Virtual Private Cloud

プロダクト紹介

Virtual Private Cloudとは

VPCは、Alibaba Cloudに設置されたプライベートネットワークです。 VPCはAlibaba Cloudの他の仮想ネットワークと論理的に分離されています。

VPCはAlibaba Cloud でお客様専用のプライベートネットワークです。 IPアドレス範囲の指定、ルートテーブルとネットワークゲートウェイの設定など、VPCを完全に制御できます。 お客様ご自身のVPCで、ECS、RDS、SLBなどのAlibaba Cloudリソースを使用することができます。

さらに、VPCを他のVPCやローカルネットワークに接続してオンデマンドネットワーク環境を構築することで、 アプリケーションをAlibaba Cloudにスムーズに移行できるようになります。

VPC

コンポーネント

各VPCは、プライベートCIDRブロック、VRouter、及びVSwitchで構成されます。

  • CIDRブロック

    VPCやVSwitchを作成する場合は、プライベートIPアドレス範囲をCIDR(Classless Inter-Domain Routing)ブロックの形式で指定する必要があります。 詳細はClassless Inter-Domain Routingを参考してください。

    次に表示されるいずれかのスタンダードCIDRブロックやそのサブネットを参考してVPCのIPアドレス範囲を設定してください。 詳細は次を参照してくださいネットワーク環境の設計。

    注:スタンダードCIDRブロックのサブネットを使用するには、CreateVPC APIを使用してVPCを作成してください。

    CIDRブロック 利用可能なプライベートIPの数(システム予約済みIPは含まれていません)
    192.168.0.0/16 65,532
    172.16.0.0/12 1,048,572
    10.0.0.0/8 16,777,212
  • VRouter

    VRouterはVPCのハブです。 VPCの重要な構成要素として、ハブとしてVPC内の各VSwitchを接続でき、ゲートウェイとしてもVPCを他のネットワークに接続することもできます。 VPCを作成すると、VRouterはAlibaba Cloudにより自動的に作成されます。 VRouterはルートテーブルとデフォルトで関連付けられます。 詳細は次を参照してくださいルーティング。

  • VSwitch

    VSwitchは、VPCの基本的なネットワークデバイスであり、様々なクラウド製品インスタンスに接続するために使用されます。 VPCを作成後、VSwitchを作成してさらに仮想プライベートネットワークを一つ、或いは複数のサブネットにセグメントすることができます。 VPC内の各VSwitchは、互いにデフォルトで接続しています。 サービス向上のために、異なるゾーンの異なる VSwitchに異なるアプリケーションを導入することができます。 詳細は次を参照してくださいVSwitchの管理。

    VSwitch

利点

VPCには高水準のセキュリティと柔軟な設定が備えられ、複数の接続方式に対応しています。

セキュリティ

各VPNには一意のトンネルIDがあり、トンネル ID は 1 つの VPC にのみ対応しています。 各VPCはトンネルIDにより分離されます。

  • VPCにはVSwitchとVRouterがあるため、従来のネットワークのようにサブネットをセグメントすることができます。 同一サブネット内のCloudリソースはVSwitchを通じて相互に通信します、一方、異なったサブネットの間ではVRouterを通じて相互に通信します。
  • 異なったVPCの間でのイントラネット通信は完全に分離され、外部IP(ElasticIPとNAT IP)のマッピングによってのみ相互接続が可能です。
  • ECSのIPパケットはトンネリングIDでカプセル化されているため、サーバーのデータリンク層(レイヤ2のMACアドレス)は物理ネットワークに転送されません。 それにより、異なるECSの間のレイヤ2ネットワークが分離されます。 ようするに、異なるVPCの間のレイヤ2ネットワークが分離されています。
  • VPCのECSインスタンスは、セキュリティグループをファイアウォールとして使用し、ECSインスタンスに対するトラフィックの転送を制御します。 これは第3層の分離です。

アクセス制御

セキュリティグループやホワイトリストを利用して、VPC内のクラウドリソースを通過する着信及び発信トラフィックを制御できます。

使い勝手

VPCコンソールを通じて、プライベートネットワークを簡単に作成/管理できます。 VPCを作成後、VRouterとルートテーブルがシステムにより自動的に作成されます。

スケーラブル

同一VPCで複数のサブネットを作成でき、様々なサービスをデプロイできます。 さらに、VPCをローカルデータセンターまたは他のVPCに接続して、ネットワークアーキテクチャを拡張することもできます。

