すべてのプロダクト
Search
ドキュメントセンター

NAT Gateway:インターネットNATゲートウェイの作成と管理

最終更新日:Nov 12, 2024

インターネットNATゲートウェイを使用すると、インスタンスはネットワークアドレス変換機能を使用してインターネットにアクセスできます。 これにより、アドレスの公開が回避され、ネットワークセキュリティが向上します。

背景

  • elastic IPアドレス (EIP) と一緒にインターネットNATゲートウェイを購入することを推奨します。 インターネットNATゲートウェイが作成されると、EIPはインターネットNATゲートウェイに自動的に関連付けられます。 詳細については、「インターネットNATゲートウェイとEIPの購入」をご参照ください。

    このトピックでは、インターネットNATゲートウェイは標準モードで作成されます。

  • VPCに最初のインターネットNATゲートウェイを作成すると、送信先CIDRブロックが0.0.0.0/0で、ネクストホップがインターネットNATゲートウェイであるルートがVPCのシステムルートテーブルに自動的に追加されます。 このルートは、トラフィックをインターネットNATゲートウェイにルーティングするために使用されます。 VPCにカスタムルートテーブルがある場合、またはVPCに複数のインターネットNATゲートウェイが存在する場合は、要件に基づいて手動でルートを追加します。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

    インターネットNATゲートウェイが作成される前に、宛先CIDRブロックが0.0.0.0/0であるルートがVPCのシステムルートテーブルにすでに存在する場合、システムはインターネットNATゲートウェイを指すルートを自動的に追加しません。

  • SNATエントリは、パブリックIPアドレスが割り当てられているECSインスタンスでは有効になりません。 たとえば、ECSインスタンスに静的パブリックIPアドレスを割り当てたり、EIP (elastic IP address) に関連付けたり、DNAT IPマッピングを設定したりできます。 この場合、ECSインスタンスは、インターネットNATゲートウェイのSNATエントリの代わりにパブリックIPアドレスを使用してインターネットにアクセスします。 VPC内のECSインスタンスが同じEIPを使用してインターネットにアクセスする場合は、「静的パブリックIPアドレスが割り当てられているECSインスタンスを構成して同じEIPを使用してインターネットにアクセスする」および「DNAT IPマッピングで構成されているECSインスタンスを構成して同じNAT IPアドレスを使用してインターネットにアクセスする」をご参照ください。

  • 複数のSNATエントリのソースCIDRブロックが互いに重複する場合、最も長いサブネットマスクを有するCIDRブロックが使用されます。

    • たとえば、ECSインスタンスのSNATエントリを作成した場合、ソースCIDRブロックのサブネットマスクは /32であり、これは最長のサブネットマスクです。 したがって、SNATエントリの優先度が最も高くなります。

    • 他のリソース用に作成したSNATエントリの場合、ソースCIDRブロックのサブネットマスクの長さに基づいてSNATエントリの優先度が決定されます。 ソースCIDRブロックのサブネットマスク長が長いSNATエントリの優先度が高くなります。

  • ECSインスタンスがすでにEIPに関連付けられている場合、ECSインスタンスのDNATエントリを作成することはできません。Elastic IP Address (EIP) ECSインスタンスのDNATエントリを作成する前に、ECSインスタンスからEIPの関連付けを解除する必要があります。 EIPの関連付けを解除する方法の詳細については、「クラウドリソースからEIPの関連付けを解除する」をご参照ください。

前提条件

インターネットNATゲートウェイの作成

  1. NAT Gatewayコンソールにログインします。

  2. [インターネットNATゲートウェイ] ページで、[NATゲートウェイの作成] をクリックします。

  3. 初めてインターネットNATゲートウェイを作成するときは、購入ページの [サービスにリンクされたロールの作成] セクションの [作成] をクリックして、サービスにリンクされたロールを作成します。 サービスにリンクされたロールの作成後、インターネットNATゲートウェイを作成できます。

    创建角色 詳細については、「サービスにリンクされたロール」をご参照ください。

  4. 購入ページで、次のパラメーターを設定し、今すぐ購入をクリックします。

    パラメーター

    説明

    課金方法

    デフォルトでは、従量課金が選択されています。 使用後にリソースの料金を支払うことができます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

