インターネット NAT ゲートウェイの SNAT 機能を使用してインターネットにアクセスする - NAT Gateway

このトピックでは、パブリック IP アドレスが割り当てられていない Elastic Compute Service (ECS) インスタンスのインターネットアクセスを有効にするために、インターネット NAT ゲートウェイで SNAT エントリを設定する方法について説明します。

シナリオ

例として、次のシナリオを使用します。企業が Alibaba Cloud 上に VPC と vSwitch を作成しました。vSwitch には複数の ECS インスタンスが作成されています。ECS インスタンスには、固定パブリック IP アドレスが割り当てられておらず、Elastic IP アドレス (EIP) とも関連付けられていません。ビジネスの成長に伴い、各 ECS インスタンスがインターネットにアクセスする必要があります。

このシナリオでは、インターネット NAT ゲートウェイで SNAT を設定できます。SNAT を使用すると、ECS インスタンスにパブリック IP アドレスが割り当てられていない場合でも、VPC 内の ECS インスタンスがインターネットにアクセスできます。

前提条件

VPC と 2 つの vSwitch が作成され、vSwitch に ECS インスタンスが作成されています。詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
VPC は以下の要件を満たしている必要があります。
- 宛先 CIDR ブロックが 0.0.0.0/0 のカスタムルートが VPC に存在しません。カスタムルートが存在する場合は、削除してください。
- RAM ユーザーとして SNAT を設定する場合は、RAM ユーザーが VPC に対するアクセス権限を持っていることを確認してください。そうでない場合は、Alibaba Cloud アカウントの所有者に連絡して権限を取得してください。

制限

デフォルトでは、インターネット NAT ゲートウェイに最大 40 個の SNAT エントリを追加できます。

SNAT の詳細については、「SNAT に関するよくある質問」をご参照ください。

手順

ステップ 1: インターネット NAT ゲートウェイを作成する

NAT ゲートウェイコンソールにログインします。
[インターネット NAT ゲートウェイ] ページで、[インターネット NAT ゲートウェイの作成] をクリックします。
初めてインターネット NAT ゲートウェイを作成する場合は、購入ページの [サービスロールの作成] に関する注意事項セクションで [作成] をクリックして、サービスロールを作成します。サービスロールが作成された後、インターネット NAT ゲートウェイを作成できます。
詳細については、「サービスロール」をご参照ください。

購入ページで、以下のパラメータを設定し、[今すぐ購入] をクリックします。

パラメータ	説明
課金方法	デフォルトでは、[従量課金] が選択されています。リソースを使用した後に料金を支払うことができます。詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
リソースグループ	VPC が属するリソースグループを選択します。詳細については、「リソースグループの概要」をご参照ください。
タグ	タグキー: タグキーを選択または入力します。最大 20 個のタグキーを指定できます。タグキーは最大 64 文字で、 aliyun または acs: で始めることはできません。 http:// または https:// を含めることはできません。タグ値: タグ値を選択または入力します。最大 20 個のタグ値を指定できます。タグ値は最大 128 文字です。 aliyun または acs: で始めることはできず、 http:// または https:// を含めることはできません。
リージョン	インターネット NAT ゲートウェイを作成するリージョンを選択します。
VPC	インターネット NAT ゲートウェイを作成する VPC を選択します。インターネット NAT ゲートウェイの作成後、インターネット NAT ゲートウェイが属する VPC を変更することはできません。
VSwitch の関連付け	インターネット NAT ゲートウェイが属する vSwitch を選択します。
計測方法	デフォルトでは、[CU 単位課金] が選択されています。使用したリソースに基づいて課金されます。詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
請求サイクル	デフォルトでは、[時間単位] が選択されています。請求書は 1 時間ごとに生成されます。インターネット NAT ゲートウェイの使用時間が 1 時間未満の場合は、使用時間が 1 時間に切り上げられます。
インスタンス名	インターネット NAT ゲートウェイの名前を入力します。名前は 2 ～ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を使用できます。名前は文字で始める必要があります。
アクセスモード	インターネット NAT ゲートウェイを作成するモードを選択します。以下のモードがサポートされています。すべての VPC リソースの SNAT: この値を選択すると、インターネット NAT ゲートウェイは VPC 一元管理モードで作成されます。インターネット NAT ゲートウェイの作成後、VPC 内のすべてのリソースは NAT ゲートウェイの SNAT 機能を使用してインターネットにアクセスできます。すべての VPC リソースの SNAT を選択した場合は、EIP も指定する必要があります。後で設定: このオプションを選択すると、支払いが完了した後、コンソールでインターネット NAT ゲートウェイを設定できます。後で設定を選択した場合、インターネット NAT ゲートウェイのみが作成されます。SNAT エントリは作成されません。この例では、後で設定が選択されています。

[確認] ページで情報を確認し、サービス規約のチェックボックスを選択して、[確認] をクリックします。
[購入済み] メッセージが表示されたら、インターネット NAT ゲートウェイが作成されます。

