Virtual Private Cloud:VPC に関するよくある質問

異なる VPC を相互接続してリソースアクセスを許可するにはどうすればよいですか?

VPC ピアリング接続またはクラウドエンタープライズネットワーク (CEN) を使用して、同じアカウントとリージョン、または異なるアカウントとリージョンにある VPC を接続できます。2 つの方法の比較については、「VPC 相互接続」をご参照ください。

失敗した VPC ピアリング接続のトラブルシューティングを行うにはどうすればよいですか?

次のトラブルシューティング方法を使用できます。また、ネットワークインテリジェンスサービス - パス分析 ツールを使用して、問題の診断に役立てることもできます。

1. ルートを確認する:

   • VPC ピアリング接続が「有効」状態であることを確認します。

   • 両方の VPC 内の vSwitch のルートテーブルを確認します。ルートがピア VPC の CIDR ブロックを指しており、ルートのネクストホップが VPC ピアリング接続であることを確認します。

2. セキュリティグループとネットワーク ACL を確認する:

   • 送信元 ECS インスタンスと宛先 ECS または RDS インスタンスのセキュリティグループルールとネットワーク ACL ルールを確認します。

   • 宛先インスタンスのセキュリティグループとネットワーク ACL のインバウンドルールで、送信元 VPC の CIDR ブロックまたは特定の IP アドレスからのトラフィックが必要なサービスポートにアクセスできるように設定されていることを確認します。

   • 送信元インスタンスのセキュリティグループとネットワーク ACL のアウトバウンドルールで、アウトバウンドトラフィックがブロックされていないことを確認します。

3. CIDR ブロックの競合を確認する:

   • 2 つの VPC の CIDR ブロックが重複しているかどうかを確認します。VPC ピアリング接続を使用する場合は、2 つの VPC の CIDR ブロックが重複していないことを確認します。

   • ECS インスタンス上の Docker または Kubernetes (K8s) コンテナーの CIDR ブロックが、ピア VPC の CIDR ブロックと競合していないかどうかを確認します。これはよくあることですが、見落とされがちな接続障害の原因です。競合が存在する場合、ルート、セキュリティグループ、およびネットワーク ACL が正しく構成されていても、ネットワーク接続は失敗します。

VPC ピアリング接続を構成するときに CIDR ブロックの競合を解決するにはどうすればよいですか?

相互に通信する必要がある 2 つの VPC の CIDR ブロックが重複している場合は、次のいずれかの解決策を選択してください。

1. ネットワークを再計画する (推奨): いずれかの VPC のリソースを、CIDR ブロックが他の VPC と重複しない新しい VPC に移行します。これは最も包括的なソリューションです。

2. クラウドエンタープライズネットワーク (CEN) と VPC NAT ゲートウェイを使用する: CIDR ブロックの重複を含むより複雑なシナリオでは、CEN と VPC NAT ゲートウェイのプライベート NAT 機能を組み合わせて使用することで、一方の VPC の IP アドレスを別のアドレス範囲にマッピングして通信を有効にすることができます。このソリューションはアーキテクチャがより複雑で、コストも高くなります。詳細については、「VPC NAT ゲートウェイを使用して、CIDR ブロックが重複する VPC のプライベートネットワークアクセスを有効にする」をご参照ください。

VPC ピアリング接続を作成した後、一部の IP アドレスにアクセスできません。この問題のトラブルシューティングを行うにはどうすればよいですか?

この問題は通常、より具体的なルートまたはセキュリティグループルールが原因で発生します。

• ルーティングの問題: 両方の VPC のルートテーブルを確認します。優先順位の高い (最長プレフィックス一致ルールに基づく) より具体的なルートが、デフォルトルートで指定された NAT ゲートウェイなどの別の宛先にトラフィックを転送していないかどうかを確認します。

• セキュリティグループの問題: 宛先インスタンスのセキュリティグループのインバウンドルールを確認し、一部の送信元 IP アドレスからのアクセスのみが許可されているかどうかを判断します。

• ネットワーク ACL の問題: ネットワーク ACL が一部のサブネットからのトラフィックのみを許可しているかどうかを確認します。

リクエスト元の VPC はリクエスト先の VPC に ping を実行できますが、その逆はできないのはなぜですか?

一方向の接続性は通常、非対称な構成が原因で発生します。両方の VPC 内の ECS インスタンスのセキュリティグループとネットワーク ACL ルールを確認し、アウトバウンドとインバウンドの両方のトラフィックが許可されていることを確認します。

VPC A と VPC B の間、および VPC B と VPC C の間に VPC ピアリング接続を作成しました。VPC A と VPC C が通信できないのはなぜですか?

