VPC のネットワーキング、接続性、CIDR ブロックの計画、ルーティング、課金に関するよくある質問への回答。
-
ネットワーク接続
-
VPC A と VPC B 間、および VPC B と VPC C 間にピアリング接続を作成しましたが、VPC A と VPC C が通信できないのはなぜですか?
-
ピアリング接続を確立した後、ピア VPC の RDS や Redis などのクラウドサービスにアクセスできないのはなぜですか?
-
同一 VPC のプライマリ CIDR ブロックとセカンダリ CIDR ブロックにある ECS インスタンスは相互に通信できますか?
-
VPC で ClassicLink を有効化した後、クラシックネットワーク内の ECS インスタンスは、VPC のセカンダリ CIDR ブロック内のクラウドリソースと通信できますか?
-
ECS インスタンスに EIP を関連付けた後、ECS インスタンスがインターネットにアクセスできない場合はどうすればよいですか?
-
ネットワークの計画と設計
-
CIDR ブロックの設定
-
VPC と vSwitch の削除
-
ルーティング
-
ネットワークの運用とモニタリング
-
課金
ネットワーク接続
リソースアクセスのための異なる VPC の接続
ピアリング接続または Cloud Enterprise Network (CEN) を使用して、アカウントやリージョンをまたいで VPC を接続します。これらのオプションについては、VPC connections で比較してください。
ピアリング接続失敗時のトラブルシューティング
このチェックリストに従って問題を切り分けてください。また、Network Intelligence Service のパス解析ツールを使用して問題を診断することもできます。
-
ルートの確認:
-
ピアリング接続が アクティブ 状態であることを確認してください。
-
両端の vSwitch のルートテーブルを確認してください。ルートがピア VPC の CIDR ブロックを指し、ネクストホップがピアリング接続インスタンスであることを確認してください。
-
-
セキュリティグループとネットワーク ACL の確認:
-
送信元および送信先の Elastic Compute Service (ECS) インスタンス (または RDS などの他のサービス) のセキュリティグループとネットワーク ACL ルールを確認してください。
-
送信先のセキュリティグループとネットワーク ACL のインバウンドルールで、送信元 VPC の CIDR ブロック (または特定の送信元 IP アドレス) から必要なサービスのポートへのトラフィックが許可されていることを確認してください。
-
送信元のセキュリティグループとネットワーク ACL のアウトバウンドルールで、アウトバウンドトラフィックが制限されていないことを確認してください。
-
-
CIDR ブロックの競合の確認:
-
2 つの VPC の CIDR ブロックが重複しているかどうかを確認してください。ピアリング接続で接続する VPC には、重複しない CIDR ブロックを使用してください。
-
ECS インスタンス上の Docker または Kubernetes のコンテナ CIDR ブロックが、ピア VPC の CIDR ブロックと競合していないか確認してください。これは、見落とされがちなよくある接続問題の原因です。競合がある場合、ルート、セキュリティグループ、ネットワーク ACL が正しくても接続は失敗します。
-
ピアリング接続における CIDR ブロックの競合の解決
接続する 2 つの VPC の CIDR ブロックが重複している場合は、次のいずれかの方法で解決してください。
-
ネットワークの再設計 (推奨):重複しない CIDR ブロックを持つ新しい VPC にリソースを移行します。
-
CEN と VPC NAT ゲートウェイの使用:競合が複雑な場合は、CEN と VPC NAT ゲートウェイのプライベート NAT 機能を使用して、一方の VPC のアドレス空間をもう一方にマッピングします。この方法は、構成がより複雑でコストも高くなります。詳細については、「Use a VPC NAT gateway to resolve address conflicts」をご参照ください。
ピアリング接続で IP アドレスにアクセスできない場合のトラブルシューティング
この問題は通常、より具体的なルートまたはセキュリティグループルールが原因で発生します。
