国 (フフホト)	ゾーン A およびゾーン B
  	中国 (ウランチャブ)	ゾーンA、ゾーンB、ゾーンC
  	中国 (成都)	ゾーン A およびゾーン B
  アジア太平洋	シンガポール	ゾーンA、ゾーンB、ゾーンC
  	中国 (香港)	ゾーン B およびゾーン C
  	マレーシア (クアラルンプール)	ゾーン A およびゾーン B
  	インド (ムンバイ)	ゾーン A およびゾーン B
  	インドネシア (ジャカルタ)	ゾーン A およびゾーン B
  	フィリピン (マニラ)	ゾーン A
  	日本 (東京)	ゾーン A およびゾーン B
  	South Korea (Seoul)	ゾーン A
  	タイ (バンコク)	ゾーン A
  ヨーロッパ	ドイツ (フランクフルト)	ゾーン A およびゾーン B
  	イギリス (ロンドン)	ゾーン A およびゾーン B
  北米	米国 (バージニア)	ゾーン A およびゾーン B
  	米国 (シリコンバレー)	ゾーン A およびゾーン B
  オーストラリア	オーストラリア (シドニー)	ゾーン A およびゾーン B

  たとえば、中国 (杭州) リージョンに1つのVPCを作成する場合、ゾーンHまたはゾーンIにvSwitchを少なくとも1つ作成する必要があります。vSwitchには少なくとも1つのアイドルIPアドレスが必要です。

  説明 Enterprise Editionトランジットルーターは、elastic network Interface (ENI) をゾーン内のvSwitchに関連付けます。 ENIは、VPCからトランジットルーターにネットワークトラフィックを転送するingressとして機能します。 各ENIは1つのIPアドレスを占有します。
  次の表に、VPCに割り当てられるCIDRブロックを示します。 CIDRブロックが重複しないようにしてください。

  Attributes	VPC1	VPC2	VPC3
  ネットワークインスタンス所有者アカウント	アカウント A	アカウント B	アカウント A
  ネットワークインスタンスリージョン	中国 (杭州)	中国 (杭州)	中国 (青島)
  ネットワークインスタンスCIDRブロック	VPC CIDRブロック: 192.168.0.0/16 vSwitch 1 CIDRブロック: 192.168.20.0/24 vSwitch 2 CIDRブロック: 192.168.21.0/24	VPC CIDRブロック: 10.0.0.0/16 vSwitch 1 CIDRブロック: 10.0.0.0/24 vSwitch 2 CIDRブロック: 10.0.1.0/24	VPC CIDRブロック: 172.16.0.0/16 vSwitch 1 CIDRブロック: 172.16.0.0/24 vSwitch 2 CIDRブロック: 172.16.1.0/24
  vSwitchゾーン	ゾーンHのvSwitch 1 ゾーンIのvSwitch 2	ゾーンHのvSwitch 1 ゾーンIのvSwitch 2	ゾーンBのvSwitch 1 ゾーンCのvSwitch 2
  ECSインスタンスのIPアドレス	192.168.20.161	10.0.0.33	172.16.0.89

• VPCのECSインスタンスに適用されるセキュリティグループルールに注意する必要があります。 セキュリティグループのルールでVPCが相互に通信できるようにします。 詳しくは、「セキュリティグループルールの照会とセキュリティグループルールの追加」をご参照ください。

手順

手順1: CENインスタンスの作成

この例では、アカウントB内のVPC2はアカウントA内のCENインスタンスに接続され、VPC1、VPC2、およびVPC3間のネットワーク通信を有効にします。 CENインスタンスを作成するには、まずアカウントAを使用する必要があります。

1. アカウントAでCENコンソールにログインします。
2. [インスタンス] ページで、[CEN インスタンスの作成] をクリックします。
3. [CENインスタンスの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
   • 名前: CENインスタンスの名前を入力します。

     名前は2 ~ 128文字で、数字、ハイフン (-) 、アンダースコア (_) を使用できます。 先頭は英字である必要があります。

   • 説明: CENインスタンスの説明を入力します。

     説明の長さは2〜256文字である必要があります。先頭文字列をhttp:// またはhttps:// にすることはできません。 このパラメーターは空のままにできます。

