NAT Gateway:インターネット NAT ゲートウェイを使用してインターネットにアクセスする

仕組み

以下の例は、プライベート IP アドレスが 192.168.1.100 の ECS インスタンスがインターネットにアクセスする方法を示しています。

1. ルート転送：VPC は、そのルートテーブル内の対応するルートエントリに基づいて、リクエストパケットをインターネット NAT ゲートウェイに転送します。

2. SNAT (ソースネットワークアドレス変換)：NAT ゲートウェイがパケットを受信すると、SNAT ルールで定義されているように、送信元 IP アドレス 192.168.1.100 をゲートウェイに関連付けられた EIP に変換します。また、ゲートウェイは元の 5 タプル (プロトコル、送信元 IP、送信元ポート、宛先 IP、宛先ポート) と変換後の 5 タプル (プロトコル、EIP、パブリック送信元ポート、宛先 IP、宛先ポート) の間のマッピングを記録します。

3. インターネットへのアウトバウンド：ゲートウェイは、変換されたアドレスを持つパケットをインターネットに送信します。リクエストは ECS インスタンスのプライベート IP アドレスではなく、EIP から発信されます。

インターネット上の宛先サーバーが応答パケットを返すと、ゲートウェイはセッションマッピングを使用して元のプライベート IP アドレスを復元し、パケットを ECS インスタンスに転送します。

ネットワーク接続性の確認

ECS インスタンスにログインし、以下のコマンドを実行します。

# ECS インスタンスのセキュリティグループがインターネットへのアウトバウンドトラフィックを許可していることを確認します。
# インターネットへの接続性をテストします。
ping www.aliyun.com

# 現在の送信元パブリック IP アドレスを表示します。これは NAT ゲートウェイに関連付けられた EIP である必要があります。
curl ifconfig.me

仕組み

以下の例は、プライベート IP アドレスが 192.168.1.100 の ECS インスタンスがインターネットにサービスを提供する方法を示しています。

1. クライアントがサービスにアクセス：データパケットの宛先 IP アドレスは、サービスを提供するために使用されるインターネット NAT ゲートウェイに関連付けられた EIP です。

2. DNAT (宛先ネットワークアドレス変換)：NAT ゲートウェイがパケットを受信した後、DNAT ルールに基づいて宛先 EIP を ECS インスタンスのプライベート IP アドレスに変換します。ゲートウェイはこのアドレスマッピングも記録します。

3. サービスへのアクセス：変換されたアドレスを持つパケットは、宛先の ECS インスタンスに転送されます。

宛先の ECS インスタンスが応答パケットを返すと、パケットはルートに従ってインターネット NAT ゲートウェイに転送されます。その後、ゲートウェイはセッションマッピングテーブルに従って送信元 IP アドレスを EIP に戻し、パケットをインターネット上のクライアントに送信します。

DNAT エントリのみが設定されている場合、ECS インスタンスが受信するパケットの送信元 IP はクライアントのパブリック IP です。したがって、ECS インスタンスのセキュリティグループのインバウンドルールを設定する際には、実際の送信元 IP アドレス (パブリック IP) を使用する必要があります。

DNAT エントリの設定

このセクションでは、DNAT エントリの設定方法のみを説明します。NAT ゲートウェイの作成、EIP の関連付け、ルートの設定方法については、「SNAT - インターネットへのアクセス」をご参照ください。

ベストプラクティス

• ネットワーク計画：インターネット NAT ゲートウェイ専用の vSwitch を作成し、十分なプライベート IP アドレスを予約します。これにより、IP の枯渇による将来の EIP 関連付けのブロックを防ぎます。

• きめ細かい制御：vSwitch レベルまたは ECS レベルの SNAT エントリを使用します。最小権限の原則に従い、インターネットアクセスを必要とするリソースにのみ許可します。

ディザスタリカバリ戦略

インターネット NAT ゲートウェイは、以下の 2 つのディザスタリカバリモードをサポートしています。作成時に ディザスタリカバリタイプ パラメーターを使用してモードを選択できます。

EIP の冗長性：SNAT エントリに複数の EIP を関連付けます。攻撃やその他の問題で 1 つの EIP が利用できなくなった場合、アウトバウンドトラフィックは自動的に他の利用可能な EIP に切り替わります。

リスク防止

• セキュリティグループの設定：インターネット NAT ゲートウェイはアドレス変換を行いますが、バックエンドの ECS インスタンスのセキュリティは依然としてセキュリティグループとネットワーク ACL に依存します。ECS インスタンスには厳格なインバウンドセキュリティグループルールを設定し、必要なポートでのみトラフィックを許可する必要があります。

• モニタリングとアラート：同時接続数やインバウンド/アウトバウンド帯域幅などの主要な NAT ゲートウェイメトリックに対してアラートルールを設定し、ボトルネックが発生する前にタイムリーに通知を受け取り、リソースを拡張できるようにします。

• 接続制限: お使いのサービスが単一の パブリックサービス (決済ゲートウェイ など) への多数の接続を必要とする場合は、最大同時実行接続数 (N × 55,000、N は SNAT エントリに設定された EIP 数) に注意してください。事前に十分な数の EIP を計画し、ポート割り当て失敗によるパケットロス数 メトリックをモニターすることをお勧めします。

• ICMP エコー応答：この機能はデフォルトで有効になっています。ping コマンドを使用して検出を行うと、NAT ゲートウェイから通常の応答パケットが返されますが、これはバックエンドサーバーが正常に実行されていることを保証するものではありません。ping を使用したきめ細かい監視に依存するシナリオでは、インスタンス詳細ページで ICMP 応答代行 を無効にする必要があります。

  • ICMP パケットは、DNAT が 任意のポート マッピングで設定されている場合にのみバックエンドサーバーに転送されます。

  • 特定のポート マッピングのシナリオでは、ping プローブは失敗します。telnet <EIP> <Public Port> を使用して、マッピングされたサービスポートを直接プローブできます。

SNAT のインターネットアクセス失敗

この問題をトラブルシューティングするには、以下の手順に従ってください：

1. ルート設定：インターネット NAT ゲートウェイのインスタンス詳細ページで、NAT ゲートウェイを指す VPC のルート セクションを確認し、ルートエントリがゲートウェイを指していることを確認します。

2. SNAT エントリの設定：インターネット NAT ゲートウェイインスタンス詳細ページの SNAT の管理 タブで、SNAT エントリのステータスが 使用可能 であることを確認します。また、インターネットへのアクセスに使用される送信元アドレスが ソース CIDR ブロック 内にあることを確認します。

3. アクセス制御：アクセスしようとしているパブリックエンドポイントにアクセス制御ポリシーが設定されているか、またはインスタンスに関連付けられた EIP がホワイトリストに追加されているかを確認します。

4. IPv4 ゲートウェイの設定：IPv4 ゲートウェイと併用する場合、NAT ゲートウェイが一般モードであり、ルーティングが正しく設定されていることを確認します。

インターネットアクセスの低速化またはタイムアウト

この問題には通常、以下の原因があります：

• 帯域幅不足：NAT ゲートウェイに関連付けられた EIP のモニタリングデータを表示し、帯域幅使用量を確認します。使用量が 100% に近い場合は、帯域幅を増やすか、より多くの EIP を追加して Internet Shared Bandwidth インスタンスに関連付けます。

• 接続制限超過：単一の宛先への同時接続数が制限を超えると、ポート割り当ての失敗によりシステムが接続を切断します。NAT ゲートウェイモニタリングで ErrorPortAllocationCount メトリックを表示します。この値が継続的に増加する場合は、SNAT ルールに EIP を追加します。

NAT ゲートウェイとプライベートトラフィック

NAT ゲートウェイ自体はトラフィックパスを決定せず、アドレス変換のみを行います。VPC ルートテーブルは、トラフィックが NAT ゲートウェイに送信されるか、および変換後にどこにルーティングされるかを制御します。

課金

インターネット NAT ゲートウェイには、インスタンス料金と容量単位 (CU) 料金が発生します。関連付けられた EIP には独自の課金ルールがあり、別途課金されます。

クォータ