-
ルートの問題:両端のルートテーブルを確認してください。最長プレフィックス一致のルールに基づき、NAT ゲートウェイを指すデフォルトルートなど、より具体的で優先度の高いルートがトラフィックを別の宛先に転送している可能性があります。
-
セキュリティグループの問題:送信先セキュリティグループのインバウンドルールで、特定の送信元 IP アドレスからのみアクセスが許可されていないか確認してください。
-
ネットワーク ACL の問題:ネットワーク ACL で、特定のサブネットからのトラフィックのみが許可されていないか確認してください。
ピアリング接続における片方向の接続
この問題は、非対称な構成が一般的な原因です。両端のセキュリティグループとネットワーク ACL ルールを確認し、双方向のトラフィックが許可されていることを確認してください。
非推移的なピアリング接続
ピアリング接続は非推移的です。
つまり、VPC A と VPC B の間にピアリング接続を作成し、さらに VPC B と VPC C の間に別のピアリング接続を作成した場合でも、VPC A と VPC C は VPC B を介して相互に 通信できません。
複数の VPC 間で、スター型やメッシュ型などのトポロジーで完全な接続性を実現するには、CEN を使用してください。
ピアリング接続経由のクラウドサービスへのアクセス
この問題は、ECS インスタンスで接続が失敗する場合と同様ですが、クラウドサービス自体のアクセス制御設定も確認する必要があります。
-
基本的な接続確認:ピアリング接続失敗時のトラブルシューティングのチェックリストに従い、ルート、CIDR ブロック、セキュリティグループ、ネットワーク ACL を確認して、ネットワークリンクがアクティブであることを確認してください。
-
クラウドサービスの IP ホワイトリストの確認:データベースおよびキャッシュサービス (RDS、Redis、MongoDB) は IP ホワイトリストを使用します。送信元 ECS インスタンスのプライベート IP または vSwitch の CIDR ブロックを、送信先サービスのホワイトリストに追加してください。
クロスアカウントおよびクロスリージョンのピアリング接続
はい。クロスリージョンのピアリング接続では、Cloud Data Transfer (CDT) を介したアウトバウンドトラフィック料金が発生します。
注:クロスサイト接続はサポートされていません。たとえば、中国サイトと国際サイトの VPC は接続できません。
IPv4 ゲートウェイ削除後のインターネットアクセス
最も一般的な原因は、IPv4 ゲートウェイを削除する際に パブリックネットワークモード ではなく プライベートネットワークモード を選択したことです。プライベートネットワークモードで IPv4 ゲートウェイを削除すると、VPC 内のすべてのリソースがインターネットに接続できなくなります。
インターネットアクセスを復元するには、新しい IPv4 ゲートウェイを作成し、パブリックネットワークモード を使用して削除してください。詳細については、「IPv4 gateways」をご参照ください。
プライマリ CIDR ブロックとセカンダリ CIDR ブロック間の通信
はい。プライマリ CIDR ブロックとセカンダリ CIDR ブロックのインスタンスは同じ VPC に属します。セキュリティグループとネットワーク ACL のルールで許可されていれば、相互に通信できます。
セカンダリ CIDR ブロックに対する ClassicLink の互換性
いいえ。ClassicLink 機能はセカンダリ CIDR ブロックと互換性がありません。
HaVip のフェールオーバー問題のトラブルシューティング
HaVip の構成でよくある問題は、プライマリノードに障害が発生した際に、仮想 IP アドレス (VIP) がセカンダリノードにフェールオーバーしないことです。考えられる原因は次のとおりです。
-
Keepalived サービスが実行されていない:たとえば CentOS 7.9 では、
systemctl status keepalivedコマンドを実行してサービスの状態を確認します。実行されていない場合は、systemctl start keepalivedコマンドを実行して起動してください。 -
Keepalived の設定が正しくない:
keepalived.confファイルに誤りがないか確認してください。例:-
プライマリノードとセカンダリノードの
