概要
概要
このトピックでは、Express Connect 回線と Alibaba Cloud ネットワーキングサービスを使用して、クラウドネットワークとオンプレミスネットワーク間、および複数のクラウド間で通信を確立する方法について説明します。このソリューションは、高いセキュリティ、安定性、およびスケーラビリティをサポートするハイブリッドクラウドまたはマルチクラウドネットワークの構築に役立ちます。
このトピックは、最高技術責任者 (CTO)、アーキテクト、開発者、および運用エンジニアを含む、技術エンジニアを対象としています。このトピックでは、ハイブリッドクラウドまたはマルチクラウドネットワークを構築するためのソリューションを紹介します。ビジネス要件に基づいてネットワーク設計を調整できます。
キーワード
Express Connect 回線: Express Connect 回線は、データセンターを接続するケーブルまたは光ファイバーです。 Express Connect 回線は、通常、インターネットサービスプロバイダー (ISP) によって展開および保守されます。 Express Connect 回線は、展開モードに基づいて、専用 Express Connect 回線と共有 Express Connect 回線に分類されます。
専用 Express Connect 回線: 企業は、専用 Express Connect 回線を使用して、オンプレミスのデータセンターを Alibaba Cloud アクセスポイントに接続できます。 このソリューションでは、Express Connect 回線を排他的に使用できます。Express Connect コンソールで Express Connect 回線を申請できます。 このソリューションは、高帯域幅、高セキュリティ、高信頼性を必要とする中規模および大規模の企業に最適です。
共有 Express Connect 回線: Express Connect パートナーのアクセスポイントは、すでに Alibaba Cloud のアクセスポイントに接続されています。データセンターとアクセスポイントのデータセンター間の Express Connect 回線を展開できる Express Connect パートナーに連絡するだけで済みます。このソリューションでは、複数テナントがパートナーと Alibaba Cloud 間の Express Connect 回線を共有します。このソリューションは、高帯域幅を必要としない中規模および小規模の企業に最適です。
Express Connect: Express Connect は、データセンターと Alibaba Cloud を接続するネットワークサービスです。Express Connect を使用すると、データセンターとクラウドネットワーク間の高速、信頼性が高く、安全なプライベート接続を確立できます。 Express Connect 回線経由のデータ伝送は信頼性が高く制御可能であるため、Express Connect はネットワーク通信の品質とセキュリティを向上させます。
仮想ボーダールーター (VBR): VBR は、ソフトウェア定義ネットワーク (SDN) アーキテクチャのレイヤー 3 オーバーレイおよび vSwitch 技術を使用して分離および仮想化された Express Connect 回線の抽象化です。 VBR は、顧客宅内機器 (CPE) と VPC の間にデプロイされ、VPC からデータセンターにデータを転送します。
Express Connect Router (ECR): ECR は、Express Connect 回線を介してネットワークが接続されているグローバルハイブリッドクラウドでネットワークトラフィックを転送する重要なサービスコンポーネントです。ECR は、動的ルーティングベースのネットワーキングやルート広告の一元管理などの機能を提供します。たとえば、VBR を ECR に関連付け、次に ECR を転送ルータに関連付けることで、データセンターがクラウドリソースと通信できるようにすることができます。
Cloud Enterprise Network (CEN): CEN は、Alibaba Cloud グローバルプライベートネットワーク上に構築された高可用性ネットワークです。CEN は、転送ルータを使用して、VPC 間または VPC とデータセンター間のリージョン間接続を確立します。CEN は、クラウドで柔軟で安定したエンタープライズクラスのネットワークを作成するのに役立ちます。
VPC: VPC は、顧客が Alibaba Cloud 上に作成するプライベートクラウドです。 VPC は論理的に互いに分離されています。独自の VPC で、Elastic Compute Service (ECS)、Server Load Balancer (SLB)、ApsaraDB RDS などのクラウドサービスを作成および管理できます。
