Cloud Network Well-architected Design Guidelines:データセンター内のサーバーのアプリケーション配信ネットワーク設計

概要

このトピックでは、データセンター内のサーバーを Alibaba Cloud パブリッククラウド上の Server Load Balancer (SLB) インスタンスに追加する方法について説明します。このトピックで紹介するアプリケーション配信ネットワークの設計は、データセンターの非武装地帯 (DMZ) を Alibaba Cloud に移行することを目的としています。この設計は、クラウド移行を容易にするスケーラブルなハイブリッドクラウドを効率的に構築するのに役立ちます。

キーワード

• Application Load Balancer (ALB): ALB は、アプリケーション層で動作し、HTTP、HTTPS、および Quick UDP Internet Connections (QUIC) 上のトラフィックのバランスを取るように最適化された Alibaba Cloud サービスです。 ALB は非常に柔軟性が高く、必要に応じて大量のレイヤー 7 トラフィックを処理できます。 ALB は複雑なルーティングをサポートしています。 ALB は他のクラウドネイティブサービスと深く統合されており、Alibaba Cloud のクラウドネイティブ Ingress ゲートウェイとして機能するように設計されています。データセンター内のサーバーを ALB インスタンスに追加できます。

• Network Load Balancer (NLB): NLB は、Internet of Everything (IoE) 時代向けのレイヤー 4 ロードバランシングサービスです。 NLB は超高性能を提供し、オンデマンドで自動的にスケーリングできます。 NLB インスタンスは最大 1 億の同時接続をサポートしており、高い同時実行性を必要とするサービスに最適です。データセンター内のサーバーを NLB インスタンスに追加できます。

• EIP (Elastic IP Address): EIP は、独立したリソースとして購入して保持できるパブリック IP アドレスです。このアーキテクチャでは、EIP は IPv4 ゲートウェイに関連付けられ、データセンター内のサーバーにマッピングされて、データセンターのインターネットアクセスを有効にします。

• 仮想プライベートクラウド (VPC): VPC は、Alibaba Cloud 上に作成できるカスタムプライベートネットワークです。 VPC は、レイヤー 2 で論理的に相互に分離されています。 VPC 内で Elastic Compute Service (ECS)、SLB、ApsaraDB RDS などのクラウドサービスインスタンスを作成および管理できます。

• Cloud Enterprise Network (CEN): CEN は、Alibaba Cloud のグローバルプライベートネットワーク上で動作する高可用性ネットワークです。 CEN は転送ルータを使用して VPC 間のクロスリージョン接続を確立し、VPC がデータセンターと通信し、クラウド内に柔軟で信頼性の高いエンタープライズクラスのネットワークを確立できるようにします。

• インターネット共有帯域幅: インターネット共有帯域幅は、リージョン内での帯域幅の共有と多重化をサポートしています。リージョンにインターネット共有帯域幅インスタンスを作成した後、そのリージョンにある EIP (Elastic IP Address) をインターネット共有帯域幅インスタンスに追加できます。 EIP はインターネット共有帯域幅インスタンスを共有できます。これにより、インターネット帯域幅のコストが削減されます。

• Express Connect: Express Connect は、データセンターを Alibaba Cloud に接続するネットワーキングサービスです。 Express Connect を使用して、データセンターとクラウドネットワーク間に高速で信頼性の高い安全なプライベート接続を確立できます。 Express Connect を介したデータ伝送は信頼性が高く制御可能であるため、Express Connect はネットワーク通信の品質とセキュリティを向上させるのに役立ちます。

• Express Connect 回線: Express Connect 回線は、データセンターを接続するケーブルまたは光ファイバーです。 Express Connect 回線は、通常、インターネットサービスプロバイダー (ISP) によって展開および保守されます。 Express Connect 回線は、展開モードに基づいて、専用 Express Connect 回線と共有 Express Connect 回線に分類されます。

• 仮想ボーダールータ (VBR): VBR は、ソフトウェア定義ネットワーク (SDN) アーキテクチャのレイヤー 3 オーバーレイと vSwitch 技術を使用して分離および仮想化された Express Connect 回線の抽象化です。 VBR は、顧客宅内機器 (CPE) と VPC の間に展開され、VPC とデータセンター間でデータを交換します。

• VBR-to-VPC 接続: VBR-to-VPC 接続は、VPC と VBR 間のポイントツーポイント接続です。

• Express Connect Router (ECR): ECRは、Express Connect 回線を介してネットワークが接続されているグローバルハイブリッドクラウドでネットワークトラフィックを転送するサービスコンポーネントです。 ECR は、動的ルーティングベースのネットワーキングやルート広告の一元管理などの機能を提供します。たとえば、VBR を ECR に関連付け、次に ECR を転送ルータまたは VPC に関連付けて、データセンターとクラウドリソース間の通信を確立できます。

