すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:ネットワークの計画

    ドキュメントセンター

    Virtual Private Cloud:ネットワークの計画

    最終更新日:Dec 20, 2025

    Virtual Private Cloud (VPC) にサービスをデプロイする場合、現在のニーズと将来の成長予測に基づいてネットワークを計画します。これにより、ネットワークが現在の要求を満たし、ビジネスの成長をサポートできるようになります。

    ネットワークを計画するには、安全な分離、ディザスタリカバリ、運用保守コストを考慮します。将来を見据えた計画は、ビジネスの安定性とネットワークのスケーラビリティを確保しますが、先見性のないネットワーク設計は、将来の拡張を妨げ、予期せぬリスクを招く可能性があります。既存のネットワークを再構築するには、コストと中断が伴います。したがって、包括的で多角的なネットワーク計画が不可欠です。

    VPC を計画するには、次の手順を実行します。

    リージョンとゾーンの計画

    リージョン内では、すべてのゾーンが内部ネットワークを介して通信します。各ゾーンは、他のゾーンの障害から分離されています。1 つのゾーンで障害が発生しても、他のゾーンは正常に動作し続けます。同じゾーン内にデプロイされたインスタンスは、ネットワーク遅延が低く、ユーザーアクセスが高速になります。

    考慮事項

    説明

    遅延

    リソースをエンドユーザーの近くにデプロイすると、ネットワーク遅延が短縮され、アクセス速度が向上します。

    サービスの可用性

    Alibaba Cloud サービスの可用性は、リージョンやゾーンによって異なります。必要なクラウドサービスが、選択したリージョンとゾーンで利用可能であることを確認してください。

    コスト

    クラウドサービスの価格は、リージョンによって異なる場合があります。予算に合ったリージョンを選択することを推奨します。

    高可用性とディザスタリカバリ

    高いディザスタリカバリ機能が必要なサービスの場合は、同じリージョン内の複数のゾーンにまたがってデプロイします。また、リージョン間のディザスタリカバリのために、サービスを複数のリージョンにまたがってデプロイすることもできます。

    コンプライアンス

    お住まいの国または地域のデータローカライズおよび運用申請ポリシーに準拠したリージョンを選択してください。

    VPC はリージョンをまたいでデプロイすることはできません。リージョンをまたいでサービスをデプロイするには、各リージョンに VPC を作成し、VPC ピアリング接続または Cloud Enterprise Network (CEN) を使用して接続します。vSwitch はゾーンリソースです。次の点にご注意ください:

    • クラウドサービスの可用性のために複数のゾーンを使用する場合は、十分な CIDR ブロックを予約し、ゾーン間のトラフィックによって発生する可能性のある遅延の増加を考慮してください。

    • 中国 (南京-ローカルリージョン、提供終了) など、一部のリージョンでは 1 つのゾーンしか提供されていません。リージョン内のディザスタリカバリが必要な場合は、そのようなリージョンを選択するかどうかを慎重に検討してください。

    アカウントと VPC の計画

    リージョンとゾーンを計画したら、VPC の作成を開始できます。ビジネスの規模とセキュリティの分離を考慮して、リソースの使用率を高め、コストを削減します。

    アカウントの計画

    ビジネスが小規模で、単一のアカウントまたは RAM ユーザーを持つプライマリアカウントですべてのリソースを管理できる場合は、このセクションをスキップできます。

    ビジネス規模が拡大すると、権限を委任し、環境間のセキュリティ分離を強制する必要が生じる場合があります。この場合、統一されたマルチアカウントアーキテクチャを設計します。

    考慮事項

    説明

    権限の分離

    異なる業務部門ごとに別々のアカウントを作成して、リソース、コスト、権限を分離し、管理を容易にします。特別な要件を持つ大規模なプロジェクトやアプリケーションの場合は、別々のアカウントを使用して制御を強化します。

