すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:VPC ピアリング接続

最終更新日:Jun 10, 2026

デフォルトでは、VPC は分離されており、相互に通信できません。VPC 間のプライベート通信を有効にするには、VPC ピアリング接続を作成し、各 VPC にルートを設定します。この機能は、同一アカウントおよびクロスアカウント接続、ならびに同一リージョンおよびクロスリージョン接続をサポートします。開始する前に、2 つの VPC の CIDR ブロックが重複していないことを確認してください。

ワークフロー

VPC ピアリング接続は、2 つの VPC をプライベートネットワーク経由で接続し、両方の VPC 内のリソースがプライベート IP アドレスを使用して相互に通信できるようにします。

  1. VPC ピアリング接続の作成:同一アカウントの VPC の場合、システムは自動的に接続を確立します。クロスアカウントの VPC の場合、受信側アカウントは接続リクエストを承諾する必要があります。

  2. 双方向ルートの設定:通信を有効にするには、各 VPC でピア VPC を指すルートを設定します。

多くの VPC を高帯域幅、低コストで相互接続するには、VPC ピアリング接続と Cloud Enterprise Network (CEN) を使用します。両者の比較については、「VPC 相互接続」をご参照ください。

ピアリング接続の設定

コンソール

  1. 前提条件:

    1. 2 つの VPC の CIDR ブロックが重複していないことを確認します。重複している場合は、重複しない CIDR ブロックを持つ VPC にワークロードを移行する必要があります。

    2. 初めて VPC ピアリング接続を使用する場合、2 つの VPC を所有するアカウントで Cloud Data Transfer (CDT) が有効になっていることを確認します。

  2. ピアリング接続の作成:

    1. VPC コンソール - VPC ピアリング接続 ページに移動します。トップナビゲーションバーで VPC のリージョンを選択し、VPC ピアリング接続の作成 をクリックします。

    2. 作成ページで、VPC のアカウントとリージョンに基づいて、受信側アカウントタイプとリージョンタイプを選択します。

      • 受信側アカウントタイプ:

        • 同一アカウント:システムは自動的にリクエストを承諾し、接続を確立します。チェックボックスをオンにすると、ピア VPC の CIDR ブロックへのルートをシステムルートテーブルに追加できます。このオプションを選択すると、システムは自動的に双方向ルートを設定します。

        • クロスアカウント:受信側アカウントを使用して、VPC コンソール - VPC ピアリング接続 ページに移動します。トップナビゲーションバーで VPC のリージョンを選択します。対象のピアリング接続の 操作 列で、承諾 をクリックします。

          受信側は、接続リクエストを 拒否 または 削除 することもできます。完全なワークフローについては、「VPC ピアリング接続の状態」をご参照ください。
      • リージョンタイプが クロスリージョン の場合、接続タイプ接続先のリージョン を設定する必要があります。

        プラチナとゴールドのリンクタイプがサポートされています。これらは異なるレベルのデータ転送品質を提供し、課金レートも異なります。

        • プラチナ (99.995% のサービス可用性):証券取引、オンライン音声通話、ビデオ会議、リアルタイムゲームなど、ネットワークジッターや遅延に敏感で、高いリンク品質を必要とするワークロードに最適です。

        • ゴールド (99.95% のサービス可用性):データ同期やファイル転送など、リンク品質に対する感度が低いワークロードに適しています。

  3. 双方向ルートの設定:

    IPv6 アドレス経由での通信を有効にするには、ピア VPC の IPv6 CIDR ブロックを指すルートエントリを設定する必要があります。
    1. リクエスト元アカウントで:リクエスタ 列で、ルートエントリの設定 をクリックします。接続したいリソースの vSwitch に関連付けられている ルートテーブル を選択します。宛先 CIDR ブロック に、受信側 VPC の CIDR ブロックを入力します。

    2. 受信側アカウントで:アクセプタ 列で、ルートエントリの設定 をクリックします。接続したいリソースの vSwitch に関連付けられている ルートテーブル を選択します。宛先 CIDR ブロック に、リクエスト元 VPC の CIDR ブロックを入力します。

  4. 接続性の検証

    • 接続性アナライザー:この機能は、実際のデータパケットを送信せずに接続性を分析するため、サービスに影響を与えません。

      1. 対象の VPC ピアリング接続の 診断 列で、診断 > パス分析 を選択します。または、VPC ピアリング接続の ID をクリックして パス分析 タブに移動します。