ステップ2: アカウントに権限を付与する

アカウントBに属するVPC2をアカウントAに属するトランジットルーターに接続する前に、アカウントAに必要な権限を付与する必要があります。

1. アカウントBでVPCコンソールにログインします。
2. 上部のナビゲーションバーで、VPC2がデプロイされているリージョンを選択します。
   この例では、中国 (杭州) が選択されています。
3. [VPC] ページで、VPC2のIDを見つけてクリックします。
4. [CENをクロスアカウントにアタッチする権限付与] タブをクリックします。 タブで、[クロスアカウントのアタッチを許可する] をクリックします。
5. [CENにアタッチ] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   項目	説明
   ピアアカウントUID	トランジットルーターが属するAlibaba CloudアカウントのUIDを入力します。 この例では、アカウントAのUIDが使用されます。
   ピアアカウントCEN ID	トランジットルーターが属するCENインスタンスのIDを入力します。 この例では、手順1で作成されたCENインスタンスのIDが使用されます。
   支払人	料金を支払うアカウントを選択します。 CENインスタンス所有者: トランジットルーターが属するアカウントが、接続料金とデータ転送料金を支払います。 デフォルト値です。 VPC所有者: VPCが属するアカウントが、接続料金とデータ転送料金を支払います。 この例では、デフォルト値が使用されます。 重要 操作は慎重に行ってください。 支払人アカウントを変更すると、サービスが中断される可能性があります。 詳細については、「請求書を支払うアカウントを変更する」をご参照ください。

ステップ3: VPCをトランジットルーターに接続する

アカウントAが必要な権限を取得したら、VPC1、VPC2、およびVPC3をアカウントAに属するトランジットルーターに接続する必要があります。これにより、VPC間のネットワーク通信が有効になります。

1. アカウントAでCENコンソールにログインします。
2. [インスタンス] ページで、手順1で作成したCENインスタンスのIDをクリックします。
3. [基本設定] タブで、[VPC] セクションの [] をクリックします。
   
4. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
   次の表に、各VPCの設定を示します。 VPC1、VPC2、およびVPC3をアカウントAに属するトランジットルーターに接続します。

   項目	説明	VPC1	VPC2	VPC3
   ネットワークタイプ	アタッチするネットワークインスタンスのタイプを選択します。	VPC	VPC	VPC
   [リージョン]	ネットワークインスタンスがデプロイされているリージョンを選択します。	中国 (杭州)	中国 (杭州)	中国 (青島)
   トランジットルーター	選択したリージョンにトランジットルーターが自動的に作成されます。
   リソース所有者ID	ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。	アカウント	異なるアカウント 異なるアカウントを選択した場合、アカウントBのUIDを入力する必要があります。	アカウント
   [課金方法]	デフォルト値: 従量課金
   添付ファイル名	ネットワーク接続の名前を入力します。	VPC1-テスト	VPC2-テスト	VPC3-テスト
   ネットワーク	ネットワークインスタンスのIDを選択します。	VPC1	VPC2	VPC3
   VSwitch	トランジットルーターをサポートするゾーンでvSwitchを選択します。 トランジットルーターをサポートする複数のゾーンにvSwitchがデプロイされている場合は、複数のゾーンを選択し、各ゾーンでvSwitchを選択できます。	杭州ゾーンH: vSwitch 1 杭州ゾーンI: vSwitch 2	杭州ゾーンH: vSwitch 1 杭州ゾーンI: vSwitch 2	チンタオゾーンB: vSwitch 1 チンタオゾーンC: vSwitch 2
   詳細設定	デフォルトでは、システムは次の高度な機能を自動的に有効にします。 ビジネス要件に基づいて、高度な機能を有効または無効にできます。 VPC1、VPC2、およびVPC3のデフォルト設定を維持します。 すべての高度な機能がVPCで有効になっています。 Associate with Default Route Table of Transit Router この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。 トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播 この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。 トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成します この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。

   VPCがトランジットルーターに接続された後、VPC1とVPC2は同じリージョンにあるため、互いに通信できます。 VPC3は、異なるリージョンにあるため、VPC1またはVPC 2と通信できません。 VPC1とVPC3間、およびVPC2とVPC3間のネットワーク通信を有効にするには、リージョン間接続をサポートする帯域幅プランを購入する必要があります。

ステップ4: 帯域幅プランの購入

1. アカウントAでCENコンソールにログインします。
2. [インスタンス] ページで、手順1で作成したCENインスタンスのIDをクリックします。
3. CENインスタンスの詳細ページで、[基本設定] > [帯域幅プラン] を選択し、[帯域幅プラン (サブスクリプション) の購入] をクリックします。
4. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。

