Virtual Private Cloud (VPC) は、1 つの独立した仮想ネットワークです。 そのため、トンネリング技術に基づく安全な環境でクラウドリソースを管理できます。 各 VPC は一意のトンネル ID で識別されます。

開発の背景

クラウドコンピューティング技術の発展に伴い、スケーラビリティ、セキュリティ、信頼性、プライバシー、堅牢な接続性など、仮想ネットワークに対する要求が高まる中、さまざまな仮想ネットワーク技術が生み出されてきました。

大規模レイヤー 2 ネットワークなど、初期のソリューションでは、仮想ネットワークを物理ネットワークと結合して、フラットなネットワークアーキテクチャを形成していました。 しかし、これらのソリューションでは、仮想ネットワークの規模が拡大するにつれ、 ARP スプーフィング、ブロードキャストストーム、 ホストスキャニングなどの深刻な問題が生じます。 そこで、この問題を解決するために、物理ネットワークを仮想ネットワークから完全に分離する、ネットワーク分離技術がさまざま開発されました。 その 1 つが VLAN を利用してユーザーを分離する技術ですが、ユーザー数の上限が 4,096 人に限られるため、 膨大な数のユーザーを抱えるクラウドコンピューティング環境には対応できません。

VPC の仕組み

VPC は、トンネリング技術に基づく安全な環境でクラウドリソースを管理するための独立した仮想ネットワークです。 各 VPC は、一意のトンネル ID で識別されます。同じ VPC 内の Elastic Compute Service (ECS) インスタンス同士の通信では、データパケットが一意のトンネル ID でカプセル化され、物理ネットワーク経由で送信されます。複数の異なる VPC では、ECS インスタンスが 2 つの異なるルーティングプレーン上にあり、トンネル ID も異なるため、これらの ECS インスタンスが互いに通信することはできません。

Alibaba Cloud はトンネリング技術とソフトウェア定義ネットワーク (SDN) 技術を活用することで、ゲートウェイと VSwitch を統合した VPC を開発しました。

論理アーキテクチャ

次の図は、ゲートウェイ、コントローラ、および複数の VSwitch で構成される VPC を示します。 VSwitch とゲートウェイは主要なデータパスを形成します。 コントローラは、主要な構成パスを提供するために、Alibaba Cloud が開発したプロトコルを使用して転送テーブルをゲートウェイと VSwitch に配布します。 アーキテクチャ全体では、構成パスとデータパスは互いに分離されています。 VSwitch は分散ノードです。 ゲートウェイとコントローラはクラスターにデプロイされています。 バックアップとディザスタリカバリ用に複数のデータセンターが配備されており、 ディザスタリカバリ用の冗長リンクも備えています。 このデプロイメントモードにより、VPC の全体的な可用性が向上します。

論理アーキテクチャ