      2. ソースと宛先を設定します。プロトコルとポート番号を指定して、アクセスシナリオをシミュレートし、接続性を検証します。

      3. システムはルート、セキュリティグループ、およびネットワーク ACL をチェックし、診断結果を提供します。

      4. 一方向でパスが到達可能な場合、双方向の接続性を検証するために逆方向のパスを設定して分析する必要があります。

    • 手動検証:リクエスト元 VPC の ECS インスタンスから、ping <private IP of the peer ECS instance> コマンドを実行します。

リージョン間の VPC ピアリング接続を作成した後、インスタンス ID をクリックし、編集 をクリックして接続の 帯域幅 (Mbps)接続タイプ を編集できます。
どちらかのアカウントの所有者が VPC ピアリング接続を削除できます。この操作はプライベートネットワークの接続を即座に中断し、元に戻すことはできません。サービスの中断を避けるため、慎重に進めてください。

API

ピアリング接続の作成
  1. CreateVpcPeerConnection API オペレーションを呼び出して、VPC ピアリング接続を作成します。

  2. 2 つの VPC が異なるアカウントに属している場合、受信側アカウントを使用して AcceptVpcPeerConnection API オペレーションを呼び出し、VPC ピアリング接続を承諾します。

    受信側は、RejectVpcPeerConnection API オペレーションを呼び出して VPC ピアリング接続を拒否することもできます。
  3. 各アカウントから GetVpcPeerConnectionAttribute API オペレーションを呼び出して、ピア VPC の CIDR ブロックをクエリします。

  4. 各アカウントから CreateRouteEntry API オペレーションを呼び出して、VPC ピアリング接続を指すルートエントリを作成します。

リージョン間ピアリング接続の変更

ModifyVpcPeerConnection API オペレーションを呼び出して、リージョン間 VPC ピアリング接続の帯域幅またはリンクタイプを変更します。

ピアリング接続の削除
  • DeleteRouteEntry API オペレーションを呼び出して、VPC ピアリング接続を指すルートエントリを削除します。

  • DeleteVpcPeerConnection API オペレーションを呼び出して、VPC ピアリング接続を削除します。

接続性アナライザー

接続性アナライザーを使用して接続性を検証するには、次の API オペレーションを以下の順序で呼び出します:

  1. CreateNetworkAnalysisPath

  2. StartNetworkReachableAnalysis

  3. GetNetworkReachableAnalysisResult

Terraform

同一アカウントのピアリング接続
リソース: alicloud_vpc_peer_connection, alicloud_route_entry
データソース: alicloud_account
# VPC を所有するアカウント。
data "alicloud_account" "default" {}

provider "alicloud" {
  alias  = "local"
  region = "cn-hangzhou" # リクエスト元 VPC のリージョン。
}

provider "alicloud" {
  alias  = "accepting"
  region = "cn-beijing" # 受信側 VPC のリージョン。リクエスト元リージョンと同じでもかまいません。
}

# リクエスト元 VPC の ID。
variable "local_vpc_id" {
  default = "vpc-bp1c******"
}

# 受信側 VPC の ID。
variable "accepting_vpc_id" {
  default = "vpc-2zev******"
}

# VPC ピアリング接続を作成します。
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
  provider             = alicloud.local
  peer_connection_name = "example_peer_connection_name"
  vpc_id               = var.local_vpc_id                 # リクエスト元 VPC の ID。
  accepting_ali_uid    = data.alicloud_account.default.id # 受信側アカウントの ID。   
  accepting_region_id  = "cn-beijing"                     # 受信側 VPC のリージョン。
  accepting_vpc_id     = var.accepting_vpc_id             # 受信側 VPC の ID。
  bandwidth            = 1024                             # 帯域幅 (Mbps)。リージョン間接続でのみ設定可能です。
  link_type            = "Gold"                           # リンクタイプ。リージョン間接続でのみ設定可能です。
}

# リクエスト元 VPC のルートを設定します。
resource "alicloud_route_entry" "example_local_route" {
  provider              = alicloud.local
  route_table_id        = "vtb-bp1a******"            # リクエスト元インスタンスの vSwitch に関連付けられたルートテーブルの ID。
  destination_cidrblock = "172.16.0.0/12"             # 受信側 VPC の CIDR ブロック。
  nexthop_type          = "VpcPeer"                   # ネクストホップは VPC ピアリング接続です。
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

