VPC NAT ゲートウェイの作成と管理 - NAT Gateway - Alibaba Cloud ドキュメントセンター

VPC NAT ゲートウェイの作成と削除

コンソール

VPC NAT ゲートウェイの作成

NATゲートウェイの購入ページに移動します。
- [課金方法]：従量課金。
- [リージョン]：リージョンを選択します。
- [ネットワーク & ゾーン]：VPC と vSwitch を選択します。
確認ページで設定を確認し、利用規約に同意してから、今すぐ有効化 をクリックします。
作成したインスタンスを VPC NAT ゲートウェイ ページで表示します。
- 基本情報 タブには、ゲートウェイの VPC と vSwitch が表示されます。
- NAT IP アドレス タブには、デフォルトの NAT CIDR ブロックと NAT IP アドレスが表示されます。
  
  デフォルトの NAT IP アドレスは、vSwitch の CIDR ブロックからランダムに割り当てられます。デフォルトの CIDR ブロックとデフォルトの IP アドレスはいずれも削除できません。

VPC NAT ゲートウェイの削除

対象の VPC NAT ゲートウェイインスタンスの操作列で、削除をクリックします。

削除する前に、すべての SNAT エントリ、DNAT エントリ、カスタム NAT IP アドレス、およびカスタム NAT CIDR ブロックを削除してください。または、インスタンスを強制的に削除すると、ゲートウェイと関連するすべてのリソースが完全に削除されます。この操作は慎重に行ってください。

API

CreateNatGateway API を呼び出して VPC NAT ゲートウェイを作成します。
DeleteNatGateway API を呼び出して VPC NAT ゲートウェイを削除します。

NAT IP と CIDR ブロックの設定

VPC NAT ゲートウェイを作成すると、システムはゲートウェイの vSwitch の CIDR ブロックをデフォルトの NAT CIDR ブロックとして使用します。必要に応じて、追加の NAT CIDR ブロックを作成できます。

NAT IP アドレスは、SNAT エントリまたは DNAT エントリの作成に使用されます。デフォルトの NAT IP アドレスは、vSwitch の CIDR ブロックからランダムに割り当てられます。NAT CIDR ブロックから NAT IP アドレスを追加すると、変換に利用できるプライベートアドレスのプールが増加します。

コンソール

NAT CIDR ブロックの作成

VPC NATゲートウェイページに移動し、リージョンを選択します。
ゲートウェイ ID をクリックして詳細ページを開きます。NAT IP アドレス タブをクリックし、CIDR ブロックの作成 をクリックします。CIDR ブロックは、以下の条件を満たす必要があります。
- RFC 1918 のプライベート CIDR ブロック (10.0.0.0/16、172.16.0.0/16、192.168.0.0/16 など) を使用し、サブネットマスクは 16～32 ビットである必要があります。パブリック CIDR ブロックを使用するには、まず VPC でユーザー定義 CIDR ブロックとして追加します。
- NAT CIDR ブロックは、VPC のプライベート CIDR ブロックと重複することはできません。VPC の CIDR ブロック内のアドレスを変換するには、その CIDR ブロックに vSwitch を作成し、その vSwitch に新しい VPC NAT ゲートウェイを作成します。

NAT IP アドレスの追加

VPC NATゲートウェイページに移動し、リージョンを選択します。
ゲートウェイ ID をクリックして詳細ページを開きます。NAT IP アドレス タブをクリックし、NAT IP アドレスの追加 をクリックします。
- [CIDR ブロックの選択]：既存の NAT CIDR ブロックを選択するか、新しいブロックを作成します。
- [割り当て方法]：ランダムに割り当て を選択するか、手動で割り当て を選択して、選択した CIDR ブロックから IP アドレス を指定します。

NAT IP アドレスの削除

デフォルトの NAT IP アドレスは削除できません。

対象の NAT IP アドレスの操作列で、削除をクリックします。複数の NAT IP アドレスを一度に削除するには、それらを選択し、リストの下部にある削除をクリックします。

NAT CIDR ブロックの削除

デフォルトの NAT CIDR ブロックは削除できません。

対象の NAT CIDR ブロックの横にあるアイコンをクリックします。CