すべてのプロダクト
Search
ドキュメントセンター

NAT Gateway:NAT Gateway と VPN ゲートウェイ経由でのプライベートネットワークアクセス

最終更新日:Jun 23, 2026

VPC NAT ゲートウェイと VPN ゲートウェイを併用することで、指定したプライベート IP アドレスを介して Virtual Private Cloud (VPC) とオンプレミスデータセンター間の通信を可能にします。

利用シーン

このトピックでは、次の図に示すシナリオについて説明します。ある企業が、中国 (青島) リージョンに VPC1 という名前の VPC を、中国 (北京) リージョンにオンプレミスデータセンターを所有しているとします。この企業は、VPC1 が特定のプライベート IP アドレスを使用してオンプレミスデータセンターにアクセスできるようにする必要があり、その逆も同様です。

この要件を満たすために、企業は VPC NAT ゲートウェイと VPN ゲートウェイを使用する計画です。

VPN ゲートウェイ上の IPsec 接続を使用して、オンプレミスデータセンターと VPC 間に安全な接続を確立できます。VPC NAT ゲートウェイの SNAT および DNAT 機能により、VPC 内の特定の IP アドレスとオンプレミスデータセンター間の通信が可能になります。次の表に、この例のネットワークプランを示します。独自の CIDR ブロックを計画することもできますが、重複しないようにしてください。

パラメーター

アドレスブロック

VPC1 の CIDR ブロック

10.0.0.0/16

vSwitch の CIDR ブロック

  • VSW1:10.0.0.0/24 (中国 (青島) ゾーン B)

  • VSW2:10.0.1.0/24 (中国 (青島) ゾーン E)

ECS インスタンスの IP アドレス

ECS1:10.0.0.81

オンプレミスデータセンターの CIDR ブロック

172.16.0.0/12

オンプレミスサーバーの IP アドレス

172.16.0.124

オンプレミスゲートウェイデバイスの IP アドレス

211.68.XX.XX

前提条件

  • 中国 (青島) リージョンに VPC1 という名前の VPC を作成済みであること。VPC には、ゾーン B の VSW1 とゾーン E の VSW2 の 2 つの vSwitch が含まれています。詳細については、「VPC の作成と管理」をご参照ください。

  • VSW1 に ECS1 という名前の Elastic Compute Service (ECS) インスタンスを作成し、その上にアプリケーションをデプロイ済みであること。詳細については、「ウィザードを使用したインスタンスの作成」をご参照ください。

操作手順

配置流程

ステップ 1:IPsec-VPN の設定

IPsec-VPN を使用して、VPC とオンプレミス IDC 間に VPN 接続を確立します。IPsec-VPN を使用するには、VPN ゲートウェイ、カスタマーゲートウェイ、および IPsec 接続を作成する必要があります。詳細については、「従来の VPN ゲートウェイのクイックスタート」をご参照ください。

  1. VPN ゲートウェイコンソールにログインします。

  2. VPN ゲートウェイを作成します。

    1. VPN Gateway ページで、VPN Gateway の作成 をクリックします。

    2. 購入ページで、次のパラメーターを設定し、今すぐ購入 をクリックして支払いを完了します。

      パラメーター

      説明

      インスタンス名

      VPN ゲートウェイインスタンスの名前を入力します。

      リージョン

      VPN ゲートウェイインスタンスのリージョンを選択します。この例では、[中国 (青島)] を選択します。

      ゲートウェイタイプ

      デフォルト値の標準のままにします。

      VPC

      接続する VPC を選択します。この例では、VPC1 を選択します。

      VSwitch

      VPC から vSwitch を選択します。この例では、VSW1 を選択します。

      VSwitch 2

      VPC から vSwitch を選択します。この例では、VSW2 を選択します。

      ピーク帯域幅

      VPN ゲートウェイのピーク帯域幅を選択します。単位は Mbps です。

      この例では、[5 Mbps] を選択します。

      トラフィック

      デフォルトでは、VPN ゲートウェイはデータ転送量によって課金されます。詳細については、「課金」をご参照ください。

      IPsec-VPN

      IPsec-VPN を有効にするかどうかを選択します。この例では、[有効化] を選択します。

      SSL-VPN

      SSL-VPN を有効にするかどうかを選択します。この例では、[無効化] を選択します。

      期間

      デフォルトでは、VPN ゲートウェイは時間単位で課金されます。

    3. VPN Gateway ページに戻り、作成した VPN Gateway インスタンスを表示します。

      新しいインスタンスは、最初は準備中 状態です。1〜5 分後、正常 に遷移します。アクティブ状態は、インスタンスが初期化され、使用準備が整ったことを意味します。

  3. カスタマーゲートウェイを作成します。

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイを選択します。

    2. 上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。この例では、[中国 (青島)] を選択します。

    3. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

    4. カスタマーゲートウェイの作成 ペインで、次のパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      名前

      カスタマーゲートウェイの名前を入力します。

      IP アドレス

      オンプレミス IDC 内のゲートウェイデバイスのパブリック IP アドレスを入力します。この例では、211.68.XX.XX を入力します。

      ASN

      オンプレミスゲートウェイデバイスの自律システム番号 (ASN) を入力します。

      説明

      カスタマーゲートウェイの説明を入力します。

      パラメーターの詳細については、「カスタマーゲートウェイ」をご参照ください。

  4. IPsec 接続を作成します。

    1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続に移動します。

    2. 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。この例では、[中国 (青島)] を選択します。

    3. IPsec-VPN 接続 ページで、VPN 接続の作成 をクリックします。

    4. VPN 接続の作成 ページで、次のパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      名前

      IPsec 接続の名前を入力します。

      リソースの関連付け

      VPN Gateway を選択します。

      VPN Gateway

      作成した VPN ゲートウェイを選択します。

      ルーティングモード

      ルーティングモードを選択します。この例では、宛先ルーティングモード を選択します。

      今すぐ有効化

      接続を確立するタイミングを決定します。

      • はい、設定が完了すると即座にネゴシエーションする

      • いいえ、トラフィックが入ってくるときにネゴシエーションする

      この例では、デフォルト設定が使用されます。

      トンネル 1 > カスタマーゲートウェイ

      関連付けるカスタマーゲートウェイを選択します。

      トンネル 2 > カスタマーゲートウェイ

      関連付けるカスタマーゲートウェイを選択します。

      事前共有鍵

      事前共有鍵を入力します。このキーは、オンプレミスゲートウェイデバイスで設定された事前共有鍵と一致する必要があります。空白のままにすると、システムはランダムな 16 文字の文字列を生成します。

ステップ 2:オンプレミスゲートウェイへの VPN 設定の適用

VPN ゲートウェイを設定した後、オンプレミスゲートウェイデバイスにも VPN 設定を適用する必要があります。

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続を選択します。

  2. IPsec 接続 ページで、目的の IPsec 接続を見つけ、操作 列の ピア設定の生成クリックします。

  3. ダウンロードした設定をオンプレミスゲートウェイデバイスに適用します。 詳細については、「ローカルゲートウェイの設定」をご参照ください

ステップ 3:VPC NAT ゲートウェイの作成

  1. NAT Gateway コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、NAT Gateway > VPC NAT ゲートウェイを選択します。

  3. VPC NAT ゲートウェイ ページで、VPC NAT Gateway の作成 をクリックします。

  4. NAT Gateway ページで、次のパラメーターを設定し、今すぐ購入 をクリックします。

    パラメーター

    説明

    リージョン

    VPC NAT ゲートウェイインスタンスを作成するリージョンを選択します。この例では、[中国 (青島)] を使用します。

    VPC

    VPC NAT ゲートウェイインスタンスの VPC を選択します。インスタンス作成後に VPC を変更することはできません。この例では、VPC1 を使用します。

    ゾーン

    VPC NAT ゲートウェイインスタンスのアベイラビリティゾーンを選択します。この例では、VSW2 を含むアベイラビリティゾーンを選択します。

    vSwitch

    VPC NAT ゲートウェイインスタンスの vSwitch を選択します。専用の vSwitch を選択することを推奨します。この例では、VSW2 を使用します。

    インスタンス名

    VPC NAT ゲートウェイインスタンスの名前を入力します。

    サービスリンクロール

    NAT ゲートウェイ (インターネット NAT ゲートウェイおよび VPC NAT ゲートウェイを含む) を初めて使用する場合は、サービスにリンクされたロールの作成 をクリックしてロールを作成する必要があります。

  5. VPC NAT ゲートウェイ ページに戻り、新しいインスタンスを確認します。

    1. VPC NAT ゲートウェイのインスタンス ID をクリックし、基本情報 タブで VPC や vSwitch などの情報を確認します。

    2. [NAT IP] タブをクリックして、デフォルトの NAT IP アドレス範囲とデフォルトの NAT IP アドレスを表示します。

    デフォルトの NAT IP アドレス範囲は、VPC NAT ゲートウェイの vSwitch の CIDR ブロックです。デフォルトの NAT IP アドレスは、vSwitch の CIDR ブロックからランダムに選択された IP アドレスです。デフォルトの NAT IP アドレス範囲またはデフォルトの NAT IP アドレスは削除できません。