    リソースグループ

    仮想プライベートクラウド (VPC) が属するリソースグループを選択します。 詳細については、「リソースグループの概要」をご参照ください。

    タグ

    • タグキー: タグキーを選択または入力します。

      最大20個のタグキーを指定できます。 タグキーの長さは最大64文字で、先頭をaliyunまたはacs: にすることはできません。 http:// または https:// を含めることはできません。

    • タグ値: タグ値を選択または入力します。

      最大20個のタグ値を指定できます。 タグ値の長さは最大128文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

    リージョン

    インターネットNATゲートウェイを作成するリージョンを選択します。

    [VPC]

    インターネットNATゲートウェイを作成するVPCを選択します。 インターネットNATゲートウェイの作成後、インターネットNATゲートウェイが属するVPCを変更することはできません。

    vSwitchの関連付け

    インターネットNATゲートウェイが属するvSwitchを選択します。

    課金方法

    デフォルトでは、Pay-By-CUが選択されています。 使用したリソースに基づいて課金されます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

    課金サイクル

    デフォルトでは、[時間単位] が選択されています。 請求書は 1 時間ごとに作成されます。 インターネットNATゲートウェイの使用期間が1時間未満の場合、使用期間は1時間に切り上げられます。

    [インスタンス名]

    インターネットNATゲートウェイの名前を入力します。

    名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。

    アクセスモード

    インターネットNATゲートウェイを作成するモードを選択します。 次のモードがサポートされています。

    • SNAT for All VPC Resources: この値を選択すると、インターネットNATゲートウェイがユニファイドアクセスモードで作成されます。 インターネットNATゲートウェイが作成されると、VPC内のすべてのリソースは、NATゲートウェイのSNAT機能を使用してインターネットにアクセスできます。

      [SNAT for All VPC Resources] を選択した場合、EIPも指定する必要があります。

    • 後で設定: このオプションを選択すると、支払い完了後にコンソールでインターネットNATゲートウェイを設定できます。

      [後で設定] を選択した場合、インターネットNATゲートウェイのみが作成されます。 SNATエントリは作成されません。

    この例では、[後で設定] が選択されています。

  5. 確認ページで情報を確認し、[利用規約] チェックボックスを選択して、確認をクリックします。

    Purchasedメッセージが表示されると、インターネットNATゲートウェイが作成されます。

EIPをインターネットNATゲートウェイに関連付ける

説明

2022年9月19日以降、EIPを新しく作成したインターネットNATゲートウェイに関連付けると、NATゲートウェイが存在するvSwitchのランダムなプライベートIPアドレスが使用されます。 vSwitchに使用可能な十分なプライベートIPアドレスがあることを確認してください。 それ以外の場合、EIPをNATゲートウェイに関連付けることはできません。 既存のNAT Gatewayは影響を受けません。

インターネットNATゲートウェイは、EIPをインターネットNATゲートウェイに関連付けた後にのみ、想定どおりに機能します。 最大20のEIPをインターネットNATゲートウェイに関連付けることができます。 クォータ管理ページに移動して、クォータの増加をリクエストできます。 EIPをインターネットNATゲートウェイに関連付ける前に、インターネットNATゲートウェイが作成されていることを確認してください。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. インターネットNATゲートウェイページで、インターネットNATゲートウェイを見つけて、EIP列の今すぐ関連付けるをクリックします。

  4. EIPの関連付けダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    リソースグループ

    EIPのリソースグループを選択します。

    EIPの選択

    インターネットNATゲートウェイに関連付けるEIPを選択します。 有効な値:

    • [既存のEIPの選択]: ドロップダウンリストから既存のEIPを選択します。

    • EIPの購入と関連付け: システムは、データ転送ごとに課金されるEIPを自動的に作成し、EIPをインターネットNATゲートウェイに関連付けます。

    EIPをインターネットNATゲートウェイに関連付けると、EIPアドレス列にEIPが表示されます。

SNATエントリの作成

インターネットNATゲートウェイでSNATエントリを設定して、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合に、仮想プライベートクラウド (VPC) のECSインスタンスがインターネットにアクセスできるようにすることができます。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。

  4. SNAT管理タブで、SNATエントリの作成をクリックします。

  5. SNATエントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

  6. パラメーター

    説明

    SNATエントリ

    VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。

    • VPC の指定: インターネットNATゲートウェイが属するVPC内のすべてのECSインスタンスは、SNATエントリのEIPを使用してインターネットにアクセスします。