[インターネット NAT ゲートウェイ] ページでインターネット NAT ゲートウェイを確認できます。创建NAT网关

ステップ 2: EIP をインターネット NAT ゲートウェイに関連付ける

インターネット NAT ゲートウェイは、EIP に関連付けられている場合にのみ正常に動作します。インターネット NAT ゲートウェイを作成した後、ビジネス要件に合わせて EIP をインターネット NAT ゲートウェイに関連付けることができます。

NAT ゲートウェイコンソールにログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理するインターネット NAT ゲートウェイを見つけ、[EIP] 列の [今すぐ関連付ける] をクリックします。

[EIP の関連付け] ダイアログボックスで、以下のパラメータを設定し、[OK] をクリックします。

パラメータ

説明

リソースグループ

EIP のリソースグループを選択します。

EIP

インターネット NAT ゲートウェイに関連付ける EIP を選択します。

この例では、[EIP の購入と関連付け] が選択されています。システムは自動的にトラフィック課金 EIP を作成し、EIP をインターネット NAT ゲートウェイに関連付けます。

上記の手順を完了すると、[EIP] 列に EIP が表示されます。绑定EIP

ステップ 3: SNAT エントリを作成する

SNAT を使用すると、ECS インスタンスにパブリック IP アドレスが割り当てられていない場合でも、VPC 内の ECS インスタンスがインターネットにアクセスできます。

NAT ゲートウェイコンソールにログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [SNAT の設定] をクリックします。
[SNAT 管理] タブで、[SNAT エントリの作成] をクリックします。

[SNAT エントリの作成] ページで、以下のパラメータを設定し、[OK] をクリックします。

パラメータ	説明
SNAT エントリ	VPC、vSwitch、ECS インスタンス、またはカスタム CIDR ブロックのいずれかの SNAT エントリを作成するかどうかを指定します。この例では、[vSwitch の指定] が選択されています。指定した vSwitch に接続されている ECS インスタンスは、EIP を使用してインターネットにアクセスします。 VSwitch の選択: ドロップダウンリストから vSwitch を選択します。説明複数の vSwitch を選択すると、同じ EIP を使用する複数の SNAT エントリが作成されます。 VSwitch CIDR ブロック: 選択した vSwitch の CIDR ブロックが表示されます。
EIP の選択	インターネットにアクセスするために使用する 1 つ以上の EIP を選択します。この例では、[単一 IP の使用] が選択されており、ステップ 2 でインターネット NAT ゲートウェイに関連付けられた EIP がドロップダウンリストから選択されています。
エントリ名	SNAT エントリの名前を入力します。

SNAT エントリが作成されると、SNAT エントリで使用 セクションで SNAT エントリを確認できます。 snat

ステップ 4: ルートを追加する

インターネット NAT ゲートウェイを指すカスタムルートを VPC ルートテーブルに追加します。

ECS インスタンスが属する vSwitch がカスタムルートテーブルに関連付けられている場合は、インターネット NAT ゲートウェイを指すルートを手動で設定する必要があります。
ECS インスタンスが属する vSwitch がシステムルートテーブルに関連付けられている場合:
- システムルートテーブルに 0.0.0.0/0 ルートが含まれていない場合、インターネット NAT ゲートウェイの作成後に、インターネット NAT ゲートウェイを指すルートが自動的に作成されます。したがって、このステップはスキップできます。
- システムルートテーブルに既に 0.0.0.0/0 ルートが含まれている場合は、インターネット NAT ゲートウェイの作成後にルートを削除する必要があります。その後、インターネット NAT ゲートウェイを指すルートを作成します。

VPC コンソールにログインします。
左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
[ルートテーブル] ページで、管理するルートテーブルを見つけ、その ID をクリックします。
詳細ページで、[ルートエントリリスト] > [カスタムルート] を選択し、[ルートエントリの追加] をクリックします。

[ルートエントリの追加] ダイアログボックスで、以下のパラメータを設定し、[OK] をクリックします。

パラメータ	説明
名前	カスタムルートの名前を入力します。
リソースグループ	ネクストホップが属するリソースグループ。
宛先 CIDR ブロック	宛先 CIDR ブロックを入力します。この例では、[IPv4 CIDR ブロック] が選択されており、 0.0.0.0/0 が使用されています。
ネクストホップタイプ	ドロップダウンリストから [NAT Gateway] を選択します。
NAT ゲートウェイ	作成したインターネット NAT ゲートウェイを選択します。
説明	カスタムルートの説明を入力します。

ステップ 5: ネットワーク接続をテストする

SNAT エントリを作成した後、ECS インスタンスがインターネットにアクセスできるかどうかをテストできます。この例では、Linux を実行する ECS インスタンスが使用されています。

説明

ECS インスタンスのセキュリティグループルールで、ECS インスタンスがインターネットにアクセスできることを確認してください。セキュリティグループルールの詳細については、「概要」をご参照ください。

vSwitch 内の ECS インスタンスにログオンします。詳細については、「ECS インスタンスへの接続方法」をご参照ください。
ping www.aliyun.com コマンドを実行して、ネットワーク接続をテストします。
エコー応答パケットを受信できる場合、接続は確立されています。
結果は、ECS インスタンスがインターネットにアクセスできることを示しています。