1 つの仮想プライベートクラウド (VPC) に複数のインターネット NAT ゲートウェイを作成して、トラフィックを異なる IP アドレスに転送できます。 この方法では、インターネット宛てのトラフィックをより適切に管理できます。 また、要件に基づいて、異なるサービスを使用して各インターネット NAT ゲートウェイを保護することもできます。
シナリオ
次のシナリオを例として使用して、1 つの VPC に複数のインターネット NAT ゲートウェイをデプロイする方法を示します。
この例で使用される vSwitch について、以下に説明します。
VPC を作成し、VPC に 3 つの vSwitch を作成します。 セキュリティドメイン 1 にインターネット NAT ゲートウェイ (NATGW-1) をデプロイし、セキュリティドメイン 2 に別のインターネット NAT ゲートウェイ (NATGW-2) をデプロイします。 vSwitch1 を NATGW-1 に関連付けます。 次に、vSwitch2 と vSwitch3 を NATGW-2 に関連付けます。
vSwitch1 はセキュリティドメイン 1 に属し、システムルートテーブルに関連付けられています。 専用のパブリック IP アドレスを使用してネットワークトラフィックをルーティングします。 最大帯域幅は 50 Mbit/s です。 パブリック IP アドレスはインターネットに公開されていません。 vSwitch1 に接続されている Elastic Compute Service (ECS) インスタンスは、インターネットにリクエストを送信できますが、インターネットからのリクエストを受信することはできません。 ECS インスタンスにはプライベートネットワーク環境が必要です。
vSwitch2 と vSwitch3 はセキュリティドメイン 2 に属し、VPC のサブネットルートテーブルに関連付けられています。 vSwitch 2 に接続されている ECS インスタンスは、同じ出口を共有してインターネットと通信します。 これらは、インターネットにリクエストを送信することも、インターネットからのリクエストを受信することもできます。 最大帯域幅は 1 Gbit/s です。
EIP1 という名前の 50 Mbit/s のエラスティック IP アドレス (EIP) を作成し、NATGW-1 の SNAT エントリで EIP1 を指定します。
サイズ 1 Gbit/s のインターネット共有帯域幅を購入し、NATGW-2 に関連付けます。 3 つの 5 Mbit/s EIP (EIP2、EIP3、EIP4) を作成し、EIP をインターネット共有帯域幅に関連付けます。 vSwitch2 の DNAT エントリで EIP を指定し、vSwitch3 の DNAT エントリで別の EIP を指定してから、2 つの vSwitch の SNAT エントリで最後の EIP を指定します。
NATGW-2 の vSwitch の監視を設定します。
フローチャート
ステップ 1: クラウドリソースを作成する
vSwitch のインターネット NAT ゲートウェイをデプロイする前に、次のクラウドリソースを作成する必要があります。VPC、vSwitch、ECS インスタンス、EIP、およびインターネット共有帯域幅。
クラウドリソース | 仕様 | 数量 | 参照 |
VPC | [リージョン]: 中国 (フフホト) を選択します。 | 1 | |
vSwitch | [ゾーン]:
| 3 | |
ECS インスタンス |
| 3 | |
EIP |
| 4 | |
インターネット共有帯域幅 |
| 1 |
ステップ 2: 2 つのインターネット NAT ゲートウェイを作成する
VPC で従量課金制で NATGW-1 と NATGW-2 という名前の 2 つのインターネット NAT ゲートウェイを作成します。 NATGW-1 を vSwitch1 に関連付け、NATGW-2 を vSwitch2 と vSwitch3 に関連付けます。
NAT ゲートウェイコンソール にログインします。
[インターネット NAT ゲートウェイ] ページで、[インターネット NAT ゲートウェイの作成] をクリックします。
初めてインターネット NAT ゲートウェイを作成する場合は、購入ページの [サービスロールの作成] に関する注意事項セクションで [作成] をクリックして、サービスロールを作成します。 サービスロールが作成されたら、インターネット NAT ゲートウェイを作成できます。
詳細については、「サービスロール」をご参照ください。購入ページで、次のパラメータを設定し、[今すぐ購入] をクリックします。
パラメータ
説明
[課金方法]
デフォルトでは、[従量課金] が選択されています。 リソースを使用した後に料金を支払うことができます。 詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
リソースグループ
仮想プライベートクラウド (VPC) が属するリソースグループを選択します。 詳細については、「リソースグループの概要」をご参照ください。
タグ
[タグキー]: タグキーを選択または入力します。
最大 20 個のタグキーを指定できます。 タグキーは最大 64 文字で、aliyun または acs: で始めることはできません。 http:// または https:// を含めることはできません。
[タグ値]: タグ値を選択または入力します。
