この文書ではコンソールでVPCを扱う時に必要な内容を記述しています。
VPCは複数のサブネットを持つことができるため、サブネットを分割して使用する場合、十分な大きさのネットワークを設定する必要があります。VPCネットワークはCIDR 表記を使用して記述できます。全てのVPCはプライベートネットワークを構成できる下記3つのアドレス領域に存在する必要があり、リンクローカルアドレスは使用できません。また少なくとも24bit-256個より大きなネットワーク領域を指定する必要があります。
RFC1918 | IPアドレス領域 | 使用可能なアドレス個数 |
---|---|---|
24bit block | 10.0.0.0/8 | 16,777,216 |
20bit block | 172.16.0.0/12 | 1,047,576 |
16bit block | 192.168.0.0/16 | 65,536 |
169.254.0.0/16に含まれる65,536個のIPアドレスは使用できません。
例 | 使用可否 |
---|---|
10.0.0.0/8 | 使用できます。 |
10.0.0.0/16 | 使用できます。 |
10.0.0.0/24 | 使用できます。 |
10.0.0.0/28 | 使用できません。範囲が小さすぎます。 |
172.16.0.0/16 | 使用できます。 |
172.16.0.0/8 | 使用できません。使用可能な範囲を超えました。 |
192.168.0.0/16 | 使用できます。基本使用範囲に指定されます。 |
192.168.0.0/24 | 使用できます。 |
192.253.0.0/24 | 使用できません。使用可能な範囲を超えました。 |
最初にComputeとNetwork商品を使用すると、下記のような項目を自動的に構成します。
項目 | 名前 | 要約 |
---|---|---|
VPC | Default Network | 192.168.0.0/16範囲のVPC 1個が作成されます。 |
サブネット | Default Network | 192.168.0.0/24範囲のサブネット1個が作成されます。 |
ルーティングテーブル | vpc-[id] | VPC IDの一部を名前に持つルーティングテーブル1個が作成されます。 |
インターネットゲートウェイ | ig-[id] | ルーティングテーブルIDの一部を名前に持つインターネットゲートウェイ1個が作成されます。 |
セキュリティーグループ | default | defaultという名前を持つセキュリティーグループ1個が作成されます。 |
初期構成ではなく、VPCを追加する場合は下記の項目を構成します。
項目 | 名前 | 要約 |
---|---|---|
VPC | 指定した名前 | 指定した範囲のVPC 1個が作成されます。 |
サブネット | - | 作成されません。 |
ルーティングテーブル | vpc-[id] | VPC IDの一部の名前を持つルーティングテーブル1個が作成されます。 |
インターネットゲートウェイ | - | 生成されないため、別途生成後に接続する必要があります。 |
セキュリティーグループ | - | 追加で生成されません。 |
VPCと各項目で利用可能な上限値は下記のとおりです。
項目 | 最大値 |
---|---|
VPC | 3 |
サブネット | VPCあたり10 |
インターネットゲートウェイ | 3 |
Floating IP | 制限なし |
ルーティングテーブル | VPCあたり10 |
リルート | ルーティングテーブルあたり10 |
[参考] VPCを削除するには、サブネットを全て削除できる状態でのみ削除可能です。その場合はサブネット、ルーティングテーブル、インターネットゲートウェイも一緒に削除されます。
VPCは他のVPCと完全に隔離されているため、トラフィック上の安全性が保たれます。
VPCはプライベートネットワークのため、インターネットから直接アクセスできません。
VPC内の全ての機器においてVLANの構築はできません
異なるリージョンを跨ぐトラフィックについてはローカル通信を提供しません。
インターネットゲートウェイの設定をしないと、 VPC内の全てのインスタンスがインターネットに接続されません。
過度に転送される"ブロードキャスト、マルチキャスト、Unknownユニキャスト"は予告なく遮断されることがあります。
韓国(パンギョ)、韓国(ピョンチョン)、韓国(光州リージョンでプライベートIP DNS機能の使用有無を指定できます。
[参考]プライベートDNSポート * プライベートIP DNSを設定したり、VPCを初めてZoneに接続すると、VPC内にプライベートDNSポートが作成されます。 * プライベートIP DNSを設定せず、すべてのZoneと接続が解除されたVPCは、プライベートDNSポートが削除されます。 * プライベートIP DNSを設定せずにすべてのZoneと接続を解除した後、再接続したVPCは、プライベートDNSポートが変更される場合があります。 * プライベートDNSポートが作成/変更/削除される場合、これを適用するためにネームサーバーのリセットを行う必要があります。 * インスタンスを再起動すると、ネームサーバーがリセットされます。 * 再起動せずにネームサーバーを変更するには、インスタンスに接続してネームサーバーを変更する必要があります。各OSのネームサーバーを設定する方法に従って変更を行います。 * プライベートDNSポートを適用するためにインスタンスを再起動した場合、その後、そのVPCに追加的に他のZoneを接続したり、プライベートIP DNS設定を変更する場合にインスタンスを再起動する必要はありません。
