内部範囲の概要
内部範囲を使用すると、内部 IP アドレスのブロックを予約して、それらのアドレスの使用方法を指定できます。VPC ネットワーク ピアリング、共有 VPC、Cloud VPN、Cloud Interconnect などの機能を使用すると、ネットワークが複雑になります。内部範囲を使用することで、Virtual Private Cloud(VPC)ネットワーク トポロジを管理しやすくなります。
仕様
- 内部範囲リソースは、VPC ネットワーク内から割り振られる内部 IPv4 または IPv6 CIDR ブロックを表します。
- 内部範囲を予約するときに、次の構成を行います。
- 範囲が VPC ネットワーク内の Trusted Cloud リソースで使用できるか、外部使用に予約されているかどうか。
- VPC ネットワーク ピアリングが構成されている場合に範囲を使用する方法。
- 範囲が親 VPC ネットワークのサブネットまたはルートと重複するかどうか。
- 範囲のアドレス ブロックまたは重複動作を変更できるかどうか。
- デフォルトでは、範囲の VPC ネットワーク内の他の Trusted Cloud by S3NS リソースで使用されている IP アドレスを含む内部範囲を予約することはできません。
- サブネット、ルート、またはその両方との重複を有効にすると、指定したリソースタイプの IP アドレス範囲と重複する CIDR ブロックを使用して内部範囲を作成できます。
- リソースを内部範囲に明示的に関連付けるか(サブネットの場合)、重複を許可しない限り、既存の内部範囲の IP アドレスを使用する Trusted Cloud リソースを作成することはできません(ルートの場合)。
- 内部範囲が変更不可の場合、範囲の説明のみを変更できます。範囲が変更可能(デフォルト)な場合は、範囲の CIDR ブロック、重複動作、説明を変更できます。範囲の作成後に不変性を変更することはできません。
たとえば、重複が指定されていない 10.0.0.0/24 の変更可能な内部範囲について考えてみましょう。
同じ VPC ネットワークに、範囲 10.0.0.0/25 を使用するサブネットを作成しようとすると、サブネットを内部範囲に関連付けていない限り、サブネットの作成に失敗します。
範囲 10.0.0.0/25 を使用する同じ VPC ネットワークにルートを作成しようとすると、overlaps プロパティを設定して内部範囲を OVERLAP_ROUTE_RANGE に更新しない限り、ルートの作成に失敗します。
ピアリング タイプ
内部範囲のピアリング タイプにより、VPC ネットワーク ピアリングに関する範囲の動作が決まります。ピアリング タイプは次のいずれかになります。
FOR_SELF: 内部範囲は、作成された VPC ネットワークでのみ使用できます。関連する VPC ネットワークとその VPC ネットワークのピアから範囲にアクセスできます。ただし、ピア ネットワークのピアはこの範囲を使用できません。これはデフォルトの設定です。FOR_PEER: 内部範囲は、ピア ネットワーク内のリソースにのみ関連付けることができます。範囲の親 VPC ネットワーク内のリソースは範囲に関連付けることができませんが、ピア ネットワーク内のリソースは関連付けることができます。NOT_SHARED: 内部範囲は、範囲が作成されたネットワーク内のリソースにのみ、範囲をピアと共有することなく、関連付けることができます。ピアリングされるネットワークでは、親 VPC ネットワークに表示される方法で内部範囲を使用することはできません。両方のネットワークでピアリング タイプがNOT_SHAREDの場合、ピアリングされたネットワークは同じ範囲を使用できます。
使用タイプ
内部範囲リソースの使用タイプにより、割り振られた CIDR ブロックを親 VPC ネットワーク内の他の Trusted Cloud リソースに関連付けることができるかどうか決まります。内部範囲の使用タイプは次のいずれかです。
FOR_VPC: 範囲を親 VPC ネットワーク内の他の Trusted Cloudリソースに関連付けることができます。これはデフォルトの設定です。EXTERNAL_TO_VPC: 範囲を親 VPC ネットワーク内の他のTrusted Cloud リソースに関連付けることはできません。FOR_MIGRATION: この範囲は、ピアリングされた VPC ネットワーク間でのサブネット範囲の移行に使用できます。
IPv4 サブネット範囲の移行
CIDR 範囲をサブネット間で移行するには、サブネットを削除してから再作成する必要があります。通常、サブネットを削除すると、その CIDR 範囲が解放され、他のリソースで使用できるようになります。移行中に CIDR 範囲を予約するには、元のサブネットが削除された後で、新しいサブネットが作成される前に、FOR_MIGRATION 使用タイプの IPv4 内部範囲を予約します。
移行の内部範囲には、CIDR 範囲、ソース サブネット、ターゲット サブネットを指定します。
- IPv4 CIDR 範囲は、ソース サブネット範囲と一致するか、その範囲に含まれている必要があります。
- ソース サブネットとターゲット サブネットは、同じプロジェクトに配置することも、異なるプロジェクトに配置することもできます。
- ソース サブネットは、内部範囲リソースと同じプロジェクトに存在する必要があります。
- 内部範囲を作成する時点で、ターゲット サブネットが存在している必要はありません。
ソース サブネットを削除すると、CIDR 範囲はターゲット サブネットと一致するサブネットにのみ割り当てることができます。
サブネットを移行したら、内部範囲を削除できます。
使用タイプが FOR_MIGRATION の内部範囲には、ピアリング タイプ FOR_SELF が必要です。
サンプル ユースケース