    システムの分離

    本番環境とテスト環境など、厳密な分離が必要なシステムの場合は、専用のアカウントを使用して干渉のリスクを軽減します。

    セキュリティコンプライアンス

    セキュリティコンプライアンスを強化するために、機密データとワークロードを分離された別々のアカウントで維持します。

    コスト管理

    複数のアカウントを使用してリソースを分離します。これにより、コストの追跡と課金管理が容易になります。

    ログと運用保守

    独立したアカウントを使用して、セキュリティ監査のためにすべてのアカウントのログデータを保存します。

    VPC とアカウントの数が増えるにつれて、ネットワークの複雑さが増します。VPC 共有機能を使用して、ネットワークのセキュリティと安定性を維持しながら複雑さを軽減します。

    VPC の計画

    VPC は、安全で柔軟なネットワーク環境を提供します。異なる VPC は互いに完全に分離されていますが、同じ VPC 内のリソースはプライベートネットワークを介して通信できます。ニーズに合った数の VPC を計画してください。

    VPC 数

    ユースケース

    1 つ

    • ビジネスが小規模で、1 つのリージョンにデプロイされており、ネットワーク分離の必要がない場合。

    • VPC を初めて使用し、その機能を学習したい場合。

    • コストを意識しており、VPC 間の接続の複雑さと潜在的なコストを避けたい場合。

    複数

    • ビジネスが大規模で、異なるリージョンにデプロイされている場合。

    • サービスは 1 つのリージョンにあるが、分離する必要がある場合。

    • ビジネスアーキテクチャが複雑で、各部門がリソースを独立して管理する必要がある場合。

    複数の VPC を計画する

    次のユースケースでは、複数の VPC を計画します。

    • リージョン間デプロイメント

      アプリケーションを複数のリージョンにまたがってデプロイするには、複数の VPC を作成し、VPC ピアリング接続、CEN、または VPN ゲートウェイを使用して VPC を接続します。

    • サービス分離

      本番環境とテスト環境の間など、サービスに分離が必要な場合は、サービスを異なる VPC にデプロイし、VPC ピアリング接続、CEN、および VPN ゲートウェイを使用して VPC を接続します。これにより、論理的な分離とセキュリティが提供されます。

    • 複雑な業務システム

      ビジネスアーキテクチャが複雑で、各部門がリソースを管理するために独立した VPC を必要とする場合。

    説明

    デフォルトでは、各リージョンで最大 10 個の VPC を作成できます。クォータの引き上げをリクエストするには、[クォータ管理] ページまたは [Quota Center] ページに移動してください。

    vSwitch の計画

    vSwitch はゾーンリソースです。VPC 内のすべてのクラウドリソースは vSwitch 内にデプロイされます。vSwitch を作成すると、IP アドレスを適切に計画するのに役立ちます。VPC 内のすべての vSwitch は、デフォルトで相互に通信できます。

    考慮事項

    説明

    遅延

    同じリージョン内のゾーン間の遅延は低いです。ただし、複雑なシステムコールやゾーン間のコールにより、遅延が増加する可能性があります。

    高可用性とディザスタリカバリ

    VPC を使用する場合、ディザスタリカバリのために少なくとも 2 つの vSwitch を作成し、それらを複数のゾーンにまたがってデプロイします。セキュリティルールを一元的に構成および管理することで、高可用性とディザスタリカバリが大幅に向上します。

    ビジネスの規模と分割

    ビジネスモジュールごとに vSwitch を作成します。たとえば、標準的な Web アプリケーションアーキテクチャの場合、複数の vSwitch を作成して Web、ロジック、データ層をホストします。

    次の原則を参照して vSwitch を計画します。

    • フェイルオーバーのために、少なくとも 2 つの vSwitch を作成し、それらを複数のゾーンにまたがってデプロイします。1 つの vSwitch がダウンした場合、もう一方が引き継ぎ、ディザスタリカバリを提供します。

      複雑なネットワークトポロジーとゾーン間の呼び出しにより、ネットワーク遅延が増加する可能性があることに注意してください。高可用性と低遅延の両方のバランスをとるために、アーキテクチャを強化することを推奨します。

    • vSwitch の数は、システムの規模とアーキテクチャによって異なります。通常、スイッチはビジネスモジュールごとに作成されます。たとえば、インターネットに面したサービスをパブリック vSwitch にデプロイし、他のサービスはその種類によって異なる vSwitch にグループ化します。これにより、構成が簡素化され、セキュリティルールを一元的に管理できます。

