異なるアカウントの VPC を接続する - Cloud Enterprise Network

このトピックでは、Cloud Enterprise Network (CEN) を使用して、異なるリージョンおよび Alibaba Cloud アカウントに属する仮想プライベートクラウド (VPC) 間のネットワーク通信を確立する方法について説明します。

例

前の図は例を示しています。ある企業は、アカウント A を使用して、中国 (杭州) リージョンに VPC1 という名前の VPC を、中国 (青島) リージョンに VPC3 という名前の VPC をデプロイしています。この企業は、アカウント B を使用して、中国 (杭州) リージョンに VPC2 という名前の VPC をデプロイしています。Elastic Compute Service (ECS) インスタンスは VPC にデプロイされています。VPC は相互に通信できません。ビジネスの成長に対応するために、企業は VPC 間のネットワーク通信を確立したいと考えています。

この場合、企業は CEN を使用して、VPC1 と VPC2 を、アカウント A に属する中国 (杭州) リージョンの Enterprise Edition 転送ルーターに接続できます。次に、企業は VPC3 を、アカウント A に属する中国 (青島) リージョンの Enterprise Edition 転送ルーターに接続できます。このようにして、企業は中国 (杭州) リージョンと中国 (青島) リージョンの転送ルーター間のリージョン間接続を作成し、VPC1、VPC2、および VPC3 間のネットワーク通信を有効にすることができます。

説明

このトピックの Alibaba Cloud アカウントは、RAM ユーザーではなく、Alibaba Cloud のプライマリアカウントを指します。

前提条件

アカウント A を使用して、中国 (杭州) リージョンと中国 (青島) リージョンのそれぞれに VPC がデプロイされています。アカウント B を使用して、中国 (杭州) リージョンに VPC がデプロイされています。ECS インスタンスは VPC にデプロイされています。詳細については、「IPv4 VPC を作成する」をご参照ください。

Enterprise Edition 転送ルーターのゾーンの各 VPC に、十分な vSwitch がデプロイされています。各 vSwitch には、少なくとも 1 つのアイドル IP アドレスがあります。

Enterprise Edition 転送ルーターが、中国 (南京 - ローカルリージョン) など、1 つのゾーンのみをサポートするリージョンにデプロイされている場合、VPC はそのゾーンに少なくとも 1 つの vSwitch を持っている必要があります。
Enterprise Edition 転送ルーターが、中国 (上海) など、複数のゾーンをサポートするリージョンにデプロイされている場合、VPC はそのゾーンに少なくとも 2 つの vSwitch を持っている必要があります。vSwitch は異なるゾーンにある必要があります。

詳細については、「VPC 接続の仕組み」をご参照ください。

クリックして、Enterprise Edition 転送ルーターをサポートするリージョンとゾーンを表示する

表 1： Enterprise Edition 転送ルーターをサポートするリージョンとゾーン

エリア	リージョン	ゾーン
中国本土	中国 (杭州)	ゾーン B、ゾーン H、ゾーン I、ゾーン J、およびゾーン K
	中国 (上海)	ゾーン F、ゾーン G、ゾーン E、ゾーン B、ゾーン N、ゾーン M、およびゾーン L
	中国 (南京 - ローカルリージョン)	ゾーン A
	中国 (福州 - ローカルリージョン)	ゾーン A
	中国 (深圳)	ゾーン D、ゾーン E、ゾーン F、ゾーン A、およびゾーン C
	中国 (河源)	ゾーン A およびゾーン B
	中国 (広州)	ゾーン A およびゾーン B
	中国 (青島)	ゾーン B およびゾーン C
	中国 (北京)	ゾーン C、ゾーン F、ゾーン H、ゾーン G、ゾーン J、ゾーン K、ゾーン I、およびゾーン L
	中国 (張家口)	ゾーン A、ゾーン B、およびゾーン C
	中国 (フフホト)	ゾーン A およびゾーン B
	中国 (ウランチャブ)	ゾーン A、ゾーン B、およびゾーン C
	中国 (成都)	ゾーン A およびゾーン B
アジア太平洋	シンガポール	ゾーン A、ゾーン B、およびゾーン C
	中国 (香港)	ゾーン B、ゾーン C、およびゾーン D
	マレーシア (クアラルンプール)	ゾーン A およびゾーン B
	インドネシア (ジャカルタ)	ゾーン A、ゾーン B、およびゾーン C
	フィリピン (マニラ)	ゾーン A
	日本 (東京)	ゾーン A、ゾーン B、およびゾーン C
	韓国 (ソウル)	ゾーン A
	タイ (バンコク)	ゾーン A、ゾーン B
ヨーロッパ	ドイツ (フランクフルト)	ゾーン A およびゾーン B
ヨーロッパ	英国 (ロンドン)	ゾーン A およびゾーン B
北米	米国 (バージニア)	ゾーン A およびゾーン B
北米	米国 (シリコンバレー)	ゾーン A およびゾーン B
中東	SAU (リヤド - パートナーリージョン)	ゾーン A およびゾーン B

