VPCピアリング接続は、本質的に互いに分離された2つの仮想プライベートクラウド (VPC) 間にプライベートネットワーク接続を作成するための高速で安全なソリューションを提供します。
概要
VPCピアリング接続により、同じまたは異なるアカウント内、および同じまたは異なるリージョン間のVPC間のプライベートネットワーク通信が可能になります。 ピアリング接続が確立されると、VPCのクラウドリソースはプライベートIPv4またはIPv6アドレスを使用して通信できます。
シナリオ
安全なアクセス: VPCピアリング接続は、異なるVPC内のリソースがプライベートネットワークを介して通信できるようにすることでセキュリティを強化します。 これにより、インターネットの公開が回避され、一般的なネットワーク攻撃から保護されます。
マルチアカウント接続: マルチアカウントアーキテクチャでVPC間の安全な通信を有効にできます。 これにより、チーム間のコラボレーションが促進され、リソース共有の効率が向上します。
ディザスタリカバリ: データの同期とバックアップにクロスリージョンピアリング接続を活用します。 これにより、データの冗長性、ディザスタリカバリ、およびビジネスの信頼性が確保されます。
Requesterおよびaccepter
ピアリング接続の2つのVPCは、リクエスタとアクセプタです。
Requester: ピアリング要求を開始します。
Accepter: ピアリング要求を待ちます。
リクエスタとアクセプタの2つの役割は、ピアリング接続を確立するためだけのものです。 ピアリング接続が作成されると、両方のVPCは同じネットワークの一部であるかのようにデータを送受信できます。
VPCピアリング接続のステータス
VPCピアリング接続は、リクエスタがアクセプトに接続要求を送信したときに開始され、各ステージが異なるステータスに対応する複数のフェーズを経ます。
要求者と受け入れ者のVPCが両方とも同じAlibaba Cloudアカウントにある場合、ピアリング接続要求が自動的に開始および承認され、確立時に接続がアクティブになります。
ステータスの説明
課金
リージョン内接続: 同じアカウントに属しているか異なるアカウントに属しているかに関係なく、料金はかかりません。
リージョン間接続: データ転送料金は、アウトバウンドトラフィックに基づいてクラウドデータ転送 (CDT) によって課金されます。
インターリージョンのシナリオでは、プラチナとゴールドの2種類の接続が提供され、それぞれが異なるサービス品質を提供します。
リンクタイプ | サービス可用性 | 該当するシナリオ |
Platinum | 99.995% | 証券取引、オンライン音声、ビデオ会議、リアルタイムゲームなど、ジッターやレイテンシに非常に敏感で、高い接続品質を必要とする企業。 |
Gold | 99.95% | データ同期やファイル転送など、接続品質に敏感でない企業。 |
リージョン間接続の課金例
イメージに示すように、顧客1は中国 (フフホト) でVPC1を作成し、顧客2は中国 (広州) でVPC2を設定しました。 その結果、2つのVPC間のリージョン間、クロスアカウントピアリング接続が確立される。 アウトバウンドトラフィック課金ルールに従って、顧客1はVPC2に送信されたトラフィックに対して課金され、顧客2はVPC1に送信されたトラフィックに対して課金されます。
200 ピアリング接続を介してVPC1からはGBのデータが、VPC2からは100 GBのデータが転送されます。 リンクタイプがGoldの場合、中国 (フフホト) と中国 (広州) 間のデータ転送にかかるリージョン間トラフィック料金は0.072 USD/GBです。
お客様1: USD 0.072/GB × 200 GB = USD 14.4
顧客2: 米ドル0.072/GB × 100 GB=米ドル7.2
VPCピアリング接続の操作
2つのVPC間のセキュアなプライベート通信のためにVPCピアリング接続を確立するには、以下の手順に従います。 詳細については、「プライベート通信にVPCピアリング接続を使用する」をご参照ください。
VPCピアリング接続を使用してVPCを接続する場合は、VPCとvSwitchのCIDRブロックが両端で重複しないようにネットワークを事前に計画してください。
VPCピアリング接続を作成します。
リクエスタは、ピアリング接続要求をアクセプタに送信する。
ピアリング接続を有効にします。
同じアカウントのVPCピアリング接続の場合、システムは自動的にリクエストを受け付けて接続を確立します。
クロスアカウントVPCピアリング接続の場合、受領者はリクエストを受け入れるか拒否することができます。 VPCピアリング接続は、リクエストが受け入れられた場合にのみ有効になります。
VPCがプライベートネットワークを介して通信するために、ピアリング接続の両端のルートを設定します。
必要に応じて、次のいずれかの方法を選択します。
ピアVPCのCIDRブロックを宛先として使用して、リソースへのフルアクセスを許可します。 Elastic Compute Service (ECS) インスタンスは、ピアVPCのvSwitch内のすべてのリソースと通信できるため、管理が簡素化されます。
セキュリティを強化するために、ピアVPCのvSwitchのCIDRブロックを宛先として使用し、ピアリング接続トラフィックの帯域幅を制限します。