ステップ 4:ルートエントリの追加

VPC1 のシステムルートテーブルに、VPC NAT ゲートウェイを指すルートエントリを追加します。

  1. VPC コンソールにログインします。

  2. VPC ページで、VPC1 の ID をクリックします。

  3. VPC の詳細ページで、リソース タブをクリックし、ルートテーブル の下にあるリンクをクリックします。

  4. ルートテーブル ページで、タイプシステム のルートテーブルを見つけ、その ID をクリックします。

  5. ルートテーブルの詳細ページで、ルートエントリ > カスタムルートを選択し、ルートエントリの追加をクリックします。

  6. ルートエントリの追加 パネルで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    名前

    ルートエントリの名前を入力します。この例では、VPCENTRY と入力します。

    CIDR

    宛先 CIDR ブロックを入力します。この例では、オンプレミス IDC サーバーの IP アドレスである 172.16.0.124/32 を使用します。

    ネクストホップの種類

    NAT Gateway を選択します。

    NAT Gateway

    ステップ 3:VPC NAT ゲートウェイの作成で作成した VPC NAT ゲートウェイを選択します。

ステップ 5:カスタムルートテーブルとルートエントリの作成

VSW2 vSwitch 用にカスタムルートテーブルを作成し、VPN ゲートウェイを指すルートエントリを追加します。

カスタムルートテーブルをサポートするリージョンについては、「ルートテーブル」をご参照ください。

  1. VPC コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、ルートテーブル をクリックします。

  3. 上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。

  4. ルートテーブル ページで、作成 をクリックします。

  5. 作成 ページで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    リソースグループ

    ルートテーブルのリソースグループを選択します。この例では、[すべて] が選択されています。

    VPC

    ルートテーブルの VPC を選択します。この例では、VPC1 が選択されています。

    名前

    ルートテーブルの名前を入力します。この例では、VPNVTB と入力します。

    説明

    ルートテーブルの説明を入力します。この例では、VPN Gateway のカスタムルートテーブルと入力します。

  6. vSwitch タブで、関連付け をクリックします。

  7. 関連付け ダイアログボックスで、関連付ける vSwitch を選択し、OK をクリックします。

    この例では、VSW2 vSwitch を使用します。

  8. ルートテーブルの詳細ページで、ルートエントリ > カスタムルート タブに移動し、ルートエントリの追加 をクリックします。

  9. ルートエントリの追加 パネルで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    名前

    ルートエントリの名前を入力します。この例では、VPCNATENTRY と入力します。

    CIDR

    宛先 CIDR ブロックを入力します。この例では、オンプレミス IDC のサーバーの IP アドレスである 172.16.0.124/32 を入力します。

    ネクストホップの種類

    ネクストホップのタイプを選択します。この例では、VPN Gateway を選択します。

    VPN Gateway

    VPN ゲートウェイインスタンスを選択します。この例では、ステップ 1:IPsec-VPN 接続の設定で作成した VPN ゲートウェイを選択します。

ステップ 6:SNAT エントリと DNAT エントリの作成

  1. NAT Gateway コンソールにログインします。

  2. 左側のナビゲーションウィンドウで、NAT Gateway > VPC NAT ゲートウェイを選択します。

  3. 上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。

  4. 次の手順を実行して、SNAT エントリを作成します。

    1. VPC NAT ゲートウェイ ページで、目的の VPC NAT Gateway インスタンスを見つけ、SNAT の管理 を、操作 列でクリックします。

    2. SNAT の管理 タブで、SNAT エントリの作成 をクリックします。

    3. SNAT エントリの作成 ページで、次のパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      SNAT エントリ

      vSwitch 粒度 を選択します。vSwitch の選択 リストから、ECS1 が存在する vSwitch を選択します。この例では VSW1 を使用します。すると、vSwitch の CIDR ブロック フィールドに VSW1 の CIDR ブロックが表示されます。

      NAT IP アドレスの選択

      ドロップダウンリストから、外部プライベートネットワークへのアクセスに使用する NAT IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスを使用します。

