CENを使用したECSとElastic Desktop Service間のネットワーク通信の確立 - Elastic Desktop Service

、ビジネスでElastic Compute Service (ECS) とElastic Desktop Service間のネットワーク通信が必要な場合は、Cloud Enterprise network (CEN) を使用してこの目的を達成できます。このトピックでは、CENおよびEnterprise Editionトランジットルーターを使用して、同じリージョンでアクティブ化されているECSとElastic Desktop Service間のネットワーク通信を確立する方法について説明します。

背景

ECSは、Alibaba Cloudが提供する高パフォーマンス、安定性、信頼性、スケーラブルなサービスとしてのインフラストラクチャ (IaaS) レベルのサービスです。 ECSにより、事前にハードウェアに投資する必要がなくなります。ワークロードの要件や人気の変更に応じて、必要な数または数のインスタンスを作成できます。詳細については、「ECSの概要」をご参照ください。

CENは、Alibaba Cloudのグローバルプライベートネットワーク上に構築された高可用性ネットワークです。 CENは、トランジットルーターを使用して、仮想プライベートクラウド (VPC) 間のリージョン間接続を確立します。これにより、クラウドで柔軟で安定したエンタープライズクラスのネットワークが構築されます。詳細については、「CENの概要」をご参照ください。

制限事項

CENインスタンスは、高度なオフィスネットワークにのみ接続できます。

Enterprise Editionトランジットルーターは、次のリージョンとゾーンでのみ使用できます。

表1: Enterprise Editionトランジットルーターをサポートするリージョンとゾーン

地域	リージョン	ゾーン
中国本土	中国 (杭州)	ゾーンB、ゾーンH、ゾーンI、ゾーンJ、ゾーンK
	中国 (上海)	ゾーンF、ゾーンG、ゾーンE、ゾーンB、ゾーンN、ゾーンM、ゾーンL
	中国 (南京 - ローカルリージョン)	A
	中国 (福州 - ローカルリージョン)	A
	中国 (深セン)	ゾーンD、ゾーンE、ゾーンF、ゾーンA、ゾーンC
	中国 (河源)	ゾーン A およびゾーン B
	中国 (広州)	ゾーン A およびゾーン B
	中国 (青島)	ゾーン B およびゾーン C
	中国 (北京)	ゾーンC、ゾーンH、ゾーンG、ゾーンJ、ゾーンK、ゾーンI、ゾーンL
	中国 (張家口)	ゾーンA、ゾーンB、ゾーンC
	中国 (フフホト)	ゾーン A およびゾーン B
	中国 (ウランチャブ)	ゾーンA、ゾーンB、ゾーンC
	中国 (成都)	ゾーン A およびゾーン B
アジア太平洋	シンガポール	ゾーンA、ゾーンB、ゾーンC
	中国 (香港)	ゾーンB、ゾーンC、ゾーンD
	マレーシア (クアラルンプール)	ゾーン A およびゾーン B
	インドネシア (ジャカルタ)	ゾーンA、ゾーンB、ゾーンC
	フィリピン (マニラ)	A
	日本 (東京)	ゾーンA、ゾーンB、ゾーンC
	韓国 (ソウル)	A
	タイ (バンコク)	A
ヨーロッパ	ドイツ (フランクフルト)	ゾーン A およびゾーン B
ヨーロッパ	イギリス (ロンドン)	ゾーン A およびゾーン B
北米	米国 (バージニア)	ゾーン A およびゾーン B
北米	米国 (シリコンバレー)	ゾーン A およびゾーン B
中東	サウジアラビア (リヤド - パートナーリージョン)	ゾーン A およびゾーン B

シナリオ例

A社は中国 (杭州) リージョンにECSインスタンスを作成し、そのサービスをECSインスタンスにデプロイしました。同時に、A社は中国 (杭州) リージョンでクラウドコンピューターを作成しました。 A社のECSインスタンスとクラウドコンピューターはネットワーク経由で通信できません。

