インターネットNATゲートウェイを使用すると、インスタンスはネットワークアドレス変換機能を使用してインターネットにアクセスできます。 これにより、アドレスの公開が回避され、ネットワークセキュリティが向上します。 インターネットNAT Gatewayは、自動スケーリング、高性能、高可用性、柔軟な課金もサポートしています。 インターネットNAT Gatewayを使用して、インターネットトラフィックを管理できます。
背景情報
次の図に、インターネットNATゲートウェイのネットワークトポロジーを示します。 インターネットNATゲートウェイを使用して、次の要件を満たすことができます。
クラウド内のワークロードがインターネットアクセスを必要とするが、ワークロードをインターネットに公開したくない場合は、インターネットNATゲートウェイを使用できます。 インターネットNAT Gatewayは、インターネットからの攻撃からワークロードを保護します。
サービスがアウトバウンドトラフィックスパイクに耐えると予想される場合は、インターネットNATゲートウェイを使用できます。 インターネットNAT Gatewayは、必要に応じてスケールアップおよびスケールダウンできます。 さらに、インターネットNAT Gatewayは従量課金制で課金されるため、インターネットNAT Gatewayは費用対効果が高くなります。
インターネットアクセスが必要なデバイスが多数ある場合は、インターネットNATゲートウェイを作成できます。 このようにして、デバイスはインターネットNATゲートウェイ上のelastic IPアドレス (EIP) を使用してインターネットにアクセスできます。 また、インターネットNATゲートウェイは、アウトバウンドトラフィックを制御するために、きめ細かいメトリックと正確なモニタリングを提供します。
なぜインターネットNATゲートウェイ?
インターネットNATゲートウェイには、次の機能があります。
- セキュリティインターネットNAT Gatewayは、アドレスの公開を回避し、SNATエントリを使用してインバウンドトラフィックを制御し、きめ細かいアウトバウンドルールをサポートします。
- 高い弾力性Internet NAT Gatewayは、トラフィックの急増などのシナリオでの要件を満たすために、自動スケーリングと高性能をサポートしています。
- 高可用性インターネットNAT Gatewayは、クロスゾーンのディザスタリカバリをサポートしています。 これにより、1つのゾーンに障害が発生した場合にサービスを期待どおりに実行できます。
- Flexible billingインターネットNAT Gatewayは、コスト削減のために従量課金方式をサポートしています。
- モニタリングInternet NAT Gatewayは、さまざまなディメンションで複数のモニタリングメトリクスをサポートし、さまざまなモニタリング要件を満たすためにセッションログとVPCフローログをサポートします。
特徴
機能 | 説明 | 関連ドキュメント |
SNAT | VPCにパブリックIPアドレスが割り当てられていないインスタンスがインターネットにアクセスできるようにします。 | |
DNAT | VPCでパブリックIPアドレスが割り当てられていないインスタンスにEIPをマップし、インスタンスがインターネット経由でサービスを提供できるようにします。 | - |
自動スケーリング | インターネットNAT Gatewayは、ビジネス要件に基づいて自動スケーリングをサポートしています。 デフォルトでは、Internet NAT Gatewayは5 Gbit/sのトラフィック処理、1秒あたり100,000の新規接続、および1分あたり200万の同時接続をサポートしています。 トラフィック処理能力は、自動的に15 Gbit/sにスケールアップできます。 | |
ディザスタリカバリ用のプライマリ /セカンダリゾーン | インターネットNAT Gatewayは、プライマリ /セカンダリゾーンメカニズムをサポートしています。 セカンダリゾーンはAlibaba Cloudによって選択されています。 プライマリゾーンがダウンしている場合、システムは自動的にフェールオーバーを実行して、プライマリゾーンからセカンダリゾーンにトラフィックを切り替えます。 フェールオーバープロセスの所要時間は10分以内です。 サービスの可用性を向上させるために、複数のインターネットNATゲートウェイをデプロイできます。 | - |
セッションログ | NAT Gatewayはセッションログ機能をサポートしています。 SNATエントリを作成し、NATゲートウェイを通過するトラフィックフローを作成すると、SNATセッションがログとして記録され、トラフィックの監視と追跡が容易になります。 | |
