Cloud Enterprise Network (CEN) を使用して異なるアカウント内のVPCを接続してみた

こんにちは。
ネクストスケープの開發@mamikaihatsu)です。

前回は、CENを使用して同じアカウント内のVPCを接続しましたが、
今回は異なるアカウント(クロスアカウント)のVPCへ接続できるようにしてみようと思います。


今回の環境

アカウントA

  • VPC [日本(Tokyo)] – 10.20.0.0/16
    • Vswitch – 10.20.0.0/24
      • ECS – 10.20.0.245

アカウントB

  • VPC [日本(Tokyo)] – 172.16.0.0/16
    • Vswitch – 172.16.0.0/24
      • ECS – 172.16.0.178

後半では、異なるリージョンとして、以下環境を使用します。

アカウントB

  • VPC [US (Silicon Valley)] – 10.30.0.0/16
    • Vswitch – 10.30.0.0/24
      • ECS – 10.30.0.217

手順

1.CENインスタンスの作成

2.接続承認

3.ネットワークのアタッチ

4.帯域幅パッケージの購入(別リージョンの場合のみ)

5.リージョンの接続(別リージョンの場合のみ)


1.CENインスタンスの作成(アカウントA)

CENの作成および、最初にアカウントAのネットワークをアタッチします。


アカウントAのAlibabaCloud管理コンソールのCENからCENインスタンス の作成


ネットワークのアタッチで、ネットワークを指定します。


作成されました。
CENのインスタンスIDをメモしておいてください。


2.接続承認(アカウントB)

アカウントBが アカウントAのネットワークに接続できるようにする為、承認作業を行います。


アカウントBのAlibabaCloud管理コンソールのVPCから、接続したいVPCを選択し、[CENクロスアカウント権限付与]をクリックします。


アカウントAのアカウントIDと、先程メモをしたCENのIDを記載します。


権限付与は完了です。


3.ネットワークのアタッチ(アカウントA)


アカウントAのAlibabaCloud管理コンソールのCENから[ネットワークのアタッチ]をクリック


アカウントBのアカウントID、ネットワークタイプ、リージョン、ネットワークのID(本記事では、アカウントBの接続先VPC)を指定します。

これで、アカウントAとアカウントBが同じリージョンであれば、通信可能です。

別リージョンのネットワークに接続する場合は別途「帯域幅のパッケージ」と「リージョンの接続」が必要になります。
これは、前回の記事で記載した同じアカウントで別リージョンの場合と同じです。


4.帯域幅パッケージの購入(アカウントA/別リージョンの場合のみ)

本記事では「2.接続承認(アカウントB)」の手順で、アカウントBのシリコンバレーのVPCで「CENクロスアカウント権限付与」を行い、
「3.ネットワークのアタッチ(アカウントA)」でアタッチしておきました。
この状態では、まだのシリコンバレーのVPCには接続出来ません。


アカウントAの管理ポータルのCENから
帯域幅パッケージ > 「帯域幅パッケージの購入(サブスクリプション)」をクリック


接続は日本と米国西部1(シリコンバレー)間なので、アジア太平洋⇋北米で作成します。


5.リージョンの接続(アカウントA/別リージョンの場合のみ

購入した帯域幅の詳細を設定します。


リージョン接続 > リージョン接続の作成 をクリック


先程購入した「帯域幅パッケージ」を選択し、接続リージョンと、そこに割り当てる帯域幅を指定します。

これで完了です。


まとめ

同じCENにVPCをアタッチすれば「帯域幅パッケージ」や「リージョン接続」の設定を行わなくてもpingは通りますが、RDP接続を行うとエラーになります。
(もちろん、正しく「帯域幅パッケージ」や「リージョン接続」を設定すればエラー無し)
今回は、Windows環境なのでRDPで試してみましたが、Linuxの場合はSSHで確認するなど、
確認を行う際は、ついpingのみで確認しがちですが、他の疎通確認も必要だと感じました。

Tags:,