NAT Gateway:インターネット NAT Gateway

仕組み

次の例は、プライベート IP が 192.168.1.100 の ECS インスタンスがインターネットにアクセスする方法を示しています。

1. ルート転送: データパケットは、VPC ルートテーブルに基づいてインターネット NAT Gateway に送信されます。

2. SNAT: パケットを受信すると、NAT Gateway は SNAT ルールで定義されているように、送信元 IP アドレス 192.168.1.100 を関連付けられた EIP に変換します。追跡目的で、元の 5 タプル (プロトコル、送信元 IP、送信元ポート、宛先 IP、宛先ポート) と変換後の 5 タプル (プロトコル、EIP、外部送信元ポート、宛先 IP、宛先ポート) の両方をログに記録します。

3. インターネットへのアクセス: 変換された IP を持つデータパケットはインターネットに送信され、ECS インスタンスの内部 IP の代わりに EIP が送信元として表示されます。

インターネット上のターゲットサーバーが応答パケットを返すと、NAT Gateway はセッションマッピングテーブルを使用して元のプライベート IP を復元し、パケットを ECS インスタンスに転送します。

ネットワーク接続の確認

ECS インスタンスにログオンし、次のコマンドを実行します。

# ECS インスタンスのセキュリティグループがインターネットへのアウトバウンドトラフィックを許可していることを確認します。
# インターネットへの接続をテストします。
ping www.aliyun.com

# 現在の Egress パブリック IP アドレスを表示します。これは NAT Gateway にアタッチされた EIP である必要があります。
curl ifconfig.me

仕組み

次の例は、プライベート IP アドレスが 192.168.1.100 の ECS インスタンスがインターネットにサービスを提供する方法を示しています。

1. ユーザーリクエスト: インターネット上のユーザーが、インターネット NAT Gateway に関連付けられた EIP にリクエストを送信します。

2. DNAT 変換: インターネット NAT Gateway はパケットを受信し、DNAT ルールを使用して、宛先 EIP を ECS インスタンスのプライベート IP に変換します。また、アドレスマッピングも記録します。

3. パケット転送: 変換されたパケットは ECS インスタンスに転送されます。

4. 応答: ECS インスタンスが応答を送信すると、パケットはインターネット NAT Gateway にルーティングされます。ゲートウェイは、セッションマッピングテーブルを使用して、送信元 IP をプライベート IP から EIP に変換し直し、パケットをインターネット上のユーザーに送信します。

DNAT エントリの設定

このセクションでは、DNAT エントリの設定方法のみを説明します。NAT Gateway の作成、EIP の関連付け、およびルーティングの設定の詳細については、「サーバーがインターネットにアクセスできるようにする」をご参照ください。

ベストプラクティス

• ネットワーク計画: Internet NAT ゲートウェイ専用の vSwitch を作成し、十分なプライベート IP アドレスを確保します。これにより、ゲートウェイに複数の EIP を関連付ける際の IP 枯渇を防ぐことができます。

• きめ細かなコントロール: vSwitch または ECS インスタンスレベルで SNAT エントリを設定します。最小権限の原則に従い、インターネットアクセスを必要とするリソースにのみ付与します。

ディザスタリカバリ戦略

• 高可用性とディザスタリカバリ: Internet NAT ゲートウェイは、プライマリゾーンとバックアップゾーンにまたがるディザスタリカバリをサポートしており、バックアップは Alibaba Cloud によって選択されます。ゾーン間のフェールオーバーにより、サービスが最大 10 分間中断される場合があります。重大なアプリケーションの場合は、異なるゾーンに NAT ゲートウェイをデプロイし、アプリケーション層でトラフィックの再ルーティングとフェールオーバーを実装します。

• EIP の冗長性: 複数の EIP を SNAT エントリに関連付けます。攻撃や障害によって 1 つの EIP が利用できなくなった場合、アウトバウンドトラフィックは自動的に他の利用可能な EIP に切り替わります。

リスク防止

• セキュリティグループ: Internet NAT ゲートウェイはアドレス変換を実行しますが、バックエンドの ECS のセキュリティは、適切に設定されたセキュリティグループとネットワーク ACL に依存します。厳格なインバウンドルールを適用し、必要なポートのみを開いて露出を最小限に抑えます。

• モニタリングとアラート: 同時接続数やインバウンド/アウトバウンド帯域幅など、NAT ゲートウェイの主要なメトリックに対してアラートを設定します。これらのメトリックをモニターして、容量制限に達する前にタイムリーなリソースのスケーリングを確保します。

• 接続制限: 決済ゲートウェイなどの単一のパブリックサービスへの多数の接続がサービスで必要な場合、SNAT エントリあたりのアウトバウンド接続は N × 55,000 に制限されます。N は設定された EIP の数です。十分な EIP を計画し、[ErrorPortAllocationCount] メトリックをモニターします。

• ICMP echo reply: この機能はデフォルトで有効になっており、NAT ゲートウェイが ping コマンドに応答できるようにします。これは NAT ゲートウェイの正常性を確認するだけで、バックエンドサーバーのステータスは確認しません。バックエンドのモニタリングが必要な場合は、詳細ページで [ICMP Echo Reply] を無効にします。

  • ICMP ping リクエストは、DNAT が [Any Port] に設定されている場合にのみバックエンドサーバーに転送されます。

  • [Specific Port] マッピングの場合、ping プローブは失敗します。telnet <EIP> <Public Port> を使用して、マッピングされたサービスポートをプローブします。

SNAT を設定した後、インターネットにアクセスできないのはなぜですか。

次の手順に従ってトラブルシューティングを行ってください。

1. ルート構成: インターネット NAT ゲートウェイの詳細ページで、[NAT ゲートウェイを指す VPC ルート] を表示し、インターネット NAT ゲートウェイを指すルートエントリが存在することを確認します。

2. SNAT エントリ構成: インターネット NAT ゲートウェイの SNAT の管理 タブで、SNAT エントリのステータスが [有効] であることを確認します。 インターネットへのアクセスに使用されるソースアドレスは、指定された [ソース CIDR ブロック] 内にある必要があります。

3. アクセスの制御: アクセスしようとしているパブリックエンドポイントにアクセスの制御ポリシーが設定されているか、または関連付けられている EIP がホワイトリストに追加されているかを確認します。

4. IPv4 ゲートウェイが設定されているかどうかの確認: IPv4 ゲートウェイと併用する場合、NAT ゲートウェイが NAT モードであり、ルーティングが正しく設定されていることを確認します。

インターネットアクセスがタイムアウトしたり、遅くなったりするのはなぜですか。

これは通常、次の理由によって発生します。

• 不十分な帯域幅: 関連付けられた EIP のモニタリングデータを表示し、帯域幅の使用状況を確認します。 使用率が 100% に近い場合は、帯域幅を増やすか、EIP を追加してインターネット共有帯域幅インスタンスに関連付けます。

• 接続制限を超えました: 1 つの宛先への同時接続数が制限を超えると、ポート割り当ての失敗により、システムは接続をドロップします。 ErrorPortAllocationCount メトリックを表示します。 この値が増加した場合は、SNAT に EIP を追加します。

• 1 つの宛先への同時接続数が制限を超えると、ポート割り当ての失敗により、システムは接続をドロップします。 ErrorPortAllocationCount メトリックを監視し、この値が増加した場合は、SNAT 構成に EIP を追加します。

課金

インターネット NAT Gateway はインスタンス料金と容量単位 (CU) 料金が発生します。 関連付けられた EIP は別途課金されます。

クォータ