さまざまなモニタリング指標 | インターネットNAT Gatewayは26のメトリックをサポートしています。 インターネットNATゲートウェイをリアルタイムで監視できるため、システムの安定性が向上します。 |
シナリオ
ECSインスタンスがインターネットにアクセスできるようにSNATを設定する
インターネットNATゲートウェイを作成し、EIPをインターネットNATゲートウェイに関連付けてから、インターネットNATゲートウェイにSNATエントリを作成できます。 これにより、VPC内のECSインスタンスは同じEIPを使用してインターネットにアクセスできます。 これにより、パブリックIPリソースが節約されます。 詳細については、「インターネットNATゲートウェイのSNAT機能を使用してインターネットにアクセスする」をご参照ください。
複数のEIPをインターネットNATゲートウェイに関連付けることもできます。 ECSインスタンスがインターネットにアクセスする必要がある場合、SNAT IPアドレスプールからEIPをランダムに選択します。 EIPの1つが攻撃を受けている場合、ECSインスタンスはSNAT IPアドレスプールから別のEIPをランダムに選択してインターネットにアクセスできます。 これにより、ワークロードの高可用性が確保され、EIP障害によるサービスの中断が防止されます。
説明SNAT IPアドレスプールに複数のEIPを追加すると、ネットワークトラフィックは各EIPに均等に分散されるのではなく、ハッシュアルゴリズムに基づいて分散されます。 個々のEIPが過負荷になるのを防ぐために、EIPを同じインターネット共有帯域幅インスタンスに関連付けることを推奨します。 詳細については、「インターネット共有帯域幅インスタンスとのEIPの関連付けと関連付けの解除」をご参照ください。
インターネット経由でサービスを提供するようにDNATを構成する
インターネットNATゲートウェイを作成し、EIPをインターネットNATゲートウェイに関連付けてから、インターネットNATゲートウェイでDNATを設定できます。 これにより、VPC内のECSインスタンスは、ポートマッピングまたはIPマッピングを介してインターネットからリクエストを受信できます。
説明ポートマッピングとIPマッピングの説明:
ポートマッピング: インターネットNATゲートウェイは、EIP宛てのリクエストを指定されたECSインスタンスに転送します。 リクエストは、指定されたソースポートと宛先ポート、および両方のポートで使用される指定されたプロトコルに基づいて転送されます。
IPマッピング: インターネットNATゲートウェイは、EIP宛てのリクエストを指定されたECSインスタンスに転送します。 ECSインスタンスは、EIPを使用してインターネットにアクセスすることもできます。 インターネットNATゲートウェイにSNATエントリとIPマッピングを使用するDNATエントリが設定されている場合、ECSインスタンスは優先的にDNATを使用してインターネットにアクセスします。
高可用性のために複数のインターネットNATゲートウェイをデプロイする
VPCの異なるゾーンに複数のインターネットNATゲートウェイをデプロイできます。 ゾーン内の1つのインターネットNATゲートウェイがダウンした場合、別のゾーン内の別のインターネットNATゲートウェイが引き継ぐことができます。
使用上の注意
インターネットNATゲートウェイを作成するときは、インターネットNATゲートウェイに関連付けるVPCとvSwitchを指定する必要があります。 インターネットNATゲートウェイの作成後、後で使用するために十分なIPアドレスを予約するために、インターネットNATゲートウェイ用に独立したvSwitchを作成することを推奨します。
インターネットNAT Gatewayは、ディザスタリカバリ用のプライマリ /セカンダリゾーンをサポートしています。 インターネットNATゲートウェイを作成するときに指定するvSwitchは、プライマリゾーンにあります。 セカンダリゾーンでvSwitchを指定する必要はありません。
インターネットNATゲートウェイの作成方法の詳細については、「インターネットNATゲートウェイの購入」をご参照ください。
デフォルトでは、インターネットNATゲートウェイは5 Gbit/sでトラフィックを処理し、トラフィックが増加すると15 Gbit/sにスケールアップできます。 トラフィック処理能力、新しい接続レート、および同時接続レートを増やすには、アカウントマネージャーに連絡してください。
メトリクス
SessionNewConnection
SessionActiveConnection
データ転送
デフォルトのメトリック
100,000
2,000,000
5 Gbit/sから15 Gbit/s (自動スケーリング)