次の表は、VPC に割り当てられている CIDR ブロックを示しています。CIDR ブロックが重複していないことを確認してください。

項目	VPC1	VPC2	VPC3
ネットワークインスタンス所有者アカウント	アカウント A	アカウント B	アカウント A
ネットワークインスタンスリージョン	中国 (杭州)	中国 (杭州)	中国 (青島)
ネットワークインスタンス CIDR ブロック	VPC3： 192.168.0.0/16 vSwitch 1 CIDR ブロック： 192.168.20.0/24 vSwitch 2 CIDR ブロック： 192.168.21.0/24	VPC CIDR ブロック： 10.0.0.0/16 vSwitch 1 CIDR ブロック： 10.0.0.0/24 vSwitch 2 CIDR ブロック： 10.0.1.0/24	VPC CIDR ブロック： 172.16.0.0/16 vSwitch 1 CIDR ブロック： 172.16.0.0/24 vSwitch 2 CIDR ブロック： 172.16.1.0/24
vSwitch ゾーン	ゾーン H の vSwitch 1 ゾーン I の vSwitch 2	ゾーン H の vSwitch 1 ゾーン I の vSwitch 2	ゾーン B の vSwitch 1 ゾーン C の vSwitch 2
ECS インスタンス IP アドレス	192.168.20.161	10.0.0.33	172.16.0.89

VPC 内の ECS インスタンスに適用されるセキュリティグループルールをよく理解している必要があります。セキュリティグループルールで VPC 間の通信が許可されていることを確認してください。詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。

手順

快速入门-企业版-跨账号-配置流程

ステップ 1： CEN インスタンスを作成する

この例では、アカウント B 内の VPC2 がアカウント A 内の CEN インスタンスに接続され、VPC1、VPC2、および VPC3 間のネットワーク通信が確立されます。最初にアカウント A を使用して CEN インスタンスを作成する必要があります。

アカウント A で CEN コンソールにログオンします。
[インスタンス] ページで、[CEN インスタンスの作成] をクリックします。
CEN インスタンスの作成 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。
- 名前： CEN インスタンスの名前を入力します。
- 説明： CEN インスタンスの説明を入力します。
- リソースグループ： CEN インスタンスのリソースグループを選択します。
  この例では、リソースグループは選択されていません。CEN インスタンスはデフォルトのリソースグループに追加されます。
- タグ： CEN インスタンスにタグを追加します。この例では、ネットワークインスタンス接続にタグは追加されていません。

ステップ 2：転送ルーターを作成する

ネットワークインスタンス接続を作成する前に、ネットワークインスタンスがデプロイされているリージョンに転送ルーターを作成する必要があります。

アカウント A で CEN コンソールにログオンします。
インスタンス ページで、ステップ 1 で作成した CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルーター] タブに移動し、トランジットルーターの作成 をクリックします。

