ECR を使用して負荷分散専用回線を介してデータセンターを Alibaba Cloud に接続する - Express Connect

このトピックでは、2 つの Express Connect 回線と Express Connect Router (ECR) を使用して、負荷分散された冗長リンクを介してデータセンターを Alibaba Cloud に接続し、VPC との通信を有効にする方法について説明します。

シナリオ

企業は中国 (北京) リージョンにデータセンターを持ち、同じリージョンに転送ルータ (TR) と VPC を作成しています。企業は ECR を使用して、データセンター内のサーバーが負荷分散された冗長リンクを介してクラウドサービスにアクセスできるようにしたいと考えています。通常の状況では、両方のリンクがトラフィックを転送します。双方向転送検出 (BFD) がリンクに到達できないことを検出すると、トラフィックは他のリンクに切り替えられ、業務継続性が確保されます。

手順は次のとおりです。

Express Connect 回線をデプロイする: 2 つの Express Connect 回線をデプロイして、データセンター内の異なる顧客構内機器 (CPE) デバイスと VBR に接続します。2 つの回線は、負荷分散された冗長リンクを形成します。
仮想ボーダールータ (VBR) を作成する: 中国 (北京) リージョンに 2 つの VBR (VBR1 と VBR2) を作成し、データセンターと VPC 間のプライベートネットワークブリッジとして機能させます。
Express Connect Router (ECR) を作成する: データセンターと VPC 間の転送コンポーネントとして機能する ECR を作成します。
VBR と TR を ECR に接続する: VBR1、VBR2、および TR を ECR に接続して、Express Connect 回線とクラウドリソース間の論理的な関連付けを確立します。
BGP を構成し、BFD を有効にする: データセンターと VBR 間のボーダーゲートウェイプロトコル (BGP) 動的ルーティングを構成し、BFD を有効にして、障害発生時の迅速なルートコンバージェンスと自動リンクスイッチオーバーを実装します。

前提条件

中国 (北京) リージョンに VPC を作成し、VPC 内の ECS インスタンスに関連サービスをデプロイしています。
中国 (北京) リージョンに転送ルータ (TR) を作成し、TR の VPC 接続を作成しています。
VPC 内の ECS インスタンスに接続されているセキュリティグループのルールで、IDC からのトラフィックが許可されていることを確認します。詳細については、「セキュリティグループルールの追加」をご参照ください。

手順

ステップ 1: 物理ポートを申請する

このトピックでは、強力なディザスタリカバリ機能を提供する高信頼性モードでポートを申請できます。申請を送信すると、システムは 2 つの物理ポートインスタンスを作成します。

ステップ 2: VBR を作成する

Express Connect コンソールにログオンし、上部のナビゲーションバーで中国 (北京) リージョンを選択します。
[物理ポート] ページで、対象の物理ポートインスタンスをクリックします。詳細ページで、[VBR の作成] をクリックして VBR1 を作成します。
[VBR の作成] パネルで、アカウントタイプとして [現在のアカウント] を選択し、次の主要パラメータを構成して、[OK] をクリックします。
上記の手順を繰り返して VBR2 を作成し、[OK] をクリックします。

ステップ 3: ECR を作成し、TR と VBR に接続する

ECR を作成する
1. 左側のナビゲーションウィンドウで、[Express Connect Router] をクリックし、[Express Connect Router の作成] をクリックします。
2. ダイアログボックスで、[ASN] に 64512 と入力し、その他のパラメータはデフォルト値のままにし、課金ルールに同意するためのチェックボックスをオンにして、[OK] をクリックします。
ECR を VBR に接続する
1. 対象の ECR インスタンスの ID をクリックします。[VBR] タブで、[VBR の追加] をクリックします。
2. 表示されるダイアログボックスで、次のパラメータを構成し、[OK] をクリックします。
  - [リソースの所有権]: 同じアカウント を選択します。
  - [リージョン]: 中国 (北京)。
  - [ネットワークインスタンス]: 作成した VBR1 インスタンスを選択します。
3. 上記の手順を繰り返して、ECR を VBR2 に接続します。
ECR を TR に接続する
1. 対象の ECR インスタンスの ID をクリックし、[TR] タブをクリックします。
2. [転送ルータとの関連付け] をクリックします。ダイアログボックスで、次のパラメータを構成し、リストされていないパラメータはデフォルト値のままにして、[OK] をクリックします。
  - [CEN ID]: 作成した CEN インスタンスを選択します。
  - [リージョン]: 中国 (北京)。
  - [転送ルータ]: 作成した転送ルータインスタンスを選択します。

ステップ 4: BGP を構成し、BFD を有効にする

オンプレミスゲートウェイデバイスと VBR の BGP ピアを構成する必要があります。両方の BGP ピアのステータスが [確立済み] になると、BGP セッションが正常に確立され、ルーティング情報を交換できます。