次のコンテンツは、前述のメトリックについて説明しています。
SessionNewConnection: 1秒あたりの新しい接続数。
SessionActiveConnection: 1分あたりの同時接続数。
データ転送: 1時間あたりに処理されるインバウンドトラフィックとアウトバウンドトラフィックの量。
制限事項
インスタンスに関する制限事項
項目 | 制限事項 | 調整可能 |
VPCに作成できるインターネットNATゲートウェイの最大数 | 5 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
インターネットNATゲートウェイに関連付けることができるEIPの最大数 | 20 説明 2022年9月19日以降、EIPを新しく作成したインターネットNATゲートウェイに関連付けると、NATゲートウェイが存在するvSwitchのプライベートIPアドレスが使用されます。 vSwitchに使用可能な十分なプライベートIPアドレスがあることを確認してください。 それ以外の場合、EIPをNATゲートウェイに関連付けることはできません。 既存のNAT Gatewayは影響を受けません。 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
宛先CIDRブロックが0.0.0.0/0であるカスタムルートを含むVPCでのインターネットNATゲートウェイの作成 | 対応 | 非該当 |
SNATの制限
項目 | 制限事項 | 調整可能 |
インターネットNATゲートウェイで作成できるSNATエントリの最大数 | 40 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
vSwitch用に作成されたSNATエントリのEIPの帯域幅制限によってvSwitchの帯域幅が制限されているかどうか | 必須 説明 インターネットNATゲートウェイのEIPがEIP帯域幅プランに関連付けられている場合、vSwitchの帯域幅はEIP帯域幅プランの帯域幅制限によって制限されます。 | 非該当 |
SNATエントリで指定されたEIPの数によって同時接続の数が制限されるかどうか | パブリックIPアドレスが割り当てられていないECSインスタンスがインターネットNATゲートウェイを使用して、インターネット経由で同じ宛先IPアドレスとポートにアクセスする場合、インターネットNATゲートウェイでサポートされる同時接続数はN × 55,000です。 Nは、SNATエントリで指定されたEIPの数です。 | |
SNATエントリの各EIPの帯域幅制限 | SNATエントリで複数のEIPを指定した場合、ネットワークトラフィックは各EIPに均等に分散されるのではなく、ハッシュアルゴリズムに基づいて分散されます。 個々のEIPが過負荷になるのを防ぐために、EIPを同じEIP帯域幅プランに関連付けることを推奨します。 SNAT IPアドレスプールに追加されるEIPの帯域幅は制限されません。 詳細については、「SNAT IPアドレスプールの作成」をご参照ください。 |
DNATの制限
項目 | 制限事項 | 調整可能 |
インターネットNATゲートウェイで作成できるDNATエントリの最大数 | 100 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
EIPが関連付けられているECSインスタンスのDNATエントリの作成 | ECSインスタンスが1つのENIにのみ関連付けられている場合はサポートされません。 ECSインスタンスのDNATエントリを作成する前に、ECSインスタンスからEIPの関連付けを解除する必要があります。 詳細については、「クラウドリソースからのEIPの関連付けの解除」および「DNATエントリの作成と管理」をご参照ください。 説明 EIPに関連付けられているECSインスタンスのDNATエントリを作成した場合、ECSインスタンスは優先的にEIPを使用してインターネットと通信します。 | 非該当 |
静的パブリックIPアドレスを持つECSインスタンスのDNATエントリの作成 | ECSインスタンスが1つのENIにのみ関連付けられている場合はサポートされません。 ECSインスタンスのDNATエントリを作成する前に、静的パブリックIPアドレスをEIPに変換し、ECSインスタンスからEIPの関連付けを解除する必要があります。 静的パブリックIPアドレスをEIPに変換する方法の詳細については、「VPC内のECSインスタンスの静的パブリックIPアドレスをEIPに変換する」をご参照ください。 説明 静的パブリックIPアドレスを持つECSインスタンスのDNATエントリを作成した場合、ECSインスタンスは静的パブリックIPアドレスを優先的に使用してインターネットと通信します。 | 非該当 |