シナリオ

VPC は、完全に分離されたネットワーク環境であり、異なる状況で使用することができます。

アプリケーションをホストする

VPCで外部サービスを提供するアプリケーションをホストし、セキュリティグループのルール及びホワイトリストを作成することでインターネットアクセスを制御することができます。 アプリケーションサーバーをデータベースから分離することでアクセスを制御することもできます。 たとえば、インターネットに通信可能なサブネットにWebサーバーをデプロイし、インターネットに通信できないサブネットにアプリケーションのデータベースをデプロイします。

アプリケーションをホストする

インターネットアクセスを要求するアプリケーションをホストする

VPC内のサブネットにインターネットアクセスを要求するアプリケーションをホストし、NATを通してトラフィックを送信することができます。 SNATルールを構築することで、サブネット内のインスタンスはプライベートIPアドレスを公開せずにインターネットにアクセスでき、外部IP攻撃を回避するためにプライベートIPアドレスをパブリックIPアドレスにいつでも変更できます。

アプリケーションをホストする

クロスゾーンの耐災害性

VSwitcheを作成することで、一つのVPC内で複数のサブネットを作成することができます。 VPC内の各VSwitchは、イントラネットを通して互いに通信することができます。 各ゾーンのVSwitchにリソースをデプロイし、クロスゾーンの耐災害性を実現します。

クロスゾーンの耐災害性

ビジネスシステムの分離

異なるVPCは論理的に分離されています プロダクション環境をテスト環境から分離するなど、複数のビジネスシステムを分離しなければならない場合、複数のVPCを作成することができます。 VPC同士に通信する必要がある場合、それらの間にピア接続を作成することができます。

ビジネスシステムの分離

ハイブリッドクラウドを構築します

専用接続を作成して、VPCをローカルデータセンターに接続しローカルネットワークを拡張することができます。 専用接続を使用して、アプリケーションへのアクセス方法を変更することなく、ローカルアプリケーションをクラウドにシームレスに移行することができます。

ハイブリッドクラウドを構築します

アーキテクチャ

VPCでは、主流のトンネリング技術に基づいて 仮想ネットワークを分離しています。 VPC には一意のトンネル ID があり、トンネル ID は 1 つの VPC にのみ対応しています。

背景情報

クラウドコンピューティング技術の発展に伴い、スケーラビリティ、セキュリティ、弾力性、プライバシーなど、仮想ネットワークに対する要求が高まっています。相互接続のパフォーマンスに対する要求もきわめて高くなっています。 そのため、幅広いネットワーク仮想化技術が生み出されてきました。

大規模レイヤー2ネットワークなど、初期のソリューションでは、仮想マシンネットワークを物理ネットワークと結合して、フラットなネットワークアーキテクチャを形成していました。 これらのソリューションでは ARP スプーフィング、ブロードキャストストーム、 ホストスキャニングなどによる問題が深刻になってきました。 物理ネットワークを仮想ネットワークから完全に分離することでこのような問題を解決するための、さまざまなネットワーク分離技術が生まれました。 そのうちの 1 つの技術では、VLAN を使用してユーザーを分離しました。しかし、VLAN でサポート出来るノード数の上限は 4096 であり、 巨大なユーザーを持つクラウドには向いていません。

VPC原理

VPCでは、主流のトンネリング技術に基づいて 仮想ネットワークを分離できます。 VPC には一意のトンネル ID があり、トンネル ID は 1 つの VPC にのみ対応しています。 VPC内のECSインスタンス間で送信されるデータパケットはトンネルIDを与え、 カプセル化して物理ネットワーク上に送信されます。 異なるVPC内のECSインスタンスはトンネルIDが異なり、異なるルーティングプレーン上に存在するため、2つのトンネル間の通信は不可能であり、自ずと分離されます。

Alibaba Cloudの研究開発チームはトンネリング技術とSDN技術に基づき、ハードウェアゲートウェイ及びを自己開発したSwitch装置を基にしてVPCを開発しました。

論理アーキテクチャ

下図に示しているように、VPCのアーキテクチャには VSwitch、ゲートウェイ、コントローラの3 つの主要なコンポーネントが含まれています。 VSwitch とゲートウェイがデータパスの中核です。 コントローラはAlibabaプロトコルを使用して転送テーブルをゲートウェイとVSwitchへ発送し、キーの構成パスを完了します。 全体アーキテクチャの中で、構成パスとデータパスは互いに分離しています。 VSwitchは分散ノードであり、ゲートウェイとコントローラはクラスタにデプロイされ、すべてのリンクには冗長化障害耐性を備えています。 これでVPCプロダクト全体の可用性が向上します。