   項目	説明
   CEN ID	帯域幅プランを購入するCENインスタンスを選択します。 支払いが完了すると、帯域幅プランは自動的にCENインスタンスに関連付けられます。 この例では、手順1で作成されたCENインスタンスが使用されます。
   エリアA	、リージョン間通信を有効にするエリアを選択します。 この例では、中国本土が選択されています。 説明 帯域幅プランの購入後にエリアを変更することはできません。 詳細については、「帯域幅プランの操作」をご参照ください。
   エリアB	リージョン間通信を有効にする他のエリアを選択します。 この例では、中国本土が選択されています。
   [課金方法]	帯域幅プランの課金方法を表示します。 デフォルト値: 帯域幅課金。 詳細については、「請求可能なリソースアイテム」をご参照ください。
   帯域幅	ビジネス要件に基づいて帯域幅の値を選択します。 単位：Mbit/秒。
   Bandwidth_package_name	帯域幅プランの名前を入力します。
   注文時間	帯域幅プランのサブスクリプション期間を選択します。 [自動更新] を選択すると、帯域幅プランの自動更新を有効にできます。
   リソースグループ	帯域幅プランが属するリソースグループを選択します。

ステップ5: リージョン間接続の作成

1. アカウントAでCENコンソールにログインします。
2. [インスタンス] ページで、手順1で作成したCENインスタンスのIDをクリックします。
3. [基本設定] > [帯域幅プラン] タブに移動し、[リージョン接続の設定] をクリックします。
4. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

   項目	説明
   ネットワークタイプ	[リージョン間接続] を選択します。
   [リージョン]	接続するリージョンの1つを選択します。 この例では、中国 (杭州) が選択されています。
   トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
   添付ファイル名	リージョン間接続の名前を入力します。 この例では、Cross-Region-testが使用されています。
   ピアリージョン	接続する他のリージョンを選択します。 この例では、中国 (青島) が選択されています。
   トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
   帯域幅割り当てモード	次のモードがサポートされています。 帯域幅プランからの割り当て: 帯域幅リソースは、購入した帯域幅プランから割り当てられます。 ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。 この例では、[帯域幅プランからの割り当て] が選択されています。
   帯域幅プラン	CENインスタンスに関連付けられている帯域幅プランを選択します。
   帯域幅	リージョン間接続の帯域幅の値を指定します。 単位：Mbit/秒。
   詳細設定	デフォルト値を保持します。 すべての高度な機能が有効になります。 トランジットルーターのデフォルトルートテーブルに関連付ける この機能を有効にすると、リージョン間接続は中継ルータのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。 トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播 この機能を有効にすると、リージョン間接続はシステムルートを中継ルータのデフォルトルートテーブルにアドバタイズします。 ルートをピア領域に自動的に通知 この機能を有効にすると、現在のリージョンにデプロイされている中継ルータのルートがピア中継ルータのルートテーブルに自動的に通知されます。 ルートは、ネットワークインスタンス間のリージョン間通信に使用されます。

手順 6：ネットワーク接続のテスト

上記の手順を完了すると、VPC1、VPC2、およびVPC3は相互に通信できます。 このセクションでは、VPC間のネットワーク接続をテストする方法について説明します。

1. VPC1とVPC2間のネットワーク接続をテストします。
   1. VPC 1にデプロイされているECSインスタンスにログインします。 詳細は、「接続方法」をご参照ください。
   2. ECSインスタンスで、pingコマンドを実行して、VPC2でECSインスタンスにアクセスできるかどうかをテストします。

      <VPC2のECSインスタンスのIPアドレス>

      次のエコー応答パケットは、VPC1がVPC2に接続されていることを示します。

      
2. VPC1とVPC3間のネットワーク接続をテストします。
   1. VPC 3のECSインスタンスにログインします。
   2. ECSインスタンスで、pingコマンドを実行して、VPC1でECSインスタンスにアクセスできるかどうかをテストします。

      <VPC1のECSインスタンスのIPアドレス>

      次のエコー応答パケットは、VPC1がVPC3に接続されていることを示します。
3. VPC2とVPC3間のネットワーク接続をテストします。
   1. VPC 3のECSインスタンスにログインします。
   2. ECSインスタンスで、pingコマンドを実行して、VPC2でECSインスタンスにアクセスできるかどうかをテストします。

      <VPC2のECSインスタンスのIPアドレス>

      次のエコー応答パケットは、VPC2がVPC3に接続されていることを示します。

ルートの説明

このトピックでは、VPCを接続するとき、またはリージョン間接続を作成するときに、CENインスタンスがVPCのルートを自動的に学習してアドバタイズします。

• 中国 (杭州) および中国 (青島) リージョンのトランジットルーターは、VPC1、VPC2、およびVPC3からルートを自動的に学習します。
• CENインスタンスは、VPC1、VPC2、およびVPC3のルートテーブルに、10.0.0.0/8、172.16.0.0/12、および192.168.0.0/16のルートエントリを自動的に追加します。 次のホップは、ネットワークインスタンス接続である。

  VPC1、VPC2、およびVPC3からのネットワークトラフィックは、トランジットルーターにルーティングされます。 トランジットルータは、VPCが互いに通信することを可能にする。