# 受信側 VPC のルートを設定します。
resource "alicloud_route_entry" "example_acceptor_route" {
  provider              = alicloud.accepting
  route_table_id        = "vtb-2ze1******"            # 受信側インスタンスの vSwitch に関連付けられたルートテーブルの ID。
  destination_cidrblock = "10.0.0.0/8"                # リクエスト元 VPC の CIDR ブロック。
  nexthop_type          = "VpcPeer"                   # ネクストホップは VPC ピアリング接続です。
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}
クロスアカウントのピアリング接続
リソース: alicloud_vpc_peer_connection, alicloud_vpc_peer_connection_accepter, alicloud_route_entry
provider "alicloud" {
  alias  = "local"
  region = "cn-hangzhou" # リクエスト元 VPC のリージョン。 
}

# 受信側 VPC のリージョン。リクエスト元リージョンと同じでもかまいません。
variable "accepting_region" {
  default = "cn-beijing"
}

# 受信側アカウントの ID。
variable "accepting_uid" {
  default = "1234******"
}

# 受信側アカウントの AccessKey ID。
variable "access_key_id" {
  description = "インフラストラクチャを管理するための AccessKey ID"
}
# 受信側アカウントの AccessKey Secret。
variable "access_key_secret" {
  description = "インフラストラクチャを管理するための AccessKey Secret"
}

provider "alicloud" {
  alias      = "acceptor"
  region     = var.accepting_region
  access_key = var.access_key_id
  secret_key = var.access_key_secret
}

# リクエスト元 VPC の ID。
variable "local_vpc_id" {
  default = "vpc-2ze0******"
}

# 受信側 VPC の ID。
variable "accepting_vpc_id" {
  default = "vpc-wz9e******"
}

# VPC ピアリング接続を作成します。
resource "alicloud_vpc_peer_connection" "example_peer_connection" {
  provider             = alicloud.local
  peer_connection_name = "example_peer_connection_name"
  vpc_id               = var.local_vpc_id     # リクエスト元 VPC の ID。
  accepting_ali_uid    = var.accepting_uid    # 受信側アカウントの ID。   
  accepting_region_id  = var.accepting_region # 受信側 VPC のリージョン。
  accepting_vpc_id     = var.accepting_vpc_id # 受信側 VPC の ID。
  bandwidth            = 1024                 # 帯域幅 (Mbps)。リージョン間接続でのみ設定可能です。
  link_type            = "Gold"               # リンクタイプ。リージョン間接続でのみ設定可能です。
}

# 受信側がピアリング接続リクエストを承諾します。
resource "alicloud_vpc_peer_connection_accepter" "example_peer_connection_accepter" {
  provider    = alicloud.acceptor
  instance_id = alicloud_vpc_peer_connection.example_peer_connection.id
}

# リクエスト元 VPC のルートを設定します。
resource "alicloud_route_entry" "example_local_route" {
  provider              = alicloud.local
  route_table_id        = "vtb-2zel******" # リクエスト元インスタンスの vSwitch に関連付けられたルートテーブルの ID。
  destination_cidrblock = "192.168.0.0/24" # 受信側 VPC の CIDR ブロック。
  nexthop_type          = "VpcPeer"        # ネクストホップは VPC ピアリング接続です。
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

# 受信側 VPC のルートを設定します。
resource "alicloud_route_entry" "example_acceptor_route" {
  provider              = alicloud.acceptor
  route_table_id        = "vtb-wz95******" # 受信側インスタンスの vSwitch に関連付けられたルートテーブルの ID。
  destination_cidrblock = "172.16.0.0/12"  # リクエスト元 VPC の CIDR ブロック。
  nexthop_type          = "VpcPeer"        # ネクストホップは VPC ピアリング接続です。
  nexthop_id            = alicloud_vpc_peer_connection.example_peer_connection.id
}

ネットワーク接続のトラブルシューティング

接続性アナライザー を使用してネットワーク接続を検証します。

チェック項目

説明

ソリューション

ピアリング接続ステータス

対象のピアリング接続の ステータスアクティベート済み であることを確認します。

ステータスが「承認待ち」の場合、受信側アカウントの所有者に連絡して接続リクエストを承諾してもらいます。

CIDR ブロック設定

リクエスト元および受信側 VPC で以下の問題がないか確認します:

