Cloud Network Well-architected Design Guidelines:CEN を使用したリージョン間クラウドネットワークの構築

概要

このトピックでは、トランジットルーターを使用して、Virtual Private Cloud (VPC)、仮想ボーダールータ (VBR)、クラウドサービスなど、異なるリージョンにあるクラウドネットワーク間のネットワーク通信を確立する方法について説明します。リージョン間のネットワーク通信は、リージョンをまたいだデータ同期と連携、アクティブ地理的冗長性、ジオディザスタリカバリの実装に役立ちます。

このトピックは、最高技術責任者 (CTO)、アーキテクト、開発者、運用エンジニアなどの技術エンジニアを対象としています。このトピックでは、トランジットルーターを使用してリージョン間ネットワークを構築するためのソリューションについて説明します。このトピックを参考に、ビジネスに適したリージョン間ネットワークを設計できます。

用語

VPC：VPC (Virtual Private Cloud) は、Alibaba Cloud 上に作成できるカスタムプライベートネットワークです。VPC はレイヤー 2 で論理的に分離されています。VPC 内で Elastic Compute Service (ECS)、Server Load Balancer (SLB)、ApsaraDB RDS などのクラウドサービスインスタンスを作成および管理できます。

Express Connect：Express Connect は、データセンターを Alibaba Cloud に接続するためのネットワークサービスです。Express Connect を使用して、データセンターとクラウドネットワーク間に高速で信頼性が高く、安全なプライベート接続を確立できます。Express Connect 経由のデータ伝送は信頼性と制御性が高いため、ネットワーク通信の品質とセキュリティを向上させるのに役立ちます。

VBR：VBR (仮想ボーダールータ) は、ソフトウェア定義ネットワーク (SDN) アーキテクチャのレイヤー 3 オーバーレイおよび vSwitch 技術を使用して分離・仮想化された Express Connect 回線の抽象化です。VBR は、顧客構内設備 (CPE) と VPC の間にデプロイされ、VPC とデータセンター間のデータを交換します。

Cloud Enterprise Network (CEN)：CEN は、Alibaba Cloud のグローバルプライベートネットワーク上で実行される高可用性ネットワークです。CEN はトランジットルーターを使用して VPC 間にリージョン間接続を確立し、VPC がデータセンターと通信し、クラウド内に柔軟で信頼性の高いエンタープライズクラスのネットワークを構築できるようにします。

Cloud Data Transfer (CDT)：CDT は、さまざまな Alibaba Cloud サービスのデータ転送を一元的に課金するために使用されます。CDT を使用すると、データ転送リソースを柔軟に利用し、便利に管理できます。これにより、IT コストを効果的に削減できます。

• CDT を使用して、段階的価格設定に基づいて、各リージョンで毎月インターネットへのアクセスを提供する Alibaba Cloud サービスのインターネットデータ転送を課金できます。インターネットデータ転送量が増えるにつれて、単価は下がります。

• CDT を使用して、トラフィック課金方式に基づいて、リージョン間アクセスを提供する Alibaba Cloud サービスのリージョン間データ転送を課金できます。CDT はより柔軟な課金をサポートしており、実際のデータ転送量に対して課金されます。

トランジットルーター間の接続

• 直接接続されたトランジットルーターは、互いにルートを自動的に学習できます。トランジットルーター間でルートを設定することもできます。

• 中間トランジットルーターを介して接続されているトランジットルーターには、手動でのルート設定が必要です。

中間トランジットルーターを使用せずにトランジットルーターを接続することを推奨します。中間トランジットルーターを使用してアクセス制御や帯域幅多重化を実装する場合は、トランジットルーターを中間トランジットルーターに接続してネットワーク通信を確立できます。

リージョン間帯域幅

中間トランジットルーターを使用せずにトランジットルーターを接続する場合、トランジットルーターに帯域幅を割り当てる必要もあります。サポートされている帯域幅割り当て方法は次のとおりです：

• 帯域幅課金：特定のエリアに対して CEN の帯域幅プランを購入し、帯域幅課金方式を選択します。その後、接続したいリージョンに帯域幅を割り当てます。指定された帯域幅は、リージョン間の接続の最大帯域幅です。