VPC ピアリング接続は推移的ではありません。

これは、VPC A と VPC B の間にピアリング接続が確立され、VPC B と VPC C の間に別のピアリング接続が確立されている場合、VPC A と VPC C は VPC B を介して通信できないことを意味します。

スター型またはメッシュ型ネットワークトポロジの構築など、複数の VPC 間の完全な接続を実現するには、CEN プロダクトを使用します。

VPC ピアリング接続が確立されています。ピア VPC の RDS や Redis などのクラウドサービスにアクセスできないのはなぜですか?

この問題は、ECS インスタンスの接続障害に似ています。ただし、この問題のトラブルシューティングを行う場合は、クラウドサービス自体のアクセス制御設定も確認する必要があります。

1. 基本的な接続性チェックを実行する: 失敗した VPC ピアリング接続のトラブルシューティングを行うにはどうすればよいですか? のチェックリストに従って、ルーティング、ネットワークセグメント、セキュリティグループ、およびネットワーク ACL の構成を確認し、ネットワークリンクが確立されていることを確認します。

2. クラウドサービスの IP アドレスホワイトリストを確認する: RDS、Redis、MongoDB など、ほとんどのデータベースおよびキャッシュサービスは、IP アドレスホワイトリスト機能を提供しています。送信元 ECS インスタンスのプライベート IP アドレスまたは CIDR ブロックを、宛先クラウドサービスの IP アドレスホワイトリストに追加します。

VPC ピアリング接続は、クロスアカウントおよびクロスリージョンのシナリオをサポートしていますか?

はい、サポートしています。クロスリージョン接続を使用する場合、クラウドデータ転送 (CDT) は、アウトバウンドトラフィックに対してデータ転送料金を請求することに注意してください。

注: クロスサイト接続はサポートされていません。たとえば、中国サイト (aliyun.com) と国際サイト (alibabacloud.com) の VPC は相互に通信できません。

IPv4 ゲートウェイを削除した後、インターネットにアクセスできないのはなぜですか?

最も一般的な理由は、IPv4 ゲートウェイを削除するときに、パブリックモードではなくプライベートモードを選択したことです。プライベートモードで IPv4 ゲートウェイを削除すると、VPC 内のすべてのリソースがインターネットと通信できなくなります。

IPv4 ゲートウェイなしでインターネットにアクセスできる状態に VPC を復元するには、IPv4 ゲートウェイを再作成してから削除し、パブリックモードを選択します。詳細については、「IPv4 ゲートウェイ」をご参照ください。

VPC のプライマリ CIDR ブロック内の ECS インスタンスは、同じ VPC のセカンダリ CIDR ブロック内の ECS インスタンスと通信できますか?

はい、できます。プライマリ CIDR ブロックとセカンダリ CIDR ブロック内の ECS インスタンスはすべて、同じ VPC 内のインスタンスです。セキュリティグループとネットワーク ACL ルールでトラフィックが許可されている場合、それらは相互に通信できます。

VPC の ClassicLink を有効にした後、クラシックネットワーク ECS インスタンスは VPC のセカンダリ CIDR ブロック内のクラウドリソースと通信できますか?

いいえ、できません。セカンダリ CIDR ブロックは ClassicLink 機能と互換性がありません。

VIP が HaVip に関連付けられた後、フェイルオーバーに失敗するのはなぜですか?

高可用性仮想 IP アドレス (HaVip) 構成の最も一般的な問題は、プライマリノードに障害が発生した後、仮想 IP アドレス (VIP) がセカンダリノードに自動的にフェイルオーバーできないことです。考えられる原因は次のとおりです。

• Keepalived サービスが開始されていない: たとえば、CentOS 7.9 では、systemctl status keepalived コマンドを実行してサービスのステータスを確認します。サービスが開始されていない場合は、systemctl start keepalived コマンドを実行して Keepalived を開始します。

• Keepalived 構成が無効である: keepalived.conf ファイルが正しく構成されているかどうかを確認します。次に例を示します。

  • プライマリノードの virtual_router_id がセカンダリノードの virtual_router_id と異なる。

  • プライマリノードとセカンダリノードの authentication 設定が異なる。

  • unicast_peer で指定されたピア IP アドレスが正しくない。

  • virtual_ipaddress で指定された仮想 IP アドレスが HaVip ではない。

• セキュリティグループまたはネットワーク ACL によってブロックされている: セキュリティグループまたはネットワーク ACL ルールが送信元 IP アドレスからのトラフィックをブロックしていないかどうかを確認します。

• インスタンスレベルのファイアウォール: ECS インスタンス上の firewalld や iptables などのファイアウォールが、送信元 IP アドレスからのトラフィックをブロックしていないかどうかを確認します。

ルートを追加した後もネットワーク接続がダウンしたままなのはなぜですか?

