AlibabaCloudと他のクラウドのVPCの考え方の比較

各パブリッククラウドはクラウド上で論理的に分離され、自由にプライベートIPアドレスのCIDRブロックを利用できるように、VPCを提供しています。それぞれのパブリッククラウドはVPCの適用範囲や、利用できるCIDRブロックの範囲には違いがあります。１つのクラウドに慣れていて、他のクラウドを使い始めると注意点があります。
その違いを整理していきます。
※AzureではVPCをVnetと読んでいます。用語をVPCに統一します。
※AlibabaCloudでサブネットをVSwithと読んでいます。用語をサブネットに統一します。

目次

1. VPCの適用対象の比較
2. VPCで利用できるCIDRブロックの比較
3. さいごに

1.VPCの適用対象の比較

	AWS	Azure	GoogleCloud	AlibabaCloud
VPC 適用対象	リージョン	リージョン	グローバル	リージョン
サブネット 適用対象	ゾーン	リージョン	リージョン	ゾーン
VM単位 アクセス制御	セキュリティ グループ	NSGをNICに適用	FWをタグ適用	セキュリティ グループ
サブネット単位 アクセス制御	ネットワーク ACL	NSGをサブネット に適用	FWをすべて に適用	ネットワーク ACL

各パブリッククラウドにおけるネットワークの考え方を見ていきます。まずGoogleCloudのVPCはグローバルなリソースです。全てのリージョンが最初から接続済みのようなイメージです。リージョンごとにサブネットを作成できます。リージョンにサブネットを作成する場合、新規に作成したサブネットはルートテーブル設定済みの状態で追加されます。グローバルのネットを楽に構築できます。次に、AzureはVPC（Azureの場合はVNET）とサブネットいずれもリージョン単位で、複数のAZを跨ぎます。AWSとAlibabaCloudは一番細かく分かれています。VPCはリージョン単位ですが、サブネット（AlibabaCloudの場合はvSwitch）はAZ単位になっています。
各パブリッククラウドのアクセス制御について、AzureとGoogleCloudは同じコンポーネントを使って、適用対象あるいはタグで制御して、VM単位あるいはサブネット単位でアクセス制御できます。AWSとAlibabaCloudはVM単位ならセキュリティグループ、サブネット単位ならネットワークACLで分けています。AWSとAlibabaCloudの違うところは、拒否の制御をしたい場合、あるいは優先度を付けたい場合、AWSはネットワークACLが必要に対して、AlibabaCloudはセキュリティグループで拒否設定と優先度設定ができ、ネットワークACLを使わなくても、セキュリティグループだけで完結できます。

2.VPCで利用できるCIDRブロックの比較

	AWS	Azure	GoogleCloud	AlibabaCloud
VPCの IPアドレス範囲 ※RFC1918想定	/16~/28	/8~/29	/8~/29	/8~/29
サブネットの IPアドレス範囲 ※VPCと同じ 設定で最大範囲 ※RFC1918想定	/16~/28	/8~/29	/8~/29	/8~/29
サブネットごと に予約済みIP数	5	5	4	4
予約済みIP①	最初の4つ: ・NWアドレス ・ルーター ・DNS ・将来用	最初の4つ: ・NWアドレス ・デフォルトGW ・DNS ・DNS	最初の2つ: ・NWアドレス ・デフォルトGW	最初の1つ: ・NWアドレス
予約済みIP②	最後の1つ: ・ブロードキャスト	最後の1つ: ・ブロードキャスト	最後の2つ: ・将来用 ・ブロードキャスト	最後の3つ: ・デフォルトGW ・将来用 ・ブロードキャスト

比較表を見ると、AlibabaCloudは一番特徴的で、ネットワークアドレス以外の予約済みIPは後ろから予約しています。利用者はこのように1番(10.0.0.1)から、クラウド側の予約済みIPアドレスを意識せず、気軽に利用できます。GoogleCloudは最初の２つと最後の２つを予約しています。AWSとAzureは前から予約しています。AlibabaCloudを使い慣れている場合、AWSとAzureを使うと10.0.0.1や10.0.0.2このあたり使えないの、という問題に引っかかる可能性があります。

3. さいごに

それぞれのパブリッククラウドのVPCの特徴を比較してみました。使い慣れているほうから別のクラウドを使い始めるときに、ある程度特徴を把握するほうがいいと思います。