ピアリング接続を使用して VPC を CEN に移行する - Cloud Enterprise Network

仮想プライベートクラウド (VPC) をピアリング接続を使用して接続する場合、VPC の数が増えるにつれて構成の複雑さが増し、メンテナンスが困難になる可能性があります。この問題に対処するために、これらの VPC をクラウドエンタープライズネットワーク (CEN) に移行します。CEN は自動ルート伝播を有効にし、構成を合理化し、ネットワークアーキテクチャのスケーラビリティを向上させ、マルチ VPC 環境向けのより効率的で管理しやすいソリューションを提供します。

移行方法

移行の鍵は、ルートエントリを構成することにより、VPC ピアリング接続のトラフィックを転送ルーターに転送することです。このプロセスは 3 つのステップで構成されます。

CEN インスタンスを作成する: インスタンスを作成するには、シナリオベースのネットワーキングを使用することをお勧めします。システムは自動的に以下の処理を実行します。
1. VPC が配置されているリージョンに転送ルーターを作成します。
2. VPC を転送ルーターに接続します。リージョン間のシナリオでは、転送ルーター間にリージョン間接続が自動的に作成されます。
3. VPC からシステムルートを学習するためのルート学習と、転送ルーターのルートを VPC に伝播するためのルート同期を有効にします。
説明
転送ルーターが複数のゾーンをサポートするリージョンでは、VPC にゾーン全体に分散された少なくとも 2 つの vSwitch が必要です。この条件が満たされない場合は、最初にvSwitch を作成する必要があります。
ルートを構成する: 転送ルーターと VPC のルートエントリが正しく機能していることを確認した後、ピアリング接続を指すルートエントリを削除します。
1. VPC のルートテーブルに Elastic Compute Service (ECS)、VPN ゲートウェイ、または高可用性仮想 IP (HAVIP) インスタンスを指すエントリが含まれている場合は、CEN コンソールで転送ルーターにルートを公開する必要があります。
2. 転送ルーターのルートテーブルを確認して、各 VPC へのエントリがあることを確認します。
3. 各 VPC のルートテーブルを確認し、転送ルーターへのエントリがあることを確認します。 CEN コンソールの [ネットワークルート] タブに移動し、各ルートの [ステータス] を確認します。
  1. ルートの競合がない場合は、ネクストホップとしてピアリング接続を持つルートエントリを削除して、スムーズな移行を実現します。
  2. ルートの競合が発生した場合は、次のいずれかのソリューションを選択します。
    - 一時的な中断を伴う移行: ネクストホップとしてピアリング接続を使用するルートエントリを削除すると、一時的な接続中断が発生する可能性があります。この中断は数分続くと予想され、転送ルーターのルートエントリの数に比例します。
    - スムーズな移行: 転送ルーターへのルートエントリが有効になるように、より具体的なルートを追加します。次に、ネクストホップとしてピアリング接続を持つルートエントリを削除します。
      たとえば、VPC ルートテーブルに 1 つのルート (宛先 CIDR ブロック 10.0.0.0/24、ネクストホップピアリング接続) と別のルート (宛先 CIDR ブロック 10.0.0.0/24、ネクストホップ転送ルーター) の間に競合がある場合は、次の手順を実行します。
      1. さらに 2 つの具体的なルートを追加します。
        宛先 CIDR ブロック 10.0.0.0/25、ネクストホップピアリング接続
        宛先 CIDR ブロック 10.0.0.128/25、ネクストホップピアリング接続
      2. ルートエントリを削除します: 宛先 CIDR ブロック 10.0.0.0/24、ネクストホップピアリング接続。
      3. ルート同期が有効になるまで待ちます: 宛先 CIDR ブロック 10.0.0.0/24、ネクストホップ転送ルーター。
      4. ステップ a の 2 つの特定のルートエントリを削除します。
2 つの VPC が転送ルーターを介して接続されていることを確認します。次に、ピアリング接続を削除します。

シナリオ

2 つの VPC が VPC ピアリング接続を介して接続されており、それらを CEN に移行する予定があるとします。

各 VPC に 1 つの vSwitch が作成され、各 vSwitch に 1 つの ECS インスタンスが作成されます。2 つの ECS インスタンスは相互に ping を実行できます。