    説明

    デフォルトでは、各 VPC で最大 150 個の vSwitch を作成できます。クォータの引き上げをリクエストするには、[クォータ管理] ページまたは [Quota Center] ページに移動してください。

    CIDR ブロックの計画

    VPC と vSwitch を作成するときは、VPC と vSwitch の CIDR ブロックを指定する必要があります。CIDR ブロックのサイズによって、デプロイできるリソースの数が決まります。適切な CIDR ブロック計画は、アドレスの競合を回避し、スケーラビリティを確保しますが、不適切な計画は高い再構築コストを引き起こす可能性があります。

    説明

    • vSwitch の CIDR ブロックを指定した後は、変更できません。

    • 不適切な計画によりアドレス空間が不足した場合は、セカンダリ CIDR ブロックを追加して拡張します。セカンダリ CIDR ブロックは変更できません。

    CIDR ブロックを計画する際は、次の点に注意してください。

    • RFC 1918 で定義された、マスク長が 16 のプライベート IPv4 CIDR ブロックを使用します。VPC アドレス空間を拡張するには、セカンダリ CIDR ブロックを追加します。

    • 1 つの VPC にサービスをデプロイする場合は、より小さいプレフィックス長を指定して、十分なアドレスを予約します。

    • ビジネス用に複数の VPC を作成する場合は、CIDR ブロックの重複を避けてください。

    • ディザスタリカバリのために複数のゾーンを作成する場合は、CIDR ブロックの重複を避けてください。

    ネットワーク規模が拡大するにつれて、CIDR ブロックの計画はより複雑になります。IP Address Manager (IPAM) を使用して、IP アドレスを自動的に割り当て、潜在的なアドレスの競合を検出し、CIDR ブロック計画の効率を向上させます。詳細については、「IPAM」をご参照ください。

    IPAM を使用する際は、次の点に注意してください。

    • 開発環境や本番環境など、さまざまな環境に合わせて IPAM プールを設計します。

    • IPAM プールを使用して VPC にプライベート CIDR ブロックを割り当てる場合は、VPC CIDR ブロックが互いに重複しないようにしてください。

    • IPAM コンソールで VPC CIDR ブロックとアドレス使用状況を表示します。

    VPC CIDR ブロックの計画

    セカンダリ IPv4 CIDR ブロックには、RFC 1918 標準で指定されたプライベート IPv4 アドレスを使用します。推奨されるマスク長は /16 から /28 です (例:10.0.0.0/16、172.16.0.0/16、192.168.0.0/16)。カスタム VPC CIDR ブロックを指定することもできます。

    VPC CIDR

    IP アドレス範囲

    10.0.0.0/16

    10.0.0.0 から 10.0.255.255

    172.16.0.0/16

    172.16.0.0 から 172.16.255.255

    192.168.0.0/24

    192.168.0.0 から 192.168.0.255

    VPC の CIDR ブロックを指定する際は、次のルールに注意してください。

    • VPC が 1 つだけで、VPC がデータセンターと通信する必要がない場合は、RFC CIDR ブロックのいずれかまたはそのサブセットを VPC CIDR ブロックとして指定します。

    • 複数の VPC がある場合、または VPC とデータセンターの間にハイブリッドクラウド環境をセットアップする場合は、VPC 間の CIDR ブロックの競合、または VPC とデータセンターの間の CIDR ブロックの競合を避けてください。

    • 100.64.0.0/10224.0.0.0/4127.0.0.0/8169.254.0.0/16、またはそのサブセットのいずれかをカスタム CIDR ブロックとして指定することはできません。

    • VPC CIDR ブロックの選択は、クラシックネットワークを使用するかどうかにも依存します。クラシックネットワークを使用し、クラシックネットワークから VPC に ECS インスタンスを接続する予定がある場合は、クラシックネットワークの CIDR ブロックが 10.0.0.0/8 であるため、VPC CIDR ブロックとして 10.0.0.0/8 を指定しないでください。