ソリューションのハイライト
Alibaba Cloud は、Express Connect 回線、ECR、VBR、および CEN を提供し、ハイブリッドクラウドネットワーク間またはマルチクラウドネットワーク間で、高帯域幅、低レイテンシ、高セキュリティ、高安定性のプライベート通信を確立できるようにします。
Express Connect 回線は、最大 1 Gbit/s、10 Gbit/s、40 Gbit/s、および 100 Gbit/s の帯域幅をサポートしています。Express Connect パートナーと Alibaba Cloud アクセスポイント間のプリインストール済み Express Connect 回線は、50 Mbit/s から 100 Gbit/s までの複数の帯域幅仕様をサポートしています。Express Connect には、世界中に展開された 100 を超えるアクセスポイントがあります。高信頼性は、適切に設計されたアーキテクチャ上にマルチクラウドまたはハイブリッドクラウドネットワークを構築するための鍵となります。データセンターを Alibaba Cloud に接続する場合は、異なるアクセスポイントを選択して、データセンターのディザスタリカバリを実装することをお勧めします。また、フェールオーバーによってビジネスが中断された場合に備えて、ビジネスに十分な帯域幅を提供できる Express Connect 回線を選択することをお勧めします。
次の図は、Alibaba Cloud が推奨する最適なマルチクラウドまたはハイブリッドクラウドネットワークアーキテクチャを示しています。
アーキテクチャの設計上のハイライト:
安定性: Express Connect 回線は、企業の内部トラフィックのみを転送します。安定性は、ハイブリッドクラウドまたはマルチクラウドネットワーク接続にとってビジネス上不可欠です。接続に失敗すると、クラウドリソース間の通信、およびクラウドリソースとオンプレミスリソース間の通信も失敗します。この場合、ビジネスクリティカルなサービスが利用できなくなる可能性があるため、ビジネスに悪影響が及ぶ可能性があります。したがって、安定性は、信頼性の高いマルチクラウドまたはハイブリッドクラウドネットワークアーキテクチャを設計するための鍵となります。
スケーラビリティ: 企業が必要とする帯域幅は、ビジネス規模またはクラウド導入段階によって異なります。Alibaba Cloud は、ネットワークアーキテクチャを設計する際に、企業のスケーリング要件を考慮して、企業がクラウドにスムーズに移行し、リソースの利用率を高めることができるようにします。この設計は、オンデマンドのリソーススケーリングをサポートしており、費用対効果が向上します。
セキュリティ: マルチクラウドまたはハイブリッドクラウドネットワークでは、異なるネットワークドメイン間のネットワーク通信が必要です。また、企業内の異なるビジネスには、異なるセキュリティ要件があります。たとえば、ビジネスクリティカルなサービスへのアクセスは、データセキュリティを確保するために最小権限の原則 (PoLP) に基づいて付与されます。データの漏洩や悪用を防ぐために、企業は内部データのセキュリティ要件を定めています。
主要な設計
安定性
Express Connect 回線の安定した帯域幅
Express Connect 回線は、50 Mbit/s から 100 Gbit/s までの帯域幅をサポートしています。より高い帯域幅が必要な場合は、リンクアグリゲーションを有効にして帯域幅容量を増やすことができます。フェールオーバー後もサービスの継続性を確保するために、十分な帯域幅を提供できる Express Connect 回線を選択することをお勧めします。また、CloudMonitor でアラートルールを構成して、Express Connect クォータを管理することもできます。 たとえば、CloudMonitor を使用して、帯域幅の枯渇によるパケット損失を防ぐことができます。詳細については、「アラートルールを構成する」をご参照ください。
Express Connect 回線経由の信頼性の高い接続
シナリオによっては、ネットワークメンテナンスなどの理由で、マルチクラウドまたはハイブリッドクラウドネットワークの一部の接続を一時的に閉じる必要がある場合があります。接続を閉じる前に、ビジネス要件に基づいて高信頼性モードを選択することをお勧めします。詳細については、「高信頼性モード」をご参照ください。
