すべてのプロダクト
Search

このプロダクト

    Container Compute Service:ACS クラスタのネットワーク設計

    ドキュメントセンター

    Container Compute Service:ACS クラスタのネットワーク設計

    最終更新日:Apr 29, 2025

    ACS クラスタを作成する前に、すべてのリソースが効率的に使用され、今後のビジネス拡張のために十分なアドレス空間が確保されるように、クラスタの VPC、vSwitch、およびサービス CIDR ブロックを設計する必要があります。このトピックでは、VPC 内の ACS クラスタのネットワークを設計する方法について説明します。

    ネットワーク規模

    リージョンとゾーン

    1 つのリージョン内の異なるゾーンにあるインスタンスは、相互に通信できます。1 つのゾーンがダウンした場合でも、他のゾーンは想定どおりに動作できます。同じゾーン内のインスタンス間のネットワークレイテンシは低くなります。次の情報に基づいてリージョンとゾーンを計画できます。

    項目

    説明

    レイテンシ要件

    ユーザーの場所がリソースがデプロイされているリージョンに近い場合、ネットワークレイテンシは低く、アクセスは高速です。

    サポートされているリージョンとゾーン

    Alibaba Cloud サービスごとに、サポートされているリージョンとゾーンが異なります。必要なサービスに基づいてゾーンとリージョンを選択できます。

    コスト

    クラウドサービスの価格は、リージョンによって異なる場合があります。要件に基づいてリージョンを選択することをお勧めします。

    高可用性とディザスタリカバリ

    サービスに高いディザスタリカバリ機能が必要な場合は、同じリージョン内の異なるゾーンにサービスをデプロイできます。また、リージョン間のディザスタリカバリを実装するために、複数のリージョンにサービスをデプロイすることもできます。

    コンプライアンス

    自国または地域のデータコンプライアンス要件とビジネスファイリングポリシーを満たすリージョンを選択する必要があります。

    VPC はリージョンをまたいでデプロイすることはできません。リージョンをまたいでサービスをデプロイする場合は、各リージョンに VPC を作成する必要があります。VPC ピアリング接続または Cloud Enterprise Network(CEN)を使用して、異なるリージョンにある VPC 間の通信を有効にすることができます。vSwitch はゾーンレベルのリソースです。vSwitch を使用する場合、次の情報に注意してください。

    • Elastic Compute Service(ECS)のインベントリ要因により複数のゾーンを選択する場合は、事前に十分な CIDR ブロックを確保し、ゾーン間のトラフィックの迂回によって生じるレイテンシの増加を考慮する必要があります。

    • 一部のリージョン(中国(南京 - ローカルリージョン)など)では、1 つのゾーンしか提供されていません。リージョン内ディザスタリカバリの要件がある場合は、このリージョンの選択を慎重に検討することをお勧めします。

    説明

    ACS が利用可能なリージョンについては、「サポートされているリージョン」をご参照ください。

    VPC の数

    VPC は、クラウドで安全で柔軟なネットワーク環境を提供します。異なる VPC は互いに分離されています。VPC 内のインスタンスは相互に通信できます。ビジネス要件に基づいて VPC の数を計画できます。

    シナリオ

    1 つの VPC

    • サービスは 1 つのリージョンにデプロイされ、ビジネス規模は小さいです。また、ネットワーク分離の要件はありません。

    • 初めて VPC を使用する場合は、1 つの VPC を使用してすぐに使い始めることをお勧めします。

    • コストに重点を置き、複数の VPC に対して料金を支払いたくありません。

    複数の VPC

    • サービスを異なるリージョンにデプロイする必要があり、ビジネス規模が大きいです。

    • 1 つのリージョン内のサービスを分離する必要があります。

    • ビジネスアーキテクチャが複雑で、各部門が個別に管理する必要があります。

    説明

    デフォルトでは、各リージョンに最大 10 個の VPC を作成できます。[クォータ管理] ページまたは[クォータセンター]にアクセスして、クォータを増やすことができます。

    vSwitch の数

    vSwitch はゾーンレベルのリソースです。VPC 内のすべてのインスタンスは、vSwitch にデプロイされます。vSwitch の分割は、IP アドレスを適切に計画するのに役立ちます。VPC 内の vSwitch は、デフォルトで相互に通信できます。