    • IPAM を使用してプールを計画し、割り当てのデフォルトネットワークマスクを指定できます。IPAM を使用して VPC のアドレス使用状況を表示します。

    vSwitch CIDR ブロックの計画

    vSwitch の CIDR ブロックは、VPC CIDR ブロックのサブセットである必要があります。たとえば、VPC CIDR ブロックが 192.168.0.0/24 の場合、VPC 内の vSwitch のネットワークマスクは /25 から /29 である必要があります。

    vSwitch の CIDR ブロックを指定する際は、次の制限に注意してください。

    • vSwitch の IPv4 CIDR ブロックのネットワークマスクは /16 から /29 である必要があり、これにより 8 から 65,536 個の IP アドレスを提供できます。

    • vSwitch CIDR ブロックは、VPC CIDR ブロックと同じにすることはできません。

    • vSwitch CIDR ブロックの計画では、それに含まれる ECS インスタンスやその他のクラウドリソースの数を考慮する必要があります。後で使用するために十分な IP アドレスを予約できる大きさの CIDR ブロックを選択してください。ただし、将来のネットワークセグメンテーションを妨げる可能性があるため、過度に大きな CIDR ブロックを割り当てないでください。

    • CIDR ブロック 10.0.0.0/16 で VPC を作成すると、65,536 個の IP アドレスをサポートします。vSwitch 内に ECS や RDS などのリソースをデプロイする必要があることを考慮して、vSwitch には /24 マスクを計画し、各 vSwitch が 256 個の IP アドレスをサポートするようにします。CIDR ブロック 10.0.0.0/16 の VPC は、/24 マスクを持つ最大 256 個の vSwitch に分割できます。必要に応じてこれを調整してください。

    • 各 vSwitch の IPv4 CIDR ブロックの最初のアドレスと最後の 3 つのアドレスは、システムによって予約されています。各 vSwitch の IPv6 CIDR ブロックの最初のアドレスと最後の 9 つのアドレスは、システムによって予約されています。例:

      IP バージョン

      vSwitch CIDR

      予約済み IP アドレス

      IPv4

      192.168.1.0/24

      192.168.1.0

      192.168.1.253

      192.168.1.254

      192.168.1.255

      IPv6

      2001:XXXX:XXXX:1a00/64

      2001:XXXX:XXXX:1a00::

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff7

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff8

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fff9

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffa

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffb

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffc

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffd

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:fffe

      2001:XXXX:XXXX:1a00:ffff:ffff:ffff:ffff

    • 複数の VPC がデプロイされており、vSwitch が別の VPC またはデータセンターの別の vSwitch と通信する必要がある場合は、vSwitch CIDR ブロックがピア CIDR ブロックと重複しないようにしてください。そうしないと、通信が失敗します。

    • ClassicLink 機能を使用すると、クラシックネットワーク内の ECS インスタンスが、CIDR ブロックが 10.0.0.0/8172.16.0.0/12、または 192.168.0.0/16 である VPC 内の ECS インスタンスと通信できます。VPC CIDR ブロックが 10.0.0.0/8 の場合、VPC に属する vSwitch の CIDR ブロックは 10.111.0.0/16 である必要があります。詳細については、「ClassicLink の概要」をご参照ください。

    ルートテーブルの計画

    ルートテーブルの各エントリはルートであり、宛先 CIDR ブロック、ネクストホップタイプ、およびネクストホップで構成されます。ルートは、CIDR ブロックのトラフィックをそのネクストホップに転送します。各 VPC は、システムルートテーブルを含め、最大 10 個のルートテーブルを持つことができます。ルートテーブルを計画するには、次の推奨事項を参照してください。

    1 つのルートテーブルの使用

    VPC 内の vSwitch 間でトラフィックルーティングに大きな違いがない場合は、単一のルートテーブルで十分です。VPC を作成すると、システムは自動的にシステムルートテーブルを作成し、それにシステムルートを追加して VPC トラフィックを管理します。システムルートテーブルを作成または削除することはできませんが、カスタムルートを追加して宛先 CIDR ブロックのトラフィックを転送することはできます。

    複数のルートテーブルの使用

    特定のクラウドサービスがインターネットにアクセスするのを制限するなど、vSwitch のトラフィックパスが大幅に異なる場合は、複数のルートテーブルを使用できます。パブリック vSwitch とプライベート vSwitch をデプロイできます。プライベート vSwitch 内のインスタンスは、インターネット NAT ゲートウェイを使用してインターネットにアクセスでき、これによりインターネットアクセスの一元的な制御が可能になり、分離要件を満たします。

