IPv4ゲートウェイは、仮想プライベートクラウド (VPC) をインターネットに接続するネットワークコンポーネントです。 IPv4ゲートウェイとサブネットルーティング機能を併用すると、VPCのアクセス制御を有効にし、インターネット宛てのトラフィックを仮想ファイアウォールにルーティングしてセキュリティを強化できます。 このトピックでは、IPv4ゲートウェイの機能、制限、およびユースケースについて説明します。
機能とサポート対象リージョン
デフォルトでIPv4ゲートウェイ機能が有効になっているリージョンは次のとおりです。
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 中国 (香港) 、中国 (武漢-地方) 、中国 (福州-地方) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) およびSAU (リヤド-パートナー地域) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
概要
IPv4ゲートウェイは、次の機能をサポートします。
VPCルートテーブル内のルートのネクストホップとして機能し、VPCがインターネット経由でアクセスできる宛先アドレスの範囲を制御します。
Elastic Compute service (ECS) インスタンスやelastic network Interface (ENI) など、パブリックIPv4アドレスが割り当てられているリソースのネットワークアドレス変換サービスを提供します。
ユースケース
インターネットアクセスの管理
VPC内の静的パブリックIPアドレス、EIPアドレス (EIP) 、またはインターネットNATゲートウェイが割り当てられているECSインスタンスは、インターネットにアクセスできます。 VPC内のECSインスタンスがインターネットにアクセスするときに発生する可能性のあるセキュリティ上の脅威を軽減するために、IPv4ゲートウェイとサブネットルーティングを使用してVPCのインターネットアクセスを管理できます。 ビジネス要件に基づいて、特定のサブネットのインターネットアクセスを許可または拒否できます。
上の図は、設定手順を示しています。
vSwitch 1でインターネットNATゲートウェイを作成し、サブネットルートテーブル (表1) という名前のカスタムルートテーブルを作成します。
VPCでIPv4ゲートウェイを作成し、サブネットルートテーブル (表1) を選択し、IPv4ゲートウェイを指すようにデフォルトの0.0.0.0/0ルートを設定してから有効化します。
vSwitch 2およびvSwitch 3のサブネットルートテーブル (表2) という名前のカスタムルートテーブルを作成します。 インターネットNATゲートウェイを指すように、デフォルトの0.0.0.0/0ルートのネクストホップを設定します。
説明IPv4ゲートウェイを有効化した後、次の点に注意してください。
IPv4ゲートウェイを指すルートがVPCルートテーブルに追加されていない場合、ルートテーブルに関連付けられているvSwitch内のリソースはインターネットにアクセスできません。 ただし、NATゲートウェイを介してインターネットにアクセスできます。 これは、関連するルートテーブルであるサブネットルートテーブル2には、IPv4ゲートウェイを指すデフォルトルートがないため、前の図のvSwitch 2および3などのプライベートvSwitchと呼ばれます。
IPv4ゲートウェイを指すルートがVPCルートテーブルに追加された場合、ルートテーブルに関連付けられているvSwitch内のリソースはインターネットにアクセスできます。 これは、前の図のvSwitch 1などのパブリックvSwitchと呼ばれます。 サブネットルートテーブル (表1) のデフォルトの0.0.0.0/0ルートは、IPv4ゲートウェイを指しています。
インバウンドルーティングポリシーの管理
IPv4ゲートウェイと一緒にサブネットルーティング機能を使用して、クラウドファイアウォールなどの仮想ファイアウォールにインバウンドトラフィックをルーティングできます。 これにより、悪意のあるリクエストからECSインスタンスが保護されます。
EIPに関連付けられたECSインスタンスとインターネット間のトラフィックがファイアウォールによってフィルタリングされる場合、前の図に示すようにルートを設定します。
ファイアウォールに専用のvSwitchをデプロイし、カスタムルートテーブルであるサブネットルートテーブル (表1) をvSwitchに関連付けます。
VPCにIPv4ゲートウェイを作成し、[サブネットルートテーブル] (表1) を選択します。 デフォルトの0.0.0.0/0ルートのネクストホップをIPv4ゲートウェイに設定してからアクティブにします。 このようにして、仮想ファイアウォールが展開されているvSwitchはインターネットにアクセスできます。
ワークロードに専用のvSwitchをデプロイし、カスタムルートテーブルをvSwitchに関連付けます。 デフォルトの0.0.0.0/0ルートのネクストホップを仮想ファイアウォールのENIに設定します。
VPCにカスタムルートテーブルを作成し、IPv4ゲートウェイに関連付けて、インターネットからのインバウンドトラフィックを制御します。 このルートテーブルをゲートウェイルートテーブルと呼ぶ。 ゲートウェイルートテーブルで、ワークロードがデプロイされているvSwitchのCIDRブロックを指すルートを見つけ、ネクストホップを仮想ファイアウォールのENIに変更します。
制限事項
制限事項
IPv4ゲートウェイはIPv4トラフィックのみをサポートします。
IPv4ゲートウェイは1つのリージョンでのみ使用できます。
VPCにIPv4ゲートウェイを1つだけ作成し、IPv4ゲートウェイを1つのVPCに関連付けることができます。
IPv4ゲートウェイに関連付けることができるゲートウェイルートテーブルは1つだけです。
システムルートテーブルをIPv4ゲートウェイに関連付けることはできません。
vSwitchに既に関連付けられているルートテーブルをIPv4ゲートウェイに関連付けることはできません。
次の状況では、VPCにIPv4ゲートウェイを作成できません。
カットスルーモードでENIに関連付けられているEIPはVPCに存在します。 カットスルーモードの詳細については、「カットスルーモードでのセカンダリENIの関連付け (推奨なし) 」をご参照ください。
VPCのインターネットNATゲートウェイは、IPv4ゲートウェイと互換性がありません。 互換性を有効にするには、インターネットNATゲートウェイのモードを変更します。 詳細については、「インターネットNATゲートウェイのモードの変更」をご参照ください。
共有VPCでのIPv4の作成はサポートされていません。
EIPまたはAnycast EIPがClassic Load Balancer (CLB) にリンクされている場合、インターネットからのインバウンドトラフィックはIPv4ゲートウェイによってフィルタリングされません。
Quotas
名前 /ID | 説明 | デフォルト値 | 調整可能 |
非該当 | 各VPCに許可されるIPv4ゲートウェイの最大数 | 1 | 非該当 |
各IPv4ゲートウェイのゲートウェイルートテーブルの最大数 | 1 |