    • vSwitch 粒度: vSwitchに属するECSインスタンスは、指定されたEIPを使用してインターネットにアクセスします。

      • [vSwitchの選択]: ドロップダウンリストからvSwitchを選択します。 ドロップダウンリストからvSwitchを選択するか、[VSwitchの作成] をクリックしてVPCコンソールでvSwitchを作成します。

        複数のvSwitchを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。

      • vSwitch CIDRブロック: vSwitchのCIDRブロックを表示します。

    • ECSインスタンス /ENIの指定: 指定されたECSインスタンスまたはENIは、EIPを使用してインターネットにアクセスします。

      • ECSまたはENIで選択: ドロップダウンリストからECSインスタンスまたはENIを選択します。 指定されたECSインスタンスまたはENIは、EIPを使用してインターネットにアクセスします。 ドロップダウンリストからECSインスタンスを選択するか、[ECSインスタンスの作成] をクリックしてECSコンソールでECSインスタンスを作成します。 複数のECSインスタンスを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。

        ECSインスタンスが次の要件を満たしていることを確認します。

        • ECSインスタンスは [実行中] 状態です。

        • ECSインスタンスにEIPが関連付けられておらず、ECSインスタンスに静的パブリックIPアドレスが割り当てられていません。

      • ECSインスタンス /ENI: ECSインスタンスまたはENIのCIDRブロックを表示します。

    • カスタム CIDR ブロックの指定: 指定されたCIDRブロック内のECSインスタンスは、SNATエントリを使用してインターネットにアクセスします。

    EIPの選択

    1つ以上のEIPを選択してインターネットにアクセスします。

    • 1つのIPアドレスを使用: ドロップダウンリストからEIPを選択します。 ドロップダウンリストで利用可能なEIPがない場合は、ドロップダウンリストから [EIPの購入と関連付け] をクリックします。 次に、表示されるダイアログボックスでEIPを購入できます。

    • [複数のIPアドレスを使用]: [パブリックIPアドレス] リストから複数のEIPを選択します。

      SNAT IPアドレスプールに複数のEIPを追加すると、ネットワークトラフィックは各EIPに均等に分散されるのではなく、ハッシュアルゴリズムに基づいて分散されます。 個々のEIPが過負荷になるのを防ぐために、EIPを同じインターネット共有帯域幅インスタンスに関連付けることを推奨します。

    EIPアフィニティ

    複数のEIPを選択した場合、EIPアフィニティを有効にするかどうかを選択できます。

    • EIPアフィニティが無効になっている場合、1つのプライベートIPアドレスが宛先IPアドレスに複数回アクセスすると、毎回異なるEIPが使用される可能性があります。

    • EIPアフィニティが有効になっている場合、プライベートIPアドレスが宛先IPアドレスにアクセスするたびに同じEIPが使用されます。

      セッションの数が多い場合、失敗したポート割り当ての監視されるカウントは増加し得る。

    エントリ名

    SNATエントリの名前を入力します。

DNATエントリの作成

Internet NAT GatewayのDNAT機能を使用して、ポートマッピングまたはIPマッピングを使用してパブリックIPアドレスをECSインスタンスにマッピングできます。 これにより、ECSインスタンスはインターネット経由でサービスを提供できます。Elastic Compute Service (ECS)

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [DNATの設定] をクリックします。

  4. DNAT管理タブで、DNATエントリの作成をクリックします。

  5. DNATエントリの作成ページで、次のパラメーターを設定し、確認をクリックします。

    パラメーター

    説明

    EIPの選択

    EIPを選択します。

    説明

    インターネットNATゲートウェイの場合、SNATエントリとDNATエントリで同じEIPを指定できます。

    プライベートIPアドレスの選択

    DNATエントリを使用してインターネットと通信するECSインスタンスのIPアドレスを指定します。 次のいずれかの方法で、宛先プライベートIPアドレスを指定できます。

    • ECSまたはENIで選択: ドロップダウンリストからECSインスタンスまたはECSインスタンスに関連付けられているelastic network interface (ENI) を選択して、プライベートIPアドレスを指定します。

