NAT Gateway:同じNAT IPアドレスを使用してインターネットにアクセスするようにEIPに関連付けられているECSインスタンスを設定する

前提条件

SNATエントリは、ECSインスタンスがデプロイされている仮想プライベートクラウド (VPC) に対して設定されます。 詳細については、「SNATエントリの作成と管理」をご参照ください。

背景情報

NAT GatewayはSNAT機能をサポートしています。 SNATは、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにします。 VPCでは、EIPに関連付けられているECSインスタンスは、EIPを使用してインターネットにアクセスすることが望ましい。 EIPに関連付けられていないECSインスタンスは、NATゲートウェイが提供するSNATサービスを介してインターネットにアクセスします。 その結果、VPC内のECSインスタンスは異なるパブリックIPアドレスを使用してインターネットにアクセスするため、管理操作が複雑になります。

elastic network Interface (ENI) をECSインスタンスに関連付けることで、同じNAT IPアドレスを使用してインターネットにアクセスするようにVPC内のECSインスタンスを設定できます。

次の手順では、EIPに関連付けられているECSインスタンスのENIを作成し、ENIをECSインスタンスに関連付けてから、EIPをENIに関連付ける方法について説明します。 このように、ECSインスタンスはENIを使用してインターネットからリクエストを受信し、NATゲートウェイを介してインターネットにアクセスします。

手順 1: ENI の作成

1. ECS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [ENI] を選択します。

3. 左上隅で、ENIを作成するリージョンを選択します。

   説明

   ENIとECSインスタンスは同じリージョンに属している必要があります。

4. [ネットワークインタフェース] ページで、[ENI 作成] をクリックします。

5. [ENIの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   次の表に、主要なパラメーターのみを示します。 詳細については、「セカンダリENIの作成」をご参照ください。

   パラメーター	説明
   ENI名	ENIの名前を入力します。
   [VPC]	ECS インスタンスが属する VPC を選択します。
   vSwitch	ECSインスタンスのゾーンでvSwitchを選択します。
   [セキュリティグループ]	VPCのセキュリティグループを選択します。
   プライマリプライベートIPアドレス (オプション)	ENIのプライマリプライベートIPv4アドレスを入力します。 IPv4アドレスは、vSwitchのCIDRブロック内のアイドルIPアドレスである必要があります。 IPv4アドレスを指定しない場合、ENIの作成後にアイドルプライベートIPv4アドレスが自動的にENIに割り当てられます。 この例では、プライマリプライベートIPアドレスは指定されていません。
   セカンダリプライベートIPv4アドレス (オプション)	オプションを選択します。 この例では、[Not Assign] が選択されています。

ステップ2: ENIをECSインスタンスに関連付ける

1. ECS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [ENI] を選択します。

3. 左上隅で、セカンダリENIがデプロイされているリージョンを選択します。

4. [ネットワークインタフェース] ページで、管理するENIを見つけ、[操作] 列の [インスタンスにバインド] をクリックします。

5. 表示されるダイアログボックスで、ENIを関連付けるECSインスタンスを選択し、[OK] をクリックします。

ステップ3: ECSインスタンスからのEIPの関連付けの解除

1. EIPコンソールにログインします。

2. 上部のナビゲーションバーで、EIPのリージョンを選択します。

3. [Elastic IPアドレス] ページでEIPを見つけ、[操作] 列の [リソースから関連付け解除] をクリックします。

4. 表示されたメッセージボックスで、[OK] をクリックします。

ステップ4: EIPをENIに関連付ける

1. EIPコンソールにログインします。

2. EIPアドレスのリージョンを選択します。

3. [Elastic IPアドレス] ページで、作成したEIPを見つけ、[操作] 列の [リソースに関連付ける] をクリックします。

4. [EIPとリソースの関連付け] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   パラメーター	説明
   [インスタンスタイプ]	ENIを選択します。
   リソースグループ (オプション)	EIPが属するリソースグループを選択します。 この例では、デフォルトのリソースグループが選択されています。
   モード (オプション)	EIPの関連付けモードを選択します。 この例では、NATモードが選択されています。
   関連付けるインスタンスの選択	EIPを関連付けるセカンダリENIを選択します。

ステップ5: ECSインスタンスのENIのルートを設定する

1. ECS コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワークとセキュリティ] > [ENI] を選択します。

3. ENIの詳細を表示します。

4. ECS インスタンスにログインします。 詳細については、「接続方法の概要」をご参照ください。

5. 次のコマンドを実行して、ECSインスタンスが関連付けられているENIに関する情報を表示します。

   ip a

   