virtual_router_idの値が一致していない。 -
プライマリノードとセカンダリノードの
authentication設定が一致していない。 -
unicast_peerに指定したピア IP アドレスが正しくない。 -
virtual_ipaddressに指定した VIP が HaVip のアドレスではない。
-
-
セキュリティグループまたはネットワーク ACL によるトラフィックのブロック:セキュリティグループまたはネットワーク ACL ルールで、送信元 IP アドレスからのトラフィックがブロックされていないか確認してください。
-
インスタンスレベルのファイアウォール:ECS インスタンス上の firewalld や iptables などのファイアウォールで、送信元 IP アドレスからのトラフィックがブロックされていないか確認してください。
ルート追加後の接続のトラブルシューティング
正しいルートを追加することは、ネットワーク接続の前提条件の 1 つにすぎません。それでも接続が失敗する場合は、次の項目を体系的に確認してください。
-
双方向ルーティング:リクエストとレスポンスの両方の経路について、ルートが正しく設定されていることを確認してください。たとえば、ピアリング接続では両端でルートを設定する必要があります。
-
セキュリティグループルール:送信元と送信先の ECS インスタンスのセキュリティグループを確認し、該当するプロトコルとポートのトラフィックが許可されていることを確認してください。たとえば、
pingコマンドを使用するには ICMP プロトコルを許可する必要があります。 -
ネットワーク ACL ルール:ネットワーク ACL を設定している場合は、インバウンドルールとアウトバウンドルールを確認し、関連するトラフィックが許可されていることを確認してください。
-
ECS 内部ファイアウォール:Linux の
iptablesまたはfirewalld、あるいは Windows Firewall など、ECS インスタンスの OS 内のファイアウォールがトラフィックをブロックしていないか確認してください。 -
CIDR ブロックの競合:ECS インスタンス上の Docker ネットワークとピア VPC の CIDR ブロックの競合など、ネットワークアドレスの競合がないか確認してください。
-
パス解析ツールの使用:コンソールで Network Intelligence Service のパス解析ツールを使用し、2 点間のネットワーク接続を可視化して診断してください。
EIP によるインターネットアクセスのトラブルシューティング
次の項目を確認してください。
-
IPv4 ゲートウェイと VPC ルートテーブル:VPC で IPv4 ゲートウェイが有効になっている場合は、ECS インスタンスが配置されている vSwitch のルートテーブルを確認してください。デフォルトルート (
0.0.0.0/0) が IPv4 ゲートウェイを指していることを確認してください。 -
セキュリティグループルール:ECS インスタンスが属するセキュリティグループのアウトバウンドルールを確認してください。デフォルトでは、すべてのアウトバウンドトラフィックが許可されています (
0.0.0.0/0)。アウトバウンドアクセスが誤って制限されていないことを確認してください。 -
ネットワーク ACL ルール:vSwitch にネットワーク ACL を設定している場合は、アウトバウンドルールを確認し、アウトバウンドトラフィックが許可されていることを確認してください。
-
支払い遅延:Alibaba Cloud アカウントで支払い遅延がないか確認してください。支払い遅延があると、EIP を使用できない場合があります。
-
ECS 内部のネットワーク構成:OS のゲートウェイと DNS の設定が正しいことを確認してください。これらの設定は通常、DHCP によって取得されます。
VPC インスタンスのデフォルトのネットワークアクセス
VPC は、デフォルトでネットワーク分離を提供します。VPC 内の ECS インスタンスにはプライベート IP アドレスのみが割り当てられ、明示的に設定しない限りインターネットにアクセスできません。
インターネットアクセスを有効にするには、EIP を関連付けるか、インターネット NAT ゲートウェイを設定してください。詳細については、「Internet access」をご参照ください。
ネットワーク計画と設計
VPC はマルチキャストをサポートしていますか?