重要2つのVPCのCIDRブロックが重複する場合:
vSwitch CIDRブロックが重複しない場合は、ピアvSwitchの重複しないCIDRブロックを宛先として設定できます。 後続のサービスをデプロイするときに、CIDRブロックの競合を回避します。
ピアVPCを指すように宛先アドレスを設定すると、ルーティングの問題が発生する可能性があります。 システムルートは、ピアリング接続によって確立されたルートをオーバーライドします。 つまり、ピアVPCを対象としたトラフィックは、リクエスタVPC内で内部的に誤ってルーティングされ、アクセプタに到達しません。
vSwitch CIDRブロックが重複する場合、システムルートよりも多くの特定のルートを構成することができないため、ピアvSwitchのCIDRブロックを宛先として使用することはできません。
トラブルシューティング
CloudMonitorを使用して、リージョン間VPCピアリング接続のトラフィック帯域幅やパケット損失などのメトリックを収集します。 アラートルールを作成してインスタンスのステータスをリアルタイムで監視し、ビジネスの安定性を確保できます。
VPCピアリング接続のアクセスの問題については、Network Intelligence Service (NIS) を使用して双方向パス分析を行い、構成エラーを診断します。
説明NISは現在、同時双方向パス分析をサポートしていません。 Reverse Path Analysisを使用して接続を確認できます。
到達不可能: ルート設定を確認し、ルートテーブルに、宛先がピアVPCのCIDRブロックで、ネクストホップがVPCピアリング接続であるエントリがあることを確認します。
リクエストがセキュリティグループ拒否ルールに一致するか、デフォルトで拒否されます: VPC内のECSインスタンスのセキュリティグループがピアVPCからのトラフィックを許可していることを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
リクエストがネットワークACL拒否ルールに一致するか、デフォルトで拒否されます: vSwitchのネットワークACLがピアVPCからのトラフィックを許可しているかどうかを確認します。 必要に応じて、インバウンドルールまたはアウトバウンドルールを変更します。
制限事項
機能制限
一度に2つのVPC間に作成できるVPCピアリング接続は1つだけです。
VPCピアリング接続はルーティング伝播をサポートしていません。 VPCピアリング接続を確立した後、接続を有効にするために、リクエスタとアクセプタの両方のルートエントリを手動で設定する必要があります。
VPC1、VPC2、およびVPC3の3つのVPCが作成されると仮定する。 ピアリング接続がVPC1とVPC2の間に確立され、別のピアリング接続がVPC2とVPC3の間に確立されます。 VPC2はトランジットルーターとして機能できないため、VPC1とVPC3の間にピアリング接続を作成し、それらを接続するルートエントリを設定する必要があります。
マルチアカウント共有VPCシナリオでは、リソース所有者はVPCピアリング接続を作成、変更、または削除できます。 ただし、プリンシパルには管理権限がありません。
サポートされるリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地域),中国 (青島),中国 (北京),中国 (張家口),中国 (フフホト),中国 (ウランカブ),中国 (深セン),中国 (河源),中国 (広州),中国 (成都),中国 (香港),中国 (武漢-地域),中国 (福州-地域),日本 (東京),韓国 (ソウル),シンガポール,マレーシア (クアラルンプール),インドネシア (ジャカルタ),フィリピン (マニラ)、およびタイ (バンコク). |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) 。 |
中東 | UAE (ドバイ) およびSAU (リヤド-パートナー地域) 。 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
Quotas
名前 /ID | 説明 | デフォルト値 | 調整可能 |
vpc_quota_cross_region_peer_num_per_vpc | 各VPCのリージョン間VPCピアリング接続の最大数 | 20 | 次の操作を実行して、クォータを増やすことができます。
|
vpc_quota_intra_region_peer_num_per_vpc | 各VPCのリージョン内VPCピアリング接続の最大数 | 10 | |
vpc_quota_peer_num | 各リージョンの各アカウントで作成できるVPCピアリング接続の最大数 | 20 | |
vpc_quota_peer_cross_border_帯域幅 | クロスボーダーVPCピアリング接続の最大帯域幅 | 1,024 Mbps | |
vpc_quota_peer_cross_region_帯域幅 | リージョン間VPCピアリング接続の最大帯域幅 | 1,024 Mbps | |
非該当 | リージョン内接続のデフォルトの最大帯域幅 | -無制限の帯域幅を示す1 Mbps | 非該当 |