概要
背景情報
クラウドコンピューティングの急速な発展により、ますます多くの企業がさまざまなビジネスシナリオの複雑なネットワークアーキテクチャを構築しています。 企業は、よりきめ細かい運用と管理に移行し、ネットワークのセキュリティ、スケーラビリティ、ディザスタリカバリに注力します。 複数の仮想プライベートクラウド (VPC) で構成されるリージョン間ネットワークを設計することは、効率的なネットワーク、セキュリティ、および可用性を実現するために特に重要です。このトピックでは、VPCピアリング接続とトランジットルーターを使用して、Alibaba Cloud上の同じリージョンに複数のVPCを含む高効率、高セキュリティ、高可用性のネットワークアーキテクチャを構築する方法について説明します。それは、さまざまな顧客の要求とビジネスシナリオに焦点を当てた、適切に設計されたソリューションです。
用語
VPC: VPCは、お客様がAlibaba Cloud上に作成するカスタムプライベートネットワークです。 VPCは互いに分離されています。 VPCのCIDRブロック、サブネット、およびルートテーブルを指定できます。
VPCピアリング接続: VPCピアリング接続は、2つのVPCを接続するネットワーク接続です。 VPC peeing接続はIPv4およびIPv6をサポートします。 VPCピアリング接続は、IPv4およびIPv6ネットワーク通信をサポートします。 ピアリング接続を作成して、同じリージョンまたは異なるリージョンにあり、同じAlibaba Cloudアカウントまたは異なるAlibaba Cloudアカウントに属するVPCを接続できます。
Cloud Enterprise Network (CEN): CENは、柔軟で信頼性が高く、大規模でエンタープライズクラスのグローバルネットワークを構築できるように、リージョンでのカスタム通信、分離、およびリダイレクトポリシーをサポートします。
トランジットルーター: トランジットルーターはCENコンポーネントの一種です。 これらは、異なるVPC、VPNゲートウェイ、仮想ボーダールーター (VBR) 、およびクラウドサービスを接続するルーターです。 トランジットルーターは、柔軟性の高いルーティング機能をサポートします。 たとえば、複数のルートテーブルと高度なルーティングポリシーを使用して、複雑なネットワーク環境でのトラフィック転送を管理できます。 トランジットルーターは、アカウント間で複数のVPCを含む複雑なネットワークアーキテクチャを設計する場合に重要なコンポーネントです。 トランジットルーターを使用して、異なるネットワーク間のネットワークトラフィックを管理および制御し、ネットワークアーキテクチャと運用を簡素化できます。
ソリューションのハイライト
持続可能なアーキテクチャ: 顧客がクラウドにますます多くのビジネスをデプロイする場合、アーキテクチャを変更することなく、より多くのVPC接続、ルートエントリ、およびセキュリティポリシーが必要です。
安全で制限されたアクセス: よりきめ細かい権限管理とアクセス制御を実装するために、VPC CIDRブロック間の通信はオンデマンドでのみ確立され、機密データとシステムを不正アクセスから保護します。
高いサービス性能: ビジネス要件に基づいてネットワークが設計されています。 たとえば、ネットワークトポロジは特定のアプリケーション用にカスタマイズされているか、ネットワークパフォーマンスはトラフィックパターンに基づいて最適化されています。
キーデザイン
VPCピアリング接続とトランジットルーターには、さまざまな利点があります。 同じリージョンに複数のVPCをデプロイする場合は、ビジネス要件を考慮してください。
VPCピアリング接続は、ネットワークアーキテクチャがシンプルで、トラフィック量が少なく、スケーラビリティが低い環境に適しています。 さらに、VPCピアリング接続は、直接および低レイテンシーのアクセスをサポートします。 したがって、VPCピアリング接続は操作の複雑さとコストを削減します。
トランジットルーターは、大規模なネットワーク通信、高い信頼性、高いスケーラビリティ、柔軟なルート管理を必要とするシナリオに適しています。 トランジットルーターはより高いコストを必要としますが、より高度な機能とより高い運用の柔軟性を提供します。 多数のVPCを含むネットワークアーキテクチャを使用している場合は、セキュリティ、信頼性、パフォーマンス、コストの最適化、デプロイの最適化を考慮する必要があります。 トランジットルーターは、Well-Architected Frameworkの前述の主要な利点を重視する場合に適しています。
セキュリティ
VPC間通信: セキュリティグループとネットワークアクセス制御リスト (ACL) 以外に、トランジットルーターでルーティングポリシーを設定してトラフィック転送を管理できます。 統合されたセキュリティポリシーと監視を実装できます。 トランジットルーターをクラウドファイアウォールと統合して、データを分離し、異なるビジネスユニット間のセキュリティを強化できます。
