VPC 接続の作成

このトピックでは、転送ルータを使用して、仮想プライベートクラウド (VPC) を他のネットワーク (同一リージョン内の VPC、異なるリージョン内の VPC、データセンターなど) に接続する方法について説明します。リージョン内の転送ルータに VPC を接続すると、VPC は転送ルータにも接続されている他のネットワークインスタンスと通信できます。たとえば、同一リージョン内または異なるリージョン内の VPC 間、および VPC とデータセンター間でネットワーク通信を確立できます。

Enterprise Edition 転送ルータを使用する

説明

このセクションでは、アップグレードされた Enterprise Edition 転送ルータを使用して VPC を接続する方法について説明します。アップグレードされていない転送ルータの使用方法の詳細については、「最適化されていない Enterprise Edition 転送ルータを使用して VPC 接続を作成するにはどうすればよいですか。」をご参照ください。

Enterprise Edition 転送ルータを最適化する方法の詳細については、「お知らせ：VPC 接続 Enterprise Edition 転送ルータの最適化」をご参照ください。

VPC 接続の仕組み

Enterprise Edition 転送ルータは、リージョン内の 1 つ以上のゾーンをサポートしています。詳細については、「Enterprise Edition 転送ルータをサポートするリージョンとゾーン」をご参照ください。

Enterprise Edition 転送ルータが、中国 (南京 - ローカルリージョン) など、1 つのゾーンのみをサポートするリージョンにデプロイされている場合は、Enterprise Edition 転送ルータで VPC 接続を作成する前に、VPC にそのゾーンに少なくとも 1 つの vSwitch があることを確認してください。 vSwitch には、少なくとも 1 つのアイドル IP アドレスが必要です。 VPC を Enterprise Edition 転送ルータに接続すると、転送ルータは VPC の vSwitch に Elastic Network Interface (ENI) を作成します。 ENI は vSwitch 上の 1 つの IP アドレスを占有し、VPC と転送ルータ間のネットワークトラフィックを転送します。
Enterprise Edition 転送ルータが、中国 (上海) など、複数のゾーンをサポートするリージョンにデプロイされている場合は、Enterprise Edition 転送ルータで VPC 接続を作成する前に、VPC にゾーンに少なくとも 2 つの vSwitch があることを確認してください。 vSwitch は異なるゾーンにデプロイする必要があり、各 vSwitch には少なくとも 1 つのアイドル IP アドレスが必要です。 VPC を Enterprise Edition 転送ルータに接続すると、転送ルータは各 vSwitch に ENI を作成します。各 ENI は vSwitch の 1 つの IP アドレスを占有し、VPC と転送ルータ間のネットワークトラフィックを転送します。 2 つの vSwitch は、ゾーンディザスタリカバリをサポートして、VPC と転送ルータ間のデータ転送を中断することなく行います。
説明
- VPC 接続の作成時に IPv6 機能を有効にする場合は、アイドル状態の IPv6 アドレスが存在することを確認してください。 Enterprise Edition 転送ルータは、ENI を作成するときに VPC の IPv4 アドレスと IPv6 アドレスを占有します。
- Enterprise Edition 転送ルータが複数のゾーンをサポートしている場合は、各ゾーンに vSwitch を作成し、各 vSwitch に VPC 接続を作成するためのアイドル IP アドレスが少なくとも 1 つあることを確認することをお勧めします。このようにして、データ転送距離が短縮されるため、ネットワークレイテンシが削減され、ネットワークパフォーマンスが向上します。 VPC と転送ルータ間でネットワークトラフィックが転送される方法の詳細については、このトピックのVPC 接続のルートの選択方法セクションを参照してください。

创建VPC连接-2023年02

VPC 接続のルートの選択方法

VPC が Enterprise Edition 転送ルータに接続されると、VPC からのネットワークトラフィックは最短ルートで転送され、ネットワークレイテンシが削減されます。このセクションでは、Enterprise Edition 転送ルータが VPC 接続のルートを選択する方法について説明します。