   次の応答が返されます。

   eth0は一次ENIです。 eth0のプライベートIPアドレスは192.168.3.10です。

   eth1は二次ENIです。 eth1のプライベートIPアドレスは192.168.3.11で、パブリックIPアドレスは118.190.XX.XXです。

6. ビジネス要件に基づいて、ルートテーブルの各ENIのデフォルトルートのメトリック値を設定します。

   次のコマンドを実行して、Gatewayとmetricの値を表示します。

   route -n

   

   説明

   この例では、1つの副ENIが使用されます。 セカンダリENIのメトリック値はプライマリENIのメトリック値よりも大きく、セカンダリENIのルーティング優先度がプライマリENIのルーティング優先度よりも低いことを示します。 したがって、デフォルトのメトリック値を使用できます。 複数のセカンダリENIを使用する場合は、ビジネス要件に基づいてメトリック値を設定する必要があります。 詳細については、「セカンダリENIの設定」をご参照ください。

7. ルートテーブルを作成し、ポリシーベースのルーティングを設定します。

   1. ECSインスタンスのENIに一時的なポリシーベースのルートを設定する場合は、次の手順を実行します。

      説明

      ECSインスタンスの再起動後、ENIに設定されたポリシーベースのルートは無効になります。

      1. 次のコマンドを実行して、ルートテーブルを作成します。

         ip -4 route add default via 192.168.3.13 dev eth1 table 101

         説明

         ルートテーブルの名前は、ENIのデフォルトルートのメトリック値と同じにすることをお勧めします。 この例では、101が使用されます。

      2. 次のコマンドを実行して、ルートテーブルが作成されているかどうかを確認します。

         ip route list table 101

         次の結果が返されます。

      3. 次のコマンドを実行して、ポリシーベースのルートを追加します。

         ip -4 rule add from 192.168.3.11 lookup 101

      4. 次のコマンドを実行して、ルートマップを照会します。

         ip rule list

         次の結果が返されます。

   2. ECSインスタンスのENIに複数のルートを追加する場合は、次の手順を実行します。

      説明

      ECSインスタンスが再起動された後も、ENIのポリシーベースのルートは有効なままです。

      1. 次のコマンドを実行して、/etc/rc.localスクリプトを開きます。

         vi /etc/rc.local

      2. 設定ファイルの最後にあるiキーを押して編集モードに入ります。

      3. スクリプトの最後に次の情報を追加します。

         ip -4 route add default via 192.168.3.13 dev eth1 table 101
         ip -4 rule add from 192.168.3.11 lookup 101

         説明

         この例では、1つの副ENIが使用される。 セカンダリENIのメトリック値はプライマリENIのメトリック値よりも大きく、セカンダリENIのルーティング優先度がプライマリENIのルーティング優先度よりも低いことを示します。 したがって、デフォルトのメトリック値を使用できます。 複数のセカンダリENIを使用する場合は、メトリック値を設定するコマンドをスクリプトに追加する必要があります。 メトリック値を設定するコマンドの詳細については、「セカンダリENIの設定」をご参照ください。

      4. Escキーを押して編集モードを終了します。 :wqと入力し、Enterキーを押してスクリプトを保存して閉じます。

      5. 次のコマンドを実行して、/etc/rc.d/rc.localスクリプトを実行可能にします。

         chmod +x /etc/rc.d/rc.local

         説明

         /etc/rc.localスクリプトは、/etc/rc.d/rc.localスクリプトへのシンボリックリンクです。 したがって、上記のコマンドを実行して /etc/rc.d/rc.localスクリプトを実行可能にする必要があります。 ls -l /etc/rc.localコマンドを実行して、/etc/rc.localスクリプトが /etc/rc.d/rc.localスクリプトへのシンボリックリンクであるかどうかを確認できます。

手順 6：ネットワーク接続のテスト

1. オンプレミスLinuxマシンにログオンします。

2. ssh <your username>@ public IPコマンドを実行し、ECSインスタンスのパスワードを入力して、ECSインスタンスにリモート接続できるかどうかを確認します。 次のメッセージが表示された場合、ECSインスタンスは接続されています。

   Welcome to Alibaba Cloud Elastic Compute Service!

   

次の操作を実行して、ECSインスタンスがSNAT経由でインターネットにアクセスできるかどうかを確認します。 次の例は、ECSインスタンスがインターネットにアクセスするために使用するIPアドレスを表示する方法を示しています。

1. ECS インスタンスにログインします。

2. curl https://myip.ipip.net コマンドを実行して、ECSインスタンスがインターネットへのアクセスに使用するEIPを確認します。 NAT IPアドレスが、ECSインスタンス用に作成されたSNATエントリのIPアドレスと同じである場合、ECSインスタンスがSNATサービスを使用してインターネットにアクセスすることが望ましいことを示します。