次の表に、使用状況とピアリングの組み合わせが異なる内部範囲のユースケースを示します。IPv6 内部範囲には特定の使用とピアリング要件があり、ここに記載されているすべてのユースケースをサポートしているわけではありません。
| 目的 | 使用タイプ | ピアリング タイプ | IP バージョン |
|---|---|---|---|
| 範囲の VPC ネットワーク内でのみ使用するように範囲を予約します。 | FOR_VPC |
NOT_SHARED |
IPv4 |
| ピア VPC ネットワーク専用の範囲を予約し、ローカル VPC ネットワークのリソースがその範囲を使用できないようにします。 | FOR_VPC |
FOR_PEER |
IPv4 |
| 範囲の VPC ネットワークの外部で使用するために範囲を予約し、範囲の VPC ネットワーク内のリソースがこれらの IP アドレスを使用できないようにします。IPv6 範囲の場合、範囲の IP アドレスが新しい IPv6 専用サブネットまたはデュアル スタック サブネットに自動的に割り当てられるのを防ぎます。 | EXTERNAL_TO_VPC |
FOR_SELF |
IPv4 または IPv6 |
| オンプレミス専用の範囲を予約して、範囲の VPC ネットワーク内のリソースがこれらの IP アドレスを使用できないようにします。 | EXTERNAL_TO_VPC |
NOT_SHARED |
IPv4 |
| サブネットを 1 つの VPC ネットワークから別の VPC ネットワークに移行するために、範囲を一時的に予約します。 | FOR_MIGRATION |
FOR_SELF |
IPv4 |
IPv4 アドレス割り当て戦略
IPv4 内部範囲を予約するときに、CIDR ブロックを指定するか、 Trusted Cloud に自動的に割り振らせることができます。自動割り振りでは、プレフィックス長とターゲット CIDR ブロック(省略可)を指定します。 Trusted Cloudは既存の IP アドレスの割り振りを考慮し、ターゲットまたはデフォルトの CIDR ブロック内から選択したサイズの空き CIDR ブロックを内部範囲に割り振ります。
自動割り当てを使用する場合は、 Trusted Cloud が空きブロックを選択するために使用する割り当て戦略を指定できます。割り振り戦略は、自動的に割り振られた IPv4 内部範囲でのみ使用できます。次の表に、選択できる割り当て戦略を示します。
| 戦略 | 説明 | メリットとデメリット |
|---|---|---|
RANDOM |
空いている CIDR ブロックをランダムに割り当てます。これがデフォルトの戦略です。 |
同じプレフィックス長の複数の CIDR ブロックを同時に予約する場合に最も高速です。 IP アドレス空間の断片化につながる可能性があります。 |
FIRST_AVAILABLE |
数値的に最小の開始 IP アドレスを持つ空き CIDR ブロックを割り当てます。 |
最も予測可能な IP 範囲の割り当て。ターゲット CIDR ブロック内の残りの連続した未使用の IP アドレス空間を最大化します。 内部範囲を同時に予約すると競合が発生し、割り当て時間が長くなります。 |
RANDOM_FIRST_N_AVAILABLE |
数値 N を指定します。 Trusted Cloud は、リクエストされた接頭辞長の N 個の空き CIDR ブロックを検索し、開始 IP アドレスが最も小さいブロックを優先します。そのセットからランダムな CIDR ブロックを割り当てます。 |
連続した未使用の IP アドレス空間を維持しながら、同時割り当て中の競合を減らす場合に最適です。 N を増やすと、同時割り当てのパフォーマンスを向上させることができます。ただし、IP アドレス空間の断片化が増加する可能性があります。 |
FIRST_SMALLEST_FITTING |
リクエストされたプレフィックス長を含むことができる最小の空き CIDR ブロック(最長のプレフィックス長)を見つけます。そのセットから、開始 IP アドレスが最も小さいブロックを割り当てます。 |
IP アドレスの断片化を最小限に抑える場合に最適です。 同時予約の競合が最も多く発生し、割り当て時間が長くなります。 |
たとえば、ターゲット ブロック 10.0.0.0/8 から /24 CIDR ブロックを予約するとします。ターゲット ブロック内では、10.1.0.0/25、10.2.0.0/16、10.3.0.0/23 の IP アドレス範囲のみを使用できます。次のリストは、割り当て戦略ごとに選択できるブロックを示しています。
RANDOM: Trusted Cloud は、10.2.179.0/24などの使用可能な/24ブロックをランダムに決定します。FIRST_AVAILABLE: Trusted Cloud は、使用可能な最小の/24ブロック(10.2.0.0/24)を見つけます。RANDOM_FIRST_N_AVAILABLE: N に3を指定すると、Trusted Cloud は、使用可能な 3 つの最小の/24ブロック(10.2.0.0/24、10.2.1.0/24、10.2.2.0/24)のセットを作成します。このセットから、Trusted Cloud は10.2.2.0/24などの 3 つのブロックのうち 1 つをランダムに選択します。FIRST_SMALLEST_FITTING: Trusted Cloud は、/24の指定された接頭辞を含むことができる最小の利用可能なブロック(最長の接頭辞)を見つけます。使用可能な最小ブロックは10.3.0.0/23です。 Trusted Cloudは、その範囲内の最小のブロック(10.3.0.0/24)を割り当てます。
割り当て
1 つのプロジェクトで作成できる内部範囲リソースの数には上限があります。詳細は、VPC ドキュメントの、プロジェクトごとの割り当てをご覧ください。