最大 20 個のタグ値を指定できます。 タグ値は最大 128 文字です。 aliyun または acs: で始めることはできず、http:// または https:// を含めることはできません。
[リージョン]
インターネット NAT ゲートウェイを作成するリージョンを選択します。
[VPC]
インターネット NAT ゲートウェイを作成する VPC を選択します。 インターネット NAT ゲートウェイが作成された後、インターネット NAT ゲートウェイが属する VPC を変更することはできません。
[vSwitch の関連付け]
インターネット NAT ゲートウェイが属する vSwitch を選択します。
[計測方法]
デフォルトでは、[CU 単位で課金] が選択されています。 使用したリソースに基づいて課金されます。 詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
[請求サイクル]
デフォルトでは、[時間単位] が選択されています。 請求書は 1 時間ごとに生成されます。 インターネット NAT ゲートウェイの使用時間が 1 時間未満の場合、使用時間は 1 時間に切り上げられます。
[インスタンス名]
インターネット NAT ゲートウェイの名前を入力します。
名前は 2 ~ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を含めることができます。 名前の先頭は文字にする必要があります。
[アクセスモード]
インターネット NAT ゲートウェイを作成するモードを選択します。 次のモードがサポートされています。
[すべての VPC リソースの SNAT]: この値を選択すると、インターネット NAT ゲートウェイは VPC 一元管理モードで作成されます。 インターネット NAT ゲートウェイが作成されると、VPC 内のすべてのリソースが NAT ゲートウェイの SNAT 機能を使用してインターネットにアクセスできます。
[すべての VPC リソースの SNAT] を選択する場合は、EIP も指定する必要があります。
[後で設定]: このオプションを選択すると、支払いが完了した後、コンソールでインターネット NAT ゲートウェイを設定できます。
[後で設定] を選択すると、インターネット NAT ゲートウェイのみが作成されます。 SNAT エントリは作成されません。
この例では、[後で設定] が選択されています。
[確認] ページで、情報を確認し、利用規約のチェックボックスをオンにして、[確認] をクリックします。
[購入済み] メッセージが表示されたら、インターネット NAT ゲートウェイが作成されます。
ステップ 3: vSwitch2 と vSwitch3 のカスタムルートテーブルを作成する
ルートテーブルは、1 つ以上のルートエントリで構成されます。 各ルートエントリは、ネットワークトラフィックのルーティング先を指定します。 デフォルトのルートテーブルを使用するか、カスタムルートテーブルを作成してネットワークトラフィックを管理できます。
VPC コンソール にログインします。
左側のナビゲーションペインで、[ルートテーブル] をクリックします。
ルートテーブルを作成するリージョンを選択します。
この例では、[中国 (フフホト)] を選択しています。
カスタムルートテーブルをサポートするリージョンについては、詳細については、「ルートテーブル」をご参照ください。
[ルートテーブル] ページで、[ルートテーブルの作成] をクリックします。
[ルートテーブルの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメータ
説明
[リソースグループ]
ルートテーブルが属するリソースグループを選択します。
[VPC]
ルートテーブルが属する VPC を選択します。
[名前]
ルートテーブルの名前を入力します。
名前は 2 ~ 128 文字で、数字、アンダースコア(_)、ハイフン(-)を含めることができます。名前は文字で始める必要があります。
[説明]
ルートテーブルの説明を入力します。
説明は 2 ~ 256 文字である必要があります。
http://またはhttps://で始めることはできません。[ルートテーブル] ページで、管理するルートテーブルを見つけ、その ID をクリックします。
[ルートテーブルの詳細] セクションで、[関連付けられている VSwitch] タブをクリックし、[vSwitch の関連付け] をクリックします。
[vSwitch の関連付け] ダイアログボックスで、vSwitch2 を選択し、[OK] をクリックします。この手順を繰り返して、ルートテーブルを vSwitch3 に関連付けます。
タブをクリックし、[ルート エントリを追加] をクリックします。[ルート エントリを追加] パネルで、次のパラメーターを設定します。
パラメータ
説明
名前
ルートエントリの名前を入力します。
名前は 2 ~ 128 文字で、数字、アンダースコア(_)、ハイフン(-)を含めることができます。文字で始める必要があります。
宛先 CIDR ブロック
トラフィックのルーティング先となる宛先 CIDR ブロックを入力します。この例では、宛先 CIDR ブロックは 0.0.0.0/0 に設定されています。
ネクストホップタイプ
[NAT ゲートウェイ] がこの例で選択されています。 指定された CIDR ブロック宛てのトラフィックは、指定された NAT ゲートウェイにルーティングされます。
