VPC をマスターするための 4 つのヒント

インターネット上のさまざまなソフトウェア、アプリケーション、モバイル アプリが、人々の生活に毎日溢れています。これらのアプリケーションは使いやすくなっていますが、開発も複雑になっています。開発者が使用できるコンポーネントも増えます。やや大規模なアプリケーション開発では、コンポーネントの分離とシステムの階層化を使用して、密結合によるさまざまな悪影響を軽減します。

本稿では、VPC がどのようにして各種コンポーネントの階層化と分離を実現しているかを紹介し、VPC サブネットがインターネットに接続されているかどうか、クラウド プラットフォーム VPC 間の接続、ローカル データ センターとクラウド VPC 間の接続など、さまざまなニーズを解決するための VPC の代表的な 4 つの適用方法と実装方法を紹介します。

VPC は何に使用されますか?

VPC は、サブネットを通じてリソースを論理的に分離し、分離されたネットワーク環境と柔軟で定義可能なサブネット セグメントをユーザーに提供します。また、既存の VPC に新しい定義済みセグメントをいつでも追加できるため、IP アドレスの無尽蔵な供給が保証され、従来のサブネットによってもたらされるノード数の制限が解決されます。同時に、ユーザーは VPN などの方法を使用してローカル データ センターに接続し、ビジネスをクラウドにスムーズに移行できます。

ステップ1: VPC内でインターネットに接続する

サブネットは、VPC 内のリソースを分離するために使用されます。最初は、サブネット内のリソースはインターネットに接続できず、すべてのリソースとサービスはイントラネット経由でのみアクセスでき、パブリック ネットワークからリソースを分離するという目的の効果が得られます。ただし、リソースにイントラネット内でしかアクセスできない場合は、明らかにこれは望ましいことではありません。作成する Web アプリケーションやその他のサービスはパブリック インターネットに公開する必要があるため、VPC サブネット内のリソースがインターネットにアクセスできる必要があります。

質問

VPC サブネット内のリソースはインターネットに接続できます。

回避策

• VPC サブネット内の各クラウド ホスト リソースに EIP をバインドします。
• VPC サブネット内のリソースは、NAT ゲートウェイを介して NAT ゲートウェイにルーティングされ、バインドされた EIP を介してインターネットに接続されます。

具体的な実装

(図: VPC サブネット内のクラウド ホストは EIP または NAT ゲートウェイ経由でインターネットに接続します)

1. VPC とサブネット subnet-a を作成し、関連するクラウド ホストやその他のリソースをデプロイします。
2. EIP 方式を使用することを選択し、EIP を申請してクラウド ホスト UHost にバインドすると、クラウド ホスト UHost は EIP を介してインターネットに接続できるようになります。この方法は構成が最も簡単ですが、各クラウド ホスト UHost に EIP をバインドする必要があります。リソースの数が多い場合、この方法は推奨されません。
3. NAT ゲートウェイの使用を選択し、VPC に NAT ゲートウェイを作成し、接続にサブネット a を選択します。この時点で、サブネット a 内のすべてのリソースは NAT ゲートウェイにルーティングされ、NAT ゲートウェイにバインドされた EIP を介してインターネットに接続されます。この方法では、1 つの構成でサブネット内のリソースのインターネット接続のニーズを満たすことができます。
4. EIP バインディング方式または NAT ゲートウェイ方式のいずれかを使用できます。

（図：ポート転送ルールを通じてNATゲートウェイにバインドされたEIPにトラフィックを転送し、インターネットに接続します）

アプリケーションシナリオ

個人のブログに Web サービスを提供するために、クラウド ホスト UHost を使用することを選択しました。クラウド ホスト UHost を作成するときは、VPC1 の 192.168.1.0/24 サブネットにデプロイすることを選択します。外部ネットワーク アクセス機能を提供するために、クラウド ホスト UHost にバインドする EIP を申請します。インターネット ユーザーは EIP を通じてブログの Web サイトに直接アクセスできます。