  1. CIDR ブロックの重複。

  2. 198.19.0.0/16 や 30.0.0.0/8 など、RFC 1918 以外のプライベート CIDR ブロックの使用。VPC はこれらをパブリック CIDR ブロックとして扱います。ECS インスタンスにパブリック IP アドレスがある場合、これらの CIDR ブロックへのトラフィックはデフォルトでパブリックインターネットにルーティングされます。

  3. ECS インスタンスに Docker がデプロイされている場合の Docker ネットワークアダプターアドレスとの競合。

  1. CIDR ブロックが重複している場合、ワークロードを重複しない CIDR ブロックを持つ VPC に移行し、新しいピアリング接続を作成します。

  2. RFC 1918 以外のプライベート CIDR ブロックを使用する場合、IPv4 ゲートウェイを使用してパブリック IP アドレスのプライベート利用を有効にし、トラフィックが宛先 VPC に正しくルーティングされるようにします。

  3. Docker の CIDR ブロックを変更します

ルート設定

ピアリング接続の詳細ページで、ルートエントリ を確認します:

  1. 各 VPC にピア VPC を指すルートエントリがあることを確認します。

  2. 宛先 CIDR ブロックがピア VPC の CIDR ブロックに設定されていることを確認します。

  3. ルートエントリが、リソースを含む vSwitch のルートテーブルにあることを確認します。

双方向ルート設定を確認し、修正します。

アクセスルール設定

  1. 接続された ECS インスタンスのセキュリティグループルールが、ピア IP アドレス範囲からのトラフィックを許可していること。

  2. RDS インスタンスの許可リストにピア IP アドレス範囲が含まれていること。

  3. vSwitch に関連付けられたネットワーク ACL のインバウンドおよびアウトバウンドルールが、ピア IP アドレス範囲からのトラフィックを許可していること。

セキュリティグループ、ネットワーク ACL、および RDS の許可リストがすべてピア IP アドレス範囲からのトラフィックを許可していることを確認します。

CIDR ブロックの競合による接続障害

  1. CIDR ブロックの重複:

    ピアリングされた VPC の CIDR ブロックが重複し、ピア VPC の CIDR ブロックを宛先として設定した場合、トラフィックはまずローカルシステムルートに一致します。これにより、トラフィックはローカル VPC 内でルーティングされ、ピア VPC に到達できなくなります。

    1. vSwitch の CIDR ブロックが重複していない場合、ピア vSwitch の CIDR ブロックを宛先として設定できます。ただし、新しい vSwitch も重複しない CIDR ブロックを使用する必要があるため、このアプローチは拡張が難しく、ネットワーク計画が複雑になります。ワークロードを重複しない CIDR ブロックを持つ VPC に移行し、新しいピアリング接続を作成してください。

    2. vSwitch の CIDR ブロックが重複している場合、システムルートを上書きするためのより具体的なルートを設定することはできません。この場合、ワークロードを重複しない CIDR ブロックを持つ VPC に移行し、新しいピアリング接続を作成する必要があります。

  2. RFC 1918 以外のプライベート CIDR ブロックの使用:

    VPC は、RFC 1918 (198.19.0.0/16 や 30.0.0.0/16 など) 以外の IP アドレス空間をパブリック CIDR ブロックとして扱います。VPC 内の ECS インスタンスにパブリック IP アドレスがあるか、NAT Gateway を介してインターネットにアクセスできる場合、これらの CIDR ブロック宛のトラフィックは宛先 VPC ではなくパブリックインターネットにルーティングされます。これを修正するには、VPC で IPv4 ゲートウェイを使用してパブリック IP アドレスのプライベート利用を有効にします。これにより、宛先のパブリック CIDR ブロックをプライベートルートとして追加でき、トラフィックがピアリング接続を介して宛先 VPC に正しくルーティングされるようになります。

設定例

3 つの VPC を接続する

VPC ピアリング接続のルートを設定する際、以下のことができます:

  • 宛先 CIDR ブロックをピア VPC の CIDR ブロック全体に設定します。これにより、すべてのインスタンスが相互に通信でき、ルート管理が簡素化されます。

  • 宛先 CIDR ブロックをピア vSwitch の CIDR ブロックまたは特定のインスタンスの IP アドレスに設定することで、より詳細なルートを設定します。これによりセキュリティが向上しますが、新しいインスタンスが通信する必要がある場合は、手動でルートテーブルを更新する必要があります。