VPC 自体はマルチキャストをサポートしていません。ただし、VPC を Cloud Enterprise Network (CEN) と併用することで、マルチキャスト管理を実装できます。
パブリック CIDR ブロックによるプライベート通信
一部の組織では、オンプレミスデータセンターや VPC に 30.0.0.0/16 などのパブリック CIDR ブロックを使用しています。これらは RFC 1918 のプライベート範囲外です。デフォルトでは、VPC は RFC 1918 の範囲外のアドレスをパブリックとして扱います。そのため、リソースがインターネットアクセスを持つ場合、ルートエントリがデータセンターまたはピア VPC を指していても、30.0.0.0/16 宛てのトラフィックはインターネットにルーティングされます。
パブリック CIDR ブロックをプライベート通信に使用するには、次のいずれかの方法があります。
-
方法 1:IPv4 ゲートウェイを使用します。
IPv4 ゲートウェイは VPC のインターネットアクセスを一元的に制御し、
30.0.0.0/16宛てのトラフィックが、まず他の VPC またはデータセンターにルーティングされるようにします。詳細については、「IPv4 ゲートウェイを使用してパブリック CIDR ブロック経由のプライベート通信を有効にする」をご参照ください。 -
方法 2:ユーザー CIDR ブロックを使用します。
VPC から
30.0.0.0/16宛てのリクエストを、インターネットではなくルートテーブルに基づいて転送するには、CreateVpc API を呼び出し、UserCidrパラメーターを設定して、VPC のユーザー CIDR ブロックを指定します。ユーザー CIDR ブロックを指定すると、ユーザー CIDR ブロック内のアドレス宛ての VPC からのリクエストは、ルートテーブルに基づいて転送されます。1. ユーザー CIDR ブロックは API 呼び出しでのみ指定できます。この機能はコンソールでは使用できません。作成後にユーザー CIDR ブロックを変更することはできません。
2. VPC に IPv4 CIDR ブロックのみを指定する場合、標準の RFC 1918 プライベート CIDR ブロック (192.168.0.0/16、172.16.0.0/12、10.0.0.0/8) およびそのサブネットの範囲外にあるカスタムアドレス範囲を選択すると、システムはデフォルトでプライマリ CIDR ブロックをユーザー CIDR ブロックとして設定します。
VPC とクラシックネットワークの比較
クラシックネットワークはレガシーなネットワークタイプであり、デフォルトでは VPC と通信しません。Alibaba Cloud は段階的に廃止しているため、新規リソースはすべて VPC にデプロイしてください。
|
機能 |
クラシックネットワーク |
VPC |
|
ネットワークモデル |
Alibaba Cloud 上のフラットで大規模なパブリックアドレス空間を、すべてのユーザーが共有します。 |
トンネリング技術に基づく論理的に分離されたネットワークであり、ユーザーごとに専用ネットワークを持ちます。 |
|
ネットワーク分離 |
分離にはセキュリティグループを使用します。 |
セキュリティを強化するため、ネイティブなレイヤー 2 のネットワーク分離を提供します。 |
|
ネットワークのカスタマイズ |
ネットワークトポロジーや IP アドレスをカスタマイズできません。 |
柔軟性が高く、CIDR ブロック、ルート、ネットワークトポロジーをカスタマイズできます。 |
|
セキュリティ |
低い |
高い |
VPC とクラシックネットワークの接続
詳細については、「ClassicLink を使用してクラシックネットワークを VPC に接続する」をご参照ください。
VPC と外部ネットワークの接続
詳細については、「VPC をオンプレミスデータセンターまたは別のクラウドに接続する」をご参照ください。
CIDR ブロックの重複への対処
解決策:
ECS インスタンスのインターネットアクセスの有効化
詳細については、「パブリック IP アドレスのタイプの選択」をご参照ください。
複数の ECS インスタンスでのパブリック IP の共有
オプション:
IPv4 ゲートウェイとインターネット NAT ゲートウェイの比較
|
ネットワークコンポーネント |
IPv4 ゲートウェイ |
インターネット NAT ゲートウェイ |
|
目的 |
VPC のエッジでパブリック IPv4 トラフィックを制御するためのコンポーネントです。 |