現在、企業Aは、相互アクセスを可能にするために、ECSインスタンスとクラウドコンピューター間のネットワーク通信を確立したいと考えています。ネットワーク通信の目的で、A社はCENインスタンスを作成して、ECSインスタンスの仮想プライベートクラウド (VPC) (VPC1) とクラウドコンピューターのVPC (VPC2) を中国 (杭州) リージョンのEnterprise Editionトランジットルーターに接続できます。

前提条件

ECSインスタンスとクラウドコンピューターのIPv4 CIDRブロックが計画されています。計画されたIPv4 CIDRブロックが、CENインスタンスのルートCIDRブロックと競合しないようにします。詳細については、「CIDRブロックの計画」をご参照ください。

次の表は、サンプルシナリオで使用される計画されたCIDRブロックの一覧です。これらのCIDRブロックは参照専用です。実際のビジネス要件に基づいてCIDRブロックを計画します。

CIDRブロック

ネットワークインスタンス	リージョン	CIDRブロック
VPC1	中国 (杭州)	VPC CIDRブロック: 192.168.0.0/18 vSwitch CIDRブロック: 192.168.0.0/24
VPC2	中国 (杭州)	IPv4 CIDRブロック: 10.0.0.0/14
トランジットルーターCIDRブロック	中国 (杭州)	10.10.10.0/24

VPC1およびVPC2に適用されるセキュリティグループルールが取得されます。詳細については、「セキュリティグループルールの表示」をご参照ください。

準備

VPC1は、計画されたCIDRブロックに基づいて作成されます。詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
ECSインスタンスは中国 (杭州) リージョンで作成され、VPC1はECSインスタンスに設定されています。 ECSインスタンスの作成方法の詳細については、「Windowsインスタンスの使用を開始する」をご参照ください。
説明
この例では、Windowsを実行するECSインスタンスが作成されます。ビジネス要件に基づいて他のタイプのOSを実行するECSインスタンスを作成することもできます。
VPC2は、計画されたIPv4 CIDRブロックに基づいて作成されます。詳細については、「コンビニエンスオフィスネットワークの作成と管理」をご参照ください。

手順

このセクションでは、上記のサンプルシナリオで計画されているCIDRブロックを使用して、ECSインスタンスとクラウドコンピューター間のネットワーク通信を確立する方法を説明します。

説明

ビジネス要件に基づいて関連パラメーターを設定できます。

手順1: CENインスタンスの作成

CEN インスタンスを作成します。詳細は、「CENインスタンス」をご参照ください。

次の表に、CENインスタンスのパラメーターを示します。

パラメーター	例
名前	テスト-cen
説明	ECSインスタンスとクラウドコンピューター間のネットワーク接続を確立します。

ステップ2: VPCをCENにアタッチする

中国 (杭州) リージョンのトランジットルーターにVPC1とVPC2をアタッチします。これにより、VPC1とVPC2は互いのルートを自動的に学習してネットワーク通信を可能にします。

VPCをCENにアタッチするには、次の手順を実行します。

VPC1をCENインスタンスにアタッチします。

Enterprise Editionトランジットルーターを作成します。詳細については、「トランジットルーターの作成」をご参照ください。

次の表に、トランジットルーターのパラメーターを示します。

パラメーター	例
リージョン	中国 (杭州)
エディション	トランジットルーターのエディション。選択したリージョンでサポートされているトランジットルーターのエディションが表示されます。説明各リージョンで作成できるトランジットルーターは1つだけです。リージョンにBasic Editionトランジットルーターを作成している場合は、トランジットルーターの詳細ページでトランジットルーターをEnterprise Editionに更新できます。トランジットルーターのエディションを表示する方法については、「トランジットルーターのエディションの表示」を参照してください。
マルチキャストの有効化	この例では、デフォルト設定が使用されています。
トランジットルーターCIDR	10.10.10.0/24

Enterprise Editionトランジットルーターを使用してVPC接続を作成し、VPC1をCENインスタンスに接続します。詳細については、「VPC接続の作成」をご参照ください。