トランジットルーターの作成 ダイアログボックスで、パラメーターを設定し、OK をクリックします。

次の表は、[中国 (杭州)] リージョンと [中国 (青島)] リージョンのそれぞれで転送ルーターを作成するために使用されるパラメーターを示しています。

パラメータ	説明	中国 (杭州)	中国 (青島)
リージョン	転送ルータを作成するリージョンを選択します。	この例では、[中国 (杭州)] が	この例では、[中国 (青島)] が選択されています。
エディション	転送ルータのエディション。	詳細については、「REST API リファレンス」をご参照ください。	選択したリージョンでサポートされている転送ルータエディションが自動的に表示されます。
マルチキャストを有効にする	このガイドが、JavaScript を使用して WordPress REST API を操作するのに役立つことを願っています。	この例では、マルチキャストは無効になっています。デフォルトでは、マルチキャストは無効になっています。	この例では、マルチキャストは無効になっています。デフォルトでは、マルチキャストは無効になっています。
名前	転送ルータの名前を入力します。	この例では、転送ルータにカスタム名が指定されています。	この例では、転送ルータにカスタム名が指定されています。
説明	転送ルータの説明を入力します。	この例では、転送ルータのカスタムの説明を指定します。	この例では、転送ルータのカスタムの説明を指定します。
タグ	転送ルータにタグを追加します。	この例では、転送ルータにタグは追加されていません。	この例では、転送ルータにタグは追加されていません。
TR アドレスセグメント	転送ルーターの CIDR ブロックを入力します。詳細については、「転送ルーター CIDR ブロック」をご参照ください。	この例では、転送ルータに CIDR ブロックが指定されていません。	この例では、転送ルータに CIDR ブロックが指定されていません。

ステップ 3：アカウント A に権限を付与する

アカウント B に属する VPC2 をアカウント A に属する転送ルータに接続するには、まず、必要な権限をアカウント A に付与する必要があります。そうしないと、アカウント A に属する転送ルータは VPC2 に接続できません。

アカウント B で CEN コンソールにログインします。
上部のナビゲーションバーで、VPC2 がデプロイされているリージョンを選択します。
この例では、[中国 (杭州)] が選択されています。
VPC ページで、VPC2 の ID をクリックします。
クロスアカウント権限付与 タブをクリックします。[クラウドエンタープライズネットワーク] タブで、CEN クロスアカウント権限付与 をクリックします。

CEN にアタッチ ダイアログボックスで、パラメータを設定し、[OK] をクリックします。次の表にパラメータを示します。

パラメータ	説明
ピアリングアカウント UID	転送ルータが属する Alibaba Cloud アカウントの UID を入力します。この例では、アカウント A の UID を使用します。
ピアリングアカウント CEN ID	転送ルータが属する CEN インスタンスの ID を入力します。この例では、ステップ 1 で作成した CEN インスタンスの ID を使用します。
[支払者]	支払いアカウントを選択します。 [CEN インスタンス所有者]: 転送ルータが属する Alibaba Cloud アカウントが VPC の接続料とデータ転送料金を支払います。これがデフォルト値です。 [VPC 所有者]: VPC が属する Alibaba Cloud アカウントが VPC の接続料とデータ転送料金を支払います。この例では、デフォルト値を使用します。重要支払いアカウントを変更すると、サービスが中断される可能性があります。注意して進めてください。詳細については、「支払いアカウントを変更する」をご参照ください。

ステップ 3：ネットワークインスタンス接続を作成する

アカウント A に必要な権限が付与された後、VPC 間のネットワーク通信を確立するには、VPC1、VPC2、および VPC3 をアカウント A に属する転送ルータに接続する必要があります。

説明

この操作を初めて実行すると、システムによってサービスロール AliyunServiceRoleForCEN が自動的に作成されます。このロールにより、転送ルータは VPC 内の vSwitch に Elastic Network Interface（ENI）を作成できます。詳細については、「AliyunServiceRoleForCEN」をご参照ください。

