すべてのプロダクト
Search

このプロダクト

    Cloud Firewall:CEN トランジットルーターを使用して接続された VPC 間のトラフィックを保護する

    ドキュメントセンター

    Cloud Firewall:CEN トランジットルーターを使用して接続された VPC 間のトラフィックを保護する

    最終更新日:Oct 25, 2025

    Cloud Enterprise Network (CEN) トランジットルーターを使用する場合、VPC ファイアウォールを使用してトランジットルーターで接続された VPC 間のトラフィックを保護する前に、トランジットルーターと仮想プライベートクラウド (VPC) ファイアウォール間のルーティングを手動で設定する必要があります。このトピックでは、トランジットルーターと VPC ファイアウォール間のルーティングを設定する方法について説明します。

    適用範囲

    Cloud Firewall は、CEN トランジットルーターを使用して接続されているネットワークインスタンス間のトラフィックを保護できます。ネットワークインスタンスには、VPC、仮想ボーダールータ (VBR)、クラウド相互接続ネットワーク (CCN) インスタンス、VPN ゲートウェイが含まれます。

    VPC ファイアウォールを使用して同じリージョン内の VPC 間のトラフィックを保護する場合は、このトピックで説明するプロシージャに従うことができます。

    シナリオ図

    image

    前提条件

    CEN コンソールで CEN インスタンスが作成されています。2 つの VPC が作成されています。このトピックでは、VPC-01VPC-02 を使用します。詳細については、「CEN インスタンス」をご参照ください。

    ステップ 1: VPC ファイアウォール用の VPC の作成

    VPC ファイアウォールには VPC が必要です。したがって、VPC ファイアウォール用に VPC を作成する必要があります。

    重要

    VPC とトランジットルーターは、同じ Alibaba Cloud アカウントに属している必要があります。そうでない場合、VPC ファイアウォールの作成に失敗する可能性があります。

    1. VPC コンソールにログインします

    2. 上部のナビゲーションバーで、VPC を作成するリージョンを選択し、 [VPC の作成] をクリックします。

    3. [VPC の作成] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      リージョン

      VPC ファイアウォールを有効にするリージョンを選択します。

      名前

      VPC の名前を入力します。この例では、「Cfw-TR-manual-VPC」と入力します。

      IPv4 CIDR ブロック

      VPC のプライマリ IPv4 CIDR ブロックを指定します。CIDR ブロックのサブネットマスクは 26 ビット以上である必要があり、CIDR ブロックはワークロードで使用されている CIDR ブロックと競合してはなりません。

      vSwitch

      トランジットルーターに接続できる vSwitch を指定します。各 CIDR ブロックのサブネットマスクは 28 ビット以上である必要があります。

      トランジットルーターに接続するには 2 つの vSwitch を指定し、トランジットルーターをサポートする 2 つの異なるゾーンを選択する必要があります。待機時間を短縮するために、ワークロードがデプロイされているゾーンを選択することをお勧めします。また、VPC ファイアウォール用に vSwitch を指定する必要があり、この vSwitch には任意のゾーンを選択できます。

      この例では、トランジットルーター用に プライマリ VSwitch として TR-Vswitch-01 を、セカンダリ VSwitch として TR-VSwitch-02 を指定し、VPC ファイアウォール用にCfw-Vswitch という名前の vSwitch を指定します。

    4. [VPC] ページで、作成した Cfw-TR-manual-VPC という名前の VPC の ID を見つけてクリックします。

    5. 表示されたページで、[Resource Management] タブをクリックし、ポインターをルートテーブルに移動して、[ルートテーブル] の下にある [追加] をクリックします。または、[ルートテーブル] ページに移動して [ルートテーブルの作成] をクリックすることもできます。

    6. [ルートテーブルの作成] ページで、次のパラメーターを設定してルートテーブルを作成し、[OK] をクリックします。

      パラメーター

      説明

      VPC

      前のステップで作成した VPC を選択します。この例では、Cfw-TR-manual-VPC を選択します。

      関連付けられたリソースタイプ

      ルートテーブルを関連付けることができるリソースタイプとして vSwitch を選択します。

      名前

      ルートテーブルの名前を入力します。この例では、「VPC-CFW-RouteTable」と入力します。

    ステップ 2: 作成した VPC をトランジットルーターに接続する

    このステップでは、作成した Cfw-TR-manual-VPC という名前の VPC と Enterprise Edition のトランジットルーター間の接続を確立します。

    1. CEN コンソールにログインします。

    2. [インスタンス] ページで、トラフィックを VPC ファイアウォールにリダイレクトする CEN インスタンスを見つけ、インスタンスの ID をクリックします。

    3. [基本情報] タブで、CEN トランジットルーターを見つけ、[アクション] 列の [接続の作成] をクリックするか、タブの上部にある VPC の右側にある 添加图标 アイコンをクリックします。