VPC は次のように計画されています。

パラメーター	VPC1	VPC2
リージョン	中国 (杭州)	中国 (杭州)
CIDR ブロック	10.0.0.0/16	172.16.0.0/16
vSwitch	名前: `vSwitch1` ゾーン: J CIDR ブロック: 10.0.0.0/24	名前: `vSwitch1` ゾーン: J CIDR ブロック: 172.16.0.0/24
ECS	名前: `ECS1` IP アドレス: 10.0.0.1 OS: Alibaba Cloud Linux	名前: `ECS2` IP アドレス: 172.16.0.1 OS: Alibaba Cloud Linux
カスタムルートエントリ	宛先 CIDR ブロック 172.16.0.0/16、ネクストホップピアリング接続	宛先 CIDR ブロック 10.0.0.0/16、ネクストホップピアリング接続

準備

スムーズな移行中、2 つの VPC は接続されたままです。

開始する前に、ECS1 にログインし、ping 172.16.0.1 コマンドを実行して ECS2 にアクセスします。バックグラウンドで実行し続け、接続ステータスを追跡します。

ECS インスタンスで Windows が実行されている場合は、-t パラメーターを追加して ping コマンドを実行し続けます: ping -t 172.16.0.1。

手順

ステップ 1: CEN インスタンスを作成する

各 VPC のゾーン K に、それぞれ 10.0.1.0/24 と 172.16.1.0/24 の CIDR ブロックを持つ、vSwitch2 という名前の新しい vSwitch を作成します。これにより、VPC を転送ルーターに接続するときに、異なるゾーンの 2 つの vSwitch を選択するという要件を確実に満たすことができます。
CEN コンソールにログインします。 [CENインスタンスの作成] をクリックし、ダイアログボックスの [シナリオ固有の CEN を作成 (推奨)] タブを選択し、[VPC 相互接続] を選択して、[作成] をクリックします。
CEN インスタンスの作成 > [ネットワーキング設定の作成] ページで、次のパラメーターを構成します。
- [転送ルーター]: 初めて使用するときは、[転送ルーターのアクティブ化] をクリックして、サービスが [アクティブ化] されていることを確認します。
- [リージョン]: [中国 (杭州)] を選択します。
- [ゾーン]: [ゾーン J] と [ゾーン K] を選択します。
- [VPC]:
  - [VPC] を [VPC1] に設定し、2 つの vSwitch を選択します。
  - [VPC の追加] をクリックし、[VPC] を [VPC2] に設定し、2 つの vSwitch を選択します。
- [次へ] をクリックします。
[ネットワーク設定と料金の確認] ページでは、設定の概要が生成されるまでに数分かかります。自動的に作成されるリソースを表示し、料金が発生するリソースを確認できます。確認して [デプロイメントの開始] をクリックします。
[デプロイメントの開始] ページに [デプロイ中] と表示されます。これには約 5 ～ 10 分かかります。完了後、[ネットワークがデプロイされました] と表示されます。 [CEN インスタンスの表示] をクリックして、自動作成されたリソースにアクセスします。図に示すように、created_by_cadt という名前の CEN インスタンスが自動的に作成され、CEN に cn-hangzhou という名前の転送ルーターが作成されました。
転送ルーター ID をクリックします。自動作成された 2 つの [リージョン内接続] が表示されます。これは、VPC1 と VPC2 が転送ルーターに接続されていることを示しています。