正しいルートを構成することは、ネットワーク接続の前提条件の 1 つにすぎません。接続に失敗した場合は、次の手順を実行して問題のトラブルシューティングを行ってください。

1. 双方向ルートチェック: リクエストトラフィックとレスポンストラフィックの両方に対してルートが正しく構成されていることを確認します。たとえば、VPC ピアリング接続の場合は、両方の VPC のルートを構成する必要があります。

2. セキュリティグループルール: 送信元と宛先の ECS インスタンスのセキュリティグループを確認し、必要なプロトコルとポートのトラフィックが許可されていることを確認します。たとえば、ping コマンドでは、ICMP プロトコルを許可する必要があります。

3. ネットワーク ACL ルール: ネットワーク ACL を構成した場合は、そのアウトバウンドルールとインバウンドルールを確認し、関連するトラフィックが許可されていることを確認します。

4. ECS インスタンスレベルのファイアウォール: ECS インスタンスのオペレーティングシステム上のファイアウォール (Linux または Windows ファイアウォール上の iptables や firewalld など) がトラフィックをブロックしていないかどうかを確認します。

5. CIDR ブロックの競合: ネットワークアドレスの競合を確認します。たとえば、ECS インスタンス上の Docker CIDR ブロックがピア VPC の CIDR ブロックと競合していないかどうかを確認します。

6. コンソールの ネットワークインテリジェンスサービス - パス分析 ツールを使用して、2 つのポイント間のネットワーク接続を視覚的に診断できます。

EIP をアタッチした後、ECS インスタンスがインターネットにアクセスできない場合はどうすればよいですか?

次の手順を実行して確認します。

1. IPv4 ゲートウェイと VPC ルートテーブル: VPC の IPv4 ゲートウェイが有効になっている場合は、ECS インスタンスが属する vSwitch のルートテーブルを確認します。デフォルトルート (0.0.0.0/0) が IPv4 ゲートウェイを指していることを確認します。

2. セキュリティグループルール: ECS インスタンスが属するセキュリティグループのアウトバウンドルールを確認します。デフォルトでは、すべてのアウトバウンドトラフィックが許可されています (0.0.0.0/0)。アウトバウンドアクセスが誤って制限されていないことを確認します。

3. ネットワーク ACL ルール: vSwitch のネットワーク ACL を構成した場合は、そのアウトバウンドルールを確認し、アウトバウンドトラフィックが許可されていることを確認します。

4. 支払い遅延: Alibaba Cloud アカウントに支払い遅延がないかどうかを確認します。支払い遅延により、EIP が使用できなくなる場合があります。

5. ECS インスタンスレベルのネットワーク構成: ECS インスタンスのオペレーティングシステム上のネットワーク設定 (ゲートウェイや DNS など) が正しいことを確認します。これらの設定は通常、DHCP を介して自動的に取得されます。

VPC 内の ECS インスタンスにパブリック IP アドレスがないのはなぜですか?

VPC は、ネットワークの分離とセキュリティのために設計されています。デフォルトでは、VPC 内に作成された ECS インスタンスには、内部通信用のプライベート IP アドレスのみが割り当てられます。インスタンスはインターネットにアクセスできません。これは、VPC の主要なセキュリティ機能です。

インスタンスがインターネットにアクセスする必要がある場合は、EIP をアタッチするか、NAT ゲートウェイを構成することによって、この機能を明示的に構成する必要があります。詳細については、「インターネットアクセス」をご参照ください。

VPC はマルチキャストをサポートしていますか?

VPC はネイティブではマルチキャスト機能をサポートしていません。ただし、VPC をクラウドエンタープライズネットワーク (CEN) プロダクトと組み合わせて使用することで、マルチキャスト管理を実装できます。

VPC でプライベート通信にパブリック CIDR ブロックを使用するにはどうすればよいですか?

一部の企業は、オンプレミスデータセンターまたは VPC でのプライベート通信に、30.0.0.0/16 などのパブリック CIDR ブロックを使用しています。これらの CIDR ブロックは、RFC 1918 ではプライベートとして定義されていません。VPC を別の VPC またはオンプレミスデータセンターに接続すると、VPC は RFC 1918 で定義されている CIDR ブロック以外 の IP アドレスをパブリック IP アドレスと見なします。VPC 内のクラウドリソースのインターネットアクセスを有効にすると、30.0.0.0/16 へのトラフィックは、オンプレミスデータセンターまたはピア VPC にトラフィックを転送するルートを構成した場合でも、最初にインターネットにルーティングされます。その結果、宛先 VPC またはオンプレミスデータセンターにアクセスできません。

次のいずれかの方法を使用して、プライベート通信にパブリック CIDR ブロックを使用できます。

• 方法 1: IPv4 ゲートウェイを使用する。

  IPv4 ゲートウェイを使用して、VPC のインターネットアクセス動作を一元的に制御できます。30.0.0.0/16 にアクセスすると、トラフィックは他の VPC またはオンプレミスデータセンターに優先的にルーティングされます。詳細については、「IPv4 ゲートウェイを使用してパブリック IP アドレスのプライベート使用を有効にする」をご参照ください。

