このトピックでは、NAT Gateway に関するよくある質問に回答し、一般的な問題のトラブルシューティングに役立つ情報を提供します。
使用方法と構成
インスタンスの構成
一部のゾーンで NAT Gateway を購入できないのはなぜですか?
リソース計画のため、一部のゾーンには NAT Gateway がデプロイされていません。ListEnhancedNatGatewayAvailableZones 操作を呼び出して、NAT Gateway が利用可能なゾーンをクエリできます。
すべてのゾーンで NAT Gateway を作成できるわけではありませんが、利用可能なゾーンにデプロイされた NAT Gateway は、VPC 全体のインスタンスとリソースにインターネットアクセスを提供できます。
NAT Gateway インスタンスの vSwitch とプライベート IP アドレスを変更できますか?
いいえ、できません。NAT Gateway がデプロイされている vSwitch を変更するには、新しい NAT Gateway を作成し、ルートエントリを変更する必要があります。
NAT Gateway はフラグメント化されたデータパケットを処理できますか?
はい、できます。フラグメント化された TCP、UDP、および ICMP データパケットを処理できます。
SNAT の構成
複数の SNAT エントリのソース CIDR ブロックが重複している場合、SNAT エントリの優先度はどのように照合されますか?
システムは、最長プレフィックス一致ルールに基づいて SNAT エントリの優先度を決定し、インターネットアクセスを提供します。
ECS インスタンスの SNAT エントリ: ソース CIDR ブロックのサブネットマスクは
/32です。これは最長のマスクであり、最も高い優先度を持ちます。他のリソースの SNAT エントリ: 優先度は、ソース CIDR ブロックのサブネットマスクの長さによって決まります。マスクが長いほど、優先度が高くなります。
NAT Gateway 上の SNAT 接続のアイドルタイムアウト期間はどのくらいですか?
TCP: 900 秒。
UDP: 60 秒。
ECS インスタンスは、インターネット NAT Gateway 上の SNAT を使用して、同じゲートウェイ上の DNAT サービスにアクセスできますか?
はい。インターネット NAT ゲートウェイを 一般モード に切り替えると、SNAT エントリと DNAT エントリの両方が設定されていれば、ECS インスタンスはゲートウェイの SNAT 機能を使用して、同じゲートウェイ上の DNAT サービスにアクセスできます。
NAT Gateway が NAT モードであるかを確認するにはどうすればよいですか?
DescribeNatGateways 操作を呼び出します。
EipBindModeパラメーターの値がNATの場合、ゲートウェイは NAT モードです。NAT モードに切り替えるにはどうすればよいですか?
ModifyNatGatewayAttribute 操作を呼び出し、
EipBindModeパラメーターをNATに設定します。
DNAT の構成
ECS インスタンスが EIP に関連付けられている場合、そのインスタンスに対して DNAT エントリを作成できますか?
はい、できます。ただし、外部ユーザーはこの DNAT エントリを介して ECS インスタンスにアクセスすることはできません。DNAT エントリを介したアクセスを許可するには、まず ECS インスタンスから EIP の関連付けを解除する必要があります。
EIP の構成
NAT エントリを作成するときに、パブリック IP アドレスリストに既存の EIP が見つからないのはなぜですか?
これは、EIP と NAT Gateway が異なるリージョンにあるために発生します。NAT Gateway と同じリージョンにある EIP を選択するか、NAT Gateway のリージョンに新しい EIP を作成する必要があります。
NAT Gateway は、DNAT と SNAT の両方のエントリに同じ EIP または NAT IP を使用できますか?
はい、できます。ただし、いずれかのポートに対して DNAT エントリが構成されている場合、その EIP または NAT IP を使用して他の DNAT または SNAT エントリを作成することはできません。
インターネット NAT Gateway に EIP を関連付ける 2 つのモードの違いは何ですか?