• トラフィック課金：CEN の帯域幅プランを購入する必要はありません。2 つのトランジットルーターを接続する際にトラフィック課金方式を選択し、トランジットルーター間の接続の最大帯域幅値を指定できます。

推奨事項：ビジネスのトラフィック変動が大きい場合は、トラフィック課金方式の使用を推奨します。ビジネスのトラフィックパターンが安定している場合は、帯域幅課金方式を選択することを推奨します。

• オンラインサービスやオフラインサービスなど、複数のサービスがリージョン間接続を使用する必要がある場合は、リージョン間接続に Quality of Service (QoS) ポリシーを設定して、帯域幅の競合を防ぐことができます。

(オプション) セキュリティ

• トランジットルーターのルーティングポリシー、VPC のネットワークアクセスコントロールリスト (ACL)、セキュリティグループ、およびファイアウォールは、リージョン間通信に適用されます。ビジネス要件に基づいてこれらのセキュリティ対策を設定できます。

安定性

トランジットルーター間のリージョン間通信の基盤となるネットワークは、Alibaba Cloud グローバル伝送ネットワークです。アンダーレイ層は専用回線を使用して複数のパスとインテリジェントなスケジューリングをサポートし、ディザスタリカバリを実装します。オーバーレイ層は ZooRoute を使用して、基盤となるパスの可用性を自動的に検出し、障害のあるパスをパケット伝送から分離し、数秒以内にディザスタリカバリを実行して接続の高可用性を確保します。中間トランジットルーターを使用せずにトランジットルーターを接続し、トランジットルーター間で自動ルート学習を有効にして、ネットワークトポロジーの変更に基づいてルートを動的に更新することを推奨します。

• トランジットルーターのデュアルゾーンデプロイメントに基づく高信頼性：トランジットルーターはアクティブ/スタンバイモードでデプロイできます。ネットワークトラフィックはアクティブとスタンバイのトランジットルーター間で自動的に切り替えられ、サービスの可用性を確保します。CEN によって確立されたネットワーク内の任意の 2 つのノード間には、複数の高品質な接続が存在します。レイヤー 2 接続が中断された場合、ネットワークは自動的に収束し、ワークロードが中断されるのを防ぎます。

• 同一リージョン内の VPC へのデュアルゾーン接続に基づく高信頼性：VPC をトランジットルーターに接続する場合、リージョン内の少なくとも 2 つのゾーンを選択して、トランジットルーターをゾーン内の vSwitch の Elastic Network Interface (ENI) に接続します。これにより、リージョン内の VPC の高信頼性が確保されます。トランジットルーターに接続された VPC ENI は、VPC のインバウンドおよびアウトバウンドトラフィックを転送するために使用されます。vSwitch を他のビジネス vSwitch から分離し、プライベート IP アドレスの浪費を防ぐために、VPC のゾーンに /29 マスクを使用する 2 つのサブネットアドレスを作成することを推奨します。

• リージョン間接続の複数回線による冗長化に基づく高信頼性：トランジットルーターで確立されたリージョン間接続は、Alibaba Cloud 伝送ネットワークのインフラストラクチャに依存しています。この設計により、リージョン間接続の物理回線の高可用性が確保され、業務継続性を維持し、サービスレベルアグリーメント (SLA) でのサービス稼働時間を 99.95% に向上させます。まもなくプラチナ回線が利用可能になり、最大 99.995% の SLA をサポートします。

• Express Connect 回線と IPsec-VPN 接続のハイブリッドデプロイメントに基づく高信頼性：詳細については、「Express Connect 回線を使用したハイブリッドクラウドまたはマルチクラウドネットワークの構築」トピックの「Express Connect 回線による信頼性の高い接続」セクションをご参照ください。

ハイパフォーマンスとスケーラビリティ

• トランジットルータークラスターのハイパフォーマンスとスケーラビリティ：各トランジットルーターは最大 400 Gbit/s の帯域幅をサポートします。各 VPC 接続は、中国 (杭州)、中国 (上海)、中国 (北京)、中国 (深セン)、中国 (香港)、およびシンガポールリージョンで最大 50 Gbit/s、その他のリージョンで 10 Gbit/s の帯域幅をサポートします。帯域幅は需要に基づいて自動的にスケールするため、手動で仕様を設定する必要はありません。より高いパフォーマンスが必要な場合は、アカウントマネージャーにお問い合わせください。

• リージョン間トラフィックスケジューリング：トラフィックスケジューリング機能を使用すると、Differentiated Services Code Point (DSCP) 値に基づいてリージョン間接続の帯域幅を制限できます。この機能により、各タイプのサービスに適切な量の帯域幅リソースを割り当てることができるため、ネットワークパフォーマンスが向上します。

• リージョン間帯域幅の柔軟な課金：リージョン間帯域幅は、月単位または日単位で課金できます。Cloud Data Transfer (CDT) が有効化されている場合、トランジットルーターのリージョン間帯域幅はトラフィック課金方式に基づいて課金できます。デフォルトでは、リージョン間接続の最大帯域幅は 1 Gbit/s です。Quota Center コンソールで帯域幅を増やすことができます。最大帯域幅を調整して、リージョン間帯域幅を動的にスケールインまたはスケールアウトさせることができます。これにより、企業の帯域幅コストが削減されます。

• リージョン間レイテンシー：Network Intelligence Service (NIS) コンソールの [パフォーマンス] > [クラウドネットワークパフォーマンス] ページで、2 つのリージョン間のレイテンシーを照会できます。これにより、リージョン間デプロイメントに関する情報に基づいた意思決定を行うことができます。

セキュリティ

• ネットワーク間の通信を確立した後、アクセス制御を有効にする必要がある場合は、トランジットルーターのルーティングポリシー、VPC の ACL、セキュリティグループ、および Cloud Firewall を設定できます。このようなアクセス制御手段は、リージョン内通信とリージョン間通信の両方に適用できます。

可観測性

• リージョン間トラフィックの観測と分析：NIS コンソールの [トラフィック分析] > [リージョン間トラフィック] ページでリージョン間トラフィックの量を照会して、ビジネスのトラフィック状況を判断できます。IP アドレス別にトラフィック量を照会して、トラフィックの異常を特定できます。NIS のトラフィック分析機能は、VPC 間のリージョンをまたいだインバウンドおよびアウトバウンドトラフィック、およびトランジットルーターを介して接続された VPC とデータセンター間のトラフィックを、IP アドレス、ポート、プロトコルなどの複数のディメンションで表示します。上位 N 個のトラフィックソースをソートすることもできます。

• リージョン間トラフィックのモニタリングと分析：CEN のヘルスチェック機能と基本モニタリング機能を使用して、リージョン間トラフィックをモニターし、CloudMonitor ダッシュボードで CEN のリージョン間帯域幅と Express Connect 回線のモニタリングデータ (アウトバウンド帯域幅、インバウンド帯域幅、レイテンシー、パケット損失率など) を表示できます。

セルフサービス機能

• 異常をタイムリーに検出するために、NIS メトリックと CloudMonitor メトリックに関するアラートを有効にすることを推奨します。

• 運用 & メンテナンス (O&M) エンジニアは、Alibaba Cloud のバックエンド設定を必要とせずに、Infrastructure as Code (IaC) ツールを使用してアラートルールを有効化、デプロイ、設定できます。これにより、事業開発を計画し、事業損失を削減できます。

詳細については、「NIS トラフィック分析」をご参照ください。

シナリオ 1：トランジットルーターを使用した VPC 間および VPC とデータセンター間のリージョン間通信の確立

シナリオ：VPC、VBR、VPN ゲートウェイがトランジットルーターに接続された後、企業はリージョン間接続を作成し、リージョン間帯域幅を割り当てて、クラウドネットワーク間およびクラウドネットワークとデータセンター間のネットワーク通信を確立する必要があります。

