Virtual Private Cloud (VPC) NAT Gatewayは、競合するアドレス間の通信または指定されたアドレスへのアクセスを許可するプライベートNAT機能を提供します。
背景情報
VPC NAT Gatewayを使用して、プライベートネットワーク通信の問題に対処できます。
アドレスが競合する2つのVPC間のプライベート通信を有効にするには、VPCごとに固有のプライベートアドレスを使用してVPC NATゲートウェイを設定します。
VPCとデータセンター間のプライベート通信を有効にするには、NATゲートウェイを設定し、プライベートIPアドレスを指定します。
なぜVPC NATゲートウェイ?
VPC NAT Gatewayには次の利点があります。
セキュリティ
VPC NAT Gatewayは、アドレスの公開を回避し、SNATエントリを使用してインバウンドトラフィックを制御し、詳細なアウトバウンドルールをサポートします。
高い弾力性
VPC NAT Gatewayは、トラフィックスパイクなどのシナリオでの要件を満たすために、自動スケーリングと高性能をサポートしています。
High availability
VPC NAT Gatewayは、クロスゾーンディザスタリカバリをサポートしています。 これにより、1つのゾーンに障害が発生してもサービスが期待どおりに実行できます。
柔軟な料金体系
VPC NAT Gatewayは、コストを削減するために従量課金方法をサポートしています。
モニタリング
VPC NAT Gatewayは、さまざまなディメンションの複数のモニタリングメトリクスをサポートし、さまざまなモニタリング要件を満たすためにセッションログとVPCフローログをサポートします。
特徴
VPC NATゲートウェイは、SNATおよびDNAT機能を提供します。 次の表に、機能を示します。
特徴 | 説明 | 参照 |
SNAT | VPC NAT GatewayはNAT IPアドレスを使用して、VPC内のインスタンスが外部プライベートネットワークにアクセスできるようにします。 | |
DNAT | VPC NAT Gatewayは、NAT IPアドレスとポートをVPC内のインスタンスのIPアドレスとポートにマッピングし、インスタンスが外部ネットワークにプライベートサービスを提供できるようにします。 | |
自動スケーリング | VPC NAT Gatewayは、ビジネス要件に基づいて自動スケーリングをサポートしています。 デフォルトでは、VPC NAT Gatewayは5 Gbit/sのトラフィック処理をサポートし、1秒あたり新しい接続を100,000、1分あたり2百万の同時接続をサポートします。 トラフィック処理能力は、自動的に15 Gbit/sにスケールアップできます。 | |
セッションログ | NAT Gatewayはセッションログ機能をサポートしています。 SNATエントリを作成し、NATゲートウェイを通過するトラフィックフローを作成すると、SNATセッションがログとして記録され、トラフィックの監視と追跡が容易になります。 | |
さまざまなモニタリング指標 | VPC NAT Gatewayは複数のモニタリングメトリックをサポートしています。 VPC NAT Gatewayをリアルタイムで監視できます。 |
シナリオ
ハイブリッドクラウドのネットワークが静的IPアドレスを使用して相互にアクセスできるようにする
金融業界と証券業界がクラウドでビジネスを拡大するにつれて、これらの業界は、相互に通信できる複数のプライベートネットワークを構築することがよくあります。 場合によっては、規制当局は、静的プライベートIPアドレスを使用してネットワークが互いにアクセスすることを要求することがある。 VPC NATゲートウェイのSNATおよびDNAT機能を使用して、静的プライベートIPアドレスを使用して複数のプライベートネットワークが相互にアクセスできるようにすることができます。
競合するCIDRブロックを持つVPCが相互にアクセスできるようにする
不適切なネットワーク計画やビジネスの統合により、互いに通信する必要がある2つのVPCのアドレスが競合する場合があります。 VPC NATゲートウェイを作成し、各VPCにNAT IPアドレスを設定できます。 2つのNAT IPアドレスが競合しないようにしてください。 一方のVPCはSNATを使用して、送信元IPアドレスを設定済みのNAT IPアドレスに変換します。これにより、VPCはもう一方のVPCにアクセスできます。 他のVPCは、DNATエントリで設定されたNAT IPアドレスを使用して外部サービスを提供します。 このようにして、2つのVPCは互いにアクセスできます。
使用上の注意
VPC NATゲートウェイを作成するときは、VPCでVPCとvSwitchを選択する必要があります。 ルート設定を容易にするために、VPC NATゲートウェイ専用のvSwitchを使用することを推奨します。
NAT IPアドレスは、SNATまたはDNATエントリで指定されたIPアドレスです。 VPC NATゲートウェイを作成すると、VPC NATゲートウェイに指定したvSwitchのCIDRブロックがデフォルトのNAT CIDRブロックとして使用されます。 デフォルトNAT CIDRブロックのIPアドレスがデフォルトNAT IPアドレスとして使用されます。 デフォルトのCIDRブロックにIPアドレスを追加するか、NAT CIDRブロックを作成できます。 NAT CIDRブロックを使用してルートを設定する方法の詳細については、「ルートの設定」をご参照ください。
新しく作成されたNAT CIDRブロックは、次の要件を満たす必要があります。
NAT CIDRブロックは、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそのサブネット内にある必要があります。
サブネットマスクの長さは16〜32ビットでなければなりません。
NAT CIDRブロックは、NATゲートウェイが属するVPCのプライベートCIDRブロックと重複することはできません。 VPCの他のIPアドレスを使用してNATサービスを提供する場合は、vSwitchを作成して別のVPC NATゲートウェイに接続します。
VPCのユーザーCIDRブロックを、VPCに属するVPC NATゲートウェイのNAT CIDRブロックとして指定できます。 詳細については、「ユーザーCIDRブロックとは何ですか?」をご参照ください。
デフォルトでは、VPC NATゲートウェイは5 Gbit/sでトラフィックを処理し、トラフィックが増加すると15 Gbit/sにスケールアップできます。 トラフィック処理能力、新しい接続レート、および同時接続レートを増やすには、アカウントマネージャーに連絡してください。
メトリクス
SessionNewConnection
SessionActiveConnection
データ転送
デフォルトのメトリック
100,000
2,000,000
5 Gbit/sから15 Gbit/s (自動スケーリング)
次のコンテンツは、前述のメトリックについて説明しています。
SessionNewConnection: 1秒あたりの新しい接続数。
SessionActiveConnection: 1分あたりの同時接続数。
データ転送: 1時間あたりに処理されるインバウンドトラフィックとアウトバウンドトラフィックの量。
制限事項
インスタンス制限
項目 | 制限事項 | 調整可能 |
VPC用に作成できるVPC NATゲートウェイの最大数 | 5 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
VPC NATゲートウェイ用に作成できるNAT IPアドレスの数 | 20 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
SNATの制限
項目 | 制限事項 | 調整可能 |
VPC NATゲートウェイに作成できるSNATエントリの最大数 | 40 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
SNATエントリ内のIPアドレスの数によって制限される同時接続の最大数 | VPC内のECSインスタンスがVPC NATゲートウェイを介して1つの宛先IPアドレスと1つのポートにアクセスする場合、VPC NATゲートウェイでサポートされる最大同時接続数はN × 55000です。 | 非該当 |
DNATの制限
項目 | 制限事項 | 調整可能 |
VPC NATゲートウェイに作成できるDNATエントリの最大数 | 100 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|