複数の VPC で同じインターネット NAT ゲートウェイを使用できるように VPC ピアリング接続を作成する - NAT Gateway

このトピックでは、複数の VPC で同じインターネット NAT ゲートウェイを使用できるように、仮想プライベートクラウド (VPC) ピアリング接続を作成する方法について説明します。このようにして、VPC はインターネットにアクセスできます。

背景情報

VPC ピアリング接続は、2 つの VPC 間のプライベートネットワーク接続です。 VPC ピアリング接続を確立することで、2 つの VPC が相互に通信できるようにすることができます。複数の VPC ピアリング接続を作成することで、複数の VPC を接続できます。たとえば、VPC1、VPC2、VPC3 という名前の 3 つの VPC がある場合、VPC1 と VPC2 の間に VPC ピアリング接続を作成し、VPC2 と VPC3 の間に接続を作成し、VPC1 と VPC3 の間に接続を作成することで、それらを接続できます。このトピックでは、2 つの VPC がインターネット NAT ゲートウェイを共有できるように、2 つの VPC 間に VPC ピアリング接続を作成する方法について説明します。

詳細については、「VPC ピアリング接続」をご参照ください。

シナリオ例

ある企業が、中国 (成都) リージョンに VPC-A と VPC-B という名前の 2 つの VPC を作成しました。VPC-A では、vSwitch-A1 と vSwitch-A2 が作成され、vSwitch-A1 にインターネット NAT ゲートウェイがあり、vSwitch-A2 に ECS-A インスタンスがあります。VPC-B では、ECS-B インスタンスを使用して vSwitch-B1 が作成されます。ビジネス要件により、VPC-A と VPC-B の両方がインターネットにアクセスする必要があります。

企業は、VPC-A と VPC-B の間に VPC ピアリング接続を作成し、プライベートネットワーク接続を確立するようにルートを設定し、インターネット NAT ゲートウェイで SNAT エントリを設定して、VPC-A と VPC-B の両方が NAT ゲートウェイを介してインターネットにアクセスできるようにすることができます。

手順

ステップ 1：インターネット NAT ゲートウェイを作成する

NAT ゲートウェイコンソールにログインします。
[インターネット NAT ゲートウェイ] ページで、[インターネット NAT ゲートウェイの作成] をクリックします。

[NAT ゲートウェイ] ページで、次のパラメータを設定し、[今すぐ購入] をクリックします。

パラメータ	説明
リージョン	インターネット NAT ゲートウェイを作成するリージョンを選択します。
ネットワークとゾーン	NAT ゲートウェイが属する VPC と vSwitch を選択します。 NAT ゲートウェイの作成後、VPC または vSwitch を変更することはできません。
ネットワークタイプ	この例では、[インターネット NAT ゲートウェイ] が選択されています。インターネット NAT ゲートウェイ: ネットワークアドレス変換機能を提供し、EIP に関連付けることで ECS インスタンスがインターネットにアクセスできるようにし、プライベートネットワークとパブリックネットワーク間の通信を可能にします。 VPC NAT ゲートウェイ: ネットワークアドレス変換機能も提供しますが、EIP に関連付けることはできません。 ECS インスタンスのプライベートネットワーク内でのアドレス変換のみを提供でき、内部アドレスの非表示やアドレス競合の回避などのシナリオに適しています。
Elastic IP アドレス	この例では、[EIP の購入と関連付け] が選択されています。既存のものを選択 EIP インスタンス: [インスタンスに関連付けられていない] EIP を選択します。 EIP の購入と関連付け: デフォルトでは、トラフィック課金 [BGP (マルチ ISP)] EIP が作成されます。ビジネス要件に基づいて、[帯域幅ピーク] を選択できます。説明異なる回線タイプまたは課金方法の EIP を関連付ける場合は、最初に EIP を申請し、次に [既存の EIP を選択] を関連付けます。 NAT ゲートウェイに関連付ける各 EIP は、NAT ゲートウェイが属する vSwitch のプライベート IP アドレスを占有します。 vSwitch に十分な数の使用可能なプライベート IP アドレスがあることを確認してください。そうでない場合、新しい EIP を NAT ゲートウェイに関連付けることはできません。後で設定: 作成された NAT ゲートウェイには、インターネットアクセス機能がありません。 NAT ゲートウェイに EIP を手動で関連付ける必要があります。

[インターネット NAT ゲートウェイ] ページでインターネット NAT ゲートウェイを見つけることができます。

ステップ 2：VPC ピアリング接続を作成する

VPC コンソールにログインします。
左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。
上部のナビゲーションバーで、VPC ピアリング接続を作成するリージョンを選択します。
この例では、[中国 (成都)] リージョンを選択します。
VpcPeer ページで、VPC ピアリング接続の作成 をクリックします。

VPC ピアリング接続の作成 ページで、パラメータを設定し、[OK] をクリックします。

パラメータ	説明
ピアリング接続名	VPC ピアリング接続の名前を入力します。
リソースグループ	VPC ピアリング接続のリソースグループを選択します。
リクエスト元 VPC	ドロップダウンリストからリクエスト元 VPC を選択します。この例では、[VPC-A] を選択します。
承諾者アカウントタイプ	リクエスト元 VPC と承諾者 VPC が同じ Alibaba Cloud アカウントに属しているかどうかを選択します。この例では、[同一アカウント] を選択します。
承諾者リージョンタイプ	リクエスト元 VPC と承諾者 VPC が同じリージョンに属しているかどうかを選択します。この例では、[リージョン内] を選択します。
アクセプター VPC	承諾者 VPC を選択します。この例では、[VPC-B] を選択します。