• Network Intelligence Service (NIS): NIS は、ネットワーク計画からネットワーク運用保守まで、クラウドネットワークのライフサイクル全体を管理するための一連の AI for IT Operations (AIOps) ツールを提供します。たとえば、NIS を使用して、トラフィック分析、ネットワーク検査、ネットワークパフォーマンス監視、ネットワーク診断、パス解析、トポロジー作成を実行できます。 NIS は、ネットワークアーキテクチャの最適化、ネットワーク運用保守効率の向上、ネットワーク運用コストの削減に役立ちます。

• CloudMonitor: CloudMonitor は、リソースとインターネットアプリケーションを監視するサービスです。

• Classic Load Balancer (CLB): CLB は、転送ルールに基づいて、受信ネットワークトラフィックを複数のバックエンドサーバーに分散します。 CLB は、アプリケーションのパフォーマンスと可用性を向上させるのに役立ちます。

安定性

• SLB (ALB および NLB):

  アクティブ / スタンバイ構成をサポートする CLB と比較して、ALB と NLB はマルチゾーン構成をサポートしています。 1 つのゾーンで ALB または NLB に障害が発生した場合、トラフィックは別のゾーンに切り替えられ、サービスの高可用性が維持されます。 ALB と NLB は、複数レベルのディザスタリカバリをサポートしています。ネットワークトラフィックはバックエンドサーバーのグループに分散され、ディザスタリカバリが可能になります。 NLB は、セッション維持とクロスゾーン構成もサポートして、サービスの可用性を確保します。

• Express Connect 回線:

  Express Connect は、Express Connect 回線を介して、Alibaba Cloud の接続拠点 (PoP) とデータセンターに接続します。ビジネスの安定性を確保するために、異なる物理ルーティングまたは専用回線プロバイダーによって提供される 2 つの Express Connect 回線を使用して Alibaba Cloud PoP に接続することをお勧めします。

  Express Connect 回線を相互に接続するには、Express Connect 回線の 1 つに障害が発生した場合にフェールオーバーと迅速な収束を実装するために、BGP と双方向転送検出 (BFD) を有効にすることをお勧めします。 BDF が有効になると、それぞれ 200 ミリ秒かかる 3 つの BDF パケットによってネットワーク中断を検出できます。

• インターネットイングレス (EIP):

  EIP には BGP (マルチ ISP) を選択することをお勧めします。 BGP (マルチ ISP) を使用すると、EIP は複数の ISP 回線を使用してネットワークの安定性を確保し、最適なルートでデータを送信できます。これにより、アクセスが高速化され、信頼性が向上します。 BGP (マルチ ISP) の利点は、データ伝送に最適なルートが選択されることです。回線に障害が発生した場合、または回線が劣化している場合、BGP はリアルタイムのネットワークステータスに基づいてルーティングポリシーの調整を有効にし、データ伝送に別の最適なルートが選択されます。このメカニズムにより、単一障害点 (SPOF) の場合でも、サービスの継続性と安定性が確保されます。

• クラウド内接続 (ECR):

  ECR を使用して VBR と VPC を接続することをお勧めします。 ECR は、非常に安定したエンドツーエンドの動的ルーティングを使用します。 ECR は、最適な転送ルートにトラフィックをスケジュールして、Express Connect 回線のネットワーク遅延を効果的に削減します。

セキュリティとコンプライアンス

• SLB (ALB および NLB):

  • NLB は、TCP 上の SSL、一方向認証、相互認証、およびカスタム TLS ポリシーをサポートしています。

  • ALB は、HTTPS、一方向認証、相互認証、およびカスタム TLS ポリシーをサポートしています。

  • セキュリティグループ: NLB および ALB インスタンスをセキュリティグループに追加できます。セキュリティグループは、ブラックリストおよびホワイトリストとして機能します。

  • VPC アクセス制御リスト (ACL): ACL は、NLB および ALB インスタンスの仮想 IP アドレス (VIP) 宛てのトラフィックをフィルタリングします。

• DDoS 緩和 (Anti-DDoS Pro/Premium で保護された EIP):

  デフォルトでは、Anti-DDoS Origin Basic は最大 5 Gbit/s の DDoS 攻撃を軽減できます。軽減容量はリージョンによって異なります。 Alibaba Cloud は、Tbit/s レベルの DDoS 攻撃を軽減できる、Anti-DDoS Pro/Premium で保護された EIP を提供しています。 Anti-DDoS Pro/Premium で保護された EIP を使用する場合、追加の構成を実行したり、インスタンスがサービスを提供するために使用する IP アドレスを変更したりする必要はありません。

