Flex-N(Zadara) VPCピアリングのススメ

こんにちは。サービスマネジメントグループの伊藤です。
今回は任意の2つのVPC間を直接接続する事ができるFlex-N VPCピアリングについて紹介したいと思います。

Flex-Nはブロードバンドタワーがご提供するクラウドサービスです。
基盤にZadaraを採用しております。

Flex-N VPCピアリングとはどんな機能か

Flex-Nの任意の2つのVPC間を直接接続する事ができる機能です。
VPCピアリングで接続されたVPC間は、まるで同じネットワーク上にあるように通信が可能になります。
ピアリングされたVPC間のトラフィックはインターネットを通過しないため、データ漏洩や攻撃への露出を減らせます。
ピアリングを使えばプロジェクトを分けてもアカウントを分けてもVPC間が接続可能となるため、ユーザ管理やセキュリティ管理を考慮したネットワーク設計がしやすくなります。仮想ネットワークの活用を助けてくれる便利な機能です。

Flex-N VPCピアリング

VPCピアリングの種類と注意点

Flex-NのVPCピアリングはルーティングテーブルとIP接続を使用して実現される単純なL3接続です。
そのため、IPアドレスレンジが重複していないVPC間でのみ実現できるという点に注意が必要です。※ここが一番重要です。
1つのFlex-Nのリージョン内であれば以下のようなVPCピアリングを作成することが可能です。
　(1) 同一アカウント内、同一プロジェクト内のVPCのピアリング
　(2) 同一アカウント内、異なるプロジェクト内のVPCのピアリング
　(3) 異なるアカウント間でのVPCのピアリング

利用例

エンドユーザA社.B社へFlex-Nのサーバーを利用してサービスを提供している会社Zがあったとします。以下のような要望をVPCピアリングで叶える事が可能です。

• 各エンドユーザのサーバを配置するVPCは分ける必要があり、エンドユーザのVPC同士は接続不可

• サーバにはエンドユーザA.Bの担当者も接続してくるため、エンドユーザは自社用のサーバにのみ接続できるようユーザ権限を管理する必要がある

• 会社Zは各エンドユーザのサーバへの監視を提供する。監視サーバはエンドユーザ用VPCとは別のVPCへ配置するが、どちらエンドユーザのVPCにもインターネットを経由せず接続したい

利用例

VPCピアリングの設定方法

「(1) 同一アカウント内、同一プロジェクト内のVPCピアリング」とその他のピアリングでは設定方法が一部異なりますので注意してください。
また(2)、(3) のパターンのピアリングを作成するためには両方のプロジェクトの操作権限が必要です。

1.ピアリングの作成

(1). 同一アカウント内、同一プロジェクト内のVPCのピアリング
このパターンのピアリングではRequesterとAccepterについて考慮する必要はありません。

【手順】
・上部で該当するプロジェクトを選択
・Menu > Networking > Peering Connections
・+Peer VPCをクリック
　・Name：ピアリング名を入力（見て分かりやすい名前がおすすめです）
　・Select Requester：ピアリングするVPCを選択
　・Select Accepter：ピアリングするVPCを選択
・OKをクリック

VPCピアリング作成画面

・作成されたPeeringのnameをクリックし、選択した状態にする
・上部に表示された「Accept」をクリック
・statusがActiveになることを確認

(2)同一アカウント内、異なるプロジェクト内のVPCのピアリング　(3)異なるアカウント間のVPCのピアリング
【注意事項】
このパターンのピアリングではRequesterとAccepterを意識する必要があります。しかし、どちらのVPCをRequester/Accepterとしてもピアリングが確立されてしまえば通信に影響はないため、思い悩まず決めてしまっていいと思います。
【手順】
・AccepterとなるVPCのIDを確認する
・上部でAccepterになるProjectを選択

Projectの選択

・VPC Networking > VPCs で対象のVPC名をクリック
・VPCのIDをコピーしておく

VPCのIDをコピー

・上部でRequesterになるプロジェクトを選択

Projectの選択

・Menu > Networking > Peering Connections
・+Peer VPCをクリック
　・Name：ピアリング名を入力（見て分かりやすい名前がおすすめです）
　・Select Requester：ピアリングするVPCを選択
　・Enter Accepter ID: コピーしておいたAccepterのVPCのIDをペースト
・OKをクリック

VPCピアリング作成画面

・上部でAccepterになるProjectを選択

Projectの選択

・Networking > Peering Connections
・Peeringが作成されていることを確認
・Peeringのnameをクリックし、選択した状態にする
・上部に表示された「Accept」をクリック
・statusがActiveになることを確認

2.RouteTablesへルーティング追加

【注意事項】
両方のVPCのRouteTableにルーティング情報を追加する必要があります。
RouteTableはsubnet毎に紐づけられていますので、ルーティングを入れるRouteTableを間違わないよう注意してください。
RouteTableはデフォルトで(no name)として作成されますので、名前をつけると分かりやすくなります。

RouteTableへルーティングを追加

【手順】
・上部で該当するプロジェクトを選択
・VPC Networking > Route Tables
・トラフィックを通すSubnetのRouteTable名をクリック
・+Createをクリック
　・Destination CIDR：宛先ネットワークのCIDR
　・Target Type：Peering Connectionsを選択
　・Peering Connections：作成したピアリングを選択
・OKをクリック

Create Route

・対向側のVPCでも同様にRouteTableにルーティング情報を追加する

3.Security Groupsの設定

必要に応じて、ピアリングで接続されたVPCのインスタンスに適用されるSecurity Groupsのポートを空ける

最後に

Flex-N VPCピアリングは、仮想ネットワークの活用をさらに広げ、セキュリティや管理の柔軟性を向上させる強力な機能です。 この機能を活用することで、プロジェクトやアカウントの分離を維持しつつ、効率的で安全なネットワーク接続を実現できます。
ぜひ、Flex-N VPCピアリングを導入して、より効果的なクラウド環境の構築に役立ててください。

ブロードバンドタワーでは構築代行サービスをご用意しております。 専門のエンジニアが設計・構築から運用管理まで対応し、お客様のビジネスをサポートいたします。 ご興味をお持ちになりましたら、ぜひお問い合わせください。

c9 Flex-N | 製品・サービス | 株式会社ブロードバンドタワー