次の表に、VPC接続のパラメーターを示します。

パラメーター	説明
ネットワークタイプ	この例では、VPCが選択されています。
リージョン	中国 (杭州)
トランジットルーター	前の手順で作成されたトランジットルーターのID。
ネットワークインスタンス	接続するVPC。この例では、VPC1が選択されています。
vSwitch	VPC1に存在し、指定されたゾーンで使用できるvSwitch。説明データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
詳細設定	この例では、デフォルト設定を使用します。

VPC2をCENインスタンスにアタッチする

EDS Enterpriseコンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワークとストレージ] > [Officeネットワーク] を選択します。
上部ナビゲーションバーの左上でリージョンを選択します。
[Office Network (旧ワークスペース)] ページで、クラウドコンピューターが存在するオフィスネットワークを見つけ、[操作] 列の [CENインスタンスにアタッチ] をクリックします。

[CENインスタンスにアタッチ] ダイアログボックスで、画面の指示に従って添付ファイルを完成させます。

次の表に、添付操作のパラメーターを示します。

パラメーター	説明
[リージョンの選択]	中国 (杭州)
接続方法	次の接続方法のいずれかを選択します。 VPC: VPC経由でのみクライアントからクラウドコンピューターへのアクセスを許可します。インターネットとVPC: クライアントからインターネットとVPCを介したクラウドコンピューターへのアクセスを許可します。エンドユーザーがAlibaba cloud Workspace端末からクラウドコンピューターに接続する場合、エンドユーザーはビジネス要件に基づいて接続方法を選択できます。
CENインスタンスID	この例では、手順1で作成されたCENインスタンスが選択されています。

説明

リージョンを超えてクラウドコンピューターとECSインスタンス間のネットワーク接続を確立する場合は、リージョンのVPCをトランジットルーターに接続し、帯域幅プランを使用してトランジットルーターのリージョン間通信を有効にする必要があります。これにより、ECSインスタンスとクラウドコンピューターは、リージョン間のネットワークを介して相互に通信できます。詳細については、「Enterprise Editionトランジットルーターを使用して異なるリージョンとアカウントのVPCを接続する」をご参照ください。

手順3: セキュリティグループルールの設定

デフォルトでは、クラウドコンピュータはすべてのインバウンドトラフィックを拒否します。ただし、インバウンドトラフィックを許可するセキュリティグループルールを作成できます。この場合、クライアント要求がセキュリティグループルールに準拠している場合、クラウドコンピューターはクライアント要求を受信できます。

説明

オフィスネットワークに存在する特定の数のクラウドコンピューターのみがECSインスタンスと通信する必要がある場合、セキュリティグループルールを作成するときに、通信を必要とする特定のクラウドコンピューターのIPアドレスのみを許可することを推奨します。これにより、データのセキュリティが確保されます。
オフィスネットワークに存在するすべてのクラウドコンピューターがECSインスタンスと通信する必要がある場合、セキュリティグループルールを作成するときに、オフィスネットワークVPC全体のCIDRブロックを許可できます。

ECSコンソールで、VPC2のインバウンドルールを許可するように設定します。詳細については、「セキュリティグループの作成」および「セキュリティグループルールの追加」をご参照ください。
Elastic Desktop Serviceコンソールで、VPC1のインバウンドルールを許可するように設定します。詳細については、「セキュリティ関連のルール」をご参照ください。

ステップ4: ネットワーク接続のテスト

VPC2にあるすべてのクラウドコンピューターとVPC1にあるすべてのECSインスタンスの間でネットワーク接続を確立し、必要なセキュリティグループルールを設定した後、ネットワーク接続をテストできます。

クラウドコンピュータに接続します。
クラウドコンピューターでpingコマンドを実行して、ネットワーク接続をテストします。
```
ping <IP address of the ECS instance with which the cloud computer communicates>
```
次の図のようなメッセージが表示された場合、ネットワーク接続は正常であり、相互リソースアクセスが達成されます。

Elastic Desktop Service:CENを使用したECSとElastic Desktop Service間のネットワーク通信の確立

背景