ステップ 2: VPC サブネットを介して内部および外部のネットワーク コンポーネントを分離する

1 つのクラウド ホストで通常のアプリケーションのニーズを満たすのは困難です。たとえば、可用性の高い企業ブログを構築するには、通常、複数のクラウド ホスト、負荷分散、EIP が必要になります。一部の構成情報とブログデータでは、クラウド データベース サービスの使用も必要です。ユーザーがアクセスできる Web サービスはパブリック ネットワークに接続する必要がありますが、ユーザー データ、ログ データなどはシステム内でのみ使用され、Web サーバーに接続する必要があります。したがって、リソースは、外部ネットワークに接続されているかどうか、および異なるサブネットに展開されているかどうかに基づいて階層化する必要があります。

必要

ビジネス ニーズに基づいて、リソースとコンポーネントは、インターネットにアクセス可能なものとインターネットにアクセスできないものに分割され、分離されます。

回避策

VPC にサブネット subnet-a (インターネット接続用) と subnet-b (イントラネット使用用) を作成します。サブネット a のみが NAT ゲートウェイに接続され、インターネットに公開されています。 Subnet-b は NAT ゲートウェイに接続されておらず、そのリソースは EIP にバインドされていません。

具体的な実装

（図：パブリックネットワークに接続されたサブネットとイントラネットのみにアクセス可能なサブネット）

• VPC を作成します。
• サブネット a とサブネット b の 2 つのサブネットを作成します。サブネット a は、クラウド ホストをデプロイするためのフロントエンド アクセス サブネットです。サブネット b は、クラウド データベースをデプロイするためのデータベース サブネットです。
• NAT ゲートウェイを構成し、フロントエンド アクセス サブネット subnet-a を接続して、インターネットに接続し、外部にフロントエンド アクセス機能を提供できるようにします。データベース サブネット subnet-b は VPC 内でのみアクセス可能です。フロントエンド アクセス サブネット内のクラウド ホスト UHost は、バックエンド ビジネス サブネット内のバックエンド サーバーおよびクラウド データベースに接続して、ビジネス サポートとデータ操作を実現できます。

上記の構成により、クラウド データベースがイントラネットからのみアクセス可能であることを保証しながらインターネットへのアクセスを実現し、セキュリティをさらに強化できます。

アプリケーションシナリオ: バックエンドビジネスサブネットが一時的にインターネットに接続されている

前述のように、データベースのプライベートサブネットにはイントラネット経由でのみアクセスできますが、バージョン更新や脆弱性の修復などのためにクラウドデータベースがインターネットにアクセスする必要がある状況も発生する可能性があります。この一時的な需要に基づいて、NATゲートウェイのホワイトリストモードを介してインターネットに接続できます。 NAT ゲートウェイ構成に subnet-b を追加しますが、ホワイトリスト モードを使用して、指定されたデータベースの特定のポートのみを開き、すべてのポートがインターネットに公開されることをできるだけ回避します。

(図: NAT ゲートウェイのホワイトリストを使用してポート転送ルールを構成し、指定したリソースとポートをインターネットに開きます)

NAT ゲートウェイを介して外部ネットワーク アクセスが必要なサブネットのみを接続する必要があります。ホワイトリスト モードとポート転送ルールの構成により、きめ細かいアクセス制御を実現できます。

ヒント3: クラウドプラットフォーム上で複数のVPCを相互接続する

業務を構築する際には、本番環境、開発環境、テスト環境などに応じて異なる VPC にリソースを配置することになり、異なる環境の VPC 同士を接続する必要が生じることがあります。 VPC を計画する際に、変動要因を十分に考慮しないと、VPC が小さすぎたり、リソースが VPC 間で不当に分散されて再デプロイが不便になったりする可能性があります。複数の VPC を接続する必要がある場合があります。

必要

本番環境とテスト環境の分離、初期段階でのVPC計画不足などにより、クラウド基盤上で複数のVPCを接続する必要があります。

回避策

UCloud クラウド プラットフォームは、リージョンやプロジェクトにまたがる複数の VPC 接続をサポートし、コンソールで直接構成できます。

具体的な実装

1. クラウド プラットフォームの VPC 構成で複数の VPC を直接選択して、VPC 相互接続を直接実現します。
2. VPC1 では、すべてのトラフィックが仮想 NAT ゲートウェイ 1 にルーティングされ、同様に、VPC2 では、すべてのトラフィックが仮想 NAT ゲートウェイ 2 にルーティングされます。
3. UCloud クラウド プラットフォームは、VPC1 と VPC2 を自動的に接続し、2 つの VPC 間のトラフィック転送を可能にします。