例えば、VPC1 には VPC2 の vSwitch 3 の CIDR ブロックと VPC3 の ECS04 を指すルートがあります。その結果、VPC1 のリソースは、プライベートネットワーク経由で vSwitch 3 の CIDR ブロック内のリソースおよび ECS04 とのみ通信できます。VPC2 と VPC3 には、それぞれのピア VPC の CIDR ブロック全体を指すルートがあり、これによりすべてのリソースが相互に通信できます。

ハブアンドスポークトポロジーで VPC を接続する

ハブアンドスポークトポロジーでは、スポーク VPC はハブ VPC 内のサービスにアクセスできますが、相互に直接通信することはできません。このモデルのユースケースは以下の通りです:

  • 部門ごとの分離:異なる事業部門の VPC は相互に通信できませんが、ハブ VPC 内の共有サービスにアクセスする必要があります。

  • マルチテナント分離:サービスが専用 VPC にデプロイされ、複数のテナントに提供されます。各テナントの VPC はサービス VPC と通信できますが、テナント VPC 同士は通信できません。

不正なクロスアカウント接続の制限

デフォルトでは、vpc:CreateVpcPeerConnection および vpc:AcceptVpcPeerConnection 権限を持つ RAM ユーザーは、任意のアカウントと VPC ピアリング接続を作成できます。不正なデータ漏えいを防ぐため、RAM カスタムポリシーを使用して、組織内のアカウントまたは特定のピアアカウントへの接続を制限します。これらのポリシーは、acs:TargetRDIdacs:TargetRDPath などのグローバル条件キーを使用して、RAM ユーザーが接続できるピアアカウントを制限します。

条件キー

権限付与中、RAM は AcceptingAliUid パラメーター (ピアリング接続作成時) または RequestingAliUid パラメーター (ピアリング接続承諾時) を使用して、ピアアカウントの リソースディレクトリを検索します。その後、RAM は以下の条件キーを権限付与コンテキストに挿入し、カスタムポリシーの Condition ブロックで評価します。

条件キー

タイプ

説明

ユースケース

acs:TargetRDId

String

ピアアカウントのリソースディレクトリ ID。例:rd-xxxxxx

指定されたリソースディレクトリに属するアカウントへの接続を制限します。

acs:TargetRDPath

String

ピアアカウントのリソースディレクトリパス。フォーマットは {RDId}/{RootFolderId}/{FolderId}/{AccountId} です。ワイルドカードがサポートされています。

指定されたフォルダに配置されているアカウントへの接続を制限します。これは階層的なガバナンスを実装するのに役立ちます。

注:
これらの条件キーは、vpc:CreateVpcPeerConnection および vpc:AcceptVpcPeerConnection アクションに対してのみ挿入されます。VPC ピアリング接続のクエリ、変更、削除などの他の操作は影響を受けません。
リクエストがポリシーによって拒否された場合、API はエラーコード Forbidden.NoPermission を返します。エラー詳細の NoPermissionType フィールドは ExplicitDeny に設定されます。ActionTrail で RequestId を使用して、拒否されたリクエストを追跡できます。

制限ポリシーの選択

リソースディレクトリ ID、リソースディレクトリパス、アカウント ID などのプレースホルダーを、ご自身の組織の実際の値に置き換えてください。リソースディレクトリ ID とリソースディレクトリパスは、Resource Management コンソールで確認できます。

リソースディレクトリ ID

このポリシーは、VPC ピアリング接続を、指定されたリソースディレクトリ内のアカウントに制限します。rd-xxxxxx をご自身のリソースディレクトリ ID に置き換えてください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "vpc:CreateVpcPeerConnection",
        "vpc:AcceptVpcPeerConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "acs:TargetRDId": ["rd-xxxxxx"]
        }
      }
    }
  ]
}

リソースディレクトリパス

このポリシーは、VPC ピアリング接続を、指定されたフォルダパス配下のアカウントに制限します。この制限は、詳細な階層型ガバナンスを実装するのに役立ちます。サンプルパスを実際のパスに置き換えてください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "vpc:CreateVpcPeerConnection",
        "vpc:AcceptVpcPeerConnection"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotLike": {
          "acs:TargetRDPath": ["rd-xxxxxx/r-xxxxxx/fd-xxxxxx/*"]
        }
      }
    }
  ]
}