    項目

    説明

    レイテンシ

    同じリージョン内のゾーン間のレイテンシは低くなります。ただし、複雑なシステムコールやクロスゾーンコールによってレイテンシが増加する可能性があります。

    高可用性とディザスタリカバリ

    VPC に少なくとも 2 つの vSwitch を作成し、異なるゾーンに vSwitch をデプロイして、クロスゾーンディザスタリカバリを実装することをお勧めします。複数のゾーンにサービスをデプロイし、セキュリティルールを一元的に構成できます。これにより、システムの可用性とディザスタリカバリ機能が向上します。

    ビジネス規模と分割

    通常、異なるサービスモジュールを異なる vSwitch にデプロイできます。たとえば、Web レイヤー、ロジックレイヤー、およびデータレイヤーを異なる vSwitch にデプロイして、標準の Web アーキテクチャを作成できます。

    次の情報に基づいて vSwitch を計画できます。

    • VPC を使用する場合、異なるゾーンに少なくとも 2 つの vSwitch をデプロイすることをお勧めします。こうすることで、1 つの vSwitch がダウンした場合、別のゾーンにあるもう 1 つの vSwitch が引き継ぐことができ、クロスゾーンディザスタリカバリが実装されます。

      同じリージョン内のゾーン間のレイテンシは低くなります。ただし、レイテンシは業務システムによって適合および検証される必要があります。複雑なネットワークトポロジにより、ネットワークレイテンシが増加する可能性があります。高可用性と低レイテンシの要件を満たすために、システムを最適化および適合させることをお勧めします。

    • また、作成する vSwitch の数を決定する際には、サービスシステムの規模と計画も考慮する必要があります。通常のケースでは、ビジネス属性に基づいて vSwitch を計画できます。たとえば、インターネットサービスはパブリック vSwitch にデプロイする必要があり、他のサービスはそれに応じてデプロイできます。サービスを複数のゾーンにデプロイした後、セキュリティポリシーを一元的に構成できます。

    説明

    デフォルトでは、1 つの VPC に最大 150 個の vSwitch を作成できます。[クォータ管理] ページまたは[クォータハブ]にアクセスして、クォータを増やすことができます。

    ポッドの数

    ポッドの数

    シナリオ

    VPC

    ゾーン

    < 1000

    非中核ビジネス

    1 つの VPC

    1 つ(2 つ以上推奨)

    無制限

    複数ゾーンが必要な通常ビジネス

    1 つの VPC

    2 つ以上

    無制限

    高信頼性と複数リージョンが必要な中核ビジネス

    複数の VPC

    2 つ以上

    ネットワーク設計

    VPC CIDR ブロックには、vSwitch CIDR ブロックが含まれています。ACS ネットワーク CIDR ブロックは、ポッド CIDR ブロックとサービス CIDR ブロックで構成されています。

    image

    ACS クラスタネットワークを構成する場合は、次のパラメータを設定し、CIDR ブロックに注意する必要があります。

    • VPC

      • 次の CIDR ブロックまたはそのサブセットのいずれかを、VPC のプライマリ IPv4 CIDR ブロックとして指定できます。192.168.0.0/16、172.16.0.0/12、および 10.0.0.0/8。これらの CIDR ブロックは、RFC で定義されている標準のプライベート CIDR ブロックです。サブネットマスクの長さは 8 ~ 28 ビットである必要があります。例:192.168.0.0/16。

      • 100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、およびそのサブネット以外のカスタム CIDR ブロックを、VPC のプライマリ IPv4 CIDR ブロックとして使用することもできます。

      • 複数の VPC を使用するシナリオ、またはデータセンターと VPC が同じ場所に配置されているハイブリッドクラウドシナリオでは、サブネットマスクの長さが 16 ビット以下の標準 RFC CIDR ブロックのサブセットを VPC CIDR ブロックとして使用することをお勧めします。VPC とデータセンターの CIDR ブロックが互いに重複していないことを確認してください。

      • IPv6 CIDR ブロックは、VPC で IPv6 が有効化された後、VPC によってポッドに割り当てられます。詳細については、「ポッドに IPv6 アドレスを割り当てる」をご参照ください。

    • vSwitch

      ポッドの IP アドレスは、ポッド vSwitch の CIDR ブロックから割り当てられます。これにより、ポッドは相互に通信できます。ポッドは、Kubernetes クラスタ内のコンテナのグループです。各ポッドには IP アドレスがあります。VPC 内の vSwitch の CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。vSwitch の CIDR ブロックを指定する場合は、次の項目に注意してください。