    4. [ピアネットワークインスタンスとの接続] ページで、パラメーターを設定します。

      次の表に、主要なパラメーターを示します。

      パラメーター

      説明

      インスタンスタイプ

      CEN インスタンスに接続するネットワークインスタンスのタイプ。この例では、仮想プライベートクラウド (VPC) を選択します。

      リージョン

      ネットワークインスタンスが存在するリージョン。この例では、Cfw-TR-manual-VPC を作成するときに指定したリージョンを選択します。

      ネットワークインスタンス

      CEN インスタンスに接続するネットワークインスタンス。この例では、Cfw-TR-manual-VPC の ID を選択します。

      VSwitch

      ネットワークインスタンスに関連付けることができる vSwitch。この例では、プライマリ VSwitch として TR-Vswitch-01 を、セカンダリ VSwitch として TR-VSwitch-02 を選択します。

      その他のパラメーターの詳細については、「Enterprise Edition のトランジットルーターを使用する」をご参照ください。

    ステップ 3: VPC-01 と VPC-02 をトランジットルーターに接続する

    このステップでは、VPC-01 とトランジットルーター間の接続、および VPC-02 とトランジットルーター間の接続を確立します。これにより、両方の VPC がトランジットルーターに接続されます。

    詳細については、「VPC 接続を作成する」をご参照ください。

    ステップ 4: VPC ファイアウォールを作成する

    このステップでは、Cfw-TR-manual-VPC 用の VPC ファイアウォールを作成します。

    VPC ファイアウォールを作成するには、Cloud Firewall コンソールにログインします。左側のナビゲーションウィンドウで、[ファイアウォール設定] > [VPC ファイアウォール] > [CEN (Enterprise Edition)] を選択します。[CEN (Enterprise Edition)] タブで、目的のトランジットルーターを見つけ、[アクション] 列の [作成] をクリックします。[VPC ファイアウォールの作成] ダイアログボックスで、[トラフィックリダイレクトモード][手動] を、[VPC][Cfw-TR-manual-VPC] を、vSwitch に [Cfw-Vswitch] を選択します。詳細については、「Enterprise Edition のトランジットルーター用に VPC ファイアウォールを設定する」をご参照ください。

    説明

    このステップを完了すると、Cloud Firewall はトラフィックをリダイレクトするために Cfw-Vswitch に Elastic Network Interface (ENI) を作成します。デフォルトでは、ENI は cfw-bonding-eni という名前で、ECS コンソールの [ネットワークとセキュリティ] > [Elastic Network Interface] ページに表示されます。仮想 ENI はトラフィックのルーティングとリダイレクトに使用され、ファイアウォールは異なるアベイラビリティゾーンにまたがる複数の仮想ネットワークインターフェースをバインドして、高いクラスター可用性を確保します。手動トラフィックリダイレクトモードでは、ファイアウォールクラスターは、HA を確保するために、デフォルトで自動的に割り当てられた 2 つのアベイラビリティゾーンにまたがってアクティブ/アクティブモードで実行されます。

    ステップ 5: Cfw-TR-manual-VPC のルートを設定する

    このステップでは、トランジットルーターによって Cfw-TR-manual-VPC に転送されたトラフィックを VPC ファイアウォールにリダイレクトし、VPC ファイアウォールによって処理されたトラフィックをトランジットルーターにリダイレクトするルートを作成します。

    1. VPC コンソールにログインします。

    2. [ルートテーブル] ページで、Cfw-TR-manual-VPC 用に作成されたシステムルートテーブルをクリックします。

    3. [ルートエントリリスト] タブで、[カスタムルート] タブをクリックします。

    4. [ルートエントリの追加] をクリックしてパラメーターを設定します。他のカスタムルートが存在する場合は、それらを削除します。

      パラメーターの説明:

      • 宛先 CIDR ブロック: 0.0.0.0/0 を指定します。

      • ネクストホップタイプ: ENI を選択します。

      • ENI: ステップ 4 で作成された Cfw-bonding-eni を選択します。

      このステップが完了すると、トランジットルーターによって Cfw-TR-manual-VPC に転送されたトラフィックは VPC ファイアウォールにリダイレクトされます。

    5. [ルートテーブル] ページで、作成したカスタムルートテーブル VPC-CFW-RouteTable をクリックします。表示されたページで、[関連付けられた VSwitch] タブをクリックし、[vSwitch の関連付け] をクリックします。[vSwitch の関連付け] ダイアログボックスで、[vSwitch]Cfw-Vswitch を選択します。次に、[OK] をクリックします。

    6. [ルートエントリリスト] タブで、[カスタムルート] タブをクリックします。[ルートエントリの追加] をクリックしてパラメーターを設定します。他のカスタムルートが存在する場合は、それらを削除します。