ピア関係が確立されると、データセンターは BGP を介してクラウドルートを自動的に学習できます。VBR がデータセンターへのルートを自動的に学習できるように、オンプレミスゲートウェイデバイスでデータセンターの CIDR ブロックをアドバタイズします。上記の構成が完了すると、データセンター内のサーバーはクラウドリソースにアクセスできます。

VBR で BGP ルートを構成する

Express Connect コンソールにログオンして、VBR1 の BGP ルートを構成します。
左側のナビゲーションウィンドウで、[仮想ボーダールータ (VBR)] をクリックします。対象の VBR1 インスタンスを見つけて、その ID をクリックします。詳細ページで、BGP ルートを構成します。
1. [BGP グループの作成] をクリックし、次のパラメータを構成して、[OK] をクリックします。
  - [ピア AS 番号]: IDC ネットワークの AS 番号 6***3 を入力します。
  - [ローカル AS 番号]: Alibaba Cloud 側の AS 番号 64512 を入力します。VBR の BGP ASN は ECR の ASN を継承します。
2. [BGP ピアの作成] をクリックし、次のパラメータを構成し、[BFD を有効にする] を選択して、[OK] をクリックします。
  - [BGP グループ]: 作成した BGP グループを選択します。
  - [BGP ピア IP]: BGP ピアの IP アドレスを入力します。このトピックでは、Express Connect 回線に接続する CPE1 のインターフェイスの IP アドレス 10.10.1.5 を入力します。
上記の手順を繰り返して、VBR2 の BGP ルートを構成します。

データセンターで BGP ルートを構成する

データセンターから VPC にアドバタイズされる BGP ルート

このトピックでは、2 つの VBR は同じリージョンにあり、どちらも BGP ルーティングを使用しています。したがって、2 つのリンクはデフォルトで負荷分散されます。

同じリージョンの VBR が同じルーティングメソッドを使用する場合、2 つの VBR インスタンスが受信するデータセンターへのルートは、自動的に負荷分散リンクを形成します。これには、データセンターから 2 つの VBR にアドバタイズされるルート属性が一貫している必要があります。データセンターから 2 つの VBR にアドバタイズされるルート属性に矛盾がある場合は、一貫性を確保してください。たとえば、CPE1 と CPE2 から VBR にアドバタイズされるルートの AS パスに矛盾がある場合は、次の方法を使用して AS パスの一貫性を確保できます。

説明

構成コマンドはベンダーとデバイスによって異なります。このトピックでは、主要なパラメータのみをリストしています。具体的なコマンドについては、デバイスベンダーにお問い合わせください。

構成	CPE1	CPE2
VLAN タグ	1308	1309
ネットワーク	192.168.0.0/16	192.168.0.0/16
BGP ASN	6***3	6***4
インターフェイス IP	10.10.1.5	10.10.2.5
AS パス	A	A

VPC からデータセンターにアドバタイズされる BGP ルート

CPE1 と CPE2 は、VPC へのルートを BGP を介して同時に学習します。データセンターが負荷分散リンクを介して CPE1 と CPE2 の両方からクラウドリソースにアクセスできるように、ルートの優先順位が一貫していることを確認します。

ステップ 5: テストと検証

ネットワーク接続をテストします。
VPC 内の ECS インスタンスにログオンし、ping <データセンター内のクライアントの IP アドレス> コマンドを実行して、データセンター内のクライアントにアクセスします。
次の図に示すような応答メッセージを受信した場合、データセンターと VPC 間のネットワーク接続が確立されています。
traceroute コマンドを実行して、2 つの Express Connect 回線が負荷分散接続を提供しているかどうかを確認します。traceroute がインストールされていない場合は、sudo yum install traceroute を実行して CentOS システムにインストールできます。
- VPC からデータセンター
  VPC 内の ECS インスタンスにログオンし、traceroute <データセンター内のクライアントの IP アドレス> コマンドを実行します。次の図に示すような応答メッセージを受信した場合、VPC からデータセンターへのトラフィックは負荷分散されています。
- データセンターから VPC
  データセンター内のクライアントにログオンし、traceroute <VPC 内の ECS インスタンスの IP アドレス> コマンドを実行します。次の図に示すような応答メッセージを受信した場合、データセンターから VPC へのトラフィックは負荷分散されています。
VBR1 でリンク障害をシミュレートします。このトピックでは、障害訓練機能を使用して VBR1 リンクの切断をシミュレートし、トラフィックが他のリンクに切り替えられるかどうかをテストします。
traceroute コマンドを再度実行して、トラフィックが VBR2 リンクに切り替えられるかどうかをテストします。
- VPC からデータセンター
  VPC 内の ECS インスタンスにログオンし、traceroute <データセンター内のクライアントの IP アドレス> コマンドを実行します。次の図に示すような応答メッセージを受信した場合、VPC からデータセンターへのトラフィックは VBR2 に切り替えられています。
- データセンターから VPC
  データセンター内のクライアントにログオンし、traceroute <VPC 内の ECS インスタンスの IP アドレス> コマンドを実行します。次の図に示すような応答メッセージを受信した場合、データセンターから VPC へのトラフィックは VBR2 に切り替えられています。