トランジットルーターの複数のルートテーブル: トランジットルーターは複数のルートテーブルをサポートしています。 異なるルートテーブルを使用して、パブリック、運用、テスト、および開発環境間のネットワークトラフィックを分離できます。 各VPCを特定のルートテーブルとルーティングポリシーに関連付けることで、異なる環境間のアクセスを制御できます。 トランジットルーターは複数のルートテーブルをサポートしており、インターネットにアクセスできるvSwitch、プライベートネットワーク内でのみアクセスできるvSwitch、および相互にアクセスできるvSwitchを定義できます。
サービスチェーン: サービスチェーンは、ファイアウォール、侵入検知システム、ロードバランサなど、特定の順序で実行されるネットワークサービスのセットです。 サービスチェーンを使用してネットワークトラフィックのセキュリティチェックポイントを指定できるため、サービスチェーンはセキュリティとコンプライアンスを向上させます。 たとえば、すべてのインバウンドトラフィックまたはアウトバウンドトラフィックをCloud Firewallにリダイレクトします。
トランジットルーターによる分離: 異なるトランジットルーターを使用して、運用環境、開発環境、ネットワーク管理環境などのネットワーク環境を分離できます。 トランジットルーターを使用して、子会社間のネットワークを分離することもできます。 各トランジットルーターは、ルートテーブルとセキュリティポリシーをサポートして、より詳細なネットワーク分離とアクセス制御を実装します。 このような設計は、内部ガバナンスとコンプライアンスの要件を満たすために、ネットワークを異なる部門またはビジネスライン間で分離する必要がある複雑な組織構造を持つ企業で一般的に使用されます。
性能
VPCピアリング接続は、直接かつ安定したアクセスをサポートします。 静的ルートを設定して、ネットワーク距離を短縮し、ネットワークの信頼性を向上させることができます。 VPCピアリング接続は、シンプルなネットワークトポロジでより高い可用性とより簡単な管理をサポートします。
トランジットルーターは動的ルーティングとフェイルオーバーをサポートし、ネットワークの冗長性と接続フェイルオーバーを改善します。 VPCピアリング接続はポイントツーポイント接続です。 ただし、トランジットルーターはより複雑なネットワーク通信をサポートしてネットワークの信頼性を向上します。 さらに、トランジットルーターはゾーンレベルでのリソース管理をサポートします。 リソースのゾーンでトランジットルーターを選択すると、転送の待ち時間を短縮し、視覚化された高可用性アーキテクチャを構築できます。
弾性
VPCピアリング接続は、低ネットワークレイテンシーをサポートし、レイテンシーに敏感なアプリケーションにより適しています。 VPCピアリング接続は、同じリージョンのVPC間で最も直接的なデータ伝送を提供します。
トランジットルーターはVPC間の高速データ伝送をサポートし、ネットワークステータスに基づいて最適なルートを動的に選択できます。 トランジットルーターは、大規模で複雑なネットワークアーキテクチャを使用したり、高いスループット容量を必要とするシナリオに適しています。 中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (深セン) 、中国 (香港) 、シンガポールのネットワークインスタンスとトランジットルーター間の最大帯域幅は50 Mbit/sです。 他のリージョンの最大帯域幅は10 Gbit/sです。
観察可能性
VPCピアリング接続を使用すると、フローログとSimple Log Serviceを使用してVPC間のトラフィックを分析できます。
NISを使用して、トランジットルーターの検出、トポロジの管理、同じリージョン内のVPC間のパフォーマンスの監視、VPCトラフィックの分析を行うことができます。 NISは、機械学習やナレッジグラフなどのAIOps (Artificial Intelligence for IT Operations) メソッドと統合されており、ネットワーク管理を簡素化し、自動O&Mを実装しています。NISにより、ネットワークアーキテクトとO&Mエンジニアは、より高い効率でネットワークを設計および使用できます。
ベストプラクティス
同じリージョンに複数のVPCをデプロイした後、VPC間の高効率な接続を維持することは非常に重要です。 VPCピアリング接続とトランジットルーターの両方が適用可能です。 VPCピアリング接続はポイントツーポイント接続です。 トランジットルーターはマルチVPC通信、アカウント間通信、高度なルーティングなどの複雑なネットワーク環境に適しています。 トランジットルーターを適切に設定することで、トラフィックパスを柔軟に調整および最適化し、ネットワークのスケーラビリティとセキュリティを確保できます。
単純なネットワーク通信シナリオ
次の単純なネットワーク通信シナリオでは、2つのビジネスユニットが別々のVPCにデプロイされます。 VPCピアリング接続は、ビジネスユニット間の分離を維持しながら、安全なネットワーク通信を確立するために使用されます。 このアーキテクチャは、ネットワークのスケールアウトが長期にわたって必要とされないことを考えると、安定して効率的である。 VPC AとVPC Bはリソースを共有し、互いにアクセスできます。 VPC AとVPC Bの両方がIPv6 CIDRブロックに関連付けられている場合、IPv4ルートとIPv6ルートをVPCのルートテーブルに追加できます。 ユーザーは、要件に基づいてIPv4ルートまたはIPv6ルートを介してVPCにアクセスできます。
