VPC は、クラウド上の安全で分離されたスケーラブルなネットワーク環境です。デフォルトでは、VPC はインターネットに接続されていませんが、Elastic IP Address (EIP)、Server Load Balancer (SLB)、NAT Gateway などのプロダクトを使用して、VPC 内のリソースがインターネットと通信できるようにすることができます。
パブリック IP アドレスの種類を選択する
IPv4
VPC 内のリソースがインターネットと通信するには、パブリック IP アドレスが必要です。パブリック IPv4 アドレスには、静的 IP アドレスと EIP が含まれます。
静的 IP は、リソースの作成時に Elastic Compute Service (ECS) インスタンスや Classic Load Balancer (CLB) インスタンスなどのクラウドリソースに割り当てられます。再割り当てやデタッチはできず、静的 IP は関連付けられたリソースが削除されるまで変更されません。対照的に、EIP は独立しています。必要に応じて個別に作成し、アタッチまたはデタッチできます。柔軟性を高めるために EIP を使用することをお勧めします。
Application Load Balancer (ALB)、Network Load Balancer (NLB)、および NAT ゲートウェイは、アタッチされた EIP を使用してインターネットアクセスをサポートします。
ECS インスタンスと CLB インスタンスの静的パブリック IP アドレスは、EIP に変換できます。
EIP には次の 3 つの種類があります。
BGP (マルチ ISP) EIP: システムは、複数の利用可能なオプションから最適な ISP 回線経由でトラフィックを自動的にルーティングし、高速で安定したインターネット接続を確保します。
BGP (マルチ ISP) Pro EIP: 中国本土内のユーザーが中国本土外にデプロイされたサービスにアクセスする場合、システムはプレミアム ISP 回線経由の直接接続を介して応答を送信します。これにより、レイテンシを低減し、安定性を高めることができます。これは中国本土の個々のエンドユーザーにのみ有効であり、データセンターはサポートされていないことに注意してください。
Anycast EIP: Anycast EIP を使用すると、ユーザートラフィックは最寄りのアクセスポイントを介してすぐに Alibaba Cloud のネットワークに入ります。その後、パブリック ISP ネットワークを介するよりもはるかに高速にサーバーに送信されます。Anycast EIP は、ビジネスが中国本土以外にデプロイされ、グローバルなユーザーベースにサービスを提供する場合に理想的なオプションです。
項目 | BGP (マルチ ISP) EIP | BGP (マルチ ISP) Pro EIP | Anycast EIP |
ユースケース | 汎用低コストインターネット接続 | 中国本土外から中国本土内への応答の送信 | 複数のグローバルリージョンで同じ IP アドレスを使用する |
制限 |
|
|
|
品質 | 標準。ユーザートラフィックは標準の ISP 回線経由でルーティングされます。 | 高。ユーザートラフィックは専用の ISP 回線経由でルーティングされます。 | 高。ユーザートラフィックは、標準の ISP 回線経由でアクセスポイントに送信された直後に、Alibaba Cloud の高品質なグローバルバックボーンネットワークに入ります。 |
コスト | 低 | 中 | 高 |
IPv6
VPC と vSwitch で IPv6 を有効にすると、システムは自動的に IPv6 ゲートウェイ を作成し、IPv6 CIDR ブロックを割り当てます。これはデフォルトではプライベートネットワーク通信のみをサポートします。
IPv6 ゲートウェイの IPv6 アドレスに対して IPv6 インターネット帯域幅をアクティブ化 することで、クラウドリソースをインターネットに接続できます。
IPv6 アドレスはグローバルに一意です。インターネット接続に追加のパブリック IP アドレスは必要ありません。
ロードバランシングを使用して受信インターネットトラフィックを処理する
単一サーバーでビジネスを実行すると、システムは単一障害点 (SPOF) になりやすくなります。
異なるゾーンに複数のバックエンドサーバーをデプロイし、ロードバランサーに関連付けることをお勧めします。これにより、インバウンドインターネットトラフィックがこれらのサーバーに分散されます。これにより、システムのスケーラビリティと可用性が向上し、SPOF が排除されます。
次世代のロードバランシングプロダクト、たとえば Application Load Balancer (ALB) や Network Load Balancer (NLB) の使用をお勧めします。
項目 | ALB | NLB |
機能 |
|
|
パフォーマンス | インスタンスあたり最大 100 万 QPS | インスタンスあたり最大 1 億の同時接続 |
バックエンドリソース |
|
|
O&M | どちらも高速で柔軟なスケーリングをサポートしています。容量は、人間の介入なしに、ビジネス負荷の変化に応じて自動的にスケーリングできます。 | |
ユースケース |
|
|
NAT ゲートウェイを統合インターネット出口として使用する
単一のサーバーは、そのパブリック IP アドレスを使用してインターネットにアクセスできます。
サーバーはパブリック IP を使用してインターネットにアクセスできますが、多くのサーバーが個別にアクセスすると、IP リソースを消費し、コストが増加し、ネットワーク管理が複雑になります。