安定性を確保するために、マルチクラウドまたはハイブリッドクラウドネットワークを構築する場合は、2 つの Express Connect 回線を申請し、2 つのアクセスポイントに接続することをお勧めします。また、VBR とデータセンター間またはクラウド間では、静的ルーティングではなく BGP 動的ルーティングを有効にすることをお勧めします。動的ルーティングは、回線障害が発生した場合の自動スイッチオーバーをサポートします。複数の接続が確立されている場合、Alibaba Cloud は複数の冗長ソリューションを提供して、サービスの高可用性を確保します。
BGP 動的ルーティングと双方向転送検出 (BFD) を使用して、アクティブ/スタンバイ接続を確立します。詳細については、「ECR を使用してデータセンターと Alibaba Cloud 間のアクティブ/スタンバイ接続を確立する」をご参照ください。
BGP 動的ルーティングと BFD を使用して、アクティブ/アクティブ接続を確立します。詳細については、「ECR を使用してデータセンターと Alibaba Cloud 間のアクティブ/アクティブ接続を確立する」をご参照ください。
Express Connect 回線に基づく高可用性ソリューション以外に、Alibaba Cloud では、Express Connect 回線と IPsec-VPN 接続を組み合わせることができます。詳細については、「IPsec-VPN (転送ルータ関連付け) と Express Connect 回線を使用してアクティブ/スタンバイ接続を構成する」をご参照ください。予算が限られている場合は、Express Connect 回線のスタンバイ接続として IPsec-VPN 接続を使用することをお勧めします。IPsec トンネルの容量が限られているため、ビジネスクリティカルなサービスには IPsec-VPN 接続を構成することをお勧めします。また、IPsec トンネルの BGP 動的ルーティングを有効にして、IPsec トンネルの可用性を監視し、ルートを自動的に収束させることをお勧めします。
障害訓練
Express Connect は、障害をシミュレートするために障害訓練を実行します。たとえば、Express Connect は、Express Connect 回線経由の障害のある接続をシミュレートして、ネットワークトラフィックが自動的に別の接続に切り替わるかどうかをテストします。障害訓練を実行して、データセンターと Alibaba Cloud 間のハイブリッドクラウドネットワークの信頼性をテストできます。詳細については、「障害訓練機能を使用する」をご参照ください。
パフォーマンスと安定性
Express Connect 回線の仕様
専用 Express Connect 回線: 1 Gbit/s 以下、10 Gbit/s、40 Gbit/s、および 100 Gbit/s。
共有 Express Connect 回線: 50 Mbit/s、100 Mbit/s、200 Mbit/s、300 Mbit/s、400 Mbit/s、500 Mbit/s、1 Gbit/s、2 Gbit/s、5 Gbit/s、8 Gbit/s、10 Gbit/s、20 Gbit/s、40 Gbit/s、50 Gbit/s、60 Gbit/s、80 Gbit/s、および 100 Gbit/s。
説明Express Connect コンソールで申請できる最大の帯域幅は 10 Gbit/s です。より高い帯域幅が必要な場合は、チケットを送信してください。
Express Connect コンソール で申請できる共有 Express Connect 回線の最大帯域幅は 1 Gbit/s です。より高い帯域幅が必要な場合は、チケットを送信してください。
Express Connect 回線のスケールアップ
専用 Express Connect 回線のスケールアップ: ビジネスに必要な帯域幅が Express Connect 回線の仕様よりも高い場合は、等価コストマルチパス (ECMP) を使用して異なる Express Connect 回線を収束させることができます。ECMP は、複数の Express Connect 回線を同じアクセスポイントデバイスに接続し、Express Connect 回線を同じ VBR に関連付けて帯域幅容量を増やします。詳細については、「オンプレミスデータセンターと Alibaba Cloud 間の ECMP を構成する」をご参照ください。
共有 Express Connect 回線のスケールアップ: ビジネス要件に基づいて、共有 Express Connect 回線の仕様を変更できます。詳細については、「帯域幅制限の変更」トピックの「ホストされた接続の帯域幅制限を変更する」セクションをご参照ください。
ECR と転送ルータ間の帯域幅制限