    • 手動で入力: プライベートIPアドレスを入力します。

    ポート設定

    DNATマッピング方法を選択します。

    • Any Port: IPマッピングを指定します。 EIP宛てのリクエストは、指定されたECSインスタンスに転送されます。 指定されたECSインスタンスは、EIPを使用してインターネットにアクセスできます。

      説明
      • DNATエントリのEIPに対してIPマッピングが設定されている場合、別のDNATエントリまたはSNATエントリでEIPを使用することはできません。

      • インターネットNATゲートウェイにSNATエントリとIPマッピングを使用するDNATエントリが設定されている場合、ECSインスタンスは優先的にDNATを使用してインターネットにアクセスします。

    • Specific Port: ポートマッピングを指定します。 インターネットNATゲートウェイは、指定されたプロトコルとポートに基づいて、選択したECSインスタンスにリクエストを転送します。

      [特定のポート] を選択した後、ビジネス要件に基づいて次のパラメーターを設定します。

      • パブリックポート: ポート転送で使用される外部ポートまたはポート範囲。

        • 有効な値: -1 から 65535

        • ポート範囲を指定するには、最初のポートと最後のポートをスラッシュ (/) (10/20など) で区切ります。

        • パブリックポートがポート範囲に設定されている場合は、プライベートポートもポート範囲に設定する必要があります。 さらに、パブリックポート範囲とプライベートポート範囲は同じ数のポートを指定する必要があります。 たとえば、[パブリックポート]10/20に設定した場合、[プライベートポート]80/90に設定できます。

        選択したEIPがSNATエントリで既に指定されており、ポート番号が1024より大きい場合は、デフォルトのSNATポート範囲が65535に1025されているため、[ポート制限の削除] をクリックし、[OK] をクリックします。

        警告

        この動作は、既存のSNAT接続を一時的に中断する。 接続を再確立することでこの問題を解決できます。 作業は慎重に行ってください。

      • プライベートポート: ポート転送で使用されるプライベートポートまたはポート範囲。

      • プロトコルタイプ: ポートによって使用されるプロトコル。

    エントリ名

    DNATエントリの名前を入力します。

    名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は文字である必要があります。

    説明

    ECSインスタンスのDNATエントリを作成した後、ECSインスタンスに関連付けられているセキュリティグループのセキュリティグループルールを設定する必要があります。 インバウンドセキュリティグループルールを追加する方法の詳細については、「セキュリティグループルールの追加」をご参照ください。

インターネットNATゲートウェイにタグを追加する

ビジネスの成長に伴い、インターネットNATゲートウェイの数も増加する可能性があります。 これは、管理するのが難しいかもしれない多数のゲートウェイをもたらします。 インターネットNAT Gatewayにタグを追加して、グループごとに管理することを推奨します。 タグを追加すると、タグでインターネットNATゲートウェイを検索してフィルタリングできます。

タグはエンドポイントの分類に使用されます。 各タグはキーと値で構成されています。 タグを使用するには、次の要件が満たされていることを確認します。

  • インターネットNATゲートウェイに追加される各タグのキーは一意である必要があります。

  • インターネットNATゲートウェイにタグを追加せずにタグを作成することはできません。 すべてのタグをインターネットNATゲートウェイに追加する必要があります。

  • タグ情報はリージョン間で共有されません。

    たとえば、中国 (杭州) リージョンで作成されたタグは、中国 (上海) リージョンには表示されません。

  • タグのキーと値を変更したり、インターネットNATゲートウェイからタグを削除したりできます。 インターネットNATゲートウェイを削除すると、インターネットNATゲートウェイに追加されたタグが削除されます。

  • 各インターネットNATゲートウェイに最大20個のタグを追加できます。 クォータを増やすことはできません。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. インターネットNATゲートウェイページでインターネットNATゲートウェイを見つけ、ポインタをタグ列の标签图标の上に移動し、追加または編集をクリックします。

  4. タグの設定ダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    タグキー

    タグのキー。 キーを選択または入力できます。

    タグキーの長さは、最大 128 文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

    タグ値

    タグの値。 値を選択または入力できます。

    タグの値の長さは、最大 128 文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

  5. [インターネットNATゲートウェイ] ページに戻り、[タグでフィルター] をクリックします。 [タグでフィルタリング] ダイアログボックスで、インターネットNATゲートウェイを検索するためのタグキーとタグ値を指定できます。

