VPC ピアリング接続を使用すると、同じアカウントまたは異なるアカウント、同じリージョンまたは異なるリージョンの 2 つの仮想プライベートクラウド(VPC)を接続できます。ピアリング接続を作成すると、接続された VPC 内のクラウドリソースは、プライベート IPv4 または IPv6 アドレスを使用してピア内のリソースにアクセスできます。
シナリオ
ある企業が、中国(北京) リージョンと 中国(上海) リージョンにそれぞれ VPC1 と VPC2 を構築しました。
リソースアクセスを保護するために、企業は VPC1 と VPC2 の間にピアリング接続をセットアップします。リージョン間トラフィックはプライベートネットワーク内に留まるため、データ漏洩 や DDoS 攻撃 などの一般的なセキュリティ脅威を軽減します。
アカウントを跨いでの VPC ピアリング接続を作成する前に、リクエスト側と受信側の両方に VPC が存在することを確認してください。
手順
ステップ 1: VPC ピアリング接続を作成する
VPC ピアリング接続コンソール にログインします。トップナビゲーションバーで、リクエスト側 VPC が配置されているリージョン(この例では 中国(北京))を選択します。左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。
VPC ピアリング接続を初めて使用する場合は、CDT サービスの有効化 VPC ピアリング接続 ページでクリックし、ダイアログボックスで [OK] をクリックします。
説明アカウントを跨いでの VPC ピアリング接続を作成するには、受信側が Cloud Data Transfer(CDT)機能を有効にしていることを確認してください。
VPC ピアリング接続 ページに移動し、VPC ピアリング接続の作成 をクリックし、次のようにパラメーターを設定します。
[リージョン間] シナリオでは、ビジネスのレイテンシ要件に基づいて [リンクタイプ] を選択できます。
[ゴールド](デフォルト): レイテンシと接続品質の一般的な要件を満たします。
[プラチナ]: 証券取引やリアルタイムゲームなど、低レイテンシとより安定した接続が必要なシナリオに最適です。
説明4 つのタイプの VPC ピアリング接続を作成できます。[リージョン内同一アカウント]、[リージョン間同一アカウント]、[リージョン内クロスアカウント]、[リージョン間クロスアカウント] です。クロスアカウント
受信側アカウントが [同一アカウント] の場合、リクエスト側がリクエストを開始した後、システムは自動的に接続を確立します。受信側からの操作は必要ありません。
受信側アカウントが [クロスアカウント] の場合、VPC ピアリング接続を作成する前に、受信側はピアリングリクエストを受け入れる必要があります。受信側はリクエストを拒否し、VPC ピアリング接続プロセスを終了することができます。受信側が行う必要がある手順は次のとおりです。
受信側アカウントで VPC コンソール にログインします。左側のナビゲーションウィンドウで、VPC ピアリング接続 をクリックします。
VPC ピアリング接続 ページで、ターゲット VPC ピアリング接続を見つけます。現在、接続のステータスは [承認待ち] です。
リクエストを受け入れるかどうかを決定します。[承認]: ステータスが [承認待ち] から [更新中] に変わります。
ステータスが [有効] に変わると、接続が使用できる状態になったことを示します。
[拒否]: ステータスが [承認待ち] から [拒否済み] に変わります。
[拒否済み] の VPC ピアリング接続は使用できません。リクエスト側または受信側のどちらからでも [削除] できます。
受信側がクロスアカウント VPC ピアリング接続リクエストに対して何も操作を行わない場合、接続ステータスは 7 日後に [期限切れ] に変わります。
ステップ 2: ルートを構成する
VPC ピアリング接続が作成され、[有効] になったら、接続を有効にするために、両端でピア VPC を指すルートエントリを追加する必要があります。
VPC ピアリング接続 ページで VPC ピアリング接続を見つけ、[ルートの構成] [リクエスト側 VPC] または [受信側 VPC] 列のいずれかでクリックします。
リクエスト側と受信側の両方の VPC に対して IPv4 または IPv6 ルートエントリを構成します。以下は、IPv4 ルートエントリを構成する例です。