論理アーキテクチャ

使用制限

リソース デフォルトの制限 クォータ量の増減
各リージョンでの最大VPC数 10  
使用可能なCIDRブロックの範囲 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8,及びそのサブセット サポートセンターまでお問い合わせください
VPC 内の VRouter の最大数 1 申請不可
VPC 内の VSwitch の最大数 24 サポートセンターまでお問い合わせください
VPC 内のルータテーブルの最大数 1 申請不可
ルータテーブル内のルートエントリの最大数 48 サポートセンターまでお問い合わせください
VPC で実行できるクラウド製品インスタンスの最大数 15,000 申請不可

FAQ

VPC のよくある質問

VPC とクラシックネットワークとの違いは?

  • クラシックネットワークで作成されたクラウド製品は、Alibaba Cloud のパブリックネットワークインフラストラクチャに一様にデプロイされています。 クラシックネットワークは Alibaba Cloud によって管理されています。これは、使いやすさに対する要件が高いユーザーに適しています。
  • VPC は、ユーザーが Alibaba Cloud で作成する独立したプライベートネットワークです。 ユーザーは VPC を完全に制御できます。 クラシックネットワークと比較すると、VPC は、プライベートネットワークを制御するネットワーク管理機能を持つユーザーに適しています。

ECS インスタンスにはいくつのネットワークインターフェイスカードがありますか?

クラシックネットワークで作成された ECS インスタンスには 2 つの NIC があり、そのうち1 つはパブリック NIC で、もう 1 つはプライベート NIC です。 VPC と ECS インスタンスにはプライベート NIC が 1 つしかありません。

VPC にはいくつの VRouters がありますか?

各 VPC にある VRouter が 1 つのみで、各 VRouter にあるルートテーブルは 1 つです。

ルートテーブルにはいくつのカスタムルートエントリがありますか?

デフォルトでは、最大 48 個のカスタムルートエントリをルートテーブルに追加できます。 さらに追加したい場合は、チケットを起票してください。

VPC には最大いくつの VSwitch を含めることができますか?

VPC には最大 24 個の VSwitch を含めることができます。

VPC には最大いくつのクラウド製品を含めることができますか?

VPC には最大 15,000 のクラウド製品インスタンスを含めることができます。

VSwitch には最大いくつのクラウド製品を含めることができますか?

VSwitch 内のクラウド製品インスタンスの数は、現在 VPC 内のクラウド製品インスタンスの数(15,000 から VPC 内のクラウド製品インスタンスの現在の数を減算したもの)によって異なります。

VPC 内の異なる VSwitch の間では互いに通信できますか?

セキュリティグループルールが許可している限り、同じ VPC 内の ECS インスタンスは、同じであるかどうかにかかわらず、互いに通信できます。

異なる VPC の間でイントラネットを介して互いに通信できますか?

異なる VPC の間は完全に分離しています。 Express Connect、VPN Gateway、および CEN インスタンスを使用して、VPC 間の通信を可能にすることができます。 詳細は、プライベートネットワークプロダクトの選び方をご参照ください。

VPC は物理アクセスをサポートしますか?

VPC は、物理接続を通じてローカルデータセンターへのアクセスをサポートします。 詳細は、Express Connect のドキュメントをご参照ください。

VPC は VPN 機能を提供しますか?

VPC は VPN 機能を提供します。 詳細は、VPN ゲートウェイのドキュメントをご参照ください。

VPC はインターネットサービスにアクセスできますか?

次の方法で VPC をインターネットサービスにアクセスできるようにすることができます。

  • パブリック IP の割り当て
  • EIP のバインド
  • NAT ゲートウェイの構成

詳細は、インターネット向けプロダクトの選び方をご参照ください。

VPC のクラウドサービスはインターネットからアクセスできますか?

以下の方法でインターネットから VPC のクラウドサービスにアクセスできます。

  • パブリック IP の割り当て
  • EIP のバインド
  • ポートマッピング
  • インターネット SLB インスタンスの構成

詳細は、インターネット向けプロダクトの選び方をご参照ください。

VPC はクラシックネットワークと直接通信できますか?

VPC はクラシックネットワークと直接通信できません。 次の方法で VPC で ECS インスタンスのパブリック IP を構成し、ECS インスタンスがインターネットを介してクラフィックネットワークのクラウド製品インスタンスと通信できるようにすることができます。

詳細は、インターネット向けプロダクトの選び方をご参照ください。