VPC と VSwitch を作成する前に、業務ニーズに合わせて VPC と VSwitch の数と CIDR ブロックを計画する必要があります。

VPC は Alibaba Cloud 内のプライベートネットワークです。 VPC は互いに論理的に分離されています。 VPC には次の特性があります。

  • 分離されたネットワーク環境

    VPC はトンネリング技術に基づいてデータリンク層を分離し、独立、分離された安全なネットワークを提供します。 VPC は、EIP または NAT IP アドレスを介して相互接続されていない限り、互いに通信できません。

  • 制御可能なネットワーク設定

    簡単かつ安全にリソースにアクセスするため、IP アドレス範囲を指定したり、ルートテーブルやゲートウェイを設定したりすることができます。 また、専用回線や VPN を介して VPC を従来のデータセンターに接続して、カスタムネットワーク環境を作成できます。 これにより、アプリケーションを Alibaba Cloud にスムーズに移行し、データセンターを拡張できます。

    詳細は、「Virtual Private Cloud」をご参照ください。

VPC を使用するには、最初に VPC ネットワークを計画する必要があります。 次の問題を考慮することを推奨します。

問題 1:VPC はどれだけの数が必要か

  • 1 つの VPC

    複数のリージョンに業務システムをデプロイする必要がない場合、または VPC を使用して業務システムを分離する必要がない場合、1 つの VPC を作成することを推奨します。 1 つのVPC で最大 15,000 のクラウドプロダクトインスタンスを実行できます。

  • 複数の VPC

    次の要件がある場合、複数の VPC を作成することを推奨します。
    • 複数のリージョンに業務システムをデプロイする

      VPC は、リージョンをまたいでデプロイできないリソースです。 異なるリージョンに業務システムをデプロイする場合、複数の VPC を作成する必要があります。 Express Connect、VPN Gateway、CEN を使用して、VPC に接続できます。

    • 複数の業務システムを分離する

      本番環境をテスト環境から分離するなど、複数の業務システムを分離するには、複数の VPC を作成する必要があります (次図を参照)。

問題 2:VSwitch はどれだけの数が必要か

クロスリージョンの耐障害性を確保するため、VPC ごとに 2 つ以上の VSwitch を作成し、 2 つの異なるゾーンにデプロイすることを推奨します。

また、業務システムをデプロイした後、同じリージョン内の異なるゾーン間のネットワーク遅延を確認することを推奨します。 これは、複雑なシステム呼び出しやクロスゾーン呼び出しが原因で、予想よりもネットワーク遅延が長くなる可能性があるためです。 これに応じてシステムの最適化と調整を行い、高可用性と低遅延のバランスを保つことを推奨します。

使用する VSwitch の数は、システムの規模や計画にも関連しています。 インターネットからフロントエンドシステムにアクセスでき、フロントエンドシステムからインターネットにアクセスする必要がある場合、これらのシステムを異なる VSwitch にデプロイできます。 同時に、バックエンドシステムを他の VSwitch にデプロイできます。 これにより、耐障害性が向上します。

問題 3:どのようにプライベート IP アドレス範囲を指定するか

VPC と VSwitch の作成時、VPC のプライベート IP アドレス範囲をクラスレスインタードメインルーティング (CIDR) ブロックの形式で指定する必要があります。
  • VPC のプライベート IP アドレス範囲

    192.168.0.0/16、172.16.0.0/12、10.0.0.0/8、またはこれらのサブセットを VPC のプライベート IP アドレス範囲として使用できます。 VPC のプライベート IP アドレス範囲を計画するとき、次の点に注意してください。

    • VPC を 1 つだけ使用し、その VPC とオンプレミスデータセンター間で通信する必要がない場合、前述の IP アドレス範囲またはそのサブネットのいずれかを使用できます。
    • 複数の VPC を使用する場合、または VPC とオンプレミスデータセンターで構成されるハイブリッドクラウドを構築する場合、前述の IP アドレス範囲のサブセットを VPC の IP アドレス範囲として使用できます。 この場合、ネットマスクは 16 ビット以下にします。
    • VPC の CIDR ブロックを選択するとき、クラシックネットワークが使用されているかどうかも考慮する必要があります。 クラシックネットワークの ECS インスタンスと VPC との接続を計画している場合、IP アドレス範囲 10.0.0.0/8 を使用しないことを推奨します。 これは、IP アドレス範囲がクラシックネットワークでも使用されるためです。
  • VSwitch のプライベート IP アドレス範囲