中国 (杭州)、中国 (上海)、中国 (北京)、中国 (深圳)、およびシンガポールの ECR と転送ルータ間の最大帯域幅は 50 Mbit/s です。他のリージョンでの最大帯域幅は 10 Gbit/s です。より高い帯域幅が必要な場合は、アカウントマネージャーにお問い合わせください。
レイテンシ
単一のリージョンは、異なる場所に複数のアクセスポイントを提供します。同じリージョン内のアクセスポイントとゾーン間のネットワークレイテンシは 5 ミリ秒未満です。ビジネスでより低いネットワークレイテンシが必要な場合は、チケットを送信して、ECS インスタンスに最も近いアクセスポイントについてご相談ください。
フェールオーバーパフォーマンス
Express Connect は、BGP 動的ルーティング、BFD、フェールオーバグループなどの複数の方法を使用してフェールオーバーを実行します。
BGP 動的ルーティングは、自動収束を使用して数秒以内に接続フェールオーバーを実行します。
BFD と組み合わせた BGP 動的ルーティングは、ミリ秒以内に接続障害を検出し、数秒以内に接続フェールオーバーを実行できます。
BFD とフェールオーバグループと組み合わせた BGP 動的ルーティングは、ミリ秒以内に接続フェールオーバーを実行できます。
ルートコンバージェンスとフェールオーバーを高速化するために、BGP 動的ルーティングの BFD とフェールオーバグループを有効にすることをお勧めします。
セキュリティ
多層保護
ネットワークセキュリティは、マルチクラウドまたはハイブリッドクラウドネットワークにとって非常に重要です。セキュリティグループ、アクセス制御リスト (ACL)、および転送ルータの複数のルートテーブルを使用して、ネットワークの複数のタイプの保護を有効にすることができます。
セキュリティグループ: セキュリティグループは、ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御する仮想ファイアウォールです。セキュリティグループのインバウンドルールを構成して、セキュリティグループ内の ECS インスタンスへのトラフィックを制御し、アウトバウンドルールを構成してインスタンスからのトラフィックを制御できます。 詳細については、「さまざまなユースケースのセキュリティグループ」をご参照ください。
ネットワーク ACL: ネットワーク ACL を使用すると、VPC のアクセス制御を規制できます。ネットワーク ACL ルールを作成し、ネットワーク ACL を vSwitch に関連付けることで、vSwitch 内の ECS インスタンスのインバウンドトラフィックとアウトバウンドトラフィックを制御できます。 一部のデータセンターから VPC へのアクセスを制限できます。詳細については、「データセンターと VPC 間の通信を管理する」をご参照ください。
転送ルータの複数のルートテーブル: 転送ルータに複数のルートテーブルを構成して、データセンターと VPC を接続および分離し、データセンターと VPC 間のトラフィックルーティングを制御できます。これにより、クラウドリソースとオンプレミスリソース間の通信のセキュリティが強化されます。 詳細については、「Enterprise Edition 転送ルータを使用して安全なネットワーク通信を有効にする」をご参照ください。
転送ルータの複数のルートテーブル + Cloud Firewall: 転送ルータに複数のルートテーブルを構成して、信頼できるネットワークトラフィックを信頼できないネットワークトラフィックから分離し、Cloud Firewall を使用して信頼できないネットワークトラフィックを検出してフィルタリングできます。
データの暗号化:
Express Connect 回線を使用してデータセンターと VPC 間のプライベート通信を確立した後は、接続を介したデータ伝送は暗号化されません。ビジネスでより高いセキュリティが必要な場合は、IPsec-VPN 接続を作成してデータ伝送を暗号化できます。 詳細については、「BGP ルーティングを使用してプライベート接続を暗号化する」をご参照ください。
可観測性
可観測性は、シナリオに基づいて次の側面に分類されます。
Express Connect 回線の接続性の可観測性: CloudMonitor でアラートルールを構成して、Express Connect 回線経由の接続の状態を監視します。CloudMonitor は、接続が利用可能かどうかを示します。詳細については、「Express Connect 回線経由の接続の監視とアラート」をご参照ください。
Express Connect 回線のデータ使用量の可観測性: Express Connect コンソールで、さまざまな期間のアウトバウンドデータ転送を表示します。 詳細については、「アウトバウンドデータ転送料金」をご参照ください。