• 方法 2: ユーザー CIDR ブロックを使用する。

  30.0.0.0/16 へのリクエストをインターネットに直接転送するのではなく、ルートテーブルに基づいて転送する場合は、CreateVpc オペレーションを呼び出し、VPC を作成するときに UserCidr パラメーターを指定して VPC のユーザー CIDR ブロックを指定できます。ユーザー CIDR ブロックを指定した後、VPC からユーザー CIDR ブロック内のアドレスへのリクエストは、ルートテーブルに基づいて転送されます。

  1. ユーザー CIDR ブロックは、API オペレーションを呼び出すことによってのみ指定できます。コンソールでユーザー CIDR ブロックを指定することはできません。ユーザー CIDR ブロックが作成された後、変更することはできません。

  2. VPC の IPv4 CIDR ブロックのみを指定する場合、RFC 1918 (192.168.0.0/16、172.16.0.0/12、または 10.0.0.0/8) で定義されている標準のプライベート CIDR ブロックでも、これらの CIDR ブロックのサブネットでもないカスタム CIDR ブロックを選択すると、システムはデフォルトでプライマリ CIDR ブロックをユーザー CIDR ブロックとして指定します。

VPC とクラシックネットワークの違いは何ですか?

クラシックネットワークは、Alibaba Cloud が提供する初期のネットワークタイプです。デフォルトでは、クラシックネットワークは VPC と通信できません。このネットワークタイプは段階的に廃止されており、推奨されなくなりました。新しいリソースはすべて VPC にデプロイする必要があります。

VPC をクラシックネットワークに接続するにはどうすればよいですか?

詳細については、「ClassicLink を使用してクラシックネットワークと VPC を接続する」をご参照ください。

Alibaba Cloud VPC をオンプレミスデータセンターに接続するにはどうすればよいですか? Alibaba Cloud VPC を AWS または Tencent Cloud VPC に接続するにはどうすればよいですか?

詳細については、「VPC をオンプレミスデータセンターまたは別のクラウドに接続する」をご参照ください。

CIDR ブロックが重複している場合、VPC は別の VPC またはオンプレミスネットワークと通信できますか?

詳細については、以下をご参照ください。

• VPC アドレスの競合が発生した場合に、VPC NAT ゲートウェイを使用してプライベートネットワークアクセスを実装する.

• VPC NAT ゲートウェイと Express Connect 回線を使用して、オンプレミス IDC とクラウド間の通信を有効にする.

• VPC NAT ゲートウェイと VPN ゲートウェイを使用して、クラウド環境とオンプレミス環境間のプライベート通信を有効にする.

IPv4 アドレスを使用して ECS インスタンスがインターネットにアクセスできるようにするにはどうすればよいですか? IPv6 アドレスを使用して ECS インスタンスがインターネットにアクセスできるようにするにはどうすればよいですか?

詳細については、「パブリック IP アドレスタイプを選択する」をご参照ください。

複数の ECS インスタンスがインターネットにアクセスするために同じパブリック IP アドレスを使用するにはどうすればよいですか?

詳細については、以下をご参照ください。

• NAT ゲートウェイを使用してインターネットトラフィックの出口を統合する.

• VPC ピアリング接続を使用して、複数の VPC がインターネット NAT ゲートウェイを共有できるようにする.

• TransitRouter を使用して、複数の VPC が NAT ゲートウェイを共有できるようにする.

IPv4 ゲートウェイとインターネット NAT ゲートウェイの違いは何ですか?

IPv4 ゲートウェイとインターネット NAT ゲートウェイは異なる機能を提供し、一緒に使用できます。これらのネットワークコンポーネントの関係の詳細については、「インターネットアクセス」をご参照ください。

パブリック IP アドレスとプライベート IP アドレスを切り替えるにはどうすればよいですか?

EIP がアタッチされている ECS インスタンスには、パブリック IP アドレスとプライベート IP アドレスの両方があります。手動で切り替える必要はありません。

• VPC 内の内部通信: VPC 内の他の ECS インスタンスがこの ECS インスタンスにアクセスする場合、常にプライベート IP アドレスを使用する必要があります。トラフィックは VPC 内で完全に送信されるため、高速で無料です。

• インターネットアクセス: インターネット上のユーザーまたは他のデバイスがこの ECS インスタンスにアクセスする場合、またはこの ECS インスタンスがアクティブにインターネットにアクセスする場合は、パブリック IP アドレス (EIP) を使用する必要があります。

VPC を使用して ECS インスタンスが内部ネットワーク経由で OSS にアクセスできるようにするにはどうすればよいですか?

詳細については、「VPC からの Alibaba Cloud サービスへのプライベートアクセス」をご参照ください。

特定の IP アドレスからのみ ECS インスタンスへのアクセスを許可するにはどうすればよいですか? ネットワーク ACL とセキュリティグループの違いは何ですか?

