すべてのプロダクト
Search

このプロダクト

    Cloud Network Well-architected Design Guidelines:エンタープライズクラスのサービス共有設計

    ドキュメントセンター

    Cloud Network Well-architected Design Guidelines:エンタープライズクラスのサービス共有設計

    最終更新日:Feb 07, 2025

    概要

    背景情報

    ますます多くの企業が、VPC 間通信を必要としています。これは、サービス指向アーキテクチャとマイクロサービスアーキテクチャの普及が進んでいるためです。これらのアーキテクチャにより、企業は元のアーキテクチャを複数の独立したスケーラブルなサービスモジュールに分割できます。これらのモジュールは通常、異なる VPC に分散されています。さらに、多くの企業が Alibaba Cloud Landing Zone/Well-Architected Framework を使用して、クラウドでのビジネスアーキテクチャの設計を開始しています。これらのプラクティスは、企業が高度なアカウントシステムと VPC 設計を通じて、安定性、安全性、効率性、およびスケーラビリティに優れたビジネスアーキテクチャを開発することを促進します。このトピックでは、アカウント間およびVPC 間通信のためのエンタープライズクラスのサービス共有ネットワークを設計する方法について説明します。

    用語

    仮想プライベートクラウド (VPC): VPC は、お客様が Alibaba Cloud 上に作成するカスタムプライベートネットワークです。VPC は互いに分離されています。VPC の CIDR ブロック、サブネット、およびルートテーブルを指定できます。

    クラウドエンタープライズネットワーク (CEN): CEN は、リージョン内のカスタム通信、分離、およびリダイレクトポリシーをサポートし、柔軟で信頼性の高い大規模なエンタープライズクラスのグローバルネットワークの構築を支援します。

    転送ルータ: 転送ルータは CEN コンポーネントの一種です。異なる VPC、VPN ゲートウェイ、仮想ボーダールータ (VBR)、およびクラウドサービスを接続するルータです。転送ルータは非常に柔軟なルーティング機能をサポートしています。たとえば、複数のルートテーブルと高度なルーティングポリシーを使用して、複雑なネットワーク環境でのトラフィック転送を管理できます。転送ルータは、アカウントをまたいで複数の VPC を含む複雑なネットワークアーキテクチャを設計する場合の主要コンポーネントです。転送ルータを使用して、異なるネットワーク間のネットワークトラフィックを管理および制御し、ネットワークアーキテクチャと運用を簡素化できます。

    PrivateLink: PrivateLink を使用すると、NAT ゲートウェイを作成したり、Elastic IP アドレス (EIP) を購入したりすることなく、他の VPC にデプロイされたサービスに単方向でアクセスできます。PrivateLink は、インターネット経由でデータが送信されないため、より高いデータセキュリティとネットワーク品質を提供します。

    ネットワークインテリジェンスサービス (NIS): NIS は、ネットワーク設計からネットワーク運用保守まで、クラウドネットワークのライフサイクル全体を管理するための一連の AIOps ツールを提供します。たとえば、NIS を使用して、トラフィック分析、ネットワーク検査、ネットワークパフォーマンス監視、ネットワーク診断、パス解析、およびトポロジ作成を実行できます。NIS は、ネットワークアーキテクチャの最適化、ネットワーク運用保守効率の向上、およびネットワーク運用コストの削減に役立ちます。

    設計原則

    転送ルータと PrivateLink を組み合わせることで、企業はサービス共有トンネルを確立し、アカウントと VPC をまたいで共有サービスに簡単、柔軟、かつ安全にアクセスできます。エンタープライズクラスのサービス共有設計は、以下の原則に従う必要があります。

    安定性: 企業はネットワークを設計する際に安定性を最優先し、ゾーンをまたいでサービスをデプロイし、複数のトンネルを確立して安定性を確保する必要があります。

    セキュリティコンプライアンス: 企業は通常、多数のテナントアカウントと VPC を作成して障害を分離し、事業部門間でセキュリティ制御を実施します。このシナリオでは、多くの企業がアカウントをまたいで異なる VPC にデプロイされた共有サービスにアクセスする必要があります。したがって、企業は最小権限の原則に基づいて、安全な階層型サービス共有アーキテクチャを設計することが重要です。

    高パフォーマンス: エンタープライズクラスのサービス共有環境では、共有サービスへの予期しないユーザートラフィックの急増を処理する上で、弾力性が重要な役割を果たします。この課題に対応するため、企業は転送ルータと PrivateLink を併用してリソースを動的にスケーリングし、変動するワークロードを処理し、サービス品質を維持できます。

    主要設計

    安定性

    • 転送ルータと PrivateLink は、高パフォーマンスのネットワーク機能仮想化 (NFV) プラットフォームに依存しています。したがって、ゾーン間およびゾーン内のディザスタリカバリをサポートし、ビジネスの信頼性と安定性を確保します。