Express Connect 回線の帯域幅使用量の可観測性: Express Connect は CloudMonitor とインターフェースして、VBR の状態とインバウンドおよびアウトバウンドデータ転送速度をリアルタイムで監視します。また、アラートルールを構成して、異常が発生したときにできるだけ早く通知を受けることもできます。同じ時点での VBR のインバウンドおよびアウトバウンドデータ転送速度の合計に基づいて、Express Connect 回線全体の帯域幅使用量を評価できます。詳細については、「VBR の監視とアラート」をご参照ください。
上位 N データ転送の可観測性: Network Intelligence Service (NIS) は、ハイブリッドクラウドトラフィックの分析をサポートしています。CEN を使用してネットワークを構築する場合は、NIS を使用して、IP アドレス、ポート、プロトコルなど、複数のディメンションからインバウンドおよびアウトバウンドデータ量を分析および表示できます。また、指定された期間内に指定されたリージョンで最大のデータ転送量を生成する上位 N ポート、上位 N ピアポート、および上位 N プロトコルを表示することもできます。詳細については、「ハイブリッドクラウドトラフィック分析機能を使用する」をご参照ください。
カスタムサービス
異常の迅速な検出
CloudMonitor で Express Connect 回線と VBR のアラートルールとしきい値を構成して、異常をできるだけ早く検出できます。詳細については、「アラートルールを構成する」をご参照ください。
イベントに基づいてリソースを監視するのに役立つイベントセンターを提供するNIS をサブスクライブできます。潜在的なリスクにさらされているリソースを表示し、特定のイベントのアラートルールを構成できます。このようにして、これらのイベントにできるだけ早く対処して、ビジネスの中断を防ぐことができます。詳細については、「イベントの管理」トピックの「Express Connect」セクションをご参照ください。
デフォルトでは、NIS はアーキテクチャ全体でネットワーク診断を実行します。診断項目には、安定性、セキュリティ、パフォーマンス、コストの最適化、運用上の excellence が含まれます。検査結果は、マルチクラウドまたはハイブリッドクラウドネットワークがリスクにさらされているかどうかを示します。詳細については、「ネットワーク検査」をご参照ください。
アクセスできないハイブリッドクラウドまたはマルチクラウドネットワークの検出
ハイブリッドクラウドまたはマルチクラウドネットワークにアクセスできなくなった場合は、次の方法を使用して問題のトラブルシューティングを行ってください。
方法 1: NIS を使用してパス解析を実行し、エラーの原因を特定します。パス解析を実行すると、NIS は VPC とデータセンター間の仮想パスの詳細情報を自動的に生成します。宛先にアクセスできない場合、システムはエラーを特定し、原因を確認し、送信元と宛先間のトラフィックパスを表示します。問題が解決しない場合は、チケットを送信してください。
方法 2: データセンターのゲートウェイデバイスで、Express Connect 回線の顧客側 IP アドレスと Alibaba Cloud 側 IP アドレス間の接続テストを実行します。ping コマンドを実行して、IP アドレスが互いに直接アクセスできるかどうかをテストします。 そうでない場合は、インターネットサービスプロバイダー (ISP) にエラーを報告してください。また、チケットを送信して、このエラーを Alibaba Cloud に報告することもできます。Alibaba Cloud は、Express Connect 回線のエラーを確認します。ユーザー操作は、Alibaba Cloud 側スイッチのポートでの Alibaba Cloud 操作とは別のものです。アクセスデバイスが想定どおりに動作しているにもかかわらず問題が解決しない場合は、ISP に連絡してトラブルシューティングを行ってください。
ベストプラクティス
マルチクラウドまたはハイブリッドクラウドネットワークでクリティカルなビジネスの通信を確立する
コアアーキテクチャ:
デュアル Express Connect 回線とデュアルアクセスポイント: 2 つのアクセスポイントと 2 つの Express Connect 回線のリソースを申請します。Express Connect 回線は、ECMP ロードバランシングを実装し、アクティブおよびスタンバイ回線として機能して、信頼性とパフォーマンスを確保できます。
動的ルーティングと分散アーキテクチャに基づいて設計された ECR: ECR は、ルートの構成と管理を効率的に改善し、Express Connect 回線とゾーン間のネットワークレイテンシを削減し、転送ルータと ECR 間の帯域幅容量を増やすことができます。