詳細については、「リソースアクセス管理」をご参照ください。

異なるセキュリティグループ間で通信を有効にするにはどうすればよいですか?

基本セキュリティグループを承認オブジェクトとして使用できます。ただし、この機能はエンタープライズセキュリティグループではサポートされていません。詳細については、「セキュリティグループを承認オブジェクトとして使用する」をご参照ください。

基本セキュリティグループのインバウンドルールまたはアウトバウンドルールを構成する場合、送信元または宛先を別の基本セキュリティグループに直接設定できます。この方法は、CIDR ブロックを承認するよりも柔軟です。後でセキュリティグループに新しい ECS インスタンスを追加したり、インスタンスの IP アドレスを変更したりする場合、セキュリティグループルールを変更する必要はありません。新しいインスタンスは、必要なアクセス権限を自動的に取得します。

有効にならないセキュリティグループルールのトラブルシューティングを行うにはどうすればよいですか?

1. ルールの優先順位: ルールが優先順位の高いルールと競合していないかどうかを確認します。

2. 方向が正しくない: ルールがインバウンドトラフィックとアウトバウンドトラフィックのどちらに構成されているかを確認します。ECS インスタンスへのアクセスはインバウンドトラフィックです。外部リソースにアクセスする ECS インスタンスはアウトバウンドトラフィックです。

3. オブジェクトが正しくない: セキュリティグループが宛先 ECS インスタンスの ENI に正しく適用されていることを確認します。

4. ネットワーク ACL によってブロックされている: ネットワーク ACL が ECS インスタンスが属する vSwitch に関連付けられており、ネットワーク ACL のルールがトラフィックを拒否しているかどうかを確認します。

5. インスタンスレベルのファイアウォール: オペレーティングシステムのファイアウォール設定を確認します。

6. ルーティングの問題: トラフィックが ECS インスタンスに正しくルーティングできることを確認します。

ECS インスタンスを別の VPC に移行するにはどうすればよいですか?

詳細については、「ECS インスタンスの VPC を変更する」をご参照ください。

VPC でカスタム DNS サーバーを指定できますか?

はい、できます。DHCP オプションセット機能を使用して、VPC のデフォルトの DNS サーバー構成を、ECS インスタンス上のセルフマネージド DNS サーバー、データセンター内の DNS サーバー、またはサードパーティのパブリック DNS サービスに変更できます。指定したサーバーが VPC から到達可能であることを確認します。詳細については、「セルフマネージド DNS サービスを使用する」をご参照ください。

VPC ピアリング接続は、中国サイトと国際サイトのアカウントに属する VPC を接続できますか?

いいえ、できません。

コンプライアンス要件により、中国サイト (aliyun.com) と国際サイト (alibabacloud.com) のアカウントに属する VPC 間で VPC ピアリング接続を確立することはできません。

VPC ピアリング接続は、国境を越えたプライベートネットワーク通信をサポートしていますか?

サポートされています。

国境を越えたピアリング接続の場合、クラウドデータ転送 (CDT) は、アウトバウンドトラフィックに基づいてデータ転送料金を請求します。CDT の国境を越えた機能を使用するには、国境を越えたクラウド専用回線 ページにアクセスして、企業資格を申請する必要があります。国境を越えた専用回線は、China Unicom によって提供されます。

VPC ピアリング接続のネットワークレイテンシはどのくらいですか?

• リージョン内ピアリング接続: ネットワークレイテンシは低く、通常はミリ秒単位です。

• クロスリージョンピアリング接続: このタイプの接続には異なるリージョン間のデータ送信が伴うため、ネットワークレイテンシは比較的高くなります。具体的なレイテンシは、2 つのリージョン間の物理的な距離とネットワークの状態によって異なります。クラウドネットワーク相互アクセスパフォーマンス監視ツール を使用して、リージョン間の平均ネットワークレイテンシを表示し、ビジネスに適したリンクタイプを選択できます。

CIDR とは何ですか?

クラスレスドメイン間ルーティング (CIDR) は、IP アドレスを割り当て、ルートを集約する方法です。ネットワーク管理の効率を向上させ、ルートテーブルを簡素化します。

CIDR は、192.168.1.0/24 のようなスラッシュ表記を使用します。

• スラッシュの前の部分はネットワークアドレスで、範囲内の最初の IP アドレスです。

• スラッシュの後の数字はプレフィックス長です。サブネットマスク内の連続する先頭の 1 の数を示します。残りのビットはホストアドレスに使用されます。

CIDR ブロックは、同じネットワークプレフィックスとビット数を共有する IP アドレスの集合です。大きな CIDR ブロックは、異なるネットワークプレフィックスとビット数を持つ小さな CIDR ブロックに分割できます。このプロセスはサブネット化と呼ばれます。CIDR ブロックは、最新のネットワーク計画の基盤です。VPC と vSwitch のサブネット化は、この原則に基づいています。