アカウント A で CEN コンソールにログインします。
インスタンス ページで、手順 1 で作成した CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブに移動し、管理する転送ルータを見つけ、接続の作成 を アクション 列でクリックします。

ピアネットワークインスタンスとの接続 ページで、パラメーターを構成し、OK をクリックします。

次の表に、各 VPC の設定について説明します。VPC1、VPC2、および VPC3 をアカウント A に属する転送ルータに接続します。

パラメータ	説明	VPC1	VPC2	VPC3
ネットワークタイプ	接続するネットワークインスタンスタイプを選択します。	VPC	VPC	VPC
リージョン	ネットワークインスタンスがデプロイされているリージョンを選択します。	中国 (杭州)	中国 (杭州)	中国 (青島)
トランジットルーター	選択したリージョンにある転送ルータの ID が自動的に表示されます。
リソース所有者 ID	ネットワークインスタンスが属する Alibaba Cloud アカウントを選択します。	現在のアカウント	異なるアカウント異なるアカウントを選択した場合は、アカウント B の ID を指定する必要があります。	現在のアカウント
課金方法	デフォルト値: [従量課金制]。
接続名	ネットワーク接続の名前を入力します。	`Attachment-for-VPC1`	`Attachment-for-VPC2`	`Attachment-for-VPC3`
タグ	ネットワークインスタンス接続にタグを追加します。	この例では、転送ルータにはタグが追加されていません。	この例では、転送ルータにはタグが追加されていません。	この例では、転送ルータにはタグが追加されていません。
ネットワーク	転送ルータに接続するネットワークインスタンスを選択します。	VPC1	VPC2	VPC3
VSwitch	転送ルータのゾーンにある vSwitch を選択します。転送ルータが複数ゾーンをサポートするリージョンにデプロイされていて、各ゾーンに vSwitch がデプロイされている場合は、複数ゾーンと各ゾーンの vSwitch を選択して、ゾーンディザスタリカバリを有効にすることができます。	杭州ゾーン H: vSwitch 1 杭州ゾーン I: vSwitch 2	杭州ゾーン H: vSwitch 1 杭州ゾーン I: vSwitch 2	青島ゾーン B: vSwitch 1 青島ゾーン C: vSwitch 2
詳細設定	次の詳細機能はデフォルトで選択されています。ビジネス要件に基づいて、詳細機能をクリアまたは選択できます。 VPC1、VPC2、および VPC3 のデフォルト設定を維持します。すべての詳細機能が VPC で有効になっています。トランジットルーターのデフォルトルートテーブルに関連付ける有効にすると、VPC 接続は転送ルータのデフォルトルートテーブルに自動的に関連付けられます。転送ルータは、デフォルトルートテーブルに基づいてトラフィックを転送します。システムルートをトランジットルーターのデフォルトルートテーブルに伝播するこの機能を有効にすると、VPC のシステムルートが転送ルータのデフォルトルートテーブルにアドバタイズされます。その後、VPC は転送ルータに接続されている他のネットワークインスタンスと通信できます。トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加するこの機能を有効にすると、システムは 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 の 3 つのルートを VPC のすべてのルートテーブルに自動的に追加します。ルートのネクストホップは VPC を指します。ルートは、VPC から転送ルータへの IPv4 トラフィックを転送するために使用されます。デフォルトでは、転送ルータは VPC にルートをアドバタイズしません。重要 VPC インスタンスで IPv6 通信が必要な場合は、VPC 接続の作成後、VPC 接続のルート同期機能を有効にするか、VPC 接続を指す IPv6 ルートエントリを手動で VPC に追加する必要があります。これにより初めて IPv6 トラフィックが転送ルータに入ることができます。

VPC が転送ルータに接続されると、VPC1 と VPC2 は同じリージョンにあるため、相互に通信できます。 VPC3 は、VPC1 または VPC2 とは異なるリージョンにあるため、通信できません。 VPC1 と VPC3 の間、および VPC 2 と VPC3 の間にネットワーク通信を確立するには、リージョン間接続を作成する必要があります。