ポリシーの作成とアタッチ

コンソール

  1. RAM コンソールにログインします。 左側のナビゲーションウィンドウで、Permissions > Policiesを選択します。

  2. Create Policy をクリックします。JSON タブで、選択したポリシードキュメントを貼り付け、リソースディレクトリ ID やリソースディレクトリパスなどのプレースホルダー値を置き換えます。

  3. はい をクリックし、Policy Name を入力してから OK をクリックします。

  4. 対象の RAM ユーザー、ユーザーグループ、またはロールにポリシーをアタッチします

API

  1. CreatePolicy API オペレーションを呼び出してカスタムポリシーを作成します。選択したポリシードキュメントを PolicyDocument パラメーターとして渡します。

  2. AttachPolicyToUserAttachPolicyToGroup、または AttachPolicyToRole を呼び出して、対象の RAM ユーザー、ユーザーグループ、またはロールにポリシーをアタッチします。

監視と運用保守

リージョン間ピアリング接続では、トラフィック、帯域幅、パケット損失などの主要なメトリックを監視できます。CloudMonitor でしきい値ベースのアラートルールを作成することで、接続をリアルタイムで監視し、ネットワークの問題を迅速に検出して解決できます。

監視メトリックは、リージョン内ピアリング接続では利用できません。

メトリック

メトリック

説明

インバウンドトラフィック

統計期間内に、VPC ピアリング接続のリクエスト元から受信側に送信されたトラフィック。

アウトバウンドトラフィック

統計期間内に、VPC ピアリング接続の受信側からリクエスト元に送信されたトラフィック。

インバウンド帯域幅

VPC ピアリング接続のリクエスト元から受信側に流れるトラフィックの帯域幅。

アウトバウンド帯域幅

VPC ピアリング接続の受信側からリクエスト元に流れるトラフィックの帯域幅。

スロットリングによるアウトバウンドパケットドロップ数

帯域幅調整により、VPC ピアリング接続インスタンスによってドロップされたアウトバウンドデータパケットの数。

コンソール

ピアリング接続の監視

  1. VPC コンソール - VPC ピアリング接続 に移動します。ページの上部で、VPC が配置されているリージョンを選択します。

  2. 対象のリージョン間 VPC ピアリング接続のモニター列で icon アイコンをクリックすると、トラフィック、帯域幅、パケット損失などのメトリックを表示できます。

CloudMonitor アラート

  1. CloudMonitor コンソール - アラートルール に移動し、アラームルールを作成 をクリックします。

  2. VPC ピアリング接続メトリックの各アラートレベルにしきい値を設定します。メトリックがしきい値を超えると、指定されたアラーム連絡先グループに通知が送信されます。また、アラートルールのアクション列でアラーム履歴をクリックすると、アラートタイムラインを表示できます。

  3. 対象のアラートルールの アクション 列で、ルールを Modify無効化、または 削除 できます。

API

  • ピアリング接続の CloudMonitor メトリック を参照してください。その後、PutResourceMetricRules API オペレーションを呼び出して、VPC ピアリング接続に複数のしきい値ベースのアラートルールを設定します。

  • EnableMetricRules API オペレーションを呼び出して、1 つ以上のアラートルールを有効にします。

  • DisableMetricRules API オペレーションを呼び出して、1 つ以上のアラートルールを無効にします。

  • DeleteMetricRules API オペレーションを呼び出して、1 つ以上のアラートルールを削除します。

Terraform

ピアリング接続の CloudMonitor メトリック を参照して、しきい値ベースのアラートルールを設定します。
リソース: alicloud_cms_alarm_contact, alicloud_cms_alarm_contact_group, alicloud_cms_alarm
# 監視対象の VPC ピアリング接続インスタンスの ID。
variable "vpc_peer_id" {
  default = "pcc-28cv******"
}

# アラート連絡先を作成します。
resource "alicloud_cms_alarm_contact" "example_cms_alarm_contact" {
  alarm_contact_name = "example_cms_alarm_contact_name"
  describe           = "example_vpc_peer_alarm"
  channels_mail      = "xxx@xxx.com" # ご自身のメールアドレスに置き換えてください。
  lifecycle {
    ignore_changes = [channels_mail]
  }
}