クロスアカウントピアリング接続の場合は、受信側アカウントで VPC コンソール にログインします。 リクエスト側 VPC の IPv4 または IPv6 CIDR ブロックを入力して、受信側 VPC のルートを追加します。
ステップ 3: 接続性を検証する
接続テストに影響を与えないように、ネットワーク ACL と セキュリティルール の構成を確認してください。
ping コマンドを実行する前に、セキュリティグループで ICMP トラフィックを許可する必要があります。
ECS1 インスタンスにログインし、ECS2 インスタンスのプライベート IP アドレスにアクセスします。
ECS2 インスタンスにログインし、ECS1 インスタンスのプライベート IP アドレスにアクセスします。
前の図に示されている戻りメッセージを受信した場合、VPC1 と VPC2 が接続されていることを示します。検証後、セキュアなアクセスを実現するために、接続された 2 つの VPC にビジネスアプリケーションをデプロイして使用できます。
ネットワーク接続の問題が発生した場合は、Network Intelligence Service(NIS) と [逆パス分析] を使用して、構成の問題を診断し、双方向パスの接続性を検証します。次の構成が正しく設定されていることを確認してください。
ピアリング接続の両端にある VPC の IPv4/IPv6 ルートエントリが正しく構成されている。宛先 CIDR ブロックはピア VPC のものであり、ネクストホップは VPC ピアリング接続である。
ECS セキュリティグループのインバウンドルールとアウトバウンドルールが、ピア IP アドレスからのトラフィックを許可するように設定されている。
vSwitch に関連付けられているネットワーク ACL のインバウンドルールとアウトバウンドルールが、ピア IP アドレスからのトラフィックを許可するように構成されている。
よくある質問
VPC ピアリング接続を構成した後に接続が失敗するのはなぜですか?
次の構成を確認するか、Network Intelligence Service(NIS)と [逆パス分析] を使用して、双方向の接続性を検証します。
[開始側 CIDR ブロック] と [受信側 CIDR ブロック] を確認します。
ピアリング接続の両側にある VPC と vSwitch の CIDR ブロックが重複していないことを確認します。
たとえば、一方の VPC の CIDR ブロックが 192.168.0.0/16 で、もう一方の VPC の CIDR ブロックが 192.168.0.0/24 の場合、ピアリング接続があっても接続できません。ECS インスタンスの VPC を CIDR ブロックが重複しない VPC に変更してから、ピアリング接続を再作成できます。
パブリック CIDR ブロックを使用する場合は、IPv4 ゲートウェイを使用してインターネットから VPC へのトラフィックをルーティングする必要があります。
デフォルトでは、VPC は RFC 1918 以外の IP (例:
30.0.0.0/16) をパブリックとして扱います。リソースがインターネットにアクセスできる場合、宛先 CIDR30.0.0.0/16へのルートがピア VPC を指すように構成されていても、インターネットへのルートがピア VPC へのルートよりも優先されます。
ピアリング接続 ID をクリックし、[ルートエントリリスト] を確認し、両方の VPC がピア VPC に向かう IPv4/IPv6 ルートエントリで正しく構成されており、ネクストホップが VPC ピアリング接続に設定されていることを確認します。
たとえば、ルートエントリが一方の VPC にのみ構成されている場合、またはルートエントリの宛先がローカル VPC である場合、ネットワーク接続は失敗します。
ECS インスタンスのセキュリティグループで、ピア IP アドレスを許可するようにインバウンドルールとアウトバウンドルールを構成していることを確認します。
たとえば、
ping <プライベート IP アドレス>コマンドを実行する前に、セキュリティグループで ICMP プロトコルールを許可する必要があります。vSwitch に関連付けられているネットワーク ACL を確認し、ピア IP アドレスのインバウンドルールとアウトバウンドルールを許可していることを確認します。