ステップ 5：リージョン間接続を作成する

アカウント A で [CEN コンソール] にログインします。
インスタンス ページで、ステップ 1 で作成した CEN インスタンスの ID をクリックします。
[基本情報] > [帯域幅プラン] タブに移動し、リージョン接続の作成 をクリックします。

ピアネットワークインスタンスとの接続 ページで、パラメーターを設定し、OK をクリックします。次の表でパラメーターについて説明します。

パラメーター	説明
ネットワークタイプ	この例では、リージョン間接続が選択されています。
リージョン	接続するリージョンの 1 つを選択します。この例では、[中国 (杭州)] リージョンが選択されています。
トランジットルーター	選択したリージョンにある転送ルータの ID が自動的に表示されます。
接続名	リージョン間接続の名前を入力します。この例では、`Inter-region connection` が使用されています。
[ピアリージョン]	接続するもう一方のリージョンを選択します。この例では、[中国 (青島)] が選択されています。
トランジットルーター	選択したリージョンにある転送ルータの ID が自動的に表示されます。
タグ	リージョン間接続にタグを追加します。この例では、リージョン間接続にタグは追加されていません。
[帯域幅割り当てモード]	次のモードがサポートされています。 [データ転送ごとの支払い]：リージョン間接続を介したデータ転送に対して課金されます。 [帯域幅プランから割り当て]：帯域幅は帯域幅プランから割り当てられます。この例では、[帯域幅プランから割り当て] が選択されています。説明 [データ転送ごとの支払い] を選択した場合、請求は CDT プロダクトによって決済されます。
[帯域幅]	リージョン間接続の最大帯域幅値を指定します。単位：Mbit/s。
[デフォルト回線タイプ]	デフォルト値を使用します。
詳細設定	デフォルトでは、すべての詳細機能が選択されています。この例では、デフォルト設定が使用されています。トランジットルーターのデフォルトルートテーブルに関連付けるこの機能が有効になると、リージョン間の接続は転送ルータのデフォルトルートテーブルに自動的に関連付けられます。転送ルータは、デフォルトルートテーブルを使用してリージョン間でネットワークトラフィックを転送します。システムルートをトランジットルーターのデフォルトルートテーブルに伝播するこの機能が有効になっている場合、リージョン間接続は、接続されたリージョンにある転送ルータのデフォルトルートテーブルに関連付けられます。ピアリージョンへルートを自動的にアドバタイズするこの機能が有効になると、現在のリージョンの転送ルータのルートテーブル内のルートは、リージョン間の通信のためにピア転送ルータのルートテーブルに自動的にアドバタイズされます。転送ルータのルートテーブルとは、リージョン間接続に関連付けられているルートテーブルを指します。

ステップ 6：接続性をテストする

これらのステップを完了すると、VPC1、VPC2、および VPC3 は相互に接続されます。このセクションでは、VPC 間のネットワーク接続をテストする方法について説明します。

VPC1 と VPC2 間のネットワーク接続をテストします。
1. VPC 1 の ECS インスタンスにログオンします。詳細については、「ECS インスタンスに接続する方法」をご参照ください。
2. ECS インスタンスで、ping コマンドを実行して、VPC2 の ECS インスタンスにアクセスできるかどうかをテストします。
```
<The IP address of the ECS instance in VPC2>
```
  詳細については、「WordPress REST API」をご参照ください。
  次のエコー応答パケットは、VPC1 と VPC2 が相互に通信できることを示しています。
VPC1 と VPC3 間のネットワーク接続をテストします。
1. VPC 3 の ECS インスタンスにログオンします。
2. ECS インスタンスで、ping コマンドを実行して、VPC1 の ECS インスタンスにアクセスできるかどうかをテストします。
```
<The IP address of the ECS instance in VPC1>
```
  次のエコー応答パケットは、VPC1 と VPC3 が相互に通信できることを示しています。
VPC2 と VPC3 間のネットワーク接続をテストします。
1. VPC 3 の ECS インスタンスにログオンします。
2. ECS インスタンスで、ping コマンドを実行して、VPC2 の ECS インスタンスにアクセスできるかどうかをテストします。
```
<The IP address of the ECS instance in VPC2>
```
  次のエコー応答パケットは、VPC2 と VPC3 が相互に通信できることを示しています。