複雑なネットワーク通信シナリオ
非武装地帯 (DMZ): DMZは、ネットワークのセキュリティバッファである。 DMZには通常、DDoS、Web Application Firewall (WAF) 、NAT Gateway、Server Load Balancer (SLB) 、フロントエンドサーバーなどの外部サービスコンポーネントと内部サービスコンポーネントが含まれます。 DMZは、本番環境などの内部ネットワークとインターネットなどの外部ネットワークとの間の中間層である。 DMZはネットワークセキュリティを強化します。
共有サービス: このようなサービスは複数の環境で共有されます。 たとえば、識別認証サービス、ログ管理サービス、および内部DNS解決サービスは、異なる環境からアクセスできます。 共有サービスを使用すると、サービスを繰り返しデプロイする必要がなくなります。
本番環境: 本番環境は、最高レベルのセキュリティ制御と監視を備えたビジネスアプリケーションとサービスを実行するホストです。 高可用性とパフォーマンスを確保するには、運用環境を厳密に監視および管理する必要があります。 異なるVPCを使用して、異なるビジネスやプロジェクトを区別できます。
開発環境: 開発環境は本番環境から分離され、開発者はコードの作成や予備テストに使用します。 これにより、開発活動が本番環境のサービスに影響を与えるのを防ぎます。 異なるVPCを使用して、異なるビジネスやプロジェクトを区別できます。
テスト環境: テスト環境は、詳細なテスト領域として、統合テスト、パフォーマンステスト、およびユーザー受け入れテスト用の本番環境をシミュレートし、実際の展開前に問題が検出されるようにします。
セキュリティVPC: セキュリティVPCは、東西ファイアウォール、侵入検知システム (IDS) 、クラウドセキュリティスキャナーなどのセキュリティ関連のツールとサービスをホストし、マルチVPCアーキテクチャ全体を監視および保護します。
O&MとVPNの統合エリア: O&Mエンジニアとクラウド環境からのリモートアクセスを可能にするエリア。 この領域には通常、VPNサービスと、クラウドサービスへのアクセスを制御できるElastic Desktop Service (EDS) などのリモートアクセスツールが含まれています。
シナリオ1: 単一ペインネットワーク
トランジットルーターを使用して複数のVPCを接続し、ビジネス要件に基づいてVPC間の通信を確立します。 DMZ VPCを作成して、すべてのインバウンドおよびアウトバウンドインターネットトラフィックを管理します。 ルートエントリをトランジットルータールートテーブルに追加し、ルーティングポリシーを作成して、本番環境、開発環境、およびテスト環境間のアクセスを制御します。
シナリオ2: マルチペインネットワーク
法人は、組織構造をマッピングして、法人-子会社-ビジネスユニットという3層のネットワークレイアウトを形成します。 このレイアウトは、多面構造を必要とする。 マルチプレーン構造は通常、次の戦略を使用します: プレーンを分割できる複数のトランジットルーターまたはトランジットルータールートテーブル。 平面は水平または垂直に分割できます。 水平分割は、集中型O&Mに最適です。ネットワークは、本番、開発、テスト、および共有サービスプレーンに分割されます。 垂直分割は、独立したO&Mチームを持つ子会社にとって理想的です。 ネットワークは子会社に基づいて分割されています。
マルチプレーンネットワーキングに基づく複数のトランジットルーター
複数のVPCを含むマルチプレーンネットワークは、トランジットルーターを使用して作成されます。 環境は互いに隔離されています。 共有サービスVPCのみがすべてのプレーン上の他のVPCに接続されています。 次の図に示すように、Transit Router-1はPlane 1上にネットワークを構築するために使用されます。 中継Router-2は、プレーン2上にネットワークを構築するために使用される。 共有サービスVPCのみが、トランジットRouter-1またはトランジットRouter-2に接続されたVPCにアクセスできます。
マルチプレーンネットワーキングに基づく複数のトランジットルーターのルートテーブル
ネットワークは、トランジットルータールートテーブルに基づいて複数のプレーンに分割されます。 各子会社のVPCは、個別のトランジットルータールートテーブルに関連付けられています。 VPC間のネットワーク通信は、トランジットルータールートテーブルとルーティングポリシーのルートに基づいて制御されます。 一方、インターネットルートテーブルを使用して、各子会社のVPCの南北インターネットトラフィックの出力および入力として機能するDMZ VPCのトラフィック転送を制御できます。
シナリオ
シンプルなネットワーク: 高いセキュリティや弾力性を必要としないシンプルなサービスコールなど、ビジネスAとビジネスB間の直接通信を必要とするシンプルなクラウドネットワーク構造に最適です。
標準ネットワークのクラウド: 多様なビジネスユニットを持ち、フルコミュニケーション、限定コミュニケーション、隔離などの異なる通信モードが必要な中規模および大規模企業に最適です。 このような通信モードは、迅速なビジネス開発と集中ネットワーク管理をサポートするために、高いネットワーク信頼性、セキュリティ、および弾力性を必要とします。