すべてのプロダクト
Search
ドキュメントセンター

NAT Gateway:インターネットNATゲートウェイのSNAT機能を使用してインターネットにアクセスする

最終更新日:Nov 04, 2024

このトピックでは、インターネットNATゲートウェイでSNATエントリを設定して、パブリックIPアドレスが割り当てられていないElastic Compute Service (ECS) インスタンスのインターネットアクセスを有効にする方法について説明します。

シナリオ

以下のシナリオは、例として使用される。 企業は、Alibaba cloud上に仮想プライベートクラウド (VPC) とvSwitchを作成しました。 vSwitchに複数のECSインスタンスが作成されます。 ECSインスタンスに静的パブリックIPアドレスが割り当てられていないか、elastic IPアドレス (EIP) に関連付けられていません。 ビジネスの成長により、各ECSインスタンスはインターネットにアクセスする必要があります。

image

このシナリオでは、インターネットNATゲートウェイでSNATを設定できます。 SNATでは、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにします。

前提条件

  • VPCと2つのvSwitchが作成され、vSwitchにECSインスタンスが作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。

  • VPCは次の要件を満たす必要があります。

    • 宛先CIDRブロックが0.0.0.0/0のカスタムルートはVPCに存在しません。 カスタムルートが存在する場合は、削除します。

    • SNATをRAM (Resource Access Management) ユーザーとして設定する場合は、RAMユーザーがVPCへのアクセス権限を持っていることを確認してください。 それ以外の場合は、Alibaba Cloudアカウント所有者に連絡して権限を取得してください。

制限事項

デフォルトでは、インターネットNATゲートウェイに最大40のSNATエントリを追加できます。

SNATの詳細については、「SNAT FAQ」をご参照ください。

手順

image

手順1: インターネットNATゲートウェイの作成

  1. NAT Gatewayコンソールにログインします。

  2. [インターネットNATゲートウェイ] ページで、[NATゲートウェイの作成] をクリックします。

  3. 初めてインターネットNATゲートウェイを作成するときは、購入ページの [サービスにリンクされたロールの作成] セクションの [作成] をクリックして、サービスにリンクされたロールを作成します。 サービスにリンクされたロールの作成後、インターネットNATゲートウェイを作成できます。

    创建角色 詳細については、「サービスにリンクされたロール」をご参照ください。

  4. 購入ページで、次のパラメーターを設定し、今すぐ購入をクリックします。

    パラメーター

    説明

    課金方法

    デフォルトでは、従量課金が選択されています。 使用後にリソースの料金を支払うことができます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

    リソースグループ

    仮想プライベートクラウド (VPC) が属するリソースグループを選択します。 詳細については、「リソースグループの概要」をご参照ください。

    タグ

    • タグキー: タグキーを選択または入力します。

      最大20個のタグキーを指定できます。 タグキーの長さは最大64文字で、先頭をaliyunまたはacs: にすることはできません。 http:// または https:// を含めることはできません。

    • タグ値: タグ値を選択または入力します。

      最大20個のタグ値を指定できます。 タグ値の長さは最大128文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

    リージョン

    インターネットNATゲートウェイを作成するリージョンを選択します。

    [VPC]

    インターネットNATゲートウェイを作成するVPCを選択します。 インターネットNATゲートウェイの作成後、インターネットNATゲートウェイが属するVPCを変更することはできません。

    vSwitchの関連付け

    インターネットNATゲートウェイが属するvSwitchを選択します。

    課金方法

    デフォルトでは、Pay-By-CUが選択されています。 使用したリソースに基づいて課金されます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

    課金サイクル

    デフォルトでは、[時間単位] が選択されています。 請求書は 1 時間ごとに作成されます。 インターネットNATゲートウェイの使用期間が1時間未満の場合、使用期間は1時間に切り上げられます。

    [インスタンス名]

    インターネットNATゲートウェイの名前を入力します。

    名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。

    アクセスモード

    インターネットNATゲートウェイを作成するモードを選択します。 次のモードがサポートされています。

    • SNAT for All VPC Resources: この値を選択すると、インターネットNATゲートウェイがユニファイドアクセスモードで作成されます。 インターネットNATゲートウェイが作成されると、VPC内のすべてのリソースは、NATゲートウェイのSNAT機能を使用してインターネットにアクセスできます。