ステップ 4：結果の検証

注: このチュートリアルでは、基本的な JavaScript の知識があることを前提としています。

中国 (杭州) リージョンと中国 (青島) リージョンの転送ルータは、VPC1、VPC2、および VPC3 からルートを自動的に学習します。
CEN インスタンスは、VPC1、VPC2、および VPC3 のルートテーブルに次のルートエントリを自動的に追加します。 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16。ネクストホップは、ネットワークインスタンス接続です。
VPC1、VPC2、および VPC3 からのネットワークトラフィックは、転送ルータにルーティングされます。転送ルータにより、VPC は相互に通信できます。

次の表に、VPC1、VPC2、および VPC3 のルートエントリについて説明します。コンソールでルートエントリを確認できます。

転送ルータのルートの詳細については、「Enterprise Edition 転送ルータのルートを表示する」をご参照ください。
VPC のルートの詳細については、「ルートテーブルを作成および管理する」をご参照ください。

表 1. 中国 (杭州) の転送ルータのデフォルトルートエントリ

宛先 CIDR ブロック	ネクストホップ	ルートタイプ
10.0.0.0/24	Attachment-for-VPC2	自動学習
10.0.1.0/24	Attachment-for-VPC2	自動学習
172.16.0.0/24	リージョン間接続	自動学習
172.16.1.0/24	リージョン間接続	自動学習
192.168.20.0/24	Attachment-for-VPC1	自動学習
192.168.21.0/24	Attachment-for-VPC1	自動学習

表 2. 中国 (青島) の転送ルータのデフォルトルートテーブル内のルートエントリ

宛先 CIDR ブロック	ネクストホップ	ルートタイプ
10.0.0.0/24	リージョン間接続	自動学習ルート
10.0.1.0/24	リージョン間接続	自動学習ルート
172.16.0.0/24	Attachment-for-VPC3	自動学習ルート
172.16.1.0/24	Attachment-for-VPC3	自動学習ルート
192.168.20.0/24	リージョン間接続	自動学習ルート
192.168.21.0/24	リージョン間接続	自動学習ルート

表 3. VPC1 のシステムルートテーブル内のルートエントリ

宛先 CIDR ブロック	ネクストホップ	ルートタイプ
192.168.20.0/24	オンプレミスネットワーク	システムルート
192.168.21.0/24	オンプレミスネットワーク	システムルート
10.0.0.0/8	Attachment-for-VPC1	カスタムルート
172.16.0.0/12	Attachment-for-VPC1	カスタムルート
192.168.0.0/16	Attachment-for-VPC1	カスタムルート

表 4. VPC2 のシステムルートテーブル内のルートエントリ

宛先 CIDR ブロック	ネクストホップ	ルートタイプ
10.0.0.0/24	オンプレミスネットワーク	システムルート
10.0.1.0/24	オンプレミスネットワーク	システムルート
10.0.0.0/8	Attachment-for-VPC2	カスタムルート
172.16.0.0/12	Attachment-for-VPC2	カスタムルート
192.168.0.0/16	Attachment-for-VPC2	カスタムルート

表 5. VPC3 のシステムルートテーブル内のルートエントリ

宛先 CIDR ブロック	ネクストホップ	ルートタイプ
172.16.0.0/24	オンプレミスネットワーク	システムルート
172.16.1.0/24	オンプレミスネットワーク	システムルート
10.0.0.0/8	Attachment-for-VPC3	カスタムルート
172.16.0.0/12	Attachment-for-VPC3	カスタムルート
192.168.0.0/16	Attachment-for-VPC3	カスタムルート

例