      エントリ名

      SNAT エントリの名前を入力します。

      名前は 2〜128 文字で、文字または漢字で始まり、数字、アンダースコア (_)、ハイフン (-) を含めることができます。

  5. VPC NAT ゲートウェイ ページに戻り、次の手順に従って DNAT エントリを作成します。

    1. VPC NAT ゲートウェイ ページで、目的の VPC NAT Gateway インスタンスを見つけ、操作 列の DNAT の管理 をクリックします。

    2. DNAT の管理 タブで、DNAT エントリの作成 をクリックします。

    3. DNAT エントリの作成 ページで、次のパラメーターを設定し、OK をクリックします。

      パラメーター

      説明

      NAT IP アドレスの選択

      外部プライベートネットワークが VPC 内のリソースにアクセスするために使用できる NAT IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスを使用します。

      プライベート IP アドレスの選択

      DNAT エントリを介してアクセス可能にするプライベート IP アドレスを選択します。この例では、ECS または ENI で選択 を選択し、次に ECS1 のプライベート IP アドレスを選択します。

      ポート設定

      DNAT のマッピング方法を選択します。この例では、ポートマッピングとも呼ばれる特定のポートを選択します。

      フロントエンドポート22 に、バックエンドポート22 に、プロトコルタイプTCP に設定します。

      エントリ名

      DNAT エントリの名前を入力します。

      名前は 2〜128 文字で、文字または漢字で始まり、数字、アンダースコア (_)、ハイフン (-) を含めることができます。

ステップ 7:VPN ゲートウェイのルート設定

VPN ゲートウェイでルートを設定し、VPC ルートテーブルに公開して、オンプレミスデータセンターと VPC 間の通信を有効にします。

  1. VPN ゲートウェイコンソールにログインします。

  2. 上部のナビゲーションバーで、VPN ゲートウェイインスタンスが存在するリージョンを選択します。

  3. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gatewayを選択します。

  4. VPN Gateway ページで、管理する VPN ゲートウェイを見つけ、その ID をクリックします。

  5. 宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。

  6. ルートエントリの追加 パネルで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    CIDR

    オンプレミスデータセンターのプライベート CIDR ブロックを入力します。この例では、172.16.0.0/12 と入力します。

    ネクストホップの種類

    IPsec 接続 を選択します。

    ネクストホップ

    ステップ 1:IPsec 接続の設定で作成した IPsec 接続を選択します。

    VPC に公開

    新しいルートを VPC ルートテーブルに発行するかどうかを指定します。この例では、はい を選択します。

    重み付け

    ルートの重みを選択します。この例では、[100] を選択します。

    • 100:高優先度。

    • 0:低優先度。

ステップ 8:接続性のテスト

  1. VSW1 の ECS1 にログインします。詳細については、「接続方法」をご参照ください。

  2. ping <データセンターサーバーの IP アドレス> コマンドを実行して、ECS1 がデータセンターサーバーにアクセスできることを確認します。

    この例では、次のコマンドを実行します。

    ping 172.16.0.124

    結果から、ECS1 がデータセンターサーバーにアクセスできることが確認できます。

    [root@iZm5ed xxx 6xsog69bpZ ~]# ping 172.16.0.124
    PING 172.16.0.124 (172.16.0.124) 56(84) bytes of data.
    64 bytes from 172.16.0.124: icmp_seq=1 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=2 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=3 ttl=62 time=15.7 ms
    64 bytes from 172.16.0.124: icmp_seq=4 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=5 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=6 ttl=62 time=15.6 ms
    64 bytes from 172.16.0.124: icmp_seq=7 ttl=62 time=15.6 ms
    ^C
    --- 172.16.0.124 ping statistics ---
    7 packets transmitted, 7 received, 0% packet loss, time 6008ms
    rtt min/avg/max/mdev = 15.578/15.605/15.665/0.136 ms
  3. データセンターサーバーにログインし、ssh root@<NAT_IP> コマンドを実行して、データセンターサーバーが ECS1 にリモート接続できるかどうかをテストします。コマンドの <NAT_IP> を VPC NAT ゲートウェイのデフォルトの NAT IP アドレスに置き換えます。その後、プロンプトが表示されたら ECS1 のログインパスワードを入力します。

    この例では、次のコマンドを実行します。

    ssh 10.0.1.43

    結果は、データセンターサーバーが VPC NAT ゲートウェイの DNAT 機能を使用して ECS1 にアクセスできることを示しています。

    [root@iZ2ze9r3txxxz25cs7cfZ ~]# ssh 10.0.1.43
    root@10.0.1.43's password:
    Welcome to Alibaba Cloud Elastic Compute Service !
    Updates Information Summary: available
        6 Security notice(s)
        6 Moderate Security notice(s)
    Run "dnf upgrade-minimal --security" to apply all updates.
    Last login: Tue Nov 30 17:40:43 2021 from 172.16.0.124
    [root@iZm5edtfgxxxixsog69bpZ ~]#