VpcPeer ページで、VPC ピアリング接続のステータスとその他の情報を表示します。
- アクティブ化された VPC ピアリング接続は、[アクティブ化済み] 状態になり、使用できる状態になります。
- リクエスト元 VPC と承諾者 VPC について、VPC ID、リージョン、CIDR ブロック、所有者 Alibaba Cloud アカウントなどの情報を表示できます。

ステップ 3：ルートを設定する

トラフィックを管理するために、VPC1 と VPC2 にルートを追加します。

VPC コンソールにログインします。
左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。

VPC ピアリング接続 ページで、作成した VPC ピアリング接続を見つけ、次の操作を実行してルートを設定します。

リクエスト元 (VPC-A) のルートを設定する

[リクエスト元 VPC] 列で、[ルートの設定] をクリックします。

[ルートの設定] ダイアログボックスで、次のパラメータを設定し、[OK] をクリックします。

VPC-B の CIDR ブロック 172.16.0.0/16 のルートエントリを追加し、VPC ピアリング接続をポイントして、VPC-B 宛てのトラフィックが VPC ピアリング接続を介して正しく転送されるようにします。

パラメータ	説明
VPC	リクエスト元 VPC が自動的に表示されます。
ルートテーブル	ドロップダウンリストから、VPC に関連付けられたルートテーブルを選択します。
名前	ルートの名前を入力します。
ターゲット CIDR	ルートの宛先 CIDR ブロックを入力します。この例では、[IPv4 CIDR ブロック] を選択し、VPC-B の CIDR ブロック `172.16.0.0/16` を入力します。
ネクストホップ	ネクストホップが自動的に表示されます。

承諾者 (VPC-B) のルートを設定する

[承諾者 VPC] 列で、[ルートの設定] をクリックします。

[ルートの設定] ダイアログボックスで、次のパラメータを設定し、[OK] をクリックします。

0.0.0.0/0 のルートエントリを追加し、VPC ピアリング接続をポイントして、IPv4 トラフィックを VPC ピアリング接続に転送します。

パラメータ	説明
VPC	リクエスト元 VPC が自動的に表示されます。
ルートテーブル	ドロップダウンリストから、VPC に関連付けられたルートテーブルを選択します。
名前	ルートの名前を入力します。
ターゲット CIDR	ルートの宛先 CIDR ブロックを入力します。 VPC-B はインターネット NAT ゲートウェイを介してインターネットにアクセスする必要があるため、この例では、[IPv4 CIDR ブロック] を選択し、`0.0.0.0/0` を入力します。
ネクストホップ	ネクストホップが自動的に表示されます。

ルートの設定後、VPC ピアリング接続 ページに移動し、VPC ピアリング接続の ID をクリックして、ルートエントリ タブで設定済みのルートエントリを表示できます。

ステップ 4：SNAT エントリを作成する

[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [SNAT の設定] をクリックします。
[SNAT 管理] タブで、[SNAT エントリの作成] をクリックします。

[SNAT エントリの作成] ページで、パラメータを設定し、[確認] をクリックします。

パラメータ

説明

SNAT エントリ

この例では、[VPC] が選択されています。ビジネス要件に基づいて SNAT エントリタイプを選択できます。

VPC: VPC 内のすべての ECS インスタンス、および CEN または専用回線を介して接続され、0.0.0.0/0 ルートがこの VPC を指している他の VPC またはデータセンター内の ECS インスタンスが、同じ EIP を介してインターネットにアクセスする必要があるシナリオに適しています。
VSwitch: インターネットアクセスをきめ細かく制御する必要があるシナリオに適しており、指定された vSwitch のみにインターネットアクセス機能を許可します。
ECS/ENI: インターネットアクセスをきめ細かく制御する必要があるシナリオに適しており、指定された ECS インスタンスまたは Elastic Network Interface (ENI) のみにインターネットアクセス機能を許可します。
カスタム CIDR ブロック: NAT ゲートウェイを介してインターネットアクセス機能を設定するために、任意の IP CIDR ブロックを柔軟に指定する必要があるシナリオに適しています。これは、VPC 内、VPC 間、またはオンプレミスデータセンター間のさまざまなネットワーク環境をカバーし、複雑なネットワーク構造またはカスタマイズされたネットワーク構造の要件を満たすことができます。

説明

複数の vSwitch または ECS インスタンス/ENI を選択すると、同じパブリック IP アドレスを使用して複数の SNAT エントリが作成されます。

EIP の選択

インターネットへのアクセスに使用する EIP を選択します。

設定の検証

ワークベンチコンソールを介して ECS1 インスタンスと ECS2 インスタンスにログインします。
ping 223.5.5.5 コマンドを実行します。
検証により、ECS1 インスタンスと ECS2 インスタンスの両方がインターネットに正常にアクセスできることが確認されます。