      • クラスタが存在する VPC に属する vSwitch を選択する必要があります。

      • ACS ネットワークでは、ポッドの IP アドレスはポッド vSwitch によって割り当てられます。

      • CIDR ブロックは、サービス CIDR ブロックと重複することはできません。

    • サービス CIDR ブロック

      重要

      サービス CIDR ブロックは、作成後に変更することはできません。

      サービスの CIDR ブロック。サービス CIDR ブロックは、ClusterIP タイプのサービスに IP アドレスを提供します。サービスは Kubernetes の概念です。各サービスには IP アドレスがあります。サービス CIDR ブロックを指定する場合は、次の項目に注意してください。

      • サービスの IP アドレスは、ACS クラスタ内でのみ有効です。

      • サービス CIDR ブロックは、vSwitch CIDR ブロックと重複することはできません。

    次の表に、ACS シナリオにおけるコンテナネットワークのマルチゾーン構成の例を示します。

    VPC CIDR ブロック

    vSwitch CIDR ブロック

    サービス CIDR ブロック

    割り当て可能なポッド IP アドレスの最大数

    192.168.0.0/16

    ゾーン I 192.168.0.0/19

    172.21.0.0/20

    8,192

    ゾーン J 192.168.32.0/19

    8,192

    ネットワーク通信設計

    単一 VPC 内の単一クラスタ

    VPC を作成すると、VPC CIDR ブロックが指定されます。ACS クラスタを作成する場合は、VPC CIDR ブロックと重複しないサービス CIDR ブロックを指定する必要があります。これにより、クラスタ内のネットワーク通信が確保され、外部 VPC との競合が防止されます。

    単一 VPC 内の複数クラスタ

    VPC 内に複数のクラスタを作成します。

    • VPC の CIDR ブロックは、VPC を作成するときに指定されます。クラスタを作成するときは、各クラスタの VPC CIDR ブロックとサービス CIDR ブロックが互いに重複しないようにする必要があります。

    • すべてのクラスタのサービス CIDR ブロックは重複でき、ポッド vSwitch は再利用できます。

    説明

    この場合、クラスタは部分的に相互接続されています。あるクラスタ内のポッドは、別のクラスタ内のポッドに直接アクセスできますが、別のクラスタ内のサービスにはアクセスできません(クラスタ内でのみアクセスできる ClusterIP タイプのサービスなど。サービスを公開するには、LoadBalancer サービスまたは Ingress を使用できます)。

    VPC をまたがる複数クラスタ

    次のシナリオでは、VPC をまたがる複数クラスタの接続を計画することをお勧めします。

    リージョン間デプロイメント

    VPC はリージョンをまたいでデプロイすることはできません。異なるリージョンにサービスをデプロイする場合は、複数の VPC と複数のクラスタを作成する必要があります。VPC ピアリング接続VPN ゲートウェイCloud Enterprise Network、およびその他のプロダクトを使用して、リージョンをまたがる VPC 間の通信を有効にすることができます。

    業務システムの分離

    本番環境とステージング環境の分離など、リージョン内の複数の業務システムで VPC を使用して厳密に分離する必要がある場合は、本番クラスタとテストクラスタを異なる VPC にデプロイして、より優れた論理分離とセキュリティを提供できます。VPC ピアリング接続VPN ゲートウェイCloud Enterprise Network、およびその他のプロダクトを使用して、同じリージョン内の VPC 間の通信を有効にすることもできます。

    大規模業務システム

    ビジネスアーキテクチャが複雑で、各サービスと部門がクラスタとリソースを管理するために独立した VPC を必要とする場合は、複数の VPC と複数のクラスタを構成することをお勧めします。

    重要

    VPC をまたがるマルチクラスタ相互接続シナリオで IP の競合によって発生するルーティングエラーなどの問題を回避するには、新しく作成されたクラスタに対して次のネットワーク計画要件に従う必要があります。

    • 新しいクラスタの CIDR ブロックは、VPC CIDR ブロックと重複しません。

    • 新しいクラスタの CIDR ブロックは、他のクラスタの CIDR ブロックと重複しません。

    • 新しいクラスタの CIDR ブロックは、他のクラスタのサービス CIDR ブロックと重複しません。

    クラスタとデータセンター間の通信

    VPC をまたがる複数クラスタのシナリオと同様に、VPC 内の一部の CIDR ブロックはデータセンターにルーティングされ、クラスタのサービス CIDR ブロックはこれらの CIDR ブロックと重複することはできません。データセンターから VPC 内のポッドにアクセスするには、データセンターの VBR のルーティングテーブルを構成する必要があります。