ルート選択は、VPC 接続を介してイニシエータからアクセプタにリクエストを送信するために 3 回実行されます。

番号	説明
①	最初のルーティング。リクエストがイニシエータから Enterprise Edition 転送ルータに転送されると、次の基準に基づいて最初のルーティングプロセスが実行されます。イニシエータがリクエストを送信した後、システムはイニシエータの vSwitch に関連付けられたルートテーブルを照会し、リクエストを転送します。ルートテーブルに、ネクストホップが転送ルータの ENI (転送ルータの vSwitch に作成された ENI) であるカスタムルートが含まれている場合、リクエストは ENI にルーティングされ、次に ENI を介して転送ルータに入ります。ルートテーブルにそのようなカスタムルートが含まれていない場合、リクエストはイニシエータネットワーク接続に関連付けられた転送ルータの ENI にルーティングされます。イニシエータ vSwitch が配置されているゾーンが転送ルータに関連付けられている場合、リクエストはそのゾーンの ENI にルーティングされ、次に ENI を介して Enterprise Edition 転送ルータにルーティングされます。クリックして例を表示イニシエータ vSwitch が配置されているゾーンが転送ルータに関連付けられていない場合、リクエストはイニシエータネットワーク接続に関連付けられたデフォルトの ENI (VPC 接続の作成時に、転送ルータはランダムに 1 つの ENI をデフォルトの ENI として選択します) にルーティングされ、次に ENI を介して転送ルータにルーティングされます。クリックして例を表示
②	2 番目のルーティング。リクエストが Enterprise Edition 転送ルータからアクセプタネットワークインスタンスに転送されると、次の基準に基づいて 2 番目のルーティングプロセスが実行されます。 Enterprise Edition 転送ルータがリクエストを受信した後、イニシエータネットワーク接続に関連付けられたルートテーブルを照会します。 Enterprise Edition 転送ルータはネクストホップを見つけ、次にアクセプタネットワーク接続に関連付けられた ENI にリクエストをルーティングします。ソース ENI が配置されているゾーンがアクセプタ VPC 接続に関連付けられている場合、リクエストはそのゾーンの Enterprise Edition 転送ルータ ENI にルーティングされ、次に ENI を介してアクセプタネットワークインスタンスにルーティングされます。クリックして例を表示ソース ENI が配置されているゾーンがアクセプタ VPC 接続に関連付けられていない場合、リクエストはアクセプタネットワーク接続のデフォルトの ENI (VPC 接続の作成時に、転送ルータはランダムに 1 つの ENI をデフォルトの ENI として選択します) にルーティングされ、次に ENI を介してアクセプタネットワークインスタンスにルーティングされます。クリックして例を表示
③	3 番目のルーティング。リクエストが 3 番目のルーティングプロセスを実行すると、システムはリクエストを受け入れる vSwitch に関連付けられたルートテーブルに基づいてリクエストをアクセプタにルーティングします。クリックして例を表示

前提条件

VPC が存在するリージョンに Enterprise Edition 転送ルータが作成されていること。詳細については、「転送ルータの作成」をご参照ください。
VPC に、Enterprise Edition 転送ルータでサポートされているゾーンに十分な vSwitch があること。各 vSwitch には、少なくとも 1 つのアイドル IP アドレスがあります。 vSwitch の作成方法の詳細については、「vSwitch の作成」をご参照ください。
- Enterprise Edition 転送ルータが、中国 (南京 - ローカルリージョン) など、1 つのゾーンのみをサポートするリージョンにデプロイされている場合は、VPC にそのゾーンに少なくとも 1 つの vSwitch が必要です。
- Enterprise Edition 転送ルータが、中国 (上海) など、複数のゾーンをサポートするリージョンにデプロイされている場合は、VPC にゾーンに少なくとも 2 つの vSwitch が必要です。 vSwitch は異なるゾーンにある必要があります。
同じアカウントまたは異なるアカウントのいずれかに属する VPC に Enterprise Edition 転送ルータを接続できます。 VPC と転送ルータが異なる Alibaba Cloud アカウントに属している場合、転送ルータは VPC が属しているアカウントから必要な権限を取得する必要があります。詳細については、「別のアカウントに属するネットワークインスタンスに接続するための権限を取得する」をご参照ください。
Enterprise Edition 転送ルータを介して IPv6 ネットワーク通信を実現するには、VPC で IPv6 機能が有効になっていることを確認してください。詳細については、「VPC で IPv6 を有効にする」をご参照ください。

手順

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブで、管理する転送ルータを見つけて、アクション 列の 接続の作成 をクリックします。

