このトピックでは、インターネットNATゲートウェイでSNATエントリを設定して、パブリックIPアドレスが割り当てられていないElastic Compute Service (ECS) インスタンスのインターネットアクセスを有効にする方法について説明します。
シナリオ
以下のシナリオは、例として使用される。 企業は、Alibaba cloud上に仮想プライベートクラウド (VPC) とvSwitchを作成しました。 vSwitchに複数のECSインスタンスが作成されます。 ECSインスタンスに静的パブリックIPアドレスが割り当てられていないか、elastic IPアドレス (EIP) に関連付けられていません。 ビジネスの成長により、各ECSインスタンスはインターネットにアクセスする必要があります。
このシナリオでは、インターネットNATゲートウェイでSNATを設定できます。 SNATでは、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにします。
前提条件
VPCと2つのvSwitchが作成され、vSwitchにECSインスタンスが作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。
VPCは次の要件を満たす必要があります。
宛先CIDRブロックが0.0.0.0/0のカスタムルートはVPCに存在しません。 カスタムルートが存在する場合は、削除します。
SNATをRAM (Resource Access Management) ユーザーとして設定する場合は、RAMユーザーがVPCへのアクセス権限を持っていることを確認してください。 それ以外の場合は、Alibaba Cloudアカウント所有者に連絡して権限を取得してください。
制限事項
デフォルトでは、インターネットNATゲートウェイに最大40のSNATエントリを追加できます。
SNATの詳細については、「SNAT FAQ」をご参照ください。
手順
手順1: インターネットNATゲートウェイの作成
NAT Gatewayコンソールにログインします。
[インターネットNATゲートウェイ] ページで、[NATゲートウェイの作成] をクリックします。
初めてインターネットNATゲートウェイを作成するときは、購入ページの [サービスにリンクされたロールの作成] セクションの [作成] をクリックして、サービスにリンクされたロールを作成します。 サービスにリンクされたロールの作成後、インターネットNATゲートウェイを作成できます。
詳細については、「サービスにリンクされたロール」をご参照ください。
購入ページで、次のパラメーターを設定し、今すぐ購入をクリックします。
パラメーター
説明
課金方法
デフォルトでは、従量課金が選択されています。 使用後にリソースの料金を支払うことができます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。
リソースグループ
仮想プライベートクラウド (VPC) が属するリソースグループを選択します。 詳細については、「リソースグループの概要」をご参照ください。
タグ
タグキー: タグキーを選択または入力します。
最大20個のタグキーを指定できます。 タグキーの長さは最大64文字で、先頭をaliyunまたはacs: にすることはできません。 http:// または https:// を含めることはできません。
タグ値: タグ値を選択または入力します。
最大20個のタグ値を指定できます。 タグ値の長さは最大128文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。
リージョン
インターネットNATゲートウェイを作成するリージョンを選択します。
[VPC]
インターネットNATゲートウェイを作成するVPCを選択します。 インターネットNATゲートウェイの作成後、インターネットNATゲートウェイが属するVPCを変更することはできません。
vSwitchの関連付け
インターネットNATゲートウェイが属するvSwitchを選択します。
課金方法
デフォルトでは、Pay-By-CUが選択されています。 使用したリソースに基づいて課金されます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。
課金サイクル
デフォルトでは、[時間単位] が選択されています。 請求書は 1 時間ごとに作成されます。 インターネットNATゲートウェイの使用期間が1時間未満の場合、使用期間は1時間に切り上げられます。
[インスタンス名]
インターネットNATゲートウェイの名前を入力します。
名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。
アクセスモード
インターネットNATゲートウェイを作成するモードを選択します。 次のモードがサポートされています。
SNAT for All VPC Resources: この値を選択すると、インターネットNATゲートウェイがユニファイドアクセスモードで作成されます。 インターネットNATゲートウェイが作成されると、VPC内のすべてのリソースは、NATゲートウェイのSNAT機能を使用してインターネットにアクセスできます。
[SNAT for All VPC Resources] を選択した場合、EIPも指定する必要があります。
後で設定: このオプションを選択すると、支払い完了後にコンソールでインターネットNATゲートウェイを設定できます。
[後で設定] を選択した場合、インターネットNATゲートウェイのみが作成されます。 SNATエントリは作成されません。
この例では、[後で設定] が選択されています。
確認ページで情報を確認し、[利用規約] チェックボックスを選択して、確認をクリックします。
Purchasedメッセージが表示されると、インターネットNATゲートウェイが作成されます。
インターネットNATゲートウェイは、[インターネットNATゲートウェイ] ページで確認できます。