VPC 内のネットワークアドレス変換 (NAT) デバイスです。 |
|
ユースケース |
インターネットアクセスのトラフィックを一元管理します。 |
アウトバウンドのインターネットトラフィックを一元化します。 |
|
インターネットアクセスの提供 |
いいえ。インターネットトラフィックを制御するだけです。 |
関連付けた Elastic IP Address (EIP) を使用してインターネットアクセスを提供します。 (インターネットアクセスを提供するのは NAT ゲートウェイではなく EIP です。) |
IPv4 ゲートウェイとインターネット NAT ゲートウェイは目的が異なり、併用できます。詳細については、「インターネットアクセス」をご参照ください。
パブリック IP アドレスとプライベート IP アドレスの使用
EIP を関連付けた ECS インスタンスには、パブリック IP アドレスとプライベート IP アドレスの両方があります。これらを手動で切り替える必要はありません。
-
VPC 内通信:VPC 内の他の ECS インスタンスがこのインスタンスにアクセスする場合は、常にプライベート IP アドレスを使用する必要があります。トラフィックは VPC 内だけを流れるため高速で、無料です。
-
インターネット通信:インターネット上のユーザーまたはデバイスがこの ECS インスタンスにアクセスする場合、またはこのインスタンスがインターネットにアクセスする場合は、パブリック IP アドレス (EIP) を使用する必要があります。
内部ネットワーク経由での OSS へのアクセス
詳細については、「プライベート接続経由でのクラウドサービスへのアクセス」をご参照ください。
アクセス制御:IP フィルタリングとセキュリティグループ
詳細については、「アクセス制御」をご参照ください。
セキュリティグループ間の通信の有効化
基本セキュリティグループは、別のセキュリティグループを権限付与オブジェクトとして使用できます。企業セキュリティグループは使用できません。詳細については、ECS ドキュメントの「セキュリティグループを権限付与オブジェクトとして使用する」をご参照ください。
基本セキュリティグループのルールを設定する際、送信元として別の基本セキュリティグループを指定できます。これは CIDR ブロックを許可するよりも柔軟です。グループに新しいインスタンスを追加した場合や、インスタンスの IP アドレスが変更された場合でも、ルールを変更せずに自動的にアクセス権限が付与されます。
セキュリティグループルールが有効にならない場合のトラブルシューティング
-
ルールの優先度:より優先度の高いルールとの競合がないか確認してください。
-
ルールの方向:ルールがインバウンドトラフィック用かアウトバウンドトラフィック用かを確認してください。ECS インスタンスへのアクセスはインバウンドトラフィックであり、ECS インスタンスが外部リソースにアクセスするのはアウトバウンドトラフィックです。
-
ターゲット:対象の ECS インスタンスのエラスティックネットワークインターフェイスに、セキュリティグループが正しく適用されていることを確認してください。
-
ネットワーク ACL によるブロック:ECS インスタンスが配置されている vSwitch がネットワーク ACL に関連付けられているか、またネットワーク ACL のルールでトラフィックが拒否されていないか確認してください。
-
ECS 内部ファイアウォール:OS 上のファイアウォール設定を確認してください。
-
ルーティングの問題:トラフィックが ECS インスタンスに正しくルーティングされることを確認してください。
ECS インスタンスの別の VPC への移行
詳細については、「ECS インスタンスの VPC の変更」をご参照ください。
VPC でのカスタム DNS サーバーの使用
はい。DHCP オプションセットを使用して、VPC の DNS を自己管理サーバー、オンプレミス DNS サーバー、またはサードパーティのパブリック DNS に設定します。サーバーは VPC から到達可能である必要があります。詳細については、「自己管理 DNS サービスの使用」をご参照ください。
中国サイトと国際サイト間のピアリング接続
いいえ。
クロスアカウントのコンプライアンス要件により、ピアリング接続では、中国サイトと国際サイトのアカウントに属する VPC を接続できません。
ピアリング接続は国境を越えたプライベート接続をサポートしていますか?