NAT ゲートウェイ
NATGW-2を選択します。これは ステップ 2: 2 つのインターネット NAT ゲートウェイを作成する で作成されています。上記操作が完了すると、
NATGW-2を指すカスタムルートエントリが、新しく作成されたカスタムルートテーブルに追加されます。
ステップ 4: 3 つの 5 Mbit/s EIP をインターネット共有帯域幅に関連付ける
インターネット共有帯域幅コンソール にログインします。
上部のナビゲーションバーで、インターネット共有帯域幅が作成されたリージョンを選択します。
この例では、[中国 (フフホト)] が選択されています。
共有帯域 ページで、管理する EIP 帯域幅プランを見つけ、操作 列の [IP を追加] をクリックします。
[IP を追加] パネルで、EIP リストから選択 をクリックします。次に、EIP を選択し、OK をクリックします。
3 つの 5 Mbit/s EIP を 1,000 Mbit/s インターネット共有帯域幅に関連付けると、EIP は 1,000 Mbit/s の帯域幅を共有します。
ステップ 5: 4 つの EIP をインターネット NAT ゲートウェイに個別に関連付ける
ステップ 2: 2 つのインターネット NAT ゲートウェイを作成するで作成したインターネットゲートウェイに EIP を関連付けます。EIP1 を NATGW-1 に関連付け、EIP2、EIP3、および EIP4 を NATGW-2 に関連付けます。
NAT Gateway コンソール にログオンします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイがデプロイされているリージョンを選択します。
この例では、[中国 (フフホト)] が選択されています。
[インターネット NAT ゲートウェイ] ページで、管理するインターネット NAT ゲートウェイを見つけ、[EIP アドレス] 列の [今すぐ関連付ける] をクリックします。
[EIP の関連付け] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
リソースグループ
EIP のリソースグループを選択します。
EIP
[既存の EIP を選択] を選択し、ドロップダウンリストから EIP を選択します。
50 Mbit/s の EIP を
NATGW-1に関連付けます。他の 3 つの EIP を
NATGW-2に関連付けます。
上記の手順を完了すると、EIP が [EIP アドレス] 列に表示されます。
ステップ 6:SNAT エントリを作成する
VPC 内の ECS インスタンスにパブリック IP アドレスが割り当てられていない場合、ECS インスタンスは SNAT を使用してインターネットにアクセスできます。NATGW-1 に 1 つの SNAT エントリを作成し、NATGW-2 に 2 つの SNAT エントリを作成します。
NAT Gateway コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイがデプロイされているリージョンを選択します。
この例では、[中国 (フフホト)] が選択されています。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [SNAT の構成] をクリックします。
[SNAT 管理] タブで、[SNAT エントリの作成] をクリックします。
[SNAT エントリの作成] ページで、パラメーターを設定し、[確認] をクリックします。
vSwitch1 の NATGW-1 に SNAT エントリを構成します。
NATGW-2 に SNAT エントリを構成する場合は、vSwitch2 と vSwitch3 の SNAT エントリに同じ EIP を指定します。
パラメーター
説明
SNAT エントリ
VPC、vSwitch、ECS インスタンス、またはカスタム CIDR ブロックのいずれに SNAT エントリを作成するかを指定します。この例では、[vSwitch を指定] が選択されています。指定された vSwitch に接続されている ECS インスタンスは、EIP を使用してインターネットにアクセスします。
[vSwitch を選択]: ドロップダウンリストから vSwitch を選択します。
説明複数の vSwitch を選択すると、システムは同じ EIP を使用する複数の SNAT エントリを作成します。
[vSwitch CIDR ブロック]: 選択した vSwitch の CIDR ブロックが表示されます。
EIP を選択
インターネットへのアクセスに使用する 1 つ以上の EIP を選択します。この例では、[単一 IP を使用] が選択されており、ステップ 2 でインターネット NAT ゲートウェイに関連付けられた EIP がドロップダウンリストから選択されています。
エントリ名
SNAT エントリの名前を入力します。
ステップ 7:DNAT エントリを作成する
DNAT を使用すると、ECS インスタンスは NAT ゲートウェイで EIP を使用してインターネット経由でサービスを提供できます。 NATGW-2 に 2 つの DNAT エントリを作成します。
NAT Gateway コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイがデプロイされているリージョンを選択します。
この例では、[中国 (フフホト)] が選択されています。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [DNAT を構成] をクリックします。
[DNAT 管理] タブで、[DNAT エントリの作成] をクリックします。
[DNAT エントリの作成] ページで、次の表に記載されているパラメーターを設定し、[確認] をクリックします。
vSwitch2 および vSwitch3 の DNAT エントリを作成するには、次のパラメーターを設定します。
パラメーター
説明
EIP を選択
ドロップダウンリストから EIP を選択します。 EIP はインターネットとの通信に使用されます。
プライベート IP アドレスを選択
インターネットと通信するために DNAT エントリを使用する ECS インスタンスを選択します。 [ECS または ENI で選択] を選択し、ドロップダウンリストから ECS インスタンスまたは ECS インスタンスに関連付けられている弾性ネットワークインターフェース (ENI) を選択します。
ポート設定
DNAT マッピング方法を選択します。この例では、[特定のポート] が選択されています。
vSwitch2 および vSwitch3 には、次の設定を使用します。
vSwitch2:
パブリック ポート: ポート フォワーディングで使用される外部ポート。この例では、ポート 22 が指定されています。
プライベート ポート: ポート フォワーディングで使用される内部ポート。この例では、ポート 22 が指定されています。
プロトコル タイプ: ポートで使用されるプロトコル。この例では、TCP が選択されています。
vSwitch3:
パブリック ポート: ポート フォワーディングで使用される外部ポート。この例では、ポート 22 が指定されています。
プライベート ポート: ポート フォワーディングで使用される内部ポート。この例では、ポート 22 が指定されています。
プロトコル タイプ: ポートで使用されるプロトコル。この例では、TCP が選択されています。
ECS2 および ECS3 のセキュリティグループルールで、ポート
22からの受信TCPリクエストが許可されていることを確認してください。エントリ名
DNAT エントリの名前を入力します。
名前は 2 ~ 128 文字で、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) を使用できます。文字で始める必要があります。
ステップ 4: SNAT エントリと DNAT エントリを作成する
ECS インスタンスがインターネットにアクセスできるかどうかを確認する
SNAT と DNAT は、インターネット NAT ゲートウェイの 2 つの主要な機能です。 SNAT を使用すると、プライベートネットワーク内の ECS インスタンスはインターネットにアクセスできます。 DNAT を使用すると、インターネット上のクライアントはプライベートネットワーク内の ECS インスタンスにアクセスできます。
vSwitch1 の ECS1 にログオンします。詳細については、「接続方法」をご参照ください。
pingコマンドを実行して、ping www.aliyun.comを ping します。echo 応答パケットを受信できる場合は、ECS1 がインターネットにアクセスできることを示しています。
結果は、ECS1 がインターネットにアクセスできることを示しています。
curl myip.ipip.netコマンドを実行して、ECS1 がインターネットにアクセスするために使用する EIP をクエリします。次に、ifconfigコマンドを実行して、ECS1 のプライベート IP アドレスをクエリします。結果は、ECS1 がインターネットにアクセスするために使用する EIP が、NATGW-1 で構成されている SNAT エントリで指定された EIP であることを示しています。
インターネット経由で ECS2 がサービスを提供できるかどうかを確認する
オンプレミスの Linux マシンにログオンします。
ssh root@public IP addressコマンドを実行します。パブリック IP アドレスを、NATGW-2 で構成された DNAT エントリで指定された EIP に設定します。次に、ECS2 のパスワードを入力し、ECS2 にアクセスできるかどうかを確認します。Welcome to Alibaba Cloud Elastic Compute Service! が返された場合は、ECS2 が NATGW-2 の DNAT 機能を使用してインターネット経由でサービスを提供できることを示します。
ifconfigコマンドを実行します。返された IP アドレスが ECS2 のプライベート IP アドレスと同じ場合は、ECS2 がインターネット経由でサービスを提供できることを示します。
メトリックを表示する
NAT ゲートウェイコンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイがデプロイされているリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理するインターネット NAT ゲートウェイを見つけ、[監視] 列の
をクリックします。詳細については、「モニタリングデータを表示する」をご参照ください。