例:

• 192.168.0.0/16: 最初の 16 ビットはネットワーク用、最後の 16 ビットはホスト用で、2 の 16 乗個の IP アドレスが含まれています。この CIDR ブロックには、192.168.1.0/24 と 192.168.2.0/26 が含まれます。

• 10.0.0.0/8: 最初の 8 ビットはネットワーク用、最後の 24 ビットはホスト用で、2 の 24 乗個の IP アドレスが含まれています。この CIDR ブロックには、10.1.0.0/16 と 10.2.0.0/24 が含まれます。

• 172.16.0.0/12: 最初の 12 ビットはネットワーク用、最後の 20 ビットはホスト用で、2 の 20 乗個の IP アドレスが含まれています。この CIDR ブロックには、172.17.0.0/16 と 172.18.0.0/24 が含まれます。

VPC と vSwitch を作成するときは、CIDR ブロックの形式でネットワークセグメントを指定する必要があります。vSwitch 内の一部の IP アドレスは システムによって予約されているため、使用可能な IP アドレスの実際の数は理論値よりも少ないことに注意してください。

VPC の CIDR ブロックを変更するにはどうすればよいですか?

• プライマリ CIDR ブロックを調整する:

  VPC を作成するときに指定する IPv4 CIDR ブロックは、プライマリ CIDR ブロックです。コンソールで VPC のプライマリ CIDR ブロックを変更することはできません。ただし、ModifyVpcAttribute オペレーションを呼び出し、CidrBlock パラメーターを変更して、プライマリ CIDR ブロックを拡張または縮小できます。CIDR ブロックを縮小する場合は、新しいブロックに使用中のすべての IP アドレスが含まれていることを確認してください。

  VPC の IPv6 を有効にした後に割り当てられた IPv6 CIDR ブロックは変更できません。

• セカンダリ CIDR ブロックを使用する: セカンダリ CIDR ブロックを使用してアドレス範囲を拡張することで、プライマリ CIDR ブロックに加えて、VPC にセカンダリ CIDR ブロックを追加できます。セカンダリ CIDR ブロックとプライマリ CIDR ブロックは同時にアクティブになり、vSwitch の作成や ECS インスタンスのデプロイなどのリソースの作成に使用できます。

vSwitch の CIDR ブロックを変更するにはどうすればよいですか?

vSwitch を作成した後、vSwitch の IPv4 または IPv6 CIDR ブロックを変更することはできません。

vSwitch の CIDR ブロックを変更するには、vSwitch を削除してから、新しい CIDR ブロックを使用して新しい vSwitch を作成する必要があります。vSwitch を削除する前に、ECS インスタンス、SLB インスタンス、RDS インスタンスなど、vSwitch からすべてのクラウドリソースを解放または移行する必要があります。これはリスクの高い操作です。必ずデータをバックアップし、移行計画を作成してください。

VPC を作成するときにどの CIDR ブロックを選択すればよいですか?

VPC の CIDR ブロックを選択することは、ネットワーク計画の重要なステップです。次の原則に従ってください。

• 標準のプライベート CIDR ブロックを使用する: 10.0.0.0/16、172.16.0.0/16、192.168.0.0/16 など、RFC 1918 で定義されている標準のプライベート CIDR ブロックを使用することをお勧めします。100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、または 169.254.0.0/16 を VPC の CIDR ブロックとして使用することはできません。

• オンプレミスデータセンターまたは他のネットワーク環境との競合を避ける: VPC をオンプレミスネットワーク、別の VPC、または別のクラウドに接続する場合は、VPC の CIDR ブロックがこれらのネットワークの CIDR ブロックと競合していないことを確認してください。

• 十分なアドレス空間を確保する: 将来のビジネス規模に基づいて必要な IP アドレスの数を見積もり、十分に大きな CIDR ブロックを選択してください。これにより、将来アドレスが不足するために複雑なネットワーク再構築を行う必要がなくなります。

• 一般的に使用されるコンテナーネットワーク CIDR ブロックとの競合を回避する: VPC で Docker または Kubernetes (K8s) を使用する予定がある場合は、通信障害を防止するため、172.17.0.0/16 などのデフォルトのコンテナー CIDR ブロックを使用しないことを推奨します。

VPC に IPv6 CIDR ブロックを割り当てるにはどうすればよいですか? IPv6 アドレスを使用してインターネットにアクセスするにはどうすればよいですか?

仮想プライベートクラウド (VPC) と vSwitch の IPv6 を有効にすると、システムは自動的に IPv6 ゲートウェイ を作成し、IPv6 CIDR ブロックを割り当てます。デフォルトでは、この構成はプライベートネットワーク通信のみをサポートします。インターネット通信が必要な場合は、IPv6 パブリック帯域幅 を有効にできます。詳細については、「IPv6 を有効化/無効化する」をご参照ください。

VPC に IPv6 CIDR ブロックのみを割り当てることはできますか (IPv6 のみ)?