    • 本番 VPC を共有サービスがデプロイされている VPC に接続する場合、複数のゾーンに転送ルータを作成して高可用性を確保できます。さらに、転送ルータとビジネスの vSwitch を同じゾーンにデプロイして近接アクセスを実現し、ネットワーク遅延を削減できます。

    • プロキシとして機能する転送ルータを介して PrivateLink を使用して共有サービスにアクセスする場合、ゾーンをまたいでエンドポイントを作成してプロキシの可用性を向上させることができます。ユーザーは DNS 解決を通じてエンドポイントの IP アドレスを取得できます。

    セキュリティ

    • 転送ルータと PrivateLink を使用して共有サービスにアクセスすると、ユーザートラフィックは Alibaba Cloud の内部ネットワーク内でのみ転送されます。これにより、インターネット経由のデータ送信に起因するデータ侵害のリスクが排除されます。

    • 転送ルータを介して共有サービスにアクセスする場合、セキュリティグループ、ネットワーク ACL、ルート、複数のルートテーブル、および複数の転送ルータを作成して、階層型アクセス制御システム を構築し、ネットワークのセキュリティを強化できます。

    • PrivateLink を介して共有サービスにアクセスする場合、共有サービスの Elastic Network Interface (ENI) にセキュリティグループと認証ルールを作成して、セキュリティとアクセス制御をさらに強化できます。

    パフォーマンス

    • アカウント間通信: 各部門または事業部門に個別のアカウントまたはビジネス環境がある場合、転送ルータと PrivateLink を使用することで、これらの部門または事業部門がアカウントまたは環境をまたいで通信し、同時にアカウントの分離と権限制御を行うことができます。

    • 超大規模: 転送ルータを使用して、数千の VPC を共有サービスがデプロイされている VPC に接続できます。

    • 超高弾力性: 転送ルータは 100G 弾性ネットワークをサポートできます。2 ゾーン PrivateLink サービスを使用する場合、インバウンド帯域幅は最大 50 Gbit/s、アウトバウンド帯域幅は最大 25 Gbit/s に達する可能性があります。より高い帯域幅値が必要な場合は、Alibaba Cloud のテクニカルサポートにお問い合わせください。

    可観測性

    転送ルータと PrivateLink のフローログ機能を有効にすると、ENI を通過するインバウンドトラフィックとアウトバウンドトラフィックをフローログで表示し、NIS を使用してトラフィックフローをソートできます。これにより、ネットワークの透明性と制御性が確保され、各本番環境から共有サービスへのアクセスについて知ることができます。

    ベストプラクティス

    企業は通常、クラウドに次のタイプの公共サービスをデプロイします。内部公共サービスとクラウドサービス (パブリック SaaS サービス)。

    • 内部公共サービス: Active Directory (AD) や Bastionhost など。内部公共サービスは公共サービス VPC にデプロイされ、転送ルータを介してさまざまなビジネスチームがアクセスします。

    • パブリック SaaS サービス: Container Registry や Object Storage Service (OSS) など。コンソール でこれらのサービスを直接構成し、PrivateLink を介してこれらのサービスのエンドポイントに接続できます。

    複数の部門が公共サービス VPC にアクセスできるようにする

    image

    複数ネットワークプレーン設計

    開発、テスト、財務、人事、管理部門など、さまざまな部門に属するネットワークを分離するために、複数の転送ルータをデプロイして個別のネットワークプレーンを作成できます。各転送ルータは部門の VPC に接続します。これにより、ネットワークプレーンが互いに分離されます。

    公共サービス VPC 設計

    • 複数の部門が分離されたネットワークから公共サービスにアクセスする場合、公共サービス VPC に公共サービスをデプロイできます。 その後、部門は専用の転送ルータを介して公共サービス VPC に接続できます。 公共サービス VPC を異なる転送ルータに接続する場合、異なる環境のルートが競合する 場合に備えて、ルート同期を無効にすることをお勧めします。さらに、10.0.0.0/8172.16.0.0/12192.168.0.0/16 などのデフォルトルートを使用して、トラフィックを転送ルータに転送することは避けてください。

    • きめ細かいルート設計: 静的ルートを使用して、トラフィックを異なる転送ルータにルーティングすることをお勧めします。ルートの競合が発生した場合は、最も具体的なルートの原則に基づいて宛先 CIDR ブロックのサイズを調整します。たとえば、公共サービス VPC が TR1 環境の 172.16.1.0/24 CIDR ブロックと TR2 環境の 172.16.0.0/16 CIDR ブロックにアクセスする必要がある場合は、172.16.1.0/24 の TR1 への添付ファイルと 172.16.0.0/16 の TR2 への添付ファイルを作成します。