手順2: EIPをインターネットNATゲートウェイに関連付ける
インターネットNATゲートウェイは、EIPに関連付けられている場合にのみ、期待どおりに実行できます。 インターネットNATゲートウェイを作成した後、ビジネス要件を満たすためにEIPをインターネットNATゲートウェイに関連付けることができます。
NAT Gatewayコンソールにログインします。
上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。
[インターネットNATゲートウェイ] ページで、管理するインターネットNATゲートウェイを見つけ、[EIP] 列の [今すぐ関連付け] をクリックします。
EIPの関連付けダイアログボックスで、次のパラメーターを設定し、OKをクリックします。
パラメーター
説明
リソースグループ
EIPのリソースグループを選択します。
EIP
インターネットNATゲートウェイに関連付けるEIPを選択します。
この例では、[EIPの購入と関連付け] が選択されています。 システムは自動的にデータ転送課金EIPを作成し、EIPをインターネットNATゲートウェイに関連付けます。
上記の操作を完了すると、EIP列にEIPが表示されます。
ステップ3: SNATエントリの作成
SNATでは、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにします。
NAT Gatewayコンソールにログインします。
上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。
[インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。
SNAT管理タブで、SNATエントリの作成をクリックします。
SNATエントリの作成ページで、次のパラメーターを設定し、OKをクリックします。
パラメーター
説明
SNATエントリ
VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、[vSwitchの指定] が選択されています。 指定されたvSwitchにアタッチされているECSインスタンスは、EIPを使用してインターネットにアクセスします。
[vSwitchの選択]: ドロップダウンリストからvSwitchを選択します。
説明複数のvSwitchを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。
vSwitch CIDRブロック: 選択したvSwitchのCIDRブロックが表示されます。
EIPの選択
インターネットへのアクセスに使用する1つ以上のEIPを選択します。 この例では、[単一IPの使用] が選択され、ドロップダウンリストから手順2でインターネットNATゲートウェイに関連付けられているEIPが選択されています。
エントリ名
SNATエントリの名前を入力します。
SNATエントリの作成後、SNAT エントリで使用 セクションでSNATエントリを表示できます。
ステップ4: ルートの追加
インターネットNATゲートウェイを指すカスタムルートをVPCルートテーブルに追加します。
ECSインスタンスが属するvSwitchがカスタムルートテーブルに関連付けられている場合、インターネットNATゲートウェイを指すルートを手動で設定する必要があります。
ECSインスタンスが属するvSwitchがシステムルートテーブルに関連付けられている場合:
システムルートテーブルに0.0.0.0/0のルートが含まれていない場合、インターネットNATゲートウェイの作成後にインターネットNATゲートウェイを指すルートが自動的に作成されます。 したがって、この手順をスキップできます。
システムルートテーブルにすでに0.0.0.0/0ルートが含まれている場合は、インターネットNATゲートウェイの作成後にルートを削除する必要があります。 次に、インターネットNATゲートウェイを指すルートを作成します。
VPCコンソールにログインします。
左側のナビゲーションウィンドウで、 Route Tablesをクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
[ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。
詳細ページで、
を選択し、[ルートエントリの追加] をクリックします。[ルートエントリの追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
名前
カスタムルートの名前を入力します。
リソースグループ
ネクストホップが属するリソースグループ。
宛先CIDRブロック
宛先CIDRブロックを入力します。
この例では、IPv4 CIDRブロックが選択され、0.0.0.0/0が使用されています。
ネクストホップタイプ
ドロップダウンリストから [NAT Gateway] を選択します。
NATゲートウェイ
作成したインターネットNATゲートウェイを選択します。
説明
カスタムルートの説明を入力します。
手順 5:ネットワーク接続のテスト
SNATエントリを作成した後、ECSインスタンスがインターネットにアクセスできるかどうかをテストできます。 この例では、Linuxを実行するECSインスタンスが使用されています。
ECSインスタンスのセキュリティグループルールにより、ECSインスタンスがインターネットにアクセスできるようにしてください。 セキュリティグループルールの詳細については、「概要」をご参照ください。
vSwitchのECSインスタンスにログインします。 詳細については、「接続方法の概要」をご参照ください。
ping www.aliyun.com
コマンドを実行して、ネットワーク接続をテストします。エコー応答パケットを受信できる場合は、接続が確立されます。
結果は、ECSインスタンスがインターネットにアクセスできることを示しています。