    説明

    各 VPC は最大 9 つのカスタムルートテーブルをサポートします。クォータを増やすには、[クォータ管理] または [Quota Center] ページに移動してください。

    ネットワーク接続の計画

    Alibaba Cloud は、安全に分離され、弾力的に拡張可能なクラウドネットワークを提供し、クラウドとデータセンター間の高速接続をサポートします。VPC を使用して、インターネット、別の VPC、およびデータセンターにアクセスします。VPC を他のサービスと組み合わせて、ビジネスに合わせたネットワーク接続を実現します。

    インターネットアクセス

    アプリケーションがインターネットにアクセスする必要がある場合、またはインターネットからアクセスされる必要がある場合は、次の点に注意してください。

    • ECS インスタンスにパブリック IP を設定します。これは、静的パブリック IP または Elastic IP Address (EIP) のいずれかです。EIP の使用を推奨します。

    • インターネット経由でサービスを提供するために 1 つの ECS インスタンスのみを使用する場合、単一障害点 (SPOF) が発生し、システムの可用性に影響を与える可能性があります。Server Load Balancer (SLB) インスタンスを統一されたインターネットトラフィックの入口として使用し、複数の ECS インスタンスを SLB インスタンスに関連付けます。これにより、SPOF を防ぎ、サービスの可用性を向上させます。

    • 複数の ECS インスタンスがインターネットにアクセスする必要がある場合は、インターネット NAT ゲートウェイの SNAT 機能を使用して、ECS インスタンスが EIP を共有し、インターネットにアクセスできるようにします。これにより、パブリック IP アドレスを節約できます。

    • ECS インスタンスがインターネット経由でサービスを提供する場合、IPv4 ゲートウェイまたはIPv6 ゲートウェイを使用して、ECS インスタンスのインターネットアクセスを統一的に管理します。

    VPC 間の接続

    次のサービスを使用して、VPC 間の接続を有効にできます。

    • VPC の数が 5 つ以下の場合は、VPC ピアリング接続を使用して、各ペア間に接続を作成します。

    • ネットワークアーキテクチャが複雑で多くの VPC がある場合は、CEN を使用して VPC を効率的に管理し、運用保守を容易にし、安全なデータ転送を確保します。

    • Object Storage Service (OSS) などの Alibaba Cloud サービスにインターネット経由でアクセスすると、機密データが漏洩する可能性があります。PrivateLink を使用して、エンドポイントが存在する VPC とエンドポイントサービスが存在する VPC を接続し、セキュリティリスクを軽減します。

    • VPN ゲートウェイを使用して 2 つの VPC 間に安全な接続を確立しますが、ネットワーク遅延は高くなります。

    ハイブリッドクラウド

    次のサービスを使用して、データセンターを VPC に接続します。

    VPC 接続とハイブリッドクラウドデプロイメントの要件は何ですか?

    VPC を別の VPC またはデータセンターに接続するには、CIDR ブロックが互いに重複しないようにしてください。優先順位に従って、次の割り当て原則に従ってください。

    • 一意の VPC CIDR。各 VPC に一意の、重複しない CIDR ブロックを割り当てます。標準の RFC 1918 範囲のサブネットを使用すると、利用可能な CIDR の数が増加します。

    • 一意の vSwitch CIDR。一意の VPC CIDR ブロックを確保できない場合は、通信する VPC 内の vSwitch CIDR ブロックが重複しないようにしてください。

    • 通信する vSwitch の一意の CIDR。vSwitch CIDR ブロックが重複する場合でも、相互に通信する必要がある vSwitch が重複しない CIDR ブロックを持つようにしてください。そうしないと、ネットワーク通信が失敗します。

    中国 (杭州) の VPC1、中国 (北京) の VPC2、中国 (深セン) の VPC3 という、異なるリージョンに 3 つの VPC があるとします。また、中国 (杭州) にオンプレミスのデータセンターがあるとします。