• Web Application Firewall (WAF):

  インターネットアクセスを移行した後、Web サイトまたはアプリケーションの悪意のあるトラフィックを識別してブロックするために保護を有効にすることをお勧めします。 WAF は悪意のある Web トラフィックを識別、スクラブ、およびフィルタリングし、信頼できるトラフィックをオリジンサーバーに転送します。これにより、オリジンサーバーが攻撃から保護され、データとサービスのセキュリティが確保されます。

  ALB を使用する場合は、WAF 3.0 を透過プロキシモードで ALB と統合することをお勧めします。このモードでは、DNS (Domain Name System) レコードを変更せずに Web サイト情報を入力するだけで済みます。

• インターネット境界保護 (インターネットファイアウォール):

  インターネットファイアウォールは、インターネット境界で一元的に、すべてのインターネット接続アセットのインバウンドトラフィックとアウトバウンドトラフィックを制御します。インターネットファイアウォールを使用して、インターネット接続アセットとインターネット間のインバウンドトラフィックとアウトバウンドトラフィックを詳細に管理できます。これにより、インターネット上のインターネット接続アセットの露出とビジネストラフィックのセキュリティリスクを軽減できます。

パフォーマンス

• SLB (ALB および NLB):

  マルチゾーンリージョンでは、ALB インスタンスのデフォルトの最大 QPS は 100,000 であり、ゾーンの数によって変化しません。静的 IP モードの ALB インスタンスの最大 QPS は 100,000 です。動的 IP モードの ALB インスタンスの最大 QPS は、自動的に 100 万にスケールアップします。

  各 NLB インスタンスは、最大 1 億の同時接続と 100 Gbit/s の帯域幅をサポートしています。ワークロードが変化したときに、NLB インスタンスの仕様を選択したり、NLB インスタンスを手動でアップグレードまたはダウングレードしたりする必要はありません。 NLB インスタンスは、オンデマンドで自動的にスケーリングできます。

  NLB と ALB を使用すると、リージョンをまたいでバックエンドサーバーを追加できます。クライアントに最も近いリージョンに ALB または NLB をデプロイして、インターネット距離を短縮し、ネットワーク品質を向上させることができます。

• インターネットイングレス (EIP およびインターネット共有帯域幅):

  CEN を構成してクロスリージョン通信を有効にすることで、異なるリージョンのインターネットイングレスを同じリージョンのデータセンターに接続できます。これにより、近隣のインターネットアクセスが可能になり、複数の ISP を使用することでインターネットパフォーマンスが向上します。グローバル規模で最大 89 本の高品質 BGP 回線が提供されます。これらの BGP 回線は、淘宝網 (タオバオ) や天猫 (Tモール) と同レベルの超高帯域幅を提供できます。中国本土のすべてのリージョンで、中国電信 (チャイナテレコム)、中国聯通 (チャイナユニコム)、中国移動 (チャイナモバイル)、中国鉄通 (チャイナティエトン)、中国網通 (チャイナネットコム)、中国教育科学研究ネットワーク (CERNET)、国家広播電視総局、鵬博士電信伝媒集団 (Dr. Peng Telecom & Media Group)、方正寛帯網絡 (Founder Broadband Network) の回線を介して直接接続を確立できます。インターネット共有帯域幅インスタンスの帯域幅は数百 Gbit/s に達することができ、リージョンによって異なります。

  CEN を構成してクロスリージョン通信を有効にすることができます。これにより、異なるリージョンのインターネットイングレスを同じリージョンのデータセンターに接続できます。これにより、近くのインターネットアクセスが可能になり、複数の ISP を使用してインターネットのパフォーマンスが向上します。グローバル規模で最大 89 の高品質 BGP 回線が提供されています。これらの BGP 回線は、Taobao や Tmall と同じレベルの超高帯域幅を提供できます。中国本土のすべてのリージョンで、China Telecom、China Unicom、China Mobile、China Mobile Tietong、China Netcom、中国教育科学研究ネットワーク (CERNET)、National Radio and Television Administration、Dr. Peng Telecom & Media Group、および Founder Broadband Network の ISP の回線を介して直接接続を確立できます。インターネット共有帯域幅インスタンスの帯域幅は数百 Gbit/s に達する可能性があり、これはリージョンによって異なります。