転送ルータは、ECR を VPC から分離し、必要に応じて ECR を VPC に接続できます。
データセンターは、BGP 動的ルーティングと BFD を使用してサードパーティクラウドと Alibaba Cloud に接続します。
マルチクラウドまたはハイブリッドクラウドネットワークで重要でないビジネスの通信を確立する
コアアーキテクチャ:
Express Connect 回線 + IPsec-VPN 接続: アクティブな接続は Express Connect 回線上に作成され、IPsec-VPN 接続はスタンバイ接続として機能します。Express Connect 回線に障害が発生した場合、トラフィックは自動的に IPsec-VPN 接続に切り替えられ、サービスの継続性が維持されます。これにより、マルチクラウドまたはハイブリッドクラウドネットワークの接続コストも削減されます。
動的ルーティングと分散アーキテクチャに基づいて設計された ECR: ECR は、ルートの構成と管理を改善し、Express Connect 回線とゾーン間のネットワークレイテンシを削減し、転送ルータと ECR 間の帯域幅容量を増やすことができます。
転送ルータは、ECR を VPC から分離し、必要に応じて ECR を VPC に接続できます。
データセンターは、BGP 動的ルーティングと BFD を使用してサードパーティクラウドと Alibaba Cloud に接続します。
ユースケース
インフラストラクチャリソースの柔軟で無制限のプロビジョニング: 従来のデータセンターは高額な投資を必要としますが、リソースの利用率が低く、スケールアウトが遅いため、ビジネスの急速な発展に対応できません。ただし、クラウドコンピューティングリソースは自動でオンデマンドのスケーリングをサポートしており、これは柔軟にスケーリングされた無制限のリソースを必要とする企業ビジネスにとって大きなメリットとなります。Express Connect 回線を使用してハイブリッドクラウドを構築する場合、既存のデータセンターリソースを維持しながら、ビジネス要件に基づいてクラウドリソースをアクティブ化できます。 これは、ビジネスの発展にとって大きなメリットとなります。
豊富なクラウドサービス: ますます多くの企業がデジタル化と AI 技術を採用していますが、一部の従来の企業は、IT システムとのインターフェース機能、またはクラウドコンピューティング技術を迅速に採用する機能が不足しています。Express Connect 回線を使用してハイブリッドクラウドネットワークを構築し、ビッグデータサービス、GPU リソース、サービスとしてのソフトウェア (SaaS) アプリケーションなど、さまざまなクラウドサービスとのインターフェースを企業が構築できるようにします。これにより、企業はデジタル化と AI 技術を迅速に採用できます。
ディザスタリカバリ: ますます多くのコアビジネスがクラウドに移行されるにつれて、一部の企業は、ビジネスの安定性を確保するために、コアビジネスのマルチクラウドディザスタリカバリを有効にしたいと考えています。この目標を達成するために、Express Connect 回線を使用して、安全で安定したプライベート通信をサポートするハイブリッドクラウドネットワークを構築できます。
Terraform リファレンス
マルチクラウドまたはハイブリッドクラウドネットワークでクリティカルなビジネスの通信を確立する
項目 | 説明 |
Terraform モジュールのウェブサイト | |
GitHub URL | |
例 |
コーディングプロセス:
デュアル Express Connect 回線とデュアルアクセスポイント: 2 つのアクセスポイントと 2 つの Express Connect 回線のリソースを申請します。Express Connect 回線は、ECMP ロードバランシングを実装し、アクティブおよびスタンバイ回線として機能して、信頼性とパフォーマンスを確保できます。
動的ルーティングと分散アーキテクチャに基づいて設計された ECR: ECR は、ルートの構成と管理を改善し、Express Connect 回線とゾーン間のネットワークレイテンシを削減し、転送ルータと ECR 間の帯域幅容量を増やすことができます。
転送ルータは、ECR を VPC から分離し、必要に応じて ECR を VPC に接続できます。
データセンターは、BGP 動的ルーティングと BFD を使用してサードパーティクラウドと Alibaba Cloud に接続します。
必要なリソース:
2 つの VPC
4 つのスイッチ
1 つの CEN インスタンス
1 つの転送ルータ
1 つの ECR
2 つの VBR