# アラートグループを作成します。
resource "alicloud_cms_alarm_contact_group" "example_cms_alarm_contact_group" {
  alarm_contact_group_name = "example_cms_alarm_contact_group"
  contacts                 = [alicloud_cms_alarm_contact.example_cms_alarm_contact.id] # アラート連絡先を指定します。
}

# アラートルールを作成します。
resource "alicloud_cms_alarm" "example_cms_alarm" {
  name               = "example_cms_alarm_name"
  project            = "acs_vpcpeer" # クラウドサービスの名前空間。
  metric             = "IntranetRX"  # メトリック名。
  period             = 60            # 統計期間。
  contact_groups     = [alicloud_cms_alarm_contact_group.example_cms_alarm_contact_group.alarm_contact_group_name]
  effective_interval = "06:00-20:00" # 有効期間。
  metric_dimensions  = <<EOF
  [
    {
      "instanceId": "${var.vpc_peer_id}"
    }
  ]
  EOF
  escalations_critical {            # 重大レベルのアラートを定義します。
    statistics          = "Sum"     # アラートの統計メソッド。
    comparison_operator = ">="      # しきい値の比較演算子。
    threshold           = 104857600 # しきい値。
    times               = 2         # アラートをトリガーするためにしきい値を満たす必要がある連続期間の数。
  }
}

よくある質問

クロスボーダーピアリング接続はサポートされていますか?

はい、非クロスボーダー接続とクロスボーダー接続の両方がサポートされています。

  • 非クロスボーダー:中国本土内の 2 つのリージョン、または中国本土以外の 2 つのリージョンを接続します。

  • クロスボーダー:中国本土のリージョンと中国本土以外のリージョンを接続します。 ご利用のアカウントが 企業実名登録 を完了していることを確認してください。

なぜ宛先 VPC を選択できないのですか?

選択したリージョンとアカウントが、宛先 VPC の リージョン所有者 と一致していることを確認してください。

リクエスト元のリージョンはページの上部に表示され、現在のアカウントがリクエスト元です。ピアリング接続を作成する際に、受信側のアカウントとリージョンを設定します。

RAM ユーザーの CDT 権限不足エラー

RAM ユーザーが AliyunVPCFullAccess 権限を持っているにもかかわらず、VPC ピアリング接続を作成する際に cdt:GetCdtServiceStatus 権限が不足しているというエラーが表示されることがあります。これは、VPC ピアリング接続が Cloud Data Transfer (CDT) サービスに依存しているためです。ピアリング接続の作成には CDT 関連の API を呼び出す必要があるため、VPC の権限だけでは不十分です。

RAM ユーザーに以下の追加権限のいずれかを付与する必要があります:

  • AliyunCDTFullAccess:CDT サービスへのフルアクセスを許可します。

  • AliyunCDTReadOnlyAccess:CDT サービスへの読み取り専用アクセスを許可します。ユーザーがピアリング接続を作成するだけで、CDT リソースを管理する必要がない場合は、この権限で十分です。

Docker を使用する ECS インスタンスの通信障害

ルーティングとセキュリティグループの設定が正しい場合、この問題は通常、Docker ネットワークインターフェースのアドレスと宛先 CIDR ブロックの競合によって引き起こされます。ip addr コマンドを実行して競合を確認できます。

競合が存在する場合、以下の手順に従って Docker の CIDR ブロックを変更し、宛先 CIDR ブロックとの競合を解決してください。

  • Docker サービスの停止または Docker CIDR ブロックの変更は、ビジネスサービスを中断させます。この操作はオフピーク時に実行してください。

  • Docker の CIDR ブロックを変更する際は、新しい CIDR ブロックが既存のすべてのコンテナとアプリケーションのネットワーク設定と互換性があることを確認し、潜在的な接続性の問題を回避してください。

  1. sudo systemctl stop docker コマンドを実行して Docker サービスを停止します。

  2. sudo vim /etc/docker/daemon.json コマンドを実行して Docker 設定ファイルを編集します。ファイルに以下の内容を追加して保存します:

    Docker 設定ファイルは通常、/etc/docker/daemon.json または /etc/docker/daemon.conf にあります。正確なファイル名は異なる場合があります。
    {
        "bip":"新しい Docker CIDR ブロック"
    }
  3. sudo systemctl start docker コマンドを実行して Docker サービスを開始し、変更が有効になっていることを確認します。

詳細情報

制限事項

  • 以下のシナリオでは、VPC ピアリング接続を作成できません:

    • 2 つの VPC が異なる Alibaba Cloud サイトのアカウントに属している場合。例えば、Alibaba Cloud 中国サイトのアカウントと Alibaba Cloud 国際サイトのアカウント。

  • VPC ピアリング接続は推移的ルーティングをサポートしていません。

    例えば、VPC 1 が VPC 2 と VPC 3 に別々の VPC ピアリング接続で接続されている場合、VPC 2 と VPC 3 は VPC 1 を介して相互に通信することはできません。

  • VPC が複数のアカウントで共有されている場合、リソース所有者のみが VPC ピアリング接続を作成、変更、または削除できます。リソースユーザーにはこれらの権限はありません。

課金

リージョン内の VPC ピアリング接続は、VPC が同一アカウントに属しているか異なるアカウントに属しているかに関わらず、無料です。

リージョン間の VPC ピアリング接続については、Cloud Data Transfer (CDT) がアウトバウンドトラフィックに基づいてデータ転送料金を請求します。

  • 単価は、リージョンペアと選択されたリンクタイプによって決まります。プラチナとゴールドの 2 つのリンクタイプが利用可能で、異なるレベルのデータ転送品質を提供します。

  • 課金サイクルは 1 時間ごとです。課金サイクル内にリンクタイプを切り替えた場合、そのサイクル全体に対してより高いサービスレベルのレートが適用されます。

VPC1 と VPC2 間のリージョン間、クロスアカウントの VPC ピアリング接続のこの例では、リンクタイプは ゴールド であり、中国 (フフホト) から 中国 (広州) へのデータ転送料金は 1 GB あたり 0.072 USD です。VPC1 からのアウトバウンドトラフィックが 200 GB、VPC2 からが 100 GB の場合、料金は次のように計算されます:

アカウント A の料金:0.072 USD/GB × 200 GB = 14.4 USD

アカウント B の料金:0.072 USD/GB × 100 GB = 7.2 USD

VPC ピアリング接続の状態機械

リクエスト元が VPC ピアリング接続を開始した後、それはいくつかの状態を遷移します。

同一アカウント内の VPC 間で VPC ピアリング接続を作成すると、システムは自動的にリクエストを承諾し、接続は「アクティブ」になります。

状態の説明

状態

説明

作成中

接続リクエストがリクエスト元によって開始されました。

承諾中

接続リクエストは受信側による承諾待ちです。

更新中

リクエストが承諾された後、接続がプロビジョニング中です。

アクティブ

接続が確立され、アクティブです。

拒否済み

接続リクエストが受信側によって拒否されました。

期限切れ

受信側が 7 日以内に承諾または拒否しなかったため、接続リクエストが期限切れになりました。

削除中

リクエスト元または受信側が接続を削除中です。

削除済み

接続は削除されました。

サポートされているリージョン

エリア

リージョン

アジア太平洋 - 中国

中国 (杭州)中国 (上海)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (ウランチャブ)中国 (深セン)中国 (河源)中国 (広州)中国 (成都)中国 (中衛)中国 (香港)中国 (武漢 - ローカルリージョン)、および 中国 (福州-ローカルリージョン) (サービス終了予定)

アジア太平洋 - その他

日本 (東京)韓国 (ソウル)シンガポール (シンガポール)マレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)タイ (バンコク)、および マレーシア (ジョホールバル)

ヨーロッパ & アメリカ

ドイツ (フランクフルト)イギリス (ロンドン)米国 (シリコンバレー)、および 米国 (バージニア)

中東

UAE (ドバイ) および サウジアラビア (リヤド - パートナー運営)

クォータ

クォータ名

説明

デフォルトのクォータ

アクション

vpc_quota_cross_region_peer_num_per_vpc

VPC ごとのリージョン間 VPC ピアリング接続の数。

20

クォータの引き上げをリクエストするには、クォータ管理ページまたはクォータセンターに移動します。

vpc_quota_intra_region_peer_num_per_vpc

VPC ごとのリージョン内 VPC ピアリング接続の数。

10

vpc_quota_peer_num

Alibaba Cloud アカウントごと、リージョンごとの VPC ピアリング接続の数。

20

vpc_quota_peer_cross_border_bandwidth

最大クロスボーダー帯域幅。

1,024 Mbps

vpc_quota_peer_cross_region_bandwidth

最大リージョン間帯域幅。

1,024 Mbps