VPC と VSwitch を作成する前に、業務ニーズに合わせて VPC と VSwitch の数と CIDR ブロックを計画する必要があります。
VPC は Alibaba Cloud 内のプライベートネットワークです。 VPC は互いに論理的に分離されています。 VPC には次の特性があります。
-
分離されたネットワーク環境
VPC はトンネリング技術に基づいてデータリンク層を分離し、独立、分離された安全なネットワークを提供します。 VPC は、EIP または NAT IP アドレスを介して相互接続されていない限り、互いに通信できません。
-
制御可能なネットワーク設定
簡単かつ安全にリソースにアクセスするため、IP アドレス範囲を指定したり、ルートテーブルやゲートウェイを設定したりすることができます。 また、専用回線や VPN を介して VPC を従来のデータセンターに接続して、カスタムネットワーク環境を作成できます。 これにより、アプリケーションを Alibaba Cloud にスムーズに移行し、データセンターを拡張できます。
詳細は、「Virtual Private Cloud」をご参照ください。
VPC を使用するには、最初に VPC ネットワークを計画する必要があります。 次の問題を考慮することを推奨します。
問題 1:VPC はどれだけの数が必要か
-
1 つの VPC
複数のリージョンに業務システムをデプロイする必要がない場合、または VPC を使用して業務システムを分離する必要がない場合、1 つの VPC を作成することを推奨します。 1 つのVPC で最大 15,000 のクラウドプロダクトインスタンスを実行できます。
-
複数の VPC
次の要件がある場合、複数の VPC を作成することを推奨します。- 複数のリージョンに業務システムをデプロイする
VPC は、リージョンをまたいでデプロイできないリソースです。 異なるリージョンに業務システムをデプロイする場合、複数の VPC を作成する必要があります。 Express Connect、VPN Gateway、CEN を使用して、VPC に接続できます。
-
複数の業務システムを分離する
本番環境をテスト環境から分離するなど、複数の業務システムを分離するには、複数の VPC を作成する必要があります (次図を参照)。
- 複数のリージョンに業務システムをデプロイする
問題 2:VSwitch はどれだけの数が必要か
クロスリージョンの耐障害性を確保するため、VPC ごとに 2 つ以上の VSwitch を作成し、 2 つの異なるゾーンにデプロイすることを推奨します。
また、業務システムをデプロイした後、同じリージョン内の異なるゾーン間のネットワーク遅延を確認することを推奨します。 これは、複雑なシステム呼び出しやクロスゾーン呼び出しが原因で、予想よりもネットワーク遅延が長くなる可能性があるためです。 これに応じてシステムの最適化と調整を行い、高可用性と低遅延のバランスを保つことを推奨します。
使用する VSwitch の数は、システムの規模や計画にも関連しています。 インターネットからフロントエンドシステムにアクセスでき、フロントエンドシステムからインターネットにアクセスする必要がある場合、これらのシステムを異なる VSwitch にデプロイできます。 同時に、バックエンドシステムを他の VSwitch にデプロイできます。 これにより、耐障害性が向上します。
問題 3:どのようにプライベート IP アドレス範囲を指定するか
- VPC のプライベート IP アドレス範囲
192.168.0.0/16、172.16.0.0/12、10.0.0.0/8、またはこれらのサブセットを VPC のプライベート IP アドレス範囲として使用できます。 VPC のプライベート IP アドレス範囲を計画するとき、次の点に注意してください。
- VPC を 1 つだけ使用し、その VPC とオンプレミスデータセンター間で通信する必要がない場合、前述の IP アドレス範囲またはそのサブネットのいずれかを使用できます。
- 複数の VPC を使用する場合、または VPC とオンプレミスデータセンターで構成されるハイブリッドクラウドを構築する場合、前述の IP アドレス範囲のサブセットを VPC の IP アドレス範囲として使用できます。 この場合、ネットマスクは 16 ビット以下にします。
- VPC の CIDR ブロックを選択するとき、クラシックネットワークが使用されているかどうかも考慮する必要があります。 クラシックネットワークの ECS インスタンスと VPC との接続を計画している場合、IP アドレス範囲 10.0.0.0/8 を使用しないことを推奨します。 これは、IP アドレス範囲がクラシックネットワークでも使用されるためです。
- VSwitch のプライベート IP アドレス範囲
VSwitch は、VSwitch が属する VPC と同じ IP アドレス範囲を共有できます。 VSwitch は、VPC の IP アドレス範囲のサブネットも使用できます。 たとえば、VPC の IP アドレス範囲が 192.168.0.0/16 の場合、VSwitch の IP アドレス範囲を 192.168.0.0/16、または 192.168.0.0/17 から 192.168.0.0/29 までの任意の IP アドレス範囲にすることができます。
VSwitch の IP アドレス範囲を計画するとき、次の点に注意してください。
- VSwitch のブロックサイズは、16 ビットネットマスクと 29 ビットネットマスクの間です。 つまり、8〜65,536 の IP アドレスを使用できます。 このアドレス範囲を設定するのは、16 ビットネットマスクでは 65,532 個の ECS インスタンスをサポートする IP アドレスを使用できるのに対し、29 ビットより小さいネットマスクでは十分な IP アドレスを使用できないためです。
- 各 VSwitch の先頭の IP アドレスと末尾 3 つの IP アドレスは、システムで予約されています。 たとえば、VSwitch の CIDR ブロックが 192.168.1.0/24 の場合、IP アドレス 192.168.1.0、192.168.1.253、192.168.1.254、192.168.1.255 は予約されています。
- ClassicLink 機能を使用すると、クラシックネットワークの ECS インスタンスは、CIDR ブロックが 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 の VPC にある ECS インスタンスと通信できます。 たとえば、VPC 内の VSwitch の ECS インスタンスをクラシックネットワークの ECS インスタンスに接続し、VPC の IP アドレス範囲が 10.0.0.0/8 の場合、VSwitch の IP アドレス範囲は 10.111.0.0/16 でなければなりません。 詳細は、「ClassicLink概要」をご参照ください。
- VSwitch の IP アドレス範囲を計画するとき、VSwitch の ECS インスタンスの数を考慮する必要があります。
問題 4:VPC を他の VPC かオンプレミスデータセンターに接続する必要がある場合、どのようにプライベート IP アドレス範囲を指定するか
VPC を他の VPC やオンプレミスデータセンターに接続するには、VPC の CIDR ブロックがターゲットネットワークの CIDR ブロックと競合しないことを確認してください。
この例では、VPC1 と VPC2 の CIDR ブロックは異なりますが、VPC2 と VPC3 の CIDR ブロックは同じです。 これは、現状 VPC3 が VPC1 や VPC2 と通信する必要がないためです。 ただし、将来的に VPC2 と VPC3 が相互接続できるように、これら 2 つの VPC の VSwitch は異なる CIDR ブロックを使用します。 相互通信を必要とする VPC は同じ CIDR ブロックを使用できますが、VSwitch は同じ CIDR ブロックを使用できません。
複数の VPC が他の VPC やオンプレミスデータセンターと通信できるように IP アドレス範囲を指定する場合、次のルールに従います。
- できるだけ VPC ごとに異なる IP アドレス範囲を指定するようにします。 標準の IP アドレス範囲のサブセットを使用して、使用可能な VPC CIDR ブロックの数を増やすことができます。
- VPC ごとに異なる IP アドレス範囲を指定できない場合、VPC の VSwitch ごとに異なる CIDR ブロックを使用するようにします。
- VPC の VSwitch ごとに異なる CIDR ブロックを使用できない場合、相互通信を必要とする VSwitch 間で異なる CIDR ブロックを使用するようにします。