  EIP はいつでも申請およびリリースでき、データセンター内のサーバーまたはネットワークデバイスに関連付けることができます。 EIP は管理が簡単で、ビジネスの展開を容易にします。 インターネット共有帯域幅は、手動構成または API 呼び出しによる自動構成による動的な帯域幅調整をサポートしています。インターネット共有帯域幅はトラフィックの変化に迅速に対応できるため、最小限のコストでパフォーマンスを最大化できます。より高い帯域幅を必要とする予期しないトラフィックの急増が発生した場合、帯域幅を 5 倍に増やし、95 パーセンタイル帯域幅課金方法を使用できます。

• ECR:

  ECR は、最適な転送ルートにトラフィックをスケジュールして、Express Connect 回線のネットワーク遅延を効果的に削減します。

• Express Connect:

  Express Connect 回線はリアルタイムスケーリングをサポートしていません。ビジネスに必要な帯域幅容量を事前に見積もることをお勧めします。

可観測性

• SLB (ALB および NLB):

  • ALB および NLB 監視: 接続と帯域幅の監視とアラートをサポートしています。

  • ALB および NLB 操作ログ: コンソール操作か API 呼び出しかに関係なく、ALB および NLB で実行された操作を記録します。操作ログは、問題の追跡に役立ちます。

  • NLB の詳細監視: 小さなトラフィックの急増の監視をサポートしています。

  • ALB アクセスログ: Simple Log Service に ALB へのアクセスを記録します。アクセスログを分析して、ユーザーの行動、ユーザーの地域分布を把握し、トラブルシューティングを実行できます。

• インテリジェントな運用保守:

  NIS は、インターネットトラフィックとロードバランシングサービスのヘルスステータスとパフォーマンスを監視し、診断とトラブルシューティングを実行し、ネットワークトラフィックを分析および測定するクラウドサービスです。 NIS は、機械学習や知識グラフなどの AIOps メソッドと統合されており、ネットワーク管理を簡素化し、自動化された運用保守を実装します。 NIS を使用すると、ネットワークアーキテクトと運用保守エンジニアは、より高い効率でネットワークを設計および使用できます。

• トラフィック分析:

  CEN と VPC の Enterprise Edition 転送ルータは、ビジネストラフィックをログエントリとして記録するフローログをサポートしています。フローログを分析して、トラフィックの詳細を確認できます。

• CloudMonitor:

  CloudMonitor は、クラウドサービスの運用保守、アラート、および監視をサポートしています。

NLB を使用したレイヤー 4 アプリケーション配信

コアアーキテクチャ:

• NLB: レイヤー 4 インターネットトラフィックを処理するためのマルチゾーン構成をサポートしています。データセンター内のサーバーを NLB インスタンスに追加できます。

• ECR + Express Connect: 動的ルーティングをサポートしています。 Express Connect は複数のアクセスポイントに接続できます。データセンターは BGP と BFD を介して Alibaba Cloud と通信できます。

ALB を使用したレイヤー 7 アプリケーション配信

コアアーキテクチャ:

• ALB: レイヤー 7 インターネットトラフィックを処理するためのマルチゾーン構成をサポートしています。

• ECR + Express Connect: 動的ルーティングをサポートしています。 Express Connect は複数のアクセスポイントに接続できます。データセンターは BGP と BFD を介して Alibaba Cloud と通信できます。

NLB とセルフマネージドレイヤー 7 クラウドゲートウェイを使用したレイヤー 7 アプリケーション配信

コアアーキテクチャ:

• NLB: レイヤー 4 インターネットトラフィックを処理するためのマルチゾーン構成をサポートしています。 VPC 内の NLB インスタンスにセルフマネージドレイヤー 7 ゲートウェイを追加したり、転送ルータを使用してリージョンをまたいでセルフマネージドレイヤー 7 ゲートウェイを追加したりできます。

• セルフマネージドゲートウェイ: アプリケーションのレイヤー 7 インターネットトラフィックを処理します。

• ECR + Express Connect: 動的ルーティングをサポートしています。 Express Connect は複数のアクセスポイントに接続できます。データセンターは BGP と BFD を介して Alibaba Cloud と通信できます。

NLB とデータセンター内のセルフマネージドレイヤー 7 ゲートウェイを使用したレイヤー 7 アプリケーション配信

コアアーキテクチャ:

• NLB: レイヤー 4 インターネットトラフィックを処理するためのマルチゾーン構成をサポートしています。データセンター内のセルフマネージドレイヤー 7 ゲートウェイを NLB インスタンスに追加できます。

• セルフマネージドゲートウェイ: アプリケーションのレイヤー 7 インターネットトラフィックを処理します。

• ECR + Express Connect: 動的ルーティングをサポートしています。 Express Connect は複数のアクセスポイントに接続できます。データセンターは BGP と BFD を介して Alibaba Cloud と通信できます。