データセンターと Alibaba Cloud 間の通信：企業は Express Connect 回線と IPsec-VPN 接続を使用して、データセンターを中国 (杭州) リージョンの Alibaba Cloud に接続します。データセンターと Express Connect アクセスポイント間の接続冗長性を確保するために、2 つの Express Connect 回線、または 1 つの Express Connect 回線と 1 つの IPsec-VPN 接続を優先的に使用してデータセンターを Alibaba Cloud に接続することを推奨します。アクティブ/スタンバイ接続を設定して、ハイブリッドクラウド通信の信頼性を向上させることができます。

クラウドネットワーク間のリージョン間通信：中国 (上海) リージョンと中国 (杭州) リージョンのトランジットルーター間にリージョン間接続を作成できます。同時に、CDT を有効にして、トラフィック課金方式に基づいてリージョン間帯域幅を課金できます。これにより、中国 (上海) リージョンと中国 (杭州) リージョンの VPC、および杭州のデータセンターが相互に通信できるようになります。

3 つ以上のリージョン間でネットワーク通信を確立する必要がある場合は、各リージョンにトランジットルーターを作成してリージョン間接続を確立できます。

シナリオ 2：トランジットルーターを使用した複数リージョンにまたがるフルメッシュネットワークトポロジーの構築

シナリオ：顧客は中国 (上海)、中国 (深セン)、中国 (杭州)、および中国 (北京) リージョンの VPC にサービスをデプロイしました。顧客は、リージョン間のネットワーク通信を確立して、フルメッシュネットワークトポロジーを構築したいと考えています。

クラウドネットワーク間の複数リージョン通信：各リージョンのトランジットルーターを使用して、中国 (上海)、中国 (深セン)、中国 (杭州)、および中国 (北京) リージョン間にリージョン間接続を作成します。リージョン間帯域幅のコストを削減するために、CDT のトラフィック課金方式を有効にすることを推奨します。

シナリオ 3：トランジットルーターを使用した複数リージョンにまたがるハブアンドスポークネットワークトポロジーの構築

シナリオ：顧客は中国 (上海)、中国 (深セン)、中国 (杭州)、および中国 (北京) リージョンの VPC にサービスをデプロイしました。ビジネスセンターは中国 (上海) にあります。フロントエンドサービスは中国 (深セン)、中国 (杭州)、および中国 (北京) リージョンにデプロイされており、中国 (上海) のビジネスセンターとリアルタイムで対話する必要があります。中国 (深セン)、中国 (杭州)、および中国 (北京) リージョンのサービスは、相互に通信する必要はありません。

クラウドネットワーク間の複数リージョン通信：中国 (上海) リージョンのトランジットルーターと、中国 (深セン)、中国 (北京)、および中国 (杭州) の各リージョンとの間にリージョン間接続を作成します。リージョン間帯域幅のコストを削減するために、CDT のトラフィック課金方式を有効にすることを推奨します。

シナリオ 4：トラフィックスケジューリングを使用したリージョン間接続の帯域幅制限

シナリオ：リージョン間接続で共有される帯域幅プランの最大帯域幅は固定値です。その結果、異なるサービスが帯域幅リソースを奪い合い、一部のサービスが帯域幅リソースを浪費する可能性があります。これにより、ネットワークパフォーマンスが低下します。次の例で説明するように、さまざまなサービストラフィックにはネットワークに対するさまざまな要件があります：

• ビデオ会議や音声通信には、低レイテンシーで安定したネットワークが必要です。パケット損失やネットワークジッターは、通信品質を低下させます。

• SaaS には即時の応答が必要です。ネットワークの輻輳は、ユーザーエクスペリエンスを低下させます。

• ファイル転送には高いネットワークスループットが必要ですが、ネットワークレイテンシーやネットワークジッターなどのネットワークパフォーマンスの問題には影響されにくいです。高いネットワークスループットを維持したい場合は、十分な帯域幅リソースが必要です。

トラフィックスケジューリング機能を使用すると、リージョン間ネットワークトラフィックに DSCP 値でマークを付け、DSCP 値に基づいてリージョン間接続の帯域幅を制限できます。この機能により、各タイプのサービスに適切な量の帯域幅リソースを割り当てることができるため、ネットワークパフォーマンスが向上します。