このプロセスでは、ルーティング テーブルを構成する必要がなくなりましたが、データ フローを理解しやすくするために、バックエンドに実装された仮想ルーティング テーブルを分析できます。 VPC1 の仮想ルーティング テーブルは次のとおりです。

VPC2 の仮想ルーティング テーブルは次のとおりです。

具体的な設定方法は、下図に示すように比較的簡単です。

（図：クラウドプラットフォーム上で複数のVPCを直接接続）

ヒント4: ローカルネットワークをクラウドVPCに接続する

必要

ユーザー企業は複数のリージョンまたはローカル データ センターに展開されており、ローカル ビジネス ネットワークをクラウド VPC に接続する必要があります。

回避策

• VPN と専用回線アクセス UConnect を使用して、ローカル データセンターの VPC サブネットを UCloud クラウド プラットフォームの VPC サブネットに接続します。
• クロスドメイン チャネル UDPN を使用して、UCloud クラウド プラットフォームの複数の VPC サブネットを接続します。

具体的な実装

NAT ゲートウェイ

1. クラウド内に VPC パブリック ネットワーク サブネットとプライベート ネットワーク サブネットを展開し、ビジネスに必要なクラウド プラットフォーム リソースを展開します。
2. クラウド ゲートウェイ アドレスと顧客のローカル (ピア) ゲートウェイ アドレスを含む、クラウド内の IPSec VPN を構成します。
3. 顧客のローカル マシンに VPN ソフトウェアをインストールし、顧客のローカル ゲートウェイとクラウド ゲートウェイを構成します。
4. クラウドと顧客のローカル VPN で VPN トンネルを構成し、指定されたサブネットに接続して、トラフィックが正常かどうかをテストします。

アプリケーションシナリオ

クロスリージョン VPC 接続には、場所に基づいて次のような多くの種類があります。

• クラウドプラットフォーム間の接続: 複数のVPCがUCloudクラウドプラットフォームの複数のリージョンに分散されています
• ハイブリッドクラウドアーキテクチャ（基本）：顧客のローカルデータセンターのVPCとUCloudクラウドプラットフォームのVPCを接続する
• ハイブリッド クラウド アーキテクチャ: クラウド プラットフォーム上の複数の VPC とローカル データ センター内の VPC

多くの伝統的な業界では、ローカルデータセンターにビジネスが展開されています。クラウドへの移行プロセス中に、コアデータやビジネスをローカルに保持し、ハイブリッド クラウド アーキテクチャを実現する場合があります。ローカルデータセンターとクラウド VPC を接続する方法も、自社構築 VPN、クラウド IPSec VPN、専用線アクセス UConnect などいくつかあります。具体的な違いは運用保守コスト、通信効率などにあり、VPC サブネットの接続構成は似ています。

UCloud クラウド プラットフォーム上の VPC 間の接続では、クロスドメイン チャネル UDPN を選択できます。これにより、同一都市リング ネットワーク、専用線などのインフラストラクチャに基づく超長距離専用線ネットワークが実現します。 UDPN は、クラウド プラットフォーム内の複数の地域にわたるデータ センター間で、低遅延で高品質の地域間イントラネット データ転送機能を提供します。

（図：クロスドメインチャネルUDPNを使用して複数の地域を便利に接続）

要約する

VPC は、従来のサーバー管理とクラウド リソース管理の両方において非常に成熟しており、比較的基本的なサービスでもあります。この記事では、VPC サブネットをパブリック ネットワークに接続する必要があるかどうか、クラウド プラットフォーム上の複数の VPC の相互接続、ローカル ネットワークとクラウド VPC 間の接続に基づいて概要と要約を示します。 VPC の適用シナリオは主に上記のような状況です。もちろん、現実的には、VPC はビジネス シナリオに応じて柔軟に使用する必要があります。難しさは、異種環境間の接続と、大規模ネットワークの複雑な計画および管理を解決することにあります。