ピアネットワークインスタンスとの接続 ページで、パラメータを設定し、OK をクリックします。次の表にパラメータの概要を示します。

説明

この操作を実行すると、システムは自動的にサービスロール AliyunServiceRoleForCEN を作成します。これにより、転送ルータは vSwitch に ENI を作成して、VPC と転送ルータ間でデータを転送できます。サービスロールの詳細については、「AliyunServiceRoleForCEN」をご参照ください。

パラメータ	説明
[インスタンスタイプ]	[仮想プライベートクラウド (VPC)] を選択します。
リージョン	接続するネットワークインスタンスが配置されているリージョンを選択します。
[IPv6]	VPC 接続で IPv6 を有効にするかどうかを指定します。この機能はデフォルトで無効になっています。 VPC インスタンスが Enterprise Edition 転送ルータを介して IPv6 通信を必要とする場合は、この機能を有効にする必要があります。説明既存の VPC 接続で IPv6 を有効にすることができます。詳細については、「VPC 接続で IPv6 を有効にする」をご参照ください。
トランジットルーター	システムは、現在のリージョンに作成された転送ルータを自動的に表示します。
リソース所有者 ID	ネットワークインスタンスが属する Alibaba Cloud アカウントタイプを選択します。転送ルータは、同じアカウントまたは異なるアカウントのネットワークインスタンスへの接続をサポートしています。ネットワークインスタンスと転送ルータインスタンスが同じ Alibaba Cloud アカウントに属している場合は、[同じアカウント] を選択します。異なるアカウントに属している場合は、[クロスアカウント] を選択し、ネットワークインスタンスのアカウント ID (プライマリアカウント) を入力します。
課金方法	転送ルータの課金方法は、デフォルトで [従量課金] に設定されています。従量課金制の課金ルールの詳細については、「課金の説明」をご参照ください。
接続名	VPC 接続の名前を入力します。
[ネットワークインスタンス]	接続する VPC インスタンスを選択します。重要 [ルートを確認] をクリックして、宛先 CIDR ブロックが 10.0.0.0/8、172.16.0.0/12、または 192.168.0.0/16 のルートエントリがあるかどうかを確認できます。そのようなエントリが見つかり、[詳細設定] で [転送ルータを指すルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する] が有効になっている場合、システムはルートの自動公開を停止します。これは、VPC と転送ルータ間のトラフィックフローに影響を与える可能性があります。シームレスなデータ転送のために、VPC ルートテーブルにルートエントリを手動で追加する必要がある場合があります。
[vSwitch]	転送ルータでサポートされているゾーンの vSwitch インスタンスを選択します。 Enterprise Edition 転送ルータが 1 つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンの vSwitch を選択します。複数のゾーンをサポートするリージョンにデプロイされている場合は、ゾーンディザスタリカバリのために、異なるゾーンにある少なくとも 2 つの vSwitch を選択します。これにより、VPC と転送ルータ間のデータ転送が中断されることなく行われます。データが短い距離で転送できるため、レイテンシを削減し、ネットワークパフォーマンスを向上させるために、各ゾーンで vSwitch を選択することをお勧めします。
詳細設定	VPC 接続を作成すると、システムはデフォルトで詳細設定で次の機能を有効にします。トランジットルーターのデフォルトルートテーブルに関連付ける有効にすると、VPC 接続は転送ルータのデフォルトルートテーブルに自動的に関連付けられます。転送ルータは、デフォルトルートテーブルに基づいてトラフィックを転送します。システムルートをトランジットルーターのデフォルトルートテーブルに伝播するこの機能を有効にすると、VPC のシステムルートが転送ルータのデフォルトルートテーブルに公開されます。その後、VPC は転送ルータに接続されている他のネットワークインスタンスと通信できます。トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加するこの機能を有効にすると、システムは次の 3 つのルート (10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16) を VPC のすべてのルートテーブルに自動的に追加します。ルートのネクストホップは VPC を指します。ルートは、VPC から転送ルータへの IPv4 トラフィックを転送するために使用されます。デフォルトでは、転送ルータは VPC にルートを公開しません。重要 VPC インスタンスで IPv6 通信が必要な場合は、VPC 接続の作成後、VPC 接続のルート同期機能を有効にするか、VPC で VPC 接続を指す IPv6 ルートエントリを手動で追加する必要があります。これにより初めて IPv6 トラフィックが転送ルータに入ることができます。チェックボックスをオフにすることで、これらの詳細機能を無効にすることができます。 VPC インスタンスの接続性をカスタマイズする場合は、転送ルータで関連付けられた転送とルート学習を設定できます。具体的な手順については、「ルート管理」をご参照ください。
タグ	VPC 接続にタグを追加します。 [タグキー]: タグキーは最大 64 文字です。空の文字列にすることはできず、`acs:` または `aliyun` で始めることも、`http://` または `https://` を含めることもできません。 [タグ値]: タグ値は最大 128 文字の空の文字列にすることができます。 `acs:` または `aliyun` で始めることも、`http://` または `https://` を含めることもできません。 VPC 接続に複数のタグを追加できます。タグの詳細については、「タグ」をご参照ください。