トラフィックスケジューリング設定：トラフィックマーキングポリシーは、トラフィック分類ルールに基づいてネットワークトラフィックをキャプチャし、指定した DSCP 値でトラフィックにマークを付けます。

QoS ポリシー：QoS ポリシーは、トラフィックマーキングポリシーに指定した DSCP 値に基づいて、ネットワークトラフィックを異なるキューにスケジューリングします。各キューに最大帯域幅値を指定して、サービスが帯域幅リソースを奪い合うのを防ぐことができます。

各 QoS ポリシーには 1 つのデフォルトキューが含まれています。デフォルトキューは、トラフィック分類ルールに一致しないネットワークトラフィック、およびトラフィック分類ルールに一致するがキューにスケジューリングされていないネットワークトラフィックを処理するために使用されます。デフォルトキューは、リージョン間接続によって消費されない残りの帯域幅リソースを使用します。各 QoS ポリシーでは、すべてのキューの帯域幅値の合計が、リージョン間接続の帯域幅値を超えることはできません。

リージョン間のデータ同期と連携

リージョンをまたがる VPC 内のサービスは、データ同期、リモート O&M、AI トレーニングなどのシナリオで相互に通信する必要があります。

ジオディザスタリカバリ

単一都市での単一障害点 (SPOF) を防ぎ、業務継続性を維持するために、企業は 2 つ以上の都市に業務システムをデプロイして、ジオディザスタリカバリのアーキテクチャを構築できます。さらに、企業は従量課金で利用できる Alibaba Cloud のリソースを使用して、最小限のコストでディザスタリカバリを実装できます。

アクティブ地理的冗長性

単一都市での SPOF を防ぎ、業務継続性を維持するために、企業は 2 つ以上の都市に業務システムをデプロイして、アクティブジオディザスタリカバリのアーキテクチャを構築できます。同時に、このアーキテクチャは、ユーザーエクスペリエンスを向上させる近接アクセスをサポートします。

CEN を使用したリージョン間通信と QoS ポリシーによる詳細なトラフィック管理

コーディングプロセス：

1. 中国 (杭州) リージョンに VPC を作成し、中国 (北京) リージョンにもう 1 つの VPC を作成します。

2. 中国 (杭州) リージョンにトランジットルーターを作成し、中国 (北京) リージョンにもう 1 つのトランジットルーターを作成します。

3. 中国 (杭州) リージョンと中国 (北京) リージョンのトランジットルーター間にリージョン間接続を作成します。これにより、VPC 間のネットワーク通信が確立されます。

4. トラフィックマーキングポリシーと QoS ポリシーを作成します。トラフィックスケジューリング機能を使用すると、VPC 間のリージョン間ネットワークトラフィックに DSCP 値でマークを付け、DSCP 値に基づいてリージョン間接続の帯域幅を制限できます。この機能により、各タイプのサービスに適切な量の帯域幅リソースを割り当てることができるため、ネットワークパフォーマンスが向上します。

必要なリソース：

• 2 つの VPC、および各 VPC に 3 つの vSwitch

• 2 つのトランジットルーター

• 1 つのトラフィックマーキングポリシー

• 1 つの QoS ポリシー

トランジットルーターを使用したデータセンターと異なるリージョンの VPC 間のネットワーク構築

コーディングプロセス：

1. 中国 (杭州) リージョンに VPC を作成し、中国 (北京) リージョンにもう 1 つの VPC を作成します。

2. 中国 (杭州) リージョンにトランジットルーターを作成し、中国 (北京) リージョンにもう 1 つのトランジットルーターを作成します。

3. 2 つの VBR を作成します。VBR の 1 つを杭州のデータセンターに接続し、もう 1 つの VBR を中国 (杭州) リージョンのトランジットルーターに接続します。

4. 中国 (杭州) リージョンと中国 (北京) リージョンのトランジットルーター間にリージョン間接続を作成します。これにより、リージョンをまたいだネットワーク通信が確立されます。

必要なリソース：

• 2 つの VPC、および各 VPC に 2 つの vSwitch

• 2 つの VBR

• 2 つのトランジットルーター