    • VPC1 は、VPC ピアリング接続を使用して VPC2 に接続する必要があります。

    • VPC1 は、Express Connect を使用してオンプレミスのデータセンターに接続する必要があります。

    • VPC3 は現在何も接続する必要はありませんが、将来他の VPC に接続する必要があるかもしれません。

    IP Address Manager (IPAM) がその管理に役立ちます。IPAM で各リージョンに個別のプールを作成して、適切な IP 割り当てを確保します。カスタム割り当てを作成し、10.0.2.0/24 をデータセンターに割り当てます。これにより、IP アドレスの競合が防止され、IP アドレスが悪用されないことが保証されます。

    セキュリティ機能の計画

    セキュリティ分離には、サービス、リソース、およびネットワークの分離が含まれます。リージョン、ゾーン、アカウント、および CIDR ブロックを計画する際には、セキュリティ分離の要件を考慮する必要があります。アカウントを分離するとリソースの分離が実現し、VPC をセグメント化するとネットワークの分離が実現します。どちらもビジネス分離を実現するための方法です。ネットワーク接続シナリオと階層化されたセキュリティアプローチを組み合わせて、セキュリティ機能を計画します。

    セキュリティレイヤー

    提案

    VPC 内

    VPC に複数のサービスをデプロイする場合は、各サービスに vSwitch を作成し、セキュリティグループネットワーク ACL を使用します。

    VPC 境界

    • vSwitch をパブリックとプライベートに分割します。インターネットアクセスが必要なサービスをパブリック vSwitch にデプロイし、アクセスが不要なサービスをプライベート vSwitch にデプロイします。1 つの vSwitch をインターネットトラフィックの入口として使用し、別の vSwitch をトラフィックの出口として使用します。

    • IPv4 または IPv6 ゲートウェイを作成してアクセス制御を統一し、サブネットルートまたはゲートウェイルートをファイアウォールと組み合わせてセキュリティ保護を行います。

    • インターネットトラフィックの出口に Egress-only ルールを設定して、インターネットからのアクセスを拒否します。

    フローログトラフィックミラーリングを使用して VPC を監視し、問題をトラブルシューティングします。これにより、システムの安定性と信頼性が向上します。

    メトリック

    説明

    フローログ

    トラフィックデータを収集し、トラフィックログを分析して帯域幅を最適化し、ネットワークのボトルネックを解消します。

    トラフィックミラーリング

    ENI を通過する特定のパケットをミラーリングして、コンテンツ検査、脅威監視、およびトラブルシューティングを行います。

    ディザスタリカバリ機能の計画

    データセキュリティとサービスの可用性を確保するために、アーキテクチャに合ったディザスタリカバリ機能を計画します。

    • ディザスタリカバリに対する要件が高い場合は、VPC を複数のリージョンにまたがってデプロイし、vSwitch を複数のゾーンにまたがってデプロイしてディザスタリカバリを行います。

    • サービスに高速な応答、高い同時実行性、および強化されたデータセキュリティが必要な場合は、SLB を使用してクラスター回復、セッション維持、およびゾーン間デプロイメントを実装します。

    • Express Connect 回線を使用して、データセンターを高速で安定した接続を介して VPC に接続します。これにより、データ同期が確保され、単一障害点が防止され、サービスの可用性が向上します。

    • サービスの可用性に対する要件が高い場合は、高可用性仮想 IP アドレス (HaVip) 機能を Keepalived または Heartbeat と組み合わせて使用して、高可用性アーキテクチャを作成します。これにより、スイッチオーバー中にサービス IP が変更されないことが保証されます。

    • クラウドサービス自体に固有のディザスタリカバリ機能を考慮してください。たとえば、RDS High-availability Edition Active は、1 つのプライマリノードと 1 つのスタンバイノードを持つ従来の可用性の高いアーキテクチャを使用します。プライマリノードとスタンバイノードは、同じリージョン内の同じゾーンまたは異なるゾーンにデプロイできます。

    次の図は、単一ゾーンアーキテクチャをアクティブ/スタンバイアーキテクチャにアップグレードする方法を示しており、より高いセキュリティと可用性を提供します。

    VPC を作成する前に、現在のビジネス規模と将来の拡張、セキュリティ分離、サービスの可用性とディザスタリカバリ、コスト、VPC と vSwitch の数、および VPC と vSwitch に割り当てられた CIDR ブロックを考慮したことを確認してください。詳細については、「VPC の作成と管理」をご参照ください。