Virtual Private Cloud:ネットワーク接続

パブリック IP アドレスの種類を選択する

Elastic Compute Service (ECS) インスタンスにデプロイされたサービスのインターネットアクセスを有効にするには、パブリック IP アドレスを構成する必要があります。パブリック IP アドレスには次の 2 つの種類があります。

• 静的 IP: ECS または Classic Load Balancer (CLB) インスタンスの作成時に自動的に割り当てられるこの IPv4 アドレスは、インターネットアクセスをサポートし、インターネットからアクセスできます。ただし、作成時に固定され、インスタンスと共にのみ解放できるため、管理が柔軟ではなく、バインド解除できません。

• Elastic IP (EIP): EIP は、インスタンスに動的に関連付けたり、インスタンスから関連付けを解除したりできる独立したパブリック IP アドレスです。これにより、管理が容易になり、柔軟性が向上します。パブリック IP アドレスを構成する場合は、EIP をアプリケーションサーバーにバインドすることをお勧めします。

統合イングレスインターネットトラフィック

単一のバックエンドサーバーで単一のパブリック IP を使用してサービスを提供すると、単一障害点 (SPOF) が発生し、システムの可用性が損なわれる可能性があります。

Server Load Balancer (SLB) を使用して、イングレスインターネットトラフィックを一元化し、ゾーン間でバックエンドサーバーを接続します。このアプローチにより、トラフィックがさまざまなバックエンドサービスに分散され、サービススループットが向上し、SPOF が排除され、システムの可用性が向上します。

適切なタイプの SLB を選択します。Application Load Balancer (ALB)、Network Load Balancer (NLB)、または Classic Load Balancer (CLB)。

統合エグレスインターネットトラフィック

パブリック IP を使用してインターネットにアクセスできるサーバーは 1 つだけですが、複数のサーバーがインターネットにアクセスするには、追加のパブリック IP が必要になります。インターネット NAT ゲートウェイの SNAT 機能を使用すると、アドレスを節約しながら、VPC 内の ECS インスタンスが共有 EIP を介してインターネットにアクセスできます。

インターネットアクセスコントロール

ECS インスタンスがインターネット経由でサービスを提供する場合、不要なアクセスや潜在的に有害なアクセスを防ぐために、適切なアクセスコントロールが不可欠です。

たとえば、VPC 内の ECS への一元的なアクセスコントロールを実現するには、次のオプションを検討してください。

• IPv4 ゲートウェイは、IPv4 パブリックトラフィックのゲートウェイです。この機能がない場合、パブリック IP を持つ ECS インスタンスはインターネットにアクセスできます。IPv4 ゲートウェイが作成されてアクティブになると、VPC からのインターネットアクセスはゲートウェイによって制御され、ゲートウェイとサブネットルーティングを使用してインターネットアクセスを一元的に制御できます。

• IPv6 ゲートウェイは、IPv6 パブリックトラフィックのゲートウェイです。デフォルトでは、VPC 内の IPv6 アドレスは、プライベートネットワーク通信のみ可能です。インターネットにアクセスするには、IPv6 ゲートウェイで IPv6 アドレスの IPv6 パブリック帯域幅をアクティブにします。また、エグレス専用のルールを構成して、IPv6 アドレスがインターネットへのアクセスに制限されるようにすることもできます。

2 つの VPC を接続する

2 つの VPC を迅速に接続して安全なネットワークを構築するには、VPC ピアリング接続をお勧めします。

VPC ピアリング接続により、同じリージョンまたは異なるリージョン、同じアカウントまたは異なるアカウントの VPC 間でプライベート通信が可能になります。ピアリング接続を作成した後、リクエスト側とリクエスト先 VPC の両方に対してルートエントリを構成して、相互接続を容易にします。

複数の VPC を接続する

広範なクラウドコンピューティング環境で運営されている企業は、通常、さまざまな場所で重要な運用を実行する多数の VPC を管理しています。Cloud Enterprise Network (CEN) を使用して、ネットワークアーキテクチャを作成し、これらの VPC 間の高速で安全な接続を確立できます。

これにより、マルチクラウド環境でのリージョンやアカウント間での効率的なリソース共有、柔軟なスケジューリング、データ同期、アプリケーション移行が可能になります。このソリューションは、ネットワーク管理の複雑さを大幅に軽減し、運用効率を向上させます。

CEN は、転送ルータを介して、同じリージョン内またはリージョン間でインスタンスを接続し、トラフィックをルーティングします。VPC を転送ルータに接続すると、ルートは自動的に同期されます。各リージョンは 1 つの転送ルータのみをサポートしており、リージョン間の接続の場合は転送ルータを接続する必要があります。異なるリージョンにある VPC を接続する場合は、CEN を作成し、Enterprise Edition 転送ルータを使用します。

CEN コンソールでは視覚的な監視機能を使用できるため、ネットワークステータスを把握し、O&M 効率を向上させることができます。

リージョン内の VPC への安全なアクセス

VPC 内にデプロイされたクラウドサービスを他の VPC に提供するには、PrivateLink を使用できます。これにより、NAT ゲートウェイや EIP などのパブリックネットワークエグレスを作成する必要がなくなり、データがインターネット経由で送信されないため、データセキュリティとネットワーク品質が向上します。PrivateLink は、エンドポイントをホストする VPC とエンドポイントサービスを持つ VPC の間に安全で安定した接続を作成します。これにより、ネットワークアーキテクチャが簡素化され、インターネットによるセキュリティリスクを軽減しながら、プライベートネットワークアクセスが可能になります。

可用性の高いハイブリッドクラウド

データセンターと VPC 間の可用性の高い接続が必要な次のシナリオでは、Express Connect をお勧めします。

• データセンターと VPC 間で大規模なデータ移行または頻繁なデータ同期を実行する場合、Express Connect 回線はデータ伝送に必要な時間を短縮します。

• データセンターの重要な運用で高可用性が必要な場合、さまざまなアクセスポイントで Express Connect 回線を作成することで、データセンターとの統合を実現しながら、弾力的な拡張とディザスタリカバリを確保できます。

シンプルなハイブリッドクラウド

インターネット経由で確立された IPsec 接続は、インターネットのレイテンシと可用性の影響を受けます。

レイテンシ要件がそれほど厳しくないシナリオでは、データセンター、オフィスネットワーク、インターネットクライアント、および Alibaba Cloud を暗号化トンネルを介して接続するソリューションとして、VPN ゲートウェイを検討してください。

VPN ゲートウェイは、IPsec-VPN と SSL-VPN の 2 種類の接続を提供し、それぞれ異なるシナリオに適用できます。

• IPsec-VPN は、データセンターまたはオフィスネットワークと VPC 間の接続を確立します。

• SSL-VPN は、インターネットクライアントを VPC に接続し、リモートクライアントが VPC 内のリソースにアクセスできるようにします。

エンタープライズレベルのハイブリッドクラウド

大規模で複雑なネットワークアーキテクチャの場合、CEN は、グローバルに分散されたリソースの統合管理と監視を容易にし、O&M 効率を向上させます。CEN は、複数のクラウド間、およびクラウドとオンプレミスネットワーク間の接続を可能にし、さまざまなビジネス要件を満たす柔軟なハイブリッドクラウドアーキテクチャを作成します。