      パラメーターの説明:

      • 宛先 CIDR ブロック: 0.0.0.0/0 を指定します。

      • ネクストホップタイプ: トランジットルーター を選択します。

      • トランジットルーター: VPC ファイアウォールが作成されたトランジットルーターを選択します。

      このステップが完了すると、VPC ファイアウォールによって処理されたトラフィックはトランジットルーターに転送されます。

    ステップ 6: トランジットルーターのルートを設定する

    このステップでは、VPC-01、VPC-02、および Cfw-TR-manual-VPC のルートを作成し、VPC-01 と VPC-02 間のトラフィックが VPC ファイアウォールを通過できるようにします。

    1. CEN コンソールにログインします。

    2. [CEN] コンソールにログインし、VPC ファイアウォールを有効にするトランジットルーターを見つけてクリックします。[ルートテーブル] タブが表示されます。

    3. [ルートテーブル] タブで、左側のルートテーブルリストにあるシステムルートテーブルをクリックします。

    4. [ルートテーブルの詳細] セクションで、[ルート伝播] タブをクリックします。

    5. [ルート伝播] タブで、VPC-01 と VPC-02 のルート学習相関を作成します。VPC-01 のルート学習相関を作成するには、[アタッチメント] に VPC-01 を選択します。VPC-02 のルート学習相関を作成するには、アタッチメントに VPC-02 を選択します。

      ルート学習相関が作成されると、システムは VPC-01 と VPC-02 からルートを学習します。

      さらに、システムが学習したルートに関する情報は [ルートエントリ] タブで確認できます。

    6. 左側のルートテーブルリストにあるシステムルートテーブルをクリックします。[ルートテーブルの詳細] セクションで、[ルートテーブルの関連付け] タブをクリックします。

    7. [ルートテーブルの関連付け] タブで、[関連付けの作成] をクリックします。

    8. [関連付けの追加] ダイアログボックスで、関連付けに Cfw-TR-manual-VPC を選択します。

      このステップが完了すると、Cfw-TR-manual-VPC はトランジットルーターを使用して、VPC-01 と VPC-02 宛てのトラフィックを自動的に転送できます。

    9. [ルートテーブル] タブの左側にある [ルートテーブルの作成] をクリックします。[ルートテーブルの作成] ダイアログボックスで、パラメーターを設定します。

      [トランジットルーター] を VPC ファイアウォールを有効にするトランジットルーターに設定し、ルートテーブルを指定します。[ルートテーブル名] パラメーターを Cfw-TR-RouteTable に設定します。

      Cfw-TR-RouteTable ルートテーブルは、VPC-01 と VPC-02 から Cfw-TR-manual-VPC にトラフィックを転送するために使用されます。

    10. Cfw-TR-RouteTable ルートテーブルをクリックします。次に、[ルートエントリの追加] をクリックします。[ルートエントリの追加] ダイアログボックスで、パラメーターを設定します。

      パラメーターの説明:

      • 宛先 CIDR: デフォルト値の 0.0.0.0/0 を保持します。

      • ブラックホールルート: デフォルト値の No を保持します。

      • ネクストホップ: Cfw-TR-manual-VPC に接続されているトランジットルーターを選択します。

    11. [ルートテーブル] タブで、左側のルートテーブルリストにあるシステムルートテーブルをクリックします。[ルートテーブルの詳細] セクションで、[ルートテーブルの関連付け] タブをクリックします。

      警告

      操作 12 から 14 を実行すると、ルートのスイッチオーバーにより TCP 持続的接続が切断される場合があります。オフピーク時間または変更ウィンドウ中に操作を実行することをお勧めします。

    12. [ルートテーブルの関連付け] タブで、VPC-01 と VPC-02 用に作成された関連付けられた転送相関を削除します。[ルートテーブル] タブで、左側のルートテーブルリストにある Cfw-TR-RouteTable ルートテーブルをクリックします。

    13. [ルートテーブルの詳細] セクションで、[ルートテーブルの関連付け] タブをクリックし、[関連付けの作成] をクリックします。

    14. [関連付けの追加] ダイアログボックスで、[関連付け] に VPC-01 と VPC-02 を選択し、[OK] をクリックします。

      このステップが完了すると、VPC-01 と VPC-02 のトラフィックは Cfw-TR-RouteTable に転送され、VPC-01 と VPC-02 間のトラフィックは Cfw-TR-manual-VPC に転送されます。

    ステップ 7: 転送設定が成功したかどうかを確認する

    ログ監査ページの [トラフィックログ] タブに移動して、CEN インスタンスのトラフィックログが記録されているかどうかを確認できます。トラフィックログが記録されていれば、転送設定は成功です。詳細については、「ログ監査」をご参照ください。