デフォルトでは、コンソールで作成されたインターネット NAT Gateway は [NAT モード] です。[マルチ EIP 可視モード] は、CreateNatGateway API 操作を呼び出して EipBindMode パラメーターを指定することによってのみ有効にできます。
NAT Gateway を IPv4 ゲートウェイと共に使用するには、NAT モードを使用する必要があります。
EIP をより柔軟に管理するには、マルチ EIP 可視モードを選択できます。
関連付けモード | NAT モード | マルチ EIP-to-ENI モード |
関連付けモードの切り替え | マルチ EIP 可視モードに切り替えることはできません。 |
説明
|
インターネット NAT Gateway に EIP を追加すると、NAT Gateway の vSwitch で利用可能な IP アドレスが消費されますか? |
|
|
IPv4 ゲートウェイのサポート | サポートされています。 | サポートされていません。 |
ECS インスタンスは、インターネット NAT Gateway 上の SNAT を使用して、同じゲートウェイ上の DNAT サービスにアクセスできますか? | はい。 | アクセスに失敗しました。 |
作成方法 |
| CreateNatGateway 操作を呼び出し、 |
ネットワーク接続のトラブルシューティング
SNAT を介してインターネットにアクセスできない
NAT Gateway を指すデフォルトのルート構成を確認します:
インターネット NAT Gateway インスタンスの詳細ページで、[NAT Gateway への VPC ルート] 情報を確認し、ルートエントリがインターネット NAT Gateway を指していることを確認します。ルートエントリがない場合は、関連するルートテーブルで、インターネット NAT Gateway を指し、宛先 CIDR ブロックとして
0.0.0.0/0を使用するルートを構成します。SNAT ルールの構成を確認します:
NAT Gateway インスタンスの詳細ページの [SNAT 管理] タブで、SNAT エントリのステータスが [アクティブ] であることを確認します。
インターネットアクセス元のソースアドレスが [ソース CIDR ブロック] に含まれていることを確認します。
NAT 以外の問題をトラブルシューティングします:
クロスボーダーアクセス: アクセスリンクが不安定な可能性があります。
ドメイン名アクセス: 名前解決と ICP 登録が正常であるかを確認します。
アクセスの制御: ピアがアクセスの制御ポリシーを構成しているか、またはインスタンスに関連付けられた EIP をホワイトリストに追加しているかを確認します。
IPv4 ゲートウェイが構成されているかを確認します: IPv4 ゲートウェイと併用する場合、NAT Gateway が NAT モードであり、ルートが正しく構成されていることを確認してください。
新しい ECS インスタンスが SNAT を介してインターネットにアクセスできない
この問題は、VPC 内に新しく作成された vSwitch の ECS インスタンスが SNAT を介してインターネットにアクセスできず、他の vSwitch の ECS インスタンスはアクセスできる場合に発生します。
SNAT エントリに新しい vSwitch の CIDR ブロックが含まれていることを確認します:
NAT Gateway は、新しい vSwitch に対して SNAT エントリを自動的に構成しません。インスタンス詳細ページの [SNAT 管理] タブで、既存の SNAT エントリの [ソース CIDR ブロック] に新しい vSwitch の CIDR ブロックが含まれているかを確認します。含まれていない場合は、手動で SNAT エントリを構成します。
新しい vSwitch がカスタムルートテーブルに関連付けられている場合は、宛先 CIDR ブロックが
0.0.0.0/0に設定され、ネクストホップが NAT Gateway に設定されたルートエントリが構成されていることを確認します。対応するルートエントリを手動で追加できます。
複数の NAT Gateway が存在する場合に ECS インスタンスがインターネットにアクセスできない
この問題は、VPC がシステムルートテーブルのみを使用し、そのルートテーブルに宛先 CIDR ブロックが 0.0.0.0/0 で、NAT Gateway の 1 つを指すルートエントリが 1 つしかない場合に発生します。その NAT Gateway 上の SNAT エントリのソース CIDR ブロックに特定の vSwitch の CIDR ブロックが含まれていない場合、その vSwitch 内の ECS インスタンスはインターネットにアクセスできません。
複数の NAT Gateway が不要な場合は、不要なものを削除し、残りの NAT Gateway に vSwitch の CIDR ブロックをカバーする SNAT エントリを追加します。
複数の NAT Gateway を使用するには、構成手順について「同じ VPC に複数のインターネット NAT Gateway をデプロイする」をご参照ください。
SNAT を使用した FTP サーバーへのアクセスに失敗する
この問題は、次の理由で発生する可能性があります:
FTP モードがアクティブである: SNAT エントリが構成された NAT Gateway は、アクティブなアウトバウンドアクセスのみをサポートします。FTP アクティブモードでは、SNAT がアクティブなインバウンドアクセスをサポートしていないため、データ接続を確立できません。FTP パッシブモードを使用して FTP サーバーに接続してください。
