VPCでは、主流のトンネリング技術に基づいて 仮想ネットワークを分離しています。 VPC には一意のトンネル ID があり、トンネル ID は 1 つの VPC にのみ対応しています。

背景情報

クラウドコンピューティング技術の発展に伴い、スケーラビリティ、セキュリティ、弾力性、プライバシーなど、仮想ネットワークに対する要求が高まっています。相互接続のパフォーマンスに対する要求もきわめて高くなっています。 そのため、幅広いネットワーク仮想化技術が生み出されてきました。

大規模レイヤー2ネットワークなど、初期のソリューションでは、仮想マシンネットワークを物理ネットワークと結合して、フラットなネットワークアーキテクチャを形成していました。 これらのソリューションでは ARP スプーフィング、ブロードキャストストーム、 ホストスキャニングなどによる問題が深刻になってきました。 物理ネットワークを仮想ネットワークから完全に分離することでこのような問題を解決するための、さまざまなネットワーク分離技術が生まれました。 そのうちの 1 つの技術では、VLAN を使用してユーザーを分離しました。しかし、VLAN でサポート出来るノード数の上限は 4096 であり、 巨大なユーザーを持つクラウドには向いていません。

VPC原理

VPCでは、主流のトンネリング技術に基づいて 仮想ネットワークを分離できます。 VPC には一意のトンネル ID があり、トンネル ID は 1 つの VPC にのみ対応しています。 VPC内のECSインスタンス間で送信されるデータパケットはトンネルIDを与え、 カプセル化して物理ネットワーク上に送信されます。 異なるVPC内のECSインスタンスはトンネルIDが異なり、異なるルーティングプレーン上に存在するため、2つのトンネル間の通信は不可能であり、自ずと分離されます。

Alibaba Cloudの研究開発チームはトンネリング技術とSDN技術に基づき、ハードウェアゲートウェイ及びを自己開発したSwitch装置を基にしてVPCを開発しました。

論理アーキテクチャ

下図に示しているように、VPCのアーキテクチャには VSwitch、ゲートウェイ、コントローラの3 つの主要なコンポーネントが含まれています。 VSwitch とゲートウェイがデータパスの中核です。 コントローラはAlibabaプロトコルを使用して転送テーブルをゲートウェイとVSwitchへ発送し、キーの構成パスを完了します。 全体アーキテクチャの中で、構成パスとデータパスは互いに分離しています。 VSwitchは分散ノードであり、ゲートウェイとコントローラはクラスタにデプロイされ、すべてのリンクには冗長化障害耐性を備えています。 これでVPCプロダクト全体の可用性が向上します。