ステップ 2: ルートを構成する

VPC のルートテーブルに ECS、VPN ゲートウェイ、および HAVIP インスタンスを指すルートエントリが含まれている場合は、CEN コンソールでこれらのルートを転送ルーターに公開する必要があります。この例にはそのようなルートがないため、公開は必要ありません。
転送ルーターのルートテーブルを確認する: 転送ルーター ID をクリックし、[ルートエントリ] タブに移動します。次の図に示すように、転送ルーターは VPC1 と VPC2 へのルートを学習しています。
VPC ルートテーブルを確認する
1. VPC1 のルートテーブルを確認する: [ネットワークルート] タブをクリックし、[ネットワークインスタンス] に VPC1 を選択して、ルートテーブルを確認します。
  下の図に示すように、転送ルーターは自動学習ルートを VPC1 のルートテーブルに同期しています。すべてのエントリの [ステータス] が [準備完了] であるため、競合はありません。
2. VPC2 のルートテーブルを確認する: ステップ 1 を繰り返して、VPC2 のルートテーブルを確認します。
3. どちらの VPC にもルートの競合がない場合は、ネクストホップとしてピアリング接続を持つルートエントリを削除して、スムーズな移行を実現します。
  VPC コンソールにログインします。左側のナビゲーションウィンドウで [VPC ピアリング接続] をクリックし、上部にある [中国 (杭州)] を選択し、ターゲットの [ピアリング接続 ID] をクリックして、[ルートエントリリスト] タブを選択します。各ルートエントリについて、[アクション] 列の [削除] をクリックします。
競合の処理方法
移行前に、VPC1 のルートテーブルに、宛先 CIDR ブロックが 172.16.0.0/24 で、ネクストホップがピアリング接続であるカスタムルートエントリがあるとします。ルートの競合が発生します。
下の図に示すように、[ネットワークルート] タブでルートテーブルを表示すると、VPC1 はピアリング接続の既存のルートエントリを優先します。転送ルーターから同期された新しいルートは競合としてマークされます。
この問題を解決するには、次のオプションがあります。
- 一時的な中断を伴う移行: ネクストホップとしてピアリング接続を持つルートエントリを削除します。これにより、一時的な接続中断が発生する可能性があることに注意してください。これは数分続くと予想され、転送ルーターのルートエントリの数に比例します。
- スムーズな移行: VPC ルートテーブルの TR へのルートエントリが有効になるように、より具体的なルートを追加してから、ネクストホップとしてピアリング接続を持つルートエントリを削除します。
  VPC コンソールにログインします。左側のナビゲーションウィンドウで [ルートテーブル] をクリックし、次に VPC1 のルートテーブルの [インスタンス ID] をクリックします。 ルートエントリ > [カスタムルート] タブで、次の手順を実行します。
  1. さらに 2 つの具体的なルートを追加します。
    宛先 CIDR ブロック 172.16.0.0/25、ネクストホップピアリング接続
    宛先 CIDR ブロック 172.16.0.128/25、ネクストホップピアリング接続
  2. ルートエントリを削除します: 宛先 CIDR ブロック 172.16.0.0/24、ネクストホップピアリング接続。
  3. ルート同期がアクティブになるまで待ちます: 宛先 CIDR 172.16.0.0/24、ネクストホップ転送ルーター。
  4. 2 つの特定のルートエントリを削除します: 宛先 CIDR ブロック 172.16.0.0/25、ネクストホップピアリング接続、および宛先 CIDR ブロック 172.16.0.128/25、ネクストホップピアリング接続。

ステップ 3: 結果を確認する

上記の「準備」セクションで実行した ping コマンドを確認します。コマンドが引き続き応答を受信している場合、これはトラフィックが転送ルーターに転送されていることを示しています。
ピアリング接続を削除する: VPC コンソールにログインします。左側のナビゲーションウィンドウで [VPC ピアリング接続] をクリックします。上部にある [中国 (杭州)] を選択し、ターゲットのピアリング接続を見つけて、[アクション] 列の [削除] をクリックします。

ロールバック方法

VPC 間にピアリング接続を再確立する: 宛先 CIDR ブロックをピア VPC として、ネクストホップをピアリング接続としてルートを追加し、新しいルートがアクティブであることを確認します。ルートの競合が発生した場合 (たとえば、「この CIDR ブロックはルートテーブルに既に存在します」というプロンプトが表示された場合) は、より具体的なルートを追加して問題を解決します。
次の順序でリソースを削除する: VPC 接続 (該当する場合はリージョン間接続を含む)、転送ルーター、CEN インスタンス。

参照

クラウドエンタープライズネットワークと VPC ピアリング接続の違いは何ですか?

クラウドエンタープライズネットワークの課金

転送ルーターの仕組み