VPC 接続が作成された後、リージョン内接続数 タブで接続の詳細を表示できます。詳細については、「ネットワークインスタンス接続を表示する」をご参照ください。

VPC 接続のゾーンと vSwitch を編集する

VPC 接続を作成した後、VPC 接続のゾーンと vSwitch を変更できます。開始する前に、VPC のルートが Enterprise Edition 転送ルータの ENI を指していないことを確認してください。詳細については、「ルートテーブルの作成と管理」をご参照ください。

警告

VPC 接続の vSwitch を変更すると、接続が最大 15 秒間中断される場合があります。注意して進めてください。

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブに移動し、管理する転送ルータの ID をクリックします。
リージョン内接続数 タブで、ターゲット VPC 接続を見つけて、VPC 接続 ID をクリックします。
接続の詳細 パネルの ゾーン/サブネットの変更関連付けられたインスタンス セクションで、をクリックします。
ゾーン/サブネットの変更 ダイアログボックスで、[ゾーン/サブネットの選択] セクションを見つけて、ターゲットゾーンを選択し、vSwitch を選択して、[OK] をクリックします。
変更後、選択したゾーンと vSwitch が VPC 接続に関連付けられます。
たとえば、VPC 接続はゾーン A と、ゾーン A にデプロイされている vSwitch A1 に関連付けられています。 ゾーン/サブネットの変更 ダイアログボックスでゾーンと vSwitch を変更すると、次のルールが適用されます。
- ゾーン A と、ゾーン A にデプロイされている vSwitch A2 を選択すると、[OK] をクリックした後、VPC 接続はゾーン A と vSwitch A2 に関連付けられます。
  VPC 接続は vSwitch A1 から自動的に関連付け解除されます。
- ゾーン B、vSwitch B1 (ゾーン B にデプロイ)、ゾーン C、および vSwitch C1 (ゾーン C にデプロイ) を選択すると、[OK] をクリックした後、VPC 接続はゾーン B、vSwitch B1、ゾーン C、および vSwitch C1 に関連付けられます。
  VPC 接続はゾーン A と vSwitch A1 から自動的に関連付け解除されます。
- ゾーン A、vSwitch A1 (ゾーン A にデプロイ)、ゾーン C、および vSwitch C1 (ゾーン C にデプロイ) を選択すると、[OK] をクリックした後、VPC 接続はゾーン A、vSwitch A1、ゾーン C、および vSwitch C1 に関連付けられます。
  VPC はゾーン C と vSwitch C1 に自動的に関連付けられます。
説明
VPC 接続が別の vSwitch に関連付けられた後、以前の vSwitch の ENI は自動的に削除されます。

VPC 接続に関連付けられた転送ルータルートテーブルを変更する

VPC 接続を作成した後、VPC 接続に関連付けられている転送ルータルートテーブルを変更できます。

警告

VPC 接続でルート同期が有効になっている場合、ルートテーブルが変更された後、VPC に同期されたルートは削除されます。次に、変更されたルートテーブルのルートが VPC のすべてのルートテーブルに同期されます。詳細については、「ルート同期」をご参照ください。

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブで、ターゲットリージョンの転送ルータインスタンス ID をクリックします。
リージョン内接続数 タブで、VPC 接続を見つけて、VPC 接続 ID をクリックします。
接続の詳細 パネルの [基本情報] セクションで、[関連付けられたルートテーブル] の横にある [変更] をクリックします。
[ルートテーブルの変更] ダイアログボックスで、ターゲットルートテーブルを選択し、[OK] をクリックします。

既存の VPC 接続で IPv6 を有効にする

VPC が Enterprise Edition 転送ルータを介して IPv6 ネットワークで通信する必要がある場合は、VPC 接続で IPv6 を有効にする必要があります。 IPv6 が有効になっていない既存の VPC 接続の場合は、次の手順を実行して有効にすることができます。