インターネットNATゲートウェイの変更

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

  3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [管理] をクリックします。

  4. 基本情報タブの基本情報セクションで、次の操作を実行してインターネットNATゲートウェイを変更できます。

    • インターネットNATゲートウェイの名前を変更する

      [インスタンス名] の横にある [編集] をクリックします。 表示されるダイアログボックスで、新しい名前を入力し、[OK] をクリックします。

    • インターネットNATゲートウェイの説明を変更する

      [説明] の横にある [編集] をクリックします。 表示されるダイアログボックスで、インターネットNATゲートウェイの新しい説明を入力し、[OK] をクリックします。

    • 削除保護の有効化または無効化

      [削除保護の有効化] または [削除保護] の横にある [削除保護の無効化] をクリックします。

    • ICMP取得の有効化または無効化

      ICMP取得の横にあるスイッチをオンまたはオフにします。

      説明

      デフォルトでは、NAT GatewayのICMP取得が有効になっています。 この場合、NAT GatewayはICMPパケットを返すことができます。 pingコマンドを実行してプローブを実行すると、NATゲートウェイを介して応答パケットが返されます。 ただし、これはバックエンドサーバーが期待どおりに実行されているという意味ではありません。 したがって、ICMP検索を有効にすると、O&Mシステムのプローブの精度に影響を与える可能性があります。 ICMP取得が無効になっている場合、NAT GatewayはICMPパケットを返しません。 DNATにAny Portが指定されている場合、NAT GatewayはICMPパケットをバックエンドサーバーに転送します。

次に何をすべきか

API 操作

説明

SNATエントリの変更

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [操作] 列の [SNATの設定] をクリックします。

  3. [SNATエントリリスト] セクションで、管理するSNATエントリを見つけ、[操作] 列の [編集] をクリックします。

  4. [SNATエントリの編集] ページで、EIP、EIPアフィニティ、またはエントリ名を変更し、[OK] をクリックします。

SNAT エントリの削除

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [操作] 列の [SNATの設定] をクリックします。

  3. [SNATエントリリスト] セクションで、削除するSNATエントリを見つけ、[操作] 列の [削除] をクリックします。

  4. 表示されたメッセージボックスで、[OK] をクリックします。

DNATエントリの変更

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [操作] 列の [DNATの設定] をクリックします。

  3. [DNATエントリリスト] セクションで、管理するDNATエントリを見つけ、[操作] 列の [編集] をクリックします。

  4. [DNATエントリの編集] ページで、EIP、プライベートIPアドレス、ポート設定、またはエントリ名を変更し、[OK] をクリックします。

DNAT エントリの削除

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [操作] 列の [DNATの設定] をクリックします。

  3. [DNATエントリリスト] セクションで、管理するDNATエントリを見つけ、[操作] 列の [削除] をクリックします。

  4. 表示されたメッセージボックスで、[OK] をクリックします。

インターネットNATゲートウェイからのEIPの関連付けの解除

関連付けを解除するEIPがSNATエントリまたはDNATエントリで使用されていないことを確認してください。 EIPがSNATまたはDNATエントリで使用されている場合は、まずSNATまたはDNATエントリを削除します。

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [EIP] 列の [EIP] をクリックします。

  3. [関連付けられたEIP] タブで、インターネットNATゲートウェイとの関連付けを解除するEIPを選択し、[操作] 列の [関連付け解除] をクリックします。

  4. 表示されたメッセージボックスで、[OK] をクリックします。

    説明

    EIPが指定されているSNATおよびDNATエントリを削除しなかった場合は、[操作] 列の [強制NAT] をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。 システムは、EIPが指定されているSNATおよびDNATエントリを削除し、インターネットNATゲートウェイからEIPの関連付けを解除します。

インターネットNATゲートウェイの削除

  1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

  2. [操作] 列の 更多操作 > [削除] を選択します。

  3. ゲートウェイの削除 メッセージで、[OK] をクリックします。

    説明

    インターネットNATゲートウェイと関連するリソースを強制的に削除するには、ゲートウェイの削除 ダイアログボックスで 削除 (NAT Gateway とリソースの削除) を選択します。 インターネットNATゲートウェイを強制的に削除すると、システムは自動的にインターネットNATゲートウェイからEIPの関連付けを解除し、インターネットNATゲートウェイのSNATエントリとDNATエントリを削除します。

関連ドキュメント