関連手順
VPC ピアリング接続を削除する
不要になった VPC ピアリング接続を削除できます。クロスアカウント VPC ピアリング接続の場合、リクエスト側と承認側の両方で接続を削除できます。
VPC ピアリング接続を削除すると、プライベートネットワークアクセスは終了し、復元できません。接続を削除する前に、ビジネスに影響がないことを確認し、慎重に行ってください。
VPC ピアリング接続 ページに移動し、削除する VPC ピアリング接続を見つけ、[削除] [操作] 列でクリックします。
表示されるダイアログボックスで、[確認] をクリックします。
自然削除: VPC ピアリング接続を削除する前に、ルートテーブルからそれを指すルートエントリを削除する必要があります。
強制削除: システムは、VPC ピアリング接続を指すルートエントリを自動的に削除します。
VPC ピアリング接続を強制的に削除するには、[サービスに影響がないことを確認し、上記のすべての VPC ピアリング接続とルートを削除します。] をクリックします。
リージョン間 VPC ピアリング接続の帯域幅を変更する
VPC ピアリング接続 ページに移動し、帯域幅を調整するリージョン間 VPC ピアリング接続を見つけ、そのインスタンス ID をクリックします。
詳細ページで、[基本情報] セクションを見つけ、[編集] [帯域幅 (Mbit/s)] の横にあるをクリックします。
表示されるダイアログボックスで、新しい帯域幅値を入力し、[OK] をクリックします。
帯域幅値は正の整数でなければならず、1024 を超えることはできません。
PrivateLink を使用して VPC ピアリング接続の OpenAPI サービスにアクセスする
次のリージョンでは、PrivateLink を使用して VPC ピアリング接続の OpenAPI サービスにアクセスします。中国(杭州)、中国(上海)、中国(青島)、中国(北京)、中国(深圳)、香港(中国)、シンガポール、米国(シリコンバレー)、米国(バージニア)。
エンドポイントコンソールにログオンします。[エンドポイント] ページに移動し、[エンドポイントの作成] をクリックします。
[エンドポイントの作成] ページで、次の表に基づいてエンドポイントを設定し、[OK] をクリックします。表には、このトピックに関連するパラメーターのみが表示されています。その他のパラメーターについては、「エンドポイントの作成と管理」をご参照ください。作成後、エンドポイントドメイン名
vpcpeer.vpc-proxy.aliyuncs.comを使用して VPC ピアリング接続 API にアクセスできます。パラメーター
説明
エンドポイントタイプ
この例では、インターフェースエンドポイント が選択されています。
エンドポイントサービス
エンドポイントサービスを選択します。
この例では、[Alibaba Cloud サービス] が選択されています。次に、
com.aliyuncs.privatelink.cn-[リージョン ID].vpcpeerという名前のエンドポイントサービスを選択します。
参考資料
VPC ピアリング接続の概要、シナリオ、制限、課金など、VPC ピアリング接続の詳細については、「VPC ピアリング接続」をご参照ください。
VPC ピアリング接続のルート構成例については、「VPC ピアリング接続の例」をご参照ください。
また、SDK、Terraform、または ROS を使用して、次の API を呼び出すことで VPC ピアリング接続を管理することもできます。
CreateVpcPeerConnection: VPC ピアリング接続を作成します。
DeleteVpcPeerConnection: VPC ピアリング接続を削除します。
AcceptVpcPeerConnection: VPC ピアリング接続リクエストを承諾します。
RejectVpcPeerConnection: VPC ピアリング接続リクエストを拒否します。
GetVpcPeerConnectionAttribute: VPC ピアリング接続の詳細を照会します。
ModifyVpcPeerConnection: VPC ピアリング接続を変更します。
CreateRouteEntry: カスタムルートエントリーを追加します。
DeleteRouteEntry: カスタムルートエントリーを削除します。