はい。
国境を越えたピアリング接続の場合、Cloud Data Transfer (CDT) はアウトバウンドトラフィックに基づいてデータ転送料金を課金します。CDT の国境越え機能を使用するには、アカウントで 企業認証 が完了していることを確認してください。
ピアリング接続のネットワークレイテンシ
-
同一リージョン内のピアリング接続:ネットワークレイテンシは低く、通常はミリ秒単位です。
-
クロスリージョンのピアリング接続:リージョン間の物理的距離やネットワーク状況により、レイテンシは高くなります。ネットワークパフォーマンス監視ツールを使用してリージョン間の平均レイテンシを確認し、適切なリンクタイプを選択してください。
CIDR ブロックの設定
CIDR ブロックとは
Classless Inter-Domain Routing (CIDR) は、IP アドレスの割り当てとルート集約を行うための手法です。これにより、ネットワーク管理の効率が向上し、ルートテーブルが簡素化されます。
CIDR では、192.168.1.0/24 のようにスラッシュ表記を使用します。
-
スラッシュの前はネットワークアドレスで、アドレス範囲の先頭の IP アドレスです。
-
スラッシュの後の数値はプレフィックス長であり、サブネットマスクの先頭から連続する 1 の数を示します。残りのビットはホストアドレスに使用されます。
CIDR ブロックは、同じネットワークプレフィックスとプレフィックス長を共有する IP アドレスの集合です。大きな CIDR ブロックを小さなものに分割することをサブネット化と呼びます。これは VPC と vSwitch のネットワーク計画の基礎となります。
例:
-
192.168.0.0/16:最初の 16 ビットがネットワーク用、最後の 16 ビットがホスト用で、理論上は 216 個の IP アドレスが含まれます。この CIDR ブロックには、192.168.1.0/24や192.168.2.0/26などのサブネットが含まれます。 -
10.0.0.0/8:最初の 8 ビットがネットワーク用、最後の 24 ビットがホスト用で、理論上は 224 個の IP アドレスが含まれます。この CIDR ブロックには、10.1.0.0/16や10.2.0.0/24などのサブネットが含まれます。 -
172.16.0.0/12:最初の 12 ビットがネットワーク用、最後の 20 ビットがホスト用で、理論上は 220 個の IP アドレスが含まれます。この CIDR ブロックには、172.17.0.0/16や172.18.0.0/24などのサブネットが含まれます。
VPC と vSwitch を作成する際には、それらに CIDR ブロックを指定する必要があります。vSwitch にはシステム予約アドレスがあるため、実際に使用可能な IP アドレスの数は理論上の数よりも少なくなります。
VPC の CIDR ブロックの変更
-
プライマリ CIDR ブロックの調整:
VPC 作成時に指定した IPv4 CIDR ブロックがプライマリ CIDR ブロックです。コンソールでは変更できませんが、ModifyVpcAttribute API を呼び出し、
CidrBlockパラメータを使用して拡張または縮小することができます。縮小する場合は、新しいブロックに、使用中のすべての IP アドレスが含まれていることを確認してください。IPv6 を有効にした後、VPC に割り当てられた IPv6 CIDR ブロックを変更することはできません。
-
セカンダリ CIDR ブロックの使用: セカンダリ CIDR ブロックを使用して VPC のアドレス空間を拡張することができます。セカンダリ CIDR ブロックはプライマリ CIDR ブロックと同時にアクティブになり、vSwitch の作成や ECS インスタンスなどのクラウドリソースのデプロイに使用できます。
vSwitch の CIDR ブロックの変更
vSwitch の作成後、その IPv4 または IPv6 CIDR ブロックを変更することはできません。
CIDR ブロックを変更するには、vSwitch を削除して新しいものを作成します。削除する前に、すべてのリソース (ECS、SLB、RDS インスタンス) を解放または移行してください。これはリスクの高い操作です。データのバックアップとサービス移行計画があることを確認してください。
VPC の CIDR ブロックの選択
VPC の CIDR ブロックを選択する際は、次の原則に従ってください。
-
標準プライベート CIDR ブロックの使用:
10.0.0.0/16、172.16.0.0/16、192.168.0.0/16などの RFC 1918 プライベートブロックを使用してください。VPC の CIDR ブロックとして、100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、または 169.254.0.0/16 は使用できません。 -
接続先ネットワークとの競合回避: VPC をオンプレミスネットワーク、他の VPC、または他のクラウドに接続する予定がある場合は、VPC の CIDR ブロックがそれらのネットワークと重複しないようにしてください。
-
十分なアドレス空間の確保: 将来の IP 要件を見積もり、将来の複雑なネットワーク変更を避けるために、十分に大きな CIDR ブロックを選択してください。
-
コンテナネットワークとの競合回避: Docker または Kubernetes を使用する予定がある場合は、通信障害を防ぐために、
172.17.0.0/16などのデフォルトのコンテナ CIDR ブロックを避けてください。
IPv6 の割り当てとインターネットアクセス
VPC と vSwitch で IPv6 を有効にすると、システムはIPv6 ゲートウェイを作成し、IPv6 CIDR ブロックを割り当てます。この状態では、デフォルトでプライベート通信のみがサポートされます。IPv6 経由でインターネットにアクセスするには、IPv6 アドレスのパブリック帯域幅を有効にする必要があります。詳細については、「IPv6 を有効または無効にする」をご参照ください。
IPv6 専用の VPC を作成できますか?