いいえ、できません。VPC は現在、IPv4 のみとデュアルスタック (IPv4 と IPv6) をサポートしていますが、IPv6 のみはサポートしていません。

既存の ECS インスタンスに特定のプライベート IP アドレスを割り当てるにはどうすればよいですか?

詳細については、「既存の ECS インスタンスのプライマリプライベート IPv4 アドレスを変更する」をご参照ください。

CIDR ブロックが重複している場合、Docker ネットワークと VPC が通信できないのはなぜですか?

これは、クラウドネットワーク計画における典型的な問題です。ECS インスタンスにデプロイされた Docker または K8s ポッドネットワークが、VPC 内の別の vSwitch の CIDR ブロックまたはピアリング接続のピア VPC の CIDR ブロックと重複すると、ルートの競合が発生し、通信に失敗します。

• 原因: デフォルトの Docker CIDR ブロックが 172.17.0.0/16 で、VPC 内の vSwitch B の CIDR ブロックが 172.17.0.0/24 であるとします。Docker コンテナー内のアプリケーションが vSwitch B の IP アドレスにアクセスしようとすると、ECS インスタンスのオペレーティングシステムは、VPC ルートテーブルに基づいてトラフィックを転送する代わりに、独自のルートテーブルに基づいてトラフィックをローカルの docker0 ブリッジに誤ってルーティングします。これにより、通信に失敗します。

• 解決策:

  1. Docker/K8s ネットワーク構成を変更する: /etc/docker/daemon.json などの Docker デーモンプロセスの構成ファイルを変更して、相互接続されたすべての VPC とオンプレミスデータセンターを含む、クラウドネットワーク環境全体と競合しないプライベート CIDR ブロックを指定します。これは最も基本的な解決策です。

  2. VPC CIDR ブロックを計画する際の落とし穴を避ける: VPC と vSwitch の CIDR ブロックを計画する際は、172.17.0.0/16 や 10.0.0.0/8 の一部のサブネットなど、K8s で一般的に使用される CIDR ブロックを使用しないようにしてください。

新しい VPC とオンプレミスデータセンターまたは別のクラウドプラットフォーム上の VPC 間の CIDR ブロックの競合を防ぐために、IPAM プールの CIDR ブロックを構成するにはどうすればよいですか?

1. IP アドレスマネージャー (IPAM) を有効にする前に、オンプレミスデータセンター、オフィスネットワーク、その他のクラウドなど、相互接続する必要があるすべてのネットワーク環境を確認します。使用されているすべての CIDR ブロックを記録します。

2. IPAM プールの CIDR ブロックをプロビジョニングする場合は、これらの使用済みネットワークセグメントを含める必要があります。

3. IPAM プールで カスタム割り当てを作成することによって、これらのアドレスセグメントを予約します。

4. 後続の新しい VPC CIDR ブロックはすべて IPAM によって割り当てられます。IPAM は使用済みのすべての CIDR ブロックを記録しているため、割り当てる新しい CIDR ブロックは既存の CIDR ブロックと競合しません。

HaVip は IPv6 をサポートしていますか?

いいえ、サポートしていません。現在、IPv4 のみがサポートされています。

依存リソースがあるため VPC または vSwitch を削除できないというメッセージが表示された場合はどうすればよいですか?

コンソールの指示に従って依存リソースを削除してから、VPC または vSwitch を削除します。

リソース管理の VPC インスタンス詳細ページまたはクラウドリソース管理の vSwitch インスタンス詳細ページで、既存のリソースを表示できます。

VPC を削除するときに ENI を削除できない場合はどうすればよいですか?

Elastic Network Interface (ENI) は、VPC または vSwitch の削除を妨げる可能性のある一般的なタイプのリソースです。

• プライマリ ENI: プライマリ ENI は ECS インスタンスと一緒に作成されます。そのライフサイクルは ECS インスタンスにバインドされています。プライマリ ENI は個別にデタッチまたは削除できません。プライマリ ENI を削除するには、ECS インスタンスを解放する必要があります。

• セカンダリ ENI: セカンダリ ENI の場合は、削除する前に ECS インスタンスからデタッチする必要があります。

• 他のクラウドサービスによって管理されている: Application Load Balancer (ALB)、Network Load Balancer (NLB)、Container Service for Kubernetes (ACK)、Function Compute (FC) などの一部のクラウドサービスは、ENI を自動的に作成および管理します。これらの ENI を削除するには、対応するクラウドサービスのコンソールに移動し、ACK クラスタなどのサービスインスタンスを削除する必要があります。その後、サービスは作成した ENI を自動的に削除します。

CEN と TR はセカンダリ CIDR ブロックのルートを自動的に追加しますか?