VPC 接続で IPv6 を有効にする前に、VPC で IPv6 が有効になっていることを確認してください。詳細については、「VPC で IPv6 を有効にする」をご参照ください。

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブで、ターゲットリージョンの転送ルータインスタンス ID をクリックします。
リージョン内接続数 タブで、VPC 接続を見つけて、[IPv6] 列の [有効にする] をクリックします。
プロンプトが表示されたら、[OK] をクリックします。

VPC 接続で IPv6 を無効にする

IPv6 ネットワーク通信が不要になった場合は、この機能を無効にすることができます。無効にする前に、次の前提条件が満たされていることを確認してください。

VPC のルートテーブルに、Enterprise Edition 転送ルータの VPC 接続または ENI をネクストホップとする IPv6 ルートエントリがありません。詳細については、「ルートを追加および削除する」をご参照ください。
Enterprise Edition 転送ルータのルートテーブルに、VPC 接続をネクストホップとして指す IPv6 ルートエントリがないこと。詳細については、「Enterprise Edition 転送ルータのルートテーブルからカスタムルートを削除する」をご参照ください。
Enterprise Edition 転送ルータのルートテーブルに、VPC 接続を指す IPv6 プレフィックスリストがないこと。詳細については、「転送ルータルートテーブルからプレフィックスリストの関連付けを解除する」をご参照ください。

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブで、ターゲットリージョンの転送ルータのインスタンス ID をクリックします。
リージョン内接続数 タブで、VPC 接続を見つけます。 [IPv6] 列で、[無効にする] をクリックします。
プロンプトが表示されたら、[OK] をクリックします。

Basic Edition 転送ルータを使用する

Basic Edition 転送ルータは、同じアカウントまたは異なるアカウントのいずれかに属する VPC の接続をサポートしています。クロスアカウント VPC 接続を作成する前に、ピア VPC アカウントから権限を取得していることを確認してください。詳細については、「クロスアカウントインスタンスの認証」をご参照ください。

CEN コンソールにログオンします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [転送ルータ] タブで、管理する転送ルータを見つけて、アクション 列の 接続の作成 をクリックします。

ピアネットワークインスタンスとの接続 ページで、次のようにネットワークインスタンス情報を設定し、[OK をクリックして作成] をクリックします。

パラメータ	説明
[インスタンスタイプ]	[仮想プライベートクラウド (VPC)] を選択します。
[リージョン]	ネットワークインスタンスがデプロイされているリージョンを選択します。
[転送ルータ]	選択したリージョンの転送ルータインスタンスが表示されます。
[リソースオーナー UID]	ネットワークインスタンスが属する Alibaba Cloud アカウントタイプを選択します。転送ルータは、同じアカウントまたは異なるアカウントのネットワークインスタンスへの接続をサポートしています。ネットワークインスタンスと転送ルータインスタンスが同じ Alibaba Cloud アカウントに属している場合は、[同じアカウント] を選択します。異なるアカウントに属している場合は、[クロスアカウント] を選択し、ネットワークインスタンスのアカウント ID (プライマリアカウント) を入力します。
[ネットワークインスタンス]	接続するネットワークインスタンスを選択します。

VPC 接続が作成された後、転送ルータインスタンス製品ページの リージョン内接続数 タブで VPC 接続に関する情報を表示できます。詳細については、「ネットワークインスタンス接続を表示する」をご参照ください。

API を呼び出して VPC 接続を作成する

Alibaba Cloud SDK (推奨)、Alibaba Cloud CLI、Terraform、Resource Orchestration Service などのツールを使用して API を呼び出し、VPC 接続を作成できます。詳細については、次の API リファレンスを参照してください。

CreateTransitRouterVpcAttachment: Enterprise Edition 転送ルータで VPC 接続を作成します。
UpdateTransitRouterVpcAttachmentAttribute: Enterprise Edition 転送ルータの VPC 接続の名前と説明を変更します。
UpdateTransitRouterVpcAttachmentZones: Enterprise Edition 転送ルータで VPC 接続に関連付けられているゾーンと vSwitch を変更します。
ListTransitRouterVpcAttachments: Enterprise Edition 転送ルータの VPC 接続に関する情報を照会します。
AttachCenChildInstance: Basic Edition 転送ルータを使用して VPC 接続を作成します。

Cloud Enterprise Network:VPC 接続の作成