いいえ。VPC は現在、IPv4 専用とデュアルスタック (IPv4 と IPv6) の構成をサポートしていますが、IPv6 専用はサポートしていません。
インスタンスへの特定プライベート IP の割り当て
詳細については、「既存インスタンスのプライマリ ENI のプライマリプライベート IPv4 アドレスの変更」をご参照ください。
Docker ネットワークと VPC CIDR ブロックの競合
ECS インスタンス上の Docker または Kubernetes Pod ネットワークが vSwitch の CIDR ブロックまたはピア VPC の CIDR ブロックと重複すると、ルートの競合が発生し、通信が失敗します。
-
原因: Docker の CIDR ブロックが
172.17.0.0/16で、vSwitch B が172.17.0.0/24を使用している場合、コンテナから vSwitch B 内のアドレスへのトラフィックは、VPC ルートテーブルではなく、ローカルのdocker0ブリッジに誤ってルーティングされます。 -
解決策:
-
Docker/K8s ネットワーク構成の変更: Docker デーモン設定ファイル (
/etc/docker/daemon.json) を編集して、接続されているすべての VPC やオンプレミスデータセンターを含むクラウドネットワーク環境と競合しないプライベート CIDR ブロックを指定してください。 -
VPC CIDR ブロック計画時の競合回避: VPC と vSwitch の CIDR ブロックを計画する際には、
172.17.0.0/16や10.0.0.0/8の一部など、Kubernetes で一般的に使用される CIDR ブロックを避けてください。
-
IPAM を使用した CIDR 競合の回避
-
IPAM を有効にする前に、オンプレミスデータセンター、オフィスネットワーク、他のクラウドなど、相互接続する必要があるすべてのネットワーク環境を包括的に確認してください。使用中のすべての CIDR ブロックを記録してください。
-
IPAM プールにCIDR ブロックをプロビジョニングする際には、そのプロビジョニングする CIDR ブロックが、使用中のこれらの CIDR ブロックをすべて包含するようにしてください。
-
IPAM プールでカスタム割り当てを作成することにより、これらのアドレス範囲を予約してください。
-
以降のすべての VPC の CIDR ブロックを IPAM から割り当ててください。IPAM は使用されているすべての CIDR ブロックの記録を持っているため、割り当てられる新しい CIDR ブロックは既存のものと競合しません。
HaVip は IPv6 をサポートしていますか?
いいえ。現在、IPv4 のみがサポートされています。
VPC と vSwitch の削除
依存リソースによる削除失敗への対処
コンソールの指示に従って依存リソースを削除してから、VPC または vSwitch を削除してください。
既存のリソースは、VPC 詳細ページの [リソース管理] タブ、または vSwitch 詳細ページの [クラウドリソース] タブで確認できます。
VPC 削除時の ENI 削除問題への対処
エラスティックネットワークインターフェイス (ENI) は、VPC や vSwitch の削除を妨げることのある一般的なリソースです。
-
プライマリ ENI :プライマリ ENI は ECS インスタンスと共に作成され、そのライフサイクルはインスタンスに紐づけられています。個別にデタッチしたり削除したりすることはできません。ECS インスタンスをリリースする必要があり、プライマリ ENI もそれに伴って削除されます。
-
セカンダリ ENI :セカンダリ ENI は、削除する前にまず ECS インスタンスからデタッチする必要があります。
-
他のクラウドサービスによる管理: ALB、NLB、ACK、Function Compute などのサービスは、自動的に ENI を作成します。サービスインスタンス (たとえば、ACK クラスター) を削除すると、サービスは自身が作成した ENI を自動的にクリーンアップします。
ルーティング
CEN におけるセカンダリ CIDR ブロックのルート学習
トランジットルーター (TR) の VPC 接続で ルート学習 が有効になっており、vSwitch がセカンダリ CIDR ブロックを使用している場合、TR はその vSwitch のシステムルートを自動的に学習します。