ルート学習 機能が Transit Router (TR) の VPC 接続で有効になっており、セカンダリ CIDR ブロックを使用して VPC に vSwitch が作成されている場合、TR は vSwitch のシステムルートを自動的に学習します。

TR は VPC のシステムルートのみの自動学習をサポートしています。カスタムルートの場合は、VPC ルートテーブルから CEN にルートを手動で公開するか、CEN にルートを追加する必要があります。

VPC には vRouter がありますか?

はい、あります。各 VPC には vRouter が 1 つだけあります。各 vRouter は複数のルートテーブルを管理できます。

VPC コンソール - ルートテーブル ページ、または DescribeRouteTables API を使用して、ルートテーブルが属する vRouter の ID をクエリできます。

VPC ピアリング接続のルートを構成するにはどうすればよいですか?

VPC ピアリング接続が確立され、アクティブ化された後、2 つの VPC はデフォルトでは相互に通信できません。これは、ピアリング接続を介してピア VPC にトラフィックを転送するルートがないためです。したがって、両方の VPC のルートテーブルに、ピアリング接続を指すルートを追加する必要があります。

詳細については、「ルートを構成する」をご参照ください。

ルートの宛先 CIDR ブロックには何を入力すればよいですか?

宛先 CIDR ブロックは、このルートが適用される宛先 IP アドレスを定義します。

• 完全一致: データパケットを送信する特定のネットワーク範囲を入力します。たとえば、ピア VPC (192.168.0.0/16) にアクセスするには、192.168.0.0/16 と入力します。

• デフォルトルート: 0.0.0.0/0 はすべての IPv4 アドレスを表します。0.0.0.0/0 へのトラフィックを NAT ゲートウェイに転送することで、VPC 内のパブリック IP アドレスを持たない ECS インスタンスが NAT ゲートウェイを介してインターネットにアクセスできるようにすることができます。

ピアリング接続のリクエスト元とリクエスト先の両方の VPC のルートを構成する必要があるのはなぜですか?

ネットワーク通信は双方向です。ルートを構成する場合は、リクエストトラフィックだけでなく、レスポンストラフィックも考慮する必要があります。一方の VPC のルートのみを構成すると、ネットワーク接続に失敗する可能性があります。

ルートの宛先 CIDR ブロックを vSwitch の CIDR ブロックに設定できますか?

はい、できますが、お勧めしません。

ベストプラクティス: VPC ピアリング接続または VPN ゲートウェイのルートを構成する場合は、宛先 CIDR ブロックを特定の vSwitch CIDR ブロックではなく、ピア VPC の CIDR ブロック全体に設定します。これにより、管理が簡素化されます。きめ細かいアクセス制御要件がある場合にのみ、特定の vSwitch CIDR ブロックを使用する必要があります。

VPC のインターネットトラフィックを監視するにはどうすればよいですか?

フローログ 機能または VPC の ネットワークインテリジェンスサービス - トラフィックアナライザー 機能を使用して、インターネット NAT ゲートウェイや IPv4 ゲートウェイなどのインターネットコンポーネントからトラフィック情報を収集し、インターネットトラフィックを監視できます。詳細については、「フローログ」および「トラフィックアナライザー」をご参照ください。

VPC のネットワークトポロジを表示するにはどうすればよいですか?

ネットワークインテリジェンスサービス - VPC トポロジ 機能を使用して、VPC ネットワークトポロジグラフを生成できます。

VPC はどのように課金されますか?

次の VPC 機能は課金対象です。

• ピアリング接続

• フローログ

• トラフィックミラーリング

次の VPC 機能はパブリックプレビュー中で、現在は無料です。

• IP アドレスマネージャー (IPAM)

• 高可用性仮想 IP アドレス (HaVip)

無料の機能:

• VPC と vSwitch、セカンダリ CIDR ブロック、予約済み CIDR ブロック

• DNS ホスト名、DHCP オプションセット

• ルートテーブル、プレフィックスリスト

• 共有 VPC

• ClassicLink、ゲートウェイエンドポイント

• IPv4 ゲートウェイ、ネットワーク ACL

VPC にクラウドリソースを作成すると、それらのリソースに対して課金されます。詳細については、対応するリソースの課金に関するドキュメントをご参照ください。

VPC ピアリング接続は有料サービスですか?

• リージョン内: 同じリージョン内で VPC ピアリング接続を作成して使用するのは無料です。これは、同じアカウントとクロスアカウントの両方の接続に適用されます。

• クロスリージョン: クロスリージョン VPC ピアリング接続の場合、クラウドデータ転送 は、アウトバウンドトラフィックに基づいてデータ転送料金を請求します。

コストを削減するために VPC ピアリング接続の課金を停止するにはどうすればよいですか?

• リージョン内ピアリング接続は無料です。削除してもコストには影響しません。

• クロスリージョンピアリング接続の場合、データ転送料金の発生を停止するには、ピアリング接続インスタンスを削除する必要があります。