すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:インターネットNATゲートウェイに関連付けられたVPCでのIPv4ゲートウェイの作成と有効化

    ドキュメントセンター

    Virtual Private Cloud:インターネットNATゲートウェイに関連付けられたVPCでのIPv4ゲートウェイの作成と有効化

    最終更新日:Mar 07, 2024

    インターネットNATゲートウェイがデプロイされている仮想プライベートクラウド (VPC) でIPv4ゲートウェイを有効にする場合は、新しいインターネットNATゲートウェイを作成するか、インターネットNATゲートウェイを保持できます。

    シナリオ

    ある企業がシンガポールリージョンにVPCを作成し、VPCのvSwitch (VSW1) にElastic Compute Service (ECS) クラスターをデプロイしました。 クラウドサービスはECSクラスターにデプロイされています。 ECSクラスターは、DNATが有効なインターネットNATゲートウェイ (NATGW1) を使用して、インターネット経由でサービスを提供します。 ビジネス開発により、クラスター内の一部のECSインスタンスには静的パブリックIPアドレスまたはEIP (elastic IPアドレス) が割り当てられます。 これらのECSインスタンスは、VPCルートテーブルを参照せずにインターネットにアクセスできます。

    インターネットに公開されているECSインスタンスを保護するために、VPCにIPv4ゲートウェイを作成する予定です。 IPv4ゲートウェイをサブネットルーティングと一緒に使用して、ECSインスタンスからインターネットへのアクセスを規制できます。 この目標を達成するには、インターネットNATゲートウェイのvSwitchにインターネットアクセスが必要です。 vSwitchに関連付けられたルートテーブルのデフォルトルートは、IPv4ゲートウェイを指す必要があります。 インターネットNATゲートウェイを使用してインターネットにアクセスするECSインスタンスは、インターネットにアクセスできないvSwitchにデプロイする必要があります。 vSwitchに関連付けられたルートテーブルのデフォルトルートは、IPv4ゲートウェイではなく、インターネットNATゲートウェイを指す必要があります。 したがって、ECSインスタンスとインターネットNATゲートウェイは、異なるvSwitchにデプロイする必要があります。 次のいずれかの方法を使用して、インターネットNATゲートウェイを設定できます。

    • 方法1: インターネットNATゲートウェイ (NATGW2) とvSwitch (VSW2) を作成し、パブリックIPアドレスを持つECSインスタンスをVSW1からVSW2に移行する。 パブリックIPアドレスを持たないECSインスタンスはVSW1に残ります。

    • 方法2: 既存のNATゲートウェイを使用し、vSwitch (VSW2) を作成し、パブリックIPアドレスなしでECSインスタンスをVSW1からVSW2に移行する。

    方法1: インターネットNATゲートウェイの作成

    この方法では、VPCにvSwitch (VSW2) を作成し、パブリックIPアドレスを持つECS2をVSW1からVSW2に移行する必要があります。 次に、VSW2でインターネットNATゲートウェイ (NATGW2) を作成し、VSW2でNATGW2へのルートをポイントし、VSW1からNATGW1を削除する必要があります。

    上記の操作を完了した後、VSW1でパブリックIPアドレスが割り当てられていないECS1は、NATGW2とIPv4ゲートウェイを使用してインターネットにアクセスする必要があります。 ECS1はパブリックIPアドレスを使用してインターネットにアクセスすることはできません。 VSW2でパブリックIPアドレスが割り当てられているECS2は、IPv4ゲートウェイを使用してインターネットにアクセスできます。 これにより、VPC内のECSインスタンスがインターネットにアクセスするのを制限できます。

    删除NAT网关架构图

    方法2: 既存のインターネットNATゲートウェイを使用する

    この方法では、次の操作を実行する必要があります。VPCにIPv4ゲートウェイを作成し、vSwitch (VSW2) を作成し、VSW2をサブネットルートテーブル2に関連付け、VSW1でパブリックIPアドレスが割り当てられていないECS1をVSW2に移行し、VSW1に関連付けられているサブネットルートテーブル1のルートのネクストホップをNATGW1からIPv4ゲートウェイに変更します。サブネットルートテーブル-2のデフォルトルートのネクストホップをNATGW1に設定し、IPv4ゲートウェイをアクティブ化します。

    上記の操作を完了した後、VSW2でパブリックIPアドレスが割り当てられていないECS1は、NATGW1とIPv4ゲートウェイを使用してインターネットにアクセスする必要があります。 ECS1はパブリックIPアドレスを使用してインターネットにアクセスすることはできません。 VSW1でパブリックIPアドレスが割り当てられているECS2は、IPv4ゲートウェイを使用してインターネットにアクセスできます。 これにより、VPC内のECSインスタンスがインターネットにアクセスするのを制限できます。

    不删流程图

    ビジネス要件に基づいて、上記の方法のいずれかを選択します。 この例では、方法1: インターネットNATゲートウェイの作成を使用します。

    重要

    従量課金制のインターネットNATゲートウェイのみを作成できます。 サブスクリプションの課金方法を使用する既存のインターネットNATゲートウェイがあり、課金方法を変更しない場合は、方法2: 既存のインターネットNATゲートウェイを使用するを選択できます。

    手順

    配置步骤

    前提条件

    • シンガポールリージョンでVPCが作成され、VPCに2つのvSwitch (VSW1とVSW2) が作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。

    • VSW1にパブリックIPアドレスを持たないECSインスタンス (ECS1) が作成され、VSW2にパブリックIPアドレスを持つ別のECSインスタンス (ECS2) が作成されている。 ECSインスタンスの作成方法については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

    • インターネットNATゲートウェイ (NATGW2) がVSW2に作成され、インターネットNATゲートウェイはEIPに関連付けられています。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

    • 別のインターネットNATゲートウェイ (NATGW1) がVSW1に作成され、インターネットNATゲートウェイはEIPに関連付けられます。 NATGW1を指すカスタムルートは、VPCのシステムルートテーブルから削除されます。 詳細については、「カスタムルートテーブルの削除」をご参照ください。

    手順1: IPv4ゲートウェイの作成

    IPv4ゲートウェイは、VPCのインターネットNATゲートウェイと互換性がある場合に作成できます。 そうしないと、IPv4ゲートウェイの作成に失敗します。 IPv4ゲートウェイを作成する前に、インターネットNATゲートウェイのモードを変更してIPv4ゲートウェイと互換性を持たせることができます。 インターネットNATゲートウェイのモードを変更する方法の詳細については、「インターネットNATゲートウェイのモードの変更」をご参照ください。

    1. VPCコンソールにログインします。

    2. 上部のナビゲーションバーで、IPv4ゲートウェイを作成するリージョンを選択します。 この例では、シンガポールが選択されています。

      説明

      IPv4ゲートウェイをサポートするリージョンの詳細については、「機能リリースとサポート対象リージョン」をご参照ください。

    3. 左側のナビゲーションウィンドウで、[IPv4ゲートウェイ] をクリックします。

    4. [IPv4ゲートウェイ] ページで、[IPv4ゲートウェイの作成] をクリックします。

    5. [IPv4ゲートウェイの作成] ダイアログボックスで、次のパラメーターを設定し、[作成] をクリックします。

      パラメーター

      説明

      リージョン

      IPv4ゲートウェイを作成するリージョンが表示されます。

      [VPC]

      IPv4ゲートウェイを関連付けるVPCを選択します。

      名前

      IPv4ゲートウェイの名前を入力します。

      説明

      IPv4ゲートウェイの説明を入力します。

    6. [IPv4ゲートウェイ] ページで、作成されたIPv4ゲートウェイを表示します。

      IPv4ゲートウェイを作成すると、[使用可能] 状態になります。

    ステップ2: カスタムルートテーブルの作成

    カスタムルートテーブルを作成し、それをVSW2に関連付ける必要があります。 次に、IPv4ゲートウェイを指すルートをルートテーブルに追加する必要があります。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

    3. 上部のナビゲーションバーで、カスタムルートテーブルを作成するリージョンを選択します。 この例では、シンガポールが選択されています。

    4. ルートテーブルページで、ルートテーブルの作成をクリックします。

    5. [ルートテーブルの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      リソースグループ

      カスタムルートテーブルが属するリソースグループを選択します。

      [VPC]

      カスタムルートテーブルが属するVPCを選択します。

      説明

      IPv4ゲートウェイが関連付けられているVPCを選択します。

      関連リソースタイプ

      ルートテーブルを関連付けるリソースのタイプを選択します。 この例では、vSwitchが選択されています。

      名前

      カスタムルートテーブルの名前を入力します。

      説明

      カスタムルートテーブルの説明を入力します。

    6. [ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。

    7. ルートテーブルの詳細ページで、[関連vSwitch] タブをクリックし、[vSwitchの関連付け] をクリックします。

    8. [vSwitchの関連付け] ダイアログボックスで、VSW2を選択し、[OK] をクリックします。

    ステップ3: カスタムルートテーブルにルートを追加する

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

    3. 上部のナビゲーションバーで、カスタムルートテーブルを作成するリージョンを選択します。 この例では、シンガポールが選択されています。

    4. [ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。

    5. ルートテーブルの詳細ページで、[ルートエントリリスト] > [カスタムルート] を選択します。

    6. [ルートエントリの追加] をクリックします。 [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      名前

      カスタムルートの名前を入力します。

      宛先CIDRブロック

      トラフィックをルーティングする宛先CIDRブロックを入力します。 この例では、0.0.0.0/0が使用されます。

      ネクストホップタイプ

      ネクストホップのタイプを選択します。 この例では、IPv4ゲートウェイが選択されています。

      IPv4ゲートウェイ

      IPv4ゲートウェイのIDを選択します。

    ステップ4: VSW2でNATGW2のSNATエントリを作成する

    VSW2でNATGW2のSNATエントリを作成して、VSW1でパブリックIPアドレスを持たないECSインスタンスがVSW2でNATGW2を使用してインターネットにアクセスできるようにする必要があります。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、NATGW2がデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