インターネット NAT ゲートウェイ を使用して SNAT エントリを構成することで、VPC 内の複数の ECS インスタンスが共有 EIP を介してインターネットにアクセスできるようにすることができます。これにより、パブリック IP リソースとコストが節約され、ネットワーク管理が簡素化されます。さらに、インターネット NAT ゲートウェイは、アドレス変換によって ECS インスタンスの送信元 IP アドレスをマスクするため、外部への露出を回避し、セキュリティを向上させます。
項目 | EIP の使用 | インターネット NAT ゲートウェイあり |
EIP を共有するクラウドリソース | サポートされていません | サポートされています |
同じ EIP を使用できるリソースの範囲 | ECS インスタンスまたは ENI |
|
多数のサーバーでのリソースコスト全体 | 高 | 低 |
セキュリティ | 標準 | 高 |
インターネットゲートウェイを使用してインターネットトラフィックを一元管理する
IPv4 ゲートウェイ
デフォルトでは、VPC 内のリソースはパブリック IP を介してインターネットと通信します。場合によっては、セキュリティ上の理由からクラウドリソースからのインターネットアクセスを集中管理したい場合がありますが、たとえば、組織内の別のチームが ECS インスタンスにパブリック IP を割り当てると、これは失敗します。
この場合、IPv4 ゲートウェイ と適切なルートテーブル構成を組み合わせて使用することで、IPv4 ゲートウェイを介したインターネットアクセストラフィックを制御し、分散アクセスによるセキュリティリスクを軽減できます。
パブリック vSwitch: この vSwitch に関連付けられたルートテーブルには、[宛先 CIDR ブロック] が 0.0.0.0/0 に設定され、[ネクストホップ] が IPv4 ゲートウェイに設定されたルートがあります。この vSwitch 内のリソースは、パブリック IP を使用してインターネットにアクセスできます。プライベート vSwitch: この vSwitch に関連付けられたルートテーブルには、IPv4 ゲートウェイを指すルートがありません。リソースはパブリック IP を持っていてもインターネットにアクセスできません。ただし、パブリック vSwitch 内の NAT ゲートウェイを指すルートを構成して、NAT ゲートウェイのパブリック IP を使用してインターネットトラフィックをルーティングできます。プライベート vSwitch 内のリソースがインターネットアクセスを失わないように、IPv4 ゲートウェイを有効にする前にルートを構成してください。
IPv4 ゲートウェイは VPC のインターネットトラフィックを管理します。有効化後、VPC のデフォルトのインターネットアクセスモードが変更されます。適切に構成されていない場合、VPC 内のすべてのリソースがインターネットから切断される可能性があります。注意して進めてください。詳細については、「IPv4 ゲートウェイ」をご参照ください。
IPv4 ゲートウェイは、プライベートに使用されるパブリック CIDR ブロックを実装し、サードパーティのセキュリティデバイスにトラフィックをルーティングするためにも使用できます。
IPv6 ゲートウェイ
デフォルトでは、クラウドリソースに割り当てられた IPv6 アドレスは、プライベートネットワーク接続のみをサポートします。VPC に IPv6 ゲートウェイ を使用し、IPv6 アドレスに対して IPv6 インターネット帯域幅をアクティブ化 することで、インターネット接続を有効にできます。
IPv6 ゲートウェイは、VPC のインターネットトラフィックを管理します。送信専用ルール を構成して、クラウドリソースがインターネットにアクセスできるようにすると同時に、インターネットからの受信アクセスを防止できます。
インターネットに接続する CLB インスタンスは VPC の一部ではありません。処理されるトラフィックは IPv6 ゲートウェイによって制御されません。
グローバルインターネットアクセスを高速化する
AI エージェント、ビデオゲーム、Web アプリケーションなど、国際的に使用されるアプリケーションは、標準以下のインターネット接続が原因で、高レイテンシ、頻繁なジッター、応答の遅延などの問題が発生しやすく、ユーザーエクスペリエンスが大幅に低下する可能性があります。
Global Accelerator を使用すると、エンドユーザーからのリクエストが最寄りのアクセスポイントから Alibaba Cloud のネットワークに入ることができます。これらのリクエストは、Alibaba Cloud の高品質なグローバルバックボーンネットワークを介してサーバーに送信されるため、インターネット送信パスが大幅に短縮され、レイテンシ、ジッター、低速などの問題が軽減され、全体的なユーザーエクスペリエンスが向上します。
インターネットコストを削減する
インターネット接続に課金される料金は、クラウドリソースのコストに加えて、予算を圧迫する可能性があります。
インターネットコストを削減するには、次の方法をお勧めします。
パブリック IP アドレス使用のコスト: ロードバランサーを使用して受信インターネットトラフィックを一元管理し、NAT ゲートウェイを使用して送信インターネットトラフィックを一元管理します。こうすることで、システムはより少ないパブリック IP アドレスで機能するため、パブリック IP 保持料金 (以前の EIP 構成料金) が削減されます。
インターネットトラフィックのコスト: Cloud Data Transfer (CDT) を使用します。無料のトラフィッククォータを提供し、複数のクラウド製品からの IPv4 と IPv6 トラフィックを合計し、合計金額に累積段階的価格設定を適用する課金方法を実装します。 CDT はインターネットトラフィックコストを効果的に削減できます。