    VSwitch は、VSwitch が属する VPC と同じ IP アドレス範囲を共有できます。 VSwitch は、VPC の IP アドレス範囲のサブネットも使用できます。 たとえば、VPC の IP アドレス範囲が 192.168.0.0/16 の場合、VSwitch の IP アドレス範囲を 192.168.0.0/16、または 192.168.0.0/17 から 192.168.0.0/29 までの任意の IP アドレス範囲にすることができます。

    VSwitch の IP アドレス範囲を計画するとき、次の点に注意してください。

    • VSwitch のブロックサイズは、16 ビットネットマスクと 29 ビットネットマスクの間です。 つまり、8〜65,536 の IP アドレスを使用できます。 このアドレス範囲を設定するのは、16 ビットネットマスクでは 65,532 個の ECS インスタンスをサポートする IP アドレスを使用できるのに対し、29 ビットより小さいネットマスクでは十分な IP アドレスを使用できないためです。
    • 各 VSwitch の先頭の IP アドレスと末尾 3 つの IP アドレスは、システムで予約されています。 たとえば、VSwitch の CIDR ブロックが 192.168.1.0/24 の場合、IP アドレス 192.168.1.0、192.168.1.253、192.168.1.254、192.168.1.255 は予約されています。
    • ClassicLink 機能を使用すると、クラシックネットワークの ECS インスタンスは、CIDR ブロックが 192.168.0.0/16、10.0.0.0/8、172.16.0.0/12 の VPC にある ECS インスタンスと通信できます。 たとえば、VPC 内の VSwitch の ECS インスタンスをクラシックネットワークの ECS インスタンスに接続し、VPC の IP アドレス範囲が 10.0.0.0/8 の場合、VSwitch の IP アドレス範囲は 10.111.0.0/16 でなければなりません。 詳細は、「ClassicLink概要」をご参照ください。
    • VSwitch の IP アドレス範囲を計画するとき、VSwitch の ECS インスタンスの数を考慮する必要があります。

問題 4:VPC を他の VPC かオンプレミスデータセンターに接続する必要がある場合、どのようにプライベート IP アドレス範囲を指定するか

VPC を他の VPC やオンプレミスデータセンターに接続するには、VPC の CIDR ブロックがターゲットネットワークの CIDR ブロックと競合しないことを確認してください。

たとえば、次の図に示すように、中国 (杭州) に VPC1、中国 (上海) に VPC2、中国 (北京) に VPC3 の 3 つの VPC があるとします。 VPC1 と VPC2 は、Express Connect を介して相互に通信できます。 現状、VPC3 は VPC1 や VPC2 と通信する必要がなく、将来的に VPC2 と通信する必要があります。 また、上海にオンプレミスのデータセンターがあり、Express Connect の物理接続を使用して VPC1 に接続する必要があります。

この例では、VPC1 と VPC2 の CIDR ブロックは異なりますが、VPC2 と VPC3 の CIDR ブロックは同じです。 これは、現状 VPC3 が VPC1 や VPC2 と通信する必要がないためです。 ただし、将来的に VPC2 と VPC3 が相互接続できるように、これら 2 つの VPC の VSwitch は異なる CIDR ブロックを使用します。 相互通信を必要とする VPC は同じ CIDR ブロックを使用できますが、VSwitch は同じ CIDR ブロックを使用できません。

複数の VPC が他の VPC やオンプレミスデータセンターと通信できるように IP アドレス範囲を指定する場合、次のルールに従います。

  • できるだけ VPC ごとに異なる IP アドレス範囲を指定するようにします。 標準の IP アドレス範囲のサブセットを使用して、使用可能な VPC CIDR ブロックの数を増やすことができます。
  • VPC ごとに異なる IP アドレス範囲を指定できない場合、VPC の VSwitch ごとに異なる CIDR ブロックを使用するようにします。
  • VPC の VSwitch ごとに異なる CIDR ブロックを使用できない場合、相互通信を必要とする VSwitch 間で異なる CIDR ブロックを使用するようにします。