      [SNAT for All VPC Resources] を選択した場合、EIPも指定する必要があります。

    • 後で設定: このオプションを選択すると、支払い完了後にコンソールでインターネットNATゲートウェイを設定できます。

      [後で設定] を選択した場合、インターネットNATゲートウェイのみが作成されます。 SNATエントリは作成されません。

    この例では、[後で設定] が選択されています。

  5. 確認ページで情報を確認し、[利用規約] チェックボックスを選択して、確認をクリックします。

    Purchasedメッセージが表示されると、インターネットNATゲートウェイが作成されます。

インターネットNATゲートウェイは、[インターネットNATゲートウェイ] ページで確認できます。创建NAT网关

手順2: EIPをインターネットNATゲートウェイに関連付ける

インターネットNATゲートウェイは、EIPに関連付けられている場合にのみ、期待どおりに実行できます。 インターネットNATゲートウェイを作成した後、ビジネス要件を満たすためにEIPをインターネットNATゲートウェイに関連付けることができます。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. [インターネットNATゲートウェイ] ページで、管理するインターネットNATゲートウェイを見つけ、[EIP] 列の [今すぐ関連付け] をクリックします。

  4. EIPの関連付けダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    リソースグループ

    EIPのリソースグループを選択します。

    EIP

    インターネットNATゲートウェイに関連付けるEIPを選択します。

    この例では、[EIPの購入と関連付け] が選択されています。 システムは自動的にデータ転送課金EIPを作成し、EIPをインターネットNATゲートウェイに関連付けます。

上記の操作を完了すると、EIP列にEIPが表示されます。绑定EIP

ステップ3: SNATエントリの作成

SNATでは、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにします。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。

  4. SNAT管理タブで、SNATエントリの作成をクリックします。

  5. SNATエントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    SNATエントリ

    VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、[vSwitchの指定] が選択されています。 指定されたvSwitchにアタッチされているECSインスタンスは、EIPを使用してインターネットにアクセスします。

    • [vSwitchの選択]: ドロップダウンリストからvSwitchを選択します。

      説明

      複数のvSwitchを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。

    • vSwitch CIDRブロック: 選択したvSwitchのCIDRブロックが表示されます。

    EIPの選択

    インターネットへのアクセスに使用する1つ以上のEIPを選択します。 この例では、[単一IPの使用] が選択され、ドロップダウンリストから手順2でインターネットNATゲートウェイに関連付けられているEIPが選択されています。

    エントリ名

    SNATエントリの名前を入力します。

SNATエントリの作成後、SNAT エントリで使用 セクションでSNATエントリを表示できます。snat

ステップ4: ルートの追加

インターネットNATゲートウェイを指すカスタムルートをVPCルートテーブルに追加します。

  • ECSインスタンスが属するvSwitchがカスタムルートテーブルに関連付けられている場合、インターネットNATゲートウェイを指すルートを手動で設定する必要があります。

  • ECSインスタンスが属するvSwitchがシステムルートテーブルに関連付けられている場合:

    • システムルートテーブルに0.0.0.0/0のルートが含まれていない場合、インターネットNATゲートウェイの作成後にインターネットNATゲートウェイを指すルートが自動的に作成されます。 したがって、この手順をスキップできます。

    • システムルートテーブルにすでに0.0.0.0/0ルートが含まれている場合は、インターネットNATゲートウェイの作成後にルートを削除する必要があります。 次に、インターネットNATゲートウェイを指すルートを作成します。

  1. VPCコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、 Route Tablesをクリックします。

  3. 上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。

  4. [ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。

  5. 詳細ページで、[ルートエントリリスト] > [カスタムルート] を選択し、[ルートエントリの追加] をクリックします。

  6. [ルートエントリの追加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

    パラメーター

    説明

    名前

    カスタムルートの名前を入力します。

    リソースグループ

    ネクストホップが属するリソースグループ。

    宛先CIDRブロック

    宛先CIDRブロックを入力します。

    この例では、IPv4 CIDRブロックが選択され、0.0.0.0/0が使用されています。

    ネクストホップタイプ

    ドロップダウンリストから [NAT Gateway] を選択します。

    NATゲートウェイ

    作成したインターネットNATゲートウェイを選択します。

    説明

    カスタムルートの説明を入力します。

手順 5:ネットワーク接続のテスト

SNATエントリを作成した後、ECSインスタンスがインターネットにアクセスできるかどうかをテストできます。 この例では、Linuxを実行するECSインスタンスが使用されています。

説明

ECSインスタンスのセキュリティグループルールにより、ECSインスタンスがインターネットにアクセスできるようにしてください。 セキュリティグループルールの詳細については、「概要」をご参照ください。

  1. vSwitchのECSインスタンスにログインします。 詳細については、「接続方法の概要」をご参照ください。

  2. ping www.aliyun.comコマンドを実行して、ネットワーク接続をテストします。

    エコー応答パケットを受信できる場合は、接続が確立されます。

    結果は、ECSインスタンスがインターネットにアクセスできることを示しています。

    测试连通性