VPCはサブネットに分けて、小さなネットワークを複数構成できます。ただしサブネットの場合はVPCアドレスの範囲に含まれ、アドレスの長さがそれ以下である必要があります。例えば192.168.0.0/16の場合、192.168.0.0 ~ 192.168.255.255まで、合計65536個のIPアドレスを使用できます。また最も小さなサブネットは28bitで、これより小さく構成することはできません。サブネットもVPC同様、CIDR表記を使用します。
サブネットが作成されると、VPCに含まれるデフォルトのルーティングテーブルに自動的に接続されます。このとき、ゲートウェイIPは自動的に指定されます。
[参考] サブネットは、インスタンスやロードバランサーなどが該当のサブネットに含まれていない空のサブネットの場合にのみ削除できます。また、サブネットが接続されているルーティングテーブルにそのサブネットに向かうリルートがないことを確認します。
インスタンスが生成されると、指定したサブネットから1個のIPアドレスを割り当てられます。 (Fixed IPと呼びます)
インスタンスが起動すると、DHCPを通してIPアドレスがインスタンスに適用されます。
サブネットのアドレス範囲を修正できません。
同じVPC内で異なるサブネットの範囲が重複するように作成することはできません。
異なるVPCにおいてはサブネットの範囲を重複することができます。
インスタンスに割り当てられたMACアドレスではない場合、ネットワーク上で遮断される場合があります。したがってVPNサービスをインスタンスで駆動する場合、動作しない場合があります。
インスタンスに複数のサブネットを接続する場合、インスタンス内のOSで適切なルーティング設定が必要です。
同じVPC内の2個のサブネットは完全に隔離されてはいません。セキュリティーグループを使用してインスタンスを保護してください。
サブネットは異なるアベイラビリティーゾーンにまたがってローカル通信をサポートします。ローカル通信は課金しません。
サブネットの「静的ルート」設定を利用して、サブネット内のインスタンスが起動した時にインスタンス内のルーティングテーブルに設定する必要があるルーティングルールを伝えることができます。
「静的ルート」に登録したルーティングルールは、インスタンスがリクエストしたDHCPリクエストに対するレスポンスの"classless-static-routes"オプションに含まれて送信され、インスタンスで起動中のDHCPクライアントでこのオプションの内容をルーティングテーブルに登録します。
"classless-static-routes"オプションの反映方式はインスタンスで実行中のOSの種類、ディストリビューション、またはDHCPクライアントバージョンによって異なりますが、一般的にインスタンスの起動などHCPクライアントが初めて起動したときに反映され、DHCPリースの更新時には反映されません。したがってサブネットの「静的ルート」を編集した場合、実行中のインスタンスには変更内容がすぐに適用されない可能性があるため、なるべく実行中の対象インスタンスを再起動することを推奨します。
「静的ルート」はルーティングするパケットの宛先CIDRと、対象パケットを転送するゲートウェイ情報で構成されます。
CIDRが"0.0.0.0/0"の静的ルートを作成すると、インスタンスのデフォルトゲートウェイをサブネットのゲートウェイ以外のIPに変更できます。
ゲートウェイはルーティングテーブルの「ルート」とは異なりテキストで入力し、サブネット内にまだ割り当てられていないIPも指定できます。
ルーティングテーブルはVPCと同時に生成され、VPCが削除されると一緒に削除されます。ルーティングテーブルはVPCに複数生成することができ、基本ルーティングテーブルでなければ明示的に削除できます。サブネットは少なくとも1つのルーティングテーブルに接続されている必要があり、複数のルーティングテーブルが1つのインターネットゲートウェイを共有できません。
ルーティングテーブルリストを指定する場合、詳細画面に要約された情報が表記され、 "ルート"タブを利用して経路を追加できます。
[参考] 経路を追加する場合、VPC内に到達可能な領域を指定すると追加できます。それ以外は失敗メッセージが発生します。
ルーティングテーブルに含まれるサブネットのゲートウェイは自動的に追加されます。
"基本ルーティングテーブル"は削除できません。VPCを削除すると削除されます。
サブネットのゲートウェイとインターネットゲートウェイはルートリストから削除できません。
ルーティングテーブルとインターネットゲートウェイの接続が切れると、インターネット接続が切断されます。
ルーティングテーブルのルートを作成して特定CIDRに対してゲートウェイを指定できます。ルートを誤って設定すると通信が切断される場合があるため注意してください。
ルーティングテーブルは、作成される場所に応じて「分散型ルーティング(DVR)」方式と「中央集中型ルーティング(CVR)」方式で作成できます。
分散型ルーティング(DVR)方式
中央集中型ルーティング(CVR)方式
分散型ルーティング(DVR)方式は、NHN Cloudが基本的に提供する方式です。安定性、高可用性およびトラフィック分散の利点があり、特別な場合を除いて分散型ルーティング(DVR)方式を使用することを推奨します。
ルーティングテーブルの方式を変更することも可能です。変更時にルーティングテーブルを再構成し、完了するまで約1分間、外部通信およびサブネット間の通信が切断されるため注意してください。