TR が自動的に学習するのは VPC のシステムルートのみです。カスタムルートについては、VPC のルートテーブルから CEN に手動で公開するか、CEN にルートエントリを直接追加してください。
VPC と vRouter
各 VPC には、vRouter が 1 つだけあります。各 vRouter は複数のルートテーブルを保持できます。
ルートテーブルが属する vRouter の ID は、VPC コンソール の [Route Tables] ページ、または DescribeRouteTables API を呼び出して確認できます。
ピアリング接続のルート設定
ピアリング接続がアクティブになっても、デフォルトでは 2 つの VPC は通信できません。ピアリング接続にトラフィックを転送するルートが存在しないためです。両方の VPC のルートテーブルに、ピアリング接続を指すルートを追加してください。
ルートの送信先 CIDR ブロックの指定
送信先 CIDR ブロックは、このルートルールが適用される送信先 IP アドレスを定義します。
-
特定のネットワーク:データパケットを送信する先の特定のネットワーク範囲を指定します。たとえば、ピア VPC (
192.168.0.0/16) にアクセスするには、送信先 CIDR ブロックとして192.168.0.0/16を入力します。 -
デフォルトルート:
0.0.0.0/0はすべての IPv4 アドレスを表します。0.0.0.0/0宛てのトラフィックを NAT ゲートウェイに転送することで、VPC 内でパブリック IP アドレスを持たない ECS インスタンスが NAT ゲートウェイ経由でインターネットにアクセスできるようになります。
ピアリング接続の双方向ルーティング
ネットワーク通信は双方向です。片側にのみルートを設定すると、戻りのトラフィックがソースに到達できず、接続は失敗します。
ルートの送信先としての vSwitch CIDR ブロックの使用
はい。ただし、推奨しません。
ベストプラクティス:送信先 CIDR ブロックは、特定の vSwitch CIDR ブロックではなく、ピア VPC の CIDR ブロック全体に設定してください。これにより管理が簡素化されます。vSwitch レベルの CIDR ブロックは、きめ細かなアクセス制御が必要な場合にのみ使用してください。
ネットワーク運用とモニタリング
VPC のインターネットトラフィックの監視
VPC フローログまたは Network Intelligence Service のトラフィックアナライザーを使用して、インターネット NAT ゲートウェイや IPv4 ゲートウェイなどのインターネットに接続されたコンポーネントからトラフィックデータを収集します。詳細については、「フローログ」および「トラフィックアナライザー」をご参照ください。
VPC のネットワークトポロジーの表示
Network Intelligence Service の VPC トポロジー機能を使用して、VPC のネットワークトポロジーグラフを自動的に生成できます。
課金
VPC の課金方法
以下の VPC 機能は有料です。
-
ピアリング接続 (クロスリージョンのみ)
以下の VPC 機能はパブリックプレビュー中で、プレビュー期間中は無料です。
-
IP アドレスマネージャー (IPAM)
-
高可用性仮想 IP (HaVip)
以下の機能は無料です。
-
VPC、vSwitch、セカンダリ CIDR ブロック、予約済み CIDR ブロック
-
DNS ホスト名と DHCP オプションセット
-
ルートテーブルとプレフィックスリスト
-
VPC 共有
-
ClassicLink とゲートウェイエンドポイント
-
IPv4 ゲートウェイとネットワーク ACL
VPC 内に作成されたクラウドリソースは個別に課金されます。各リソースの課金に関するドキュメントをご確認ください。
ピアリング接続の課金
-
同一リージョン:同一リージョン内でのピアリング接続の作成と使用は、同一アカウント内でも異なるアカウント間でも無料です。
-
クロスリージョン:クロスリージョンのピアリング接続の場合、Cloud Data Transfer (CDT) がアウトバウンドトラフィックに基づいてデータ転送料金を請求します。
ピアリング接続の課金停止
-
同一リージョンのピアリング接続は無料です。削除してもコストには影響しません。
-
クロスリージョンのピアリング接続の場合、データ転送料金の発生を停止するには、ピアリング接続インスタンスを削除する必要があります。