各パブリッククラウドはクラウド上で論理的に分離され、自由にプライベートIPアドレスのCIDRブロックを利用できるように、VPCを提供しています。それぞれのパブリッククラウドはVPCの適用範囲や、利用できるCIDRブロックの範囲には違いがあります。1つのクラウドに慣れていて、他のクラウドを使い始めると注意点があります。
その違いを整理していきます。
※AzureではVPCをVnetと読んでいます。用語をVPCに統一します。
※AlibabaCloudでサブネットをVSwithと読んでいます。用語をサブネットに統一します。
目次
- VPCの適用対象の比較
- VPCで利用できるCIDRブロックの比較
- さいごに
1.VPCの適用対象の比較
AWS | Azure | GoogleCloud | AlibabaCloud | |
---|---|---|---|---|
VPC 適用対象 |
リージョン | リージョン | グローバル | リージョン |
サブネット 適用対象 |
ゾーン | リージョン | リージョン | ゾーン |
VM単位 アクセス制御 |
セキュリティ グループ |
NSGをNICに適用 | FWをタグ適用 | セキュリティ グループ |
サブネット単位 アクセス制御 |
ネットワーク ACL |
NSGをサブネット に適用 |
FWをすべて に適用 |
ネットワーク ACL |
各パブリッククラウドにおけるネットワークの考え方を見ていきます。まずGoogleCloudのVPCはグローバルなリソースです。全てのリージョンが最初から接続済みのようなイメージです。リージョンごとにサブネットを作成できます。リージョンにサブネットを作成する場合、新規に作成したサブネットはルートテーブル設定済みの状態で追加されます。グローバルのネットを楽に構築できます。次に、AzureはVPC(Azureの場合はVNET)とサブネットいずれもリージョン単位で、複数のAZを跨ぎます。AWSとAlibabaCloudは一番細かく分かれています。VPCはリージョン単位ですが、サブネット(AlibabaCloudの場合はvSwitch)はAZ単位になっています。
各パブリッククラウドのアクセス制御について、AzureとGoogleCloudは同じコンポーネントを使って、適用対象あるいはタグで制御して、VM単位あるいはサブネット単位でアクセス制御できます。AWSとAlibabaCloudはVM単位ならセキュリティグループ、サブネット単位ならネットワークACLで分けています。AWSとAlibabaCloudの違うところは、拒否の制御をしたい場合、あるいは優先度を付けたい場合、AWSはネットワークACLが必要に対して、AlibabaCloudはセキュリティグループで拒否設定と優先度設定ができ、ネットワークACLを使わなくても、セキュリティグループだけで完結できます。
2.VPCで利用できるCIDRブロックの比較
AWS | Azure | GoogleCloud | AlibabaCloud | |
---|---|---|---|---|
VPCの IPアドレス範囲 ※RFC1918想定 |
/16~/28 | /8~/29 | /8~/29 | /8~/29 |
サブネットの IPアドレス範囲 ※VPCと同じ 設定で最大範囲 ※RFC1918想定 |
/16~/28 | /8~/29 | /8~/29 | /8~/29 |
サブネットごと に予約済みIP数 |
5 | 5 | 4 | 4 |
予約済みIP① | 最初の4つ: ・NWアドレス ・ルーター ・DNS ・将来用 |
最初の4つ: ・NWアドレス ・デフォルトGW ・DNS ・DNS |
最初の2つ: ・NWアドレス ・デフォルトGW |
最初の1つ: ・NWアドレス |
予約済みIP② | 最後の1つ: ・ブロードキャスト |
最後の1つ: ・ブロードキャスト |
最後の2つ: ・将来用 ・ブロードキャスト |
最後の3つ: ・デフォルトGW ・将来用 ・ブロードキャスト |
比較表を見ると、AlibabaCloudは一番特徴的で、ネットワークアドレス以外の予約済みIPは後ろから予約しています。利用者はこのように1番(10.0.0.1)から、クラウド側の予約済みIPアドレスを意識せず、気軽に利用できます。GoogleCloudは最初の2つと最後の2つを予約しています。AWSとAzureは前から予約しています。AlibabaCloudを使い慣れている場合、AWSとAzureを使うと10.0.0.1や10.0.0.2このあたり使えないの、という問題に引っかかる可能性があります。
3. さいごに
それぞれのパブリッククラウドのVPCの特徴を比較してみました。使い慣れているほうから別のクラウドを使い始めるときに、ある程度特徴を把握するほうがいいと思います。