    パブリック SaaS サービス

    image

    Alibaba Cloud パブリック SaaS サービスにアクセスするための設計 サービス

    Alibaba Cloud SaaS サービスは次のタイプに分類されます。

    • VPC にデプロイされているサービス (ApsaraDB RDS など): 企業は プライベートアドレス を使用して、VPC 内または VPC 間でこれらのサービスにアクセスできます。

    • VPC にデプロイされていないサービス (OSS など): 企業は、Alibaba Cloud が提供するパブリック CIDR ブロック (100.64.0.0/10) を介して、VPC からこれらのサービスにアクセスできます。ただし、企業はカスタムのプライベートアドレスを使用してこれらのサービスにアクセスすることはできません。

    • パブリックアドレスのみを使用するサービス (Alibaba Cloud Model Studio など): これらのサービスには、プライベートアドレスを使用してアクセスすることはできません。

    プライベートアドレスを使用しない SaaS サービスの場合、プライベートアドレスを介してアクセスし、これらのアドレスを一元管理する場合、PrivateLink をプロキシとして使用してアドレスを変換できます。

    公共サービス VPC 設計

    • 転送ルータに接続された vSwitch の CIDR ブロックを設計して、データ伝送とセキュリティを強化します。

    • PrivateLink エンドポイントの vSwitch をゾーンをまたいでデプロイして、高可用性を確保し、単一障害点を防ぎます。

    本番 VPC から SaaS サービスにアクセスするための設計

    • 本番 VPC と公共サービス VPC の両方を転送ルータに接続します。

    • 本番 VPC は転送ルータに接続し、次に公共サービス VPC の PrivateLink エンドポイントを介して SaaS サービスにアクセスします。PrivateLink エンドポイントは、ENI のプライベート IP アドレスまたはドメイン名にすることができます。

    • 本番 VPC のルートテーブルに特定のルートを追加して、PrivateLink を介して SaaS サービスにトラフィックをルーティングします。ルートの競合が発生した場合に備えて、最も具体的なルートを使用することをお勧めします。

    ユースケース

    複数の VPC とアカウントを使用すると、セキュリティ、柔軟性、および管理効率が大幅に向上します。このソリューションをサービス共有アーキテクチャと組み合わせることで、異なる仮想ネットワークとアカウントを持つサービスとリソースを分離し、リソース管理を最適化し、セキュリティを強化できます。 エンタープライズクラスのサービス共有は、次のシナリオに適用されます。

    複数部門認証 (Active Directory システムを使用してクラウドの本番環境を管理する): 企業の各部門には、個別のアカウントと VPC があります。一部の部門は個別のネットワークを使用している場合もあります。このシナリオでは、企業は認証とログイン管理のためにエンタープライズクラスの Active Directory システムが必要です。これを行うには、共有サービスの VPC に Active Directory ドメインサービスをデプロイし、それらを異なる部門の転送ルータに追加します。これにより、各環境の独立性とセキュリティが保証される だけでなく、Active Directory システムと転送ルータ環境がシームレスに連携 し、統合ユーザー認証と管理がサポートされます。 さらに、アクセス制御と IT 管理が簡素化 され、従業員はあらゆる場所またはあらゆる部門からリソースに効率的にアクセス できるようになります。 これにより、業務システムの柔軟性と応答速度が大幅に向上します。

    セキュリティと運用保守 (Bastionhost を使用してログインとアクセスを一元管理する): セキュリティと監視を強化するために、大規模企業の運用保守チームは通常、日々の運用保守と管理活動を行うための統合された安全な環境を必要とします。このシナリオでは、Bastionhost が使用され、VPC にデプロイされ、VPC は転送ルータ環境に接続されます。このようにして、Bastionhost はセキュリティと一元管理のためのエンドポイントを提供し、主要システムへのアクセスを監視および制限できます。Bastionhost を使用することで、企業は管理者の活動を監査および記録し、高リスク操作を監視および追跡し、VPC 間およびアカウント間のアクセス管理を簡素化できます。これにより、セキュリティと効率が大幅に向上します。

    エンタープライズクラスの共有ストレージ (PrivateLink を使用して共有 OSS バケットにアクセスする): 大企業および中規模企業では、ストレージサービスは部門間で共有される主要サービスです。セキュリティと高いリソース使用率を確保するために、ストレージリソースは通常、統合環境にデプロイされ、次に異なる部門に共有されます。企業は PrivateLink を使用して共有 OSS リソースにアクセスし、認証システムと組み合わせて安全かつ高速なデータ伝送チャネルを確立できます。 PrivateLink はクラウド上の効率的なデータ伝送を保証し、インターネットへのデータの露出を回避します。 このソリューションにより、環境全体で安全なストレージリソースの共有が可能になり、ネットワークの分離とデータの機密性が保証され、リソース管理とデータセキュリティポリシーが最適化されます。