    3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。

    4. [SNAT管理] タブで、[SNATエントリの作成] をクリックします。

    5. [SNATエントリの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      SNATエントリ

      VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、[vSwitchの指定] が選択されています。

      vSwitchの選択

      ECSインスタンスがSNATエントリを使用してインターネットにアクセスできるvSwitchを選択します。 この例では、VSW1が選択されている。

      vSwitch CIDRブロック

      選択したvSwitchのCIDRブロックが自動的に表示されます。

      パブリックIPアドレスの選択

      インターネットへのアクセスに使用する1つ以上のEIPを選択します。

      この例では、[単一IPの使用] が選択され、NATGW2に関連付けられたEIPがドロップダウンリストから選択されます。

      エントリ名

      SNATエントリの名前を入力します。

    ステップ5: VPCのシステムルートテーブルにルートを追加する

    VSW1に関連付けられたシステムルートテーブルに、NATGW2を指すルートを追加する必要があります。 このルートにより、VSW1にパブリックIPアドレスを持たないECSインスタンスは、SNATが有効になっているNATGW2にアクセスできます。

    1. VPCコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

    3. 上部のナビゲーションバーで、カスタムルートテーブルを作成するリージョンを選択します。 この例では、シンガポールが選択されています。

    4. [ルートテーブル] ページで、VPCのシステムルートテーブルを見つけ、そのIDをクリックします。

    5. ルートテーブルの詳細ページで、[ルートエントリリスト] > [カスタムルート] を選択します。

    6. [ルートエントリの追加] をクリックします。 [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      名前

      カスタムルートの名前を入力します。

      宛先CIDRブロック

      トラフィックをルーティングする宛先CIDRブロックを入力します。 この例では、0.0.0.0/0が使用されます。

      ネクストホップタイプ

      ネクストホップのタイプを選択します。 この例では、NAT Gatewayが選択されています。

      NATゲートウェイ

      この例では、NATGW2のIDが選択される。

    ステップ6: VSW1からNATGW1を削除する

    • インターネットNATゲートウェイに関連付けられているEIPはありません。 EIPがインターネットNATゲートウェイに関連付けられている場合は、インターネットNATゲートウェイからEIPの関連付けを解除します。 詳細については、「EIPの関連付けの解除」をご参照ください。

    • SNATテーブルにSNATエントリが含まれていません。 SNATテーブルにSNATエントリが含まれている場合は、削除します。 詳細については、「SNATエントリの削除」をご参照ください。

    • デフォルトでは、インターネットNATゲートウェイの [基本情報] タブの [削除保護] は [無効] 状態になります。 [削除保護] が [有効] 状態の場合は、削除保護を無効にします。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、NATGW1がデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

    3. [インターネットNATゲートウェイ] ページで、削除するインターネットNATゲートウェイを見つけ、[操作] 列の 更多操作 > [削除] を選択します。

    4. ゲートウェイの削除 メッセージで、[OK] をクリックします。

      インターネットNATゲートウェイとそのリソースを強制的に削除する場合は、ゲートウェイの削除 ダイアログボックスで 削除 (NAT Gateway とリソースの削除) を選択します。 インターネットNATゲートウェイを強制的に削除すると、システムは自動的にインターネットNATゲートウェイからEIPの関連付けを解除し、インターネットNATゲートウェイからSNATエントリとDNATエントリを削除します。

    ステップ7: IPv4ゲートウェイの有効化

    トラフィックを転送するには、IPv4ゲートウェイを有効にする必要があります。 関連するVPCのECSインスタンスがインターネットにアクセスできるのは、有効なIPv4ゲートウェイのみです。

    1. VPCコンソールにログインします。

    2. 上部のナビゲーションバーで、IPv4ゲートウェイを選択します。 上部のナビゲーションバーで、IPv4ゲートウェイがデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

    3. 左側のナビゲーションウィンドウで、[IPv4ゲートウェイ] をクリックします。

    4. [IPv4ゲートウェイ] ページで、有効にするIPv4ゲートウェイを見つけ、[操作] 列の [有効化] をクリックします。

    ステップ8: ネットワーク接続のテスト

    上記の手順を完了した後、VSW1のECS1がNATGW2とIPv4ゲートウェイを使用して宛先CIDRブロックにアクセスできるかどうか、およびVSW2のECS2がIPv4ゲートウェイを使用して宛先CIDRブロックにアクセスできるかどうかをテストする必要があります。 この例では、ECS1とECS2の両方がLinuxオペレーティングシステムを実行します。

    1. ECS1が宛先CIDRブロックにアクセスできるかどうかをテストします。

      1. ECS1にログインします。 詳細については、「接続方法の概要」をご参照ください。

      2. ECS1でcur l www.aliyun.comコマンドを実行します。

      3. 次のエコー応答パケットは、ECS1がs www.aliyun.comをアクセスできることを示します。ECS1

    2. ECS2が宛先CIDRブロックにアクセスできるかどうかをテストします。

      1. リモートでECS2にログオンします。

      2. ECS2でcur l www.aliyun.comコマンドを実行します。

      3. 次のエコー応答パケットは、ECS2がs www.aliyun.comをアクセスできることを示します。ECS2