SNAT エントリに複数の EIP が選択されている: FTP コントロール接続とデータ接続が SNAT 後に異なる EIP を使用する可能性があり、これにより通常の FTP 対話が妨げられます。SNAT ルールの EIP アフィニティ 機能を有効にして、同じクライアントからの接続が常に同じ EIP を使用するようにします。または、FTP クライアント用に別の SNAT ルールを構成し、それに単一の EIP を関連付けることもできます。
DNAT エントリを構成した後、インターネットからアクセスできない
NAT Gateway を指すデフォルトのルート構成を確認します:
DNAT エントリで構成されたインスタンスが応答メッセージを送信する場合も、NAT Gateway へのルートが必要です。使用しているシステムルートテーブルまたはカスタムルートテーブルに、宛先 CIDR ブロックが
0.0.0.0/0に設定され、ネクストホップが NAT Gateway に設定されたルートが構成されていることを確認します。対応するルートエントリを手動で追加できます。DNAT ルールの構成を確認します:
NAT Gateway インスタンスの詳細ページの [DNAT 管理] タブで、DNAT エントリのステータスが [アクティブ] であることを確認します。
ポート、プロトコル、宛先アドレスなどのパラメーターが DNAT ルールで正しく構成されていることを確認します。
セキュリティグループ、ファイアウォールの構成、およびサービスポートのステータスを確認します:
同じ VPC 内の別の ECS インスタンスで、
telnet <ECS インスタンスのプライベート IP アドレス> <プライベートポート>コマンドを実行して、DNAT エントリで構成された ECS インスタンスのプライベートポートにアクセスできるかどうかを確認します。応答が
unable to connect to remote host: Connection timed outの場合、プライベートポートにはプライベートネットワークからアクセスできないため、インターネットからもアクセスできません。応答が
Connected to <ECS インスタンスのプライベート IP アドレス>の場合、プライベートポートにアクセスできます。
プライベートポートにアクセスできる場合は、ECS インスタンスのセキュリティグループルールが対応するポートへのインターネットアクセスを許可しているか、およびファイアウォールが対応するポートを開いているかを確認します。
名前解決の問題をトラブルシューティングします: ドメイン名を介してサービスにアクセスできず、EIP を介して直接アクセスできる場合は、名前解決の設定と ICP 登録のステータスを確認します。
IPv4 ゲートウェイが構成されているかを確認します: IPv4 ゲートウェイと併用する場合、NAT Gateway が NAT モードであり、ルートが正しく構成されていることを確認してください。
ネットワークインターフェースの一貫性を確認します: ECS インスタンスに複数の NIC がある場合は、インバウンドとアウトバウンドのネットワークインターフェースが同じであるかを確認します。詳細については、「一元化されたエグレス」をご参照ください。
NAT Gateway と IPv4 ゲートウェイの併用
IPv4 ゲートウェイと NAT Gateway の比較
IPv4 ゲートウェイとインターネット NAT Gateway は併用できます。これらのネットワークコンポーネントの詳細については、「インターネットアクセス」をご参照ください。
コンポーネント | IPv4 ゲートウェイ | インターネット NAT Gateway |
機能 | パブリック IPv4 トラフィックを制御する VPC 境界上のコンポーネント。 | VPC 内のネットワークアドレス変換デバイス。 |
シナリオ | インターネットアクセストラフィックを一元的に制御する | インターネットバウンドトラフィックに統一されたエグレスを提供する。 |
インターネットアクセスを提供 | いいえ。インターネットトラフィックのみを制御します。 | はい、EIP を関連付けることで (インターネットアクセスは EIP によって提供され、インターネット NAT Gateway 自体によっては提供されません。) |
IPv4 ゲートウェイを作成すると、vSwitch は 2 つのタイプに分類されます:
パブリック vSwitch: vSwitch は、[宛先 CIDR ブロック] が
0.0.0.0/0で、[ネクストホップ] が IPv4 ゲートウェイを指すルートエントリがある場合、パブリック vSwitch と見なされます。この vSwitch 内のリソースは、パブリック IP アドレスを持っていればインターネットにアクセスできます。プライベート vSwitch: vSwitch は、IPv4 ゲートウェイへのルートエントリがない場合、プライベート vSwitch と見なされます。この vSwitch 内のリソースは、パブリック IP アドレスが割り当てられていても、直接インターネットにアクセスすることはできません。
IPv4 ゲートウェイをインターネット NAT Gateway と共に使用する場合、インターネット NAT Gateway をパブリック vSwitch にデプロイします。インターネットアクセスが必要なプライベート vSwitch 内の ECS インスタンスは、インターネット NAT Gateway を指すようにルートを構成する必要があります。これにより、インターネットバウンドトラフィックがインターネット NAT Gateway に転送され、NAT Gateway はそのパブリック IP を使用してインターネットにアクセスします。次の点に注意してください:
IPv4 ゲートウェイとの互換性のために、インターネット NAT Gateway の
EipBindModeがNATに設定されていることを確認してください。コンソールで作成されたインターネット NAT Gateway は、デフォルトで
NATモードです。CreateNatGateway 操作を呼び出すには、EipBindModeをNATに設定する必要があります。作成後、ModifyNatGatewayAttribute を呼び出してEipBindModeを変更します。既存のインターネット NAT Gateway の
EipBindModeがMULTI_BINDEDに設定されている場合、IPv4 ゲートウェイは作成できません。IPv4 ゲートウェイが既に存在する場合、CreateNatGateway 操作を呼び出して
EipBindModeがMULTI_BINDEDに設定されたインターネット NAT Gateway を作成して EIP をアタッチすることはできません。
IPv4 ゲートウェイを有効化した後、プライベート vSwitch 内のリソースがインターネットアクセスを失うのを防ぐために、有効化する前にルートを構成してください。
インターネット NAT Gateway を NAT モードに切り替えることによる影響
切り替え後、インターネット NAT Gateway は IPv4 ゲートウェイと併用できます。インスタンスに SNAT と DNAT の両方のエントリがある場合、その SNAT 機能を使用して同じインターネット NAT Gateway 上の DNAT サービスにアクセスできます。
課金への影響: 切り替えは無料で、追加料金は発生しません。
サービスへの影響: 切り替え中、ネットワーク接続は数秒間続く一時的な中断を経験する可能性があります。中断の回数は、関連付けられた EIP の数によって異なります。
構成への影響:
パブリックエグレス IP アドレスと元の構成は変更されません。
EIP を関連付けると、NAT Gateway が配置されている vSwitch からプライベート IP アドレスが 1 つ消費されます。vSwitch に十分な利用可能なプライベート IP アドレスがあることを確認してください。
切り替え後、IPv4 ゲートウェイ互換モードを無効にすることはできません。
パフォーマンスとモニタリング
クライアントがインターネットサービスにアクセスする際の接続タイムアウトまたはダウンロード速度の低下
トラフィックデータの監視
NAT Gateway に関連付けられた EIP のモニタリングデータを表示して、帯域幅制限によるパケット損失を確認します。パケット損失が発生した場合は、EIP の帯域幅をスペックアップします。
多くの ECS インスタンスがあり、それらの異常トラフィックのトラブルシューティングが困難な場合は、NAT Gateway トラフィックモニタリングを使用して、異常トラフィックのソースを特定できます。
Linux カーネルの最適化
原因: Linux カーネルの実装により、複数の Linux ベースの ECS インスタンスが NAT Gateway を介して Linux サーバーに同時にアクセスすると、TCP 接続リクエストがドロップされることがあります。これにより、接続タイムアウトや失敗が発生する可能性があります。
解決策: サーバーの
net.ipv4.tcp_tw_recycleオプションまたはクライアントのnet.ipv4.tcp_timestampsオプションのいずれかを無効にすることができます。
NAT Gateway のポート割り当て失敗の意味
意味: クライアントが NAT Gateway を介して宛先アドレスにアクセスするとき、このメトリックは、TCP または UDP ポートの割り当てに失敗したためにドロップされた接続の数を示します。この失敗は、同時接続数が過度に多いことが原因です。
原因: 単一の EIP または NAT IP は、SNAT 用に限定された数のポートしか提供できません。同じ宛先アドレスにアクセスするセッション数が多すぎ、構成された SNAT ルールで使用される EIP または NAT IP の数が少なすぎると、ポートの割り当てに失敗します。
解決策: ポート割り当ての失敗数が引き続き増加する場合は、SNAT ルールに EIP または NAT IP を追加します。
課金とクォータ
NAT Gateway 料金の急増
NAT Gateway は従量課金プロダクトです。料金の増加は通常、NAT Gateway を介して処理されるトラフィックが増加したことを示します。この問題は次のようにトラブルシューティングできます:
NAT Gateway リソースプランの解約
NAT Gateway リソースプランは、5 日間の無条件返金と比例配分返金をサポートしています。詳細については、「国際サイト (alibabacloud.com) の返金ポリシー」をご参照ください。
NAT Gateway の削除後も課金が続く
NAT Gateway インスタンスを削除した後も請求書が届き続ける場合、これはシステムの課金遅延が原因です。受け取る請求書は、インスタンスが削除される前に使用されたリソースに対するものです。課金詳細で特定の利用期間を確認して、課金サイクルを確認できます。
アカウントごとに作成できる NAT Gateway の数
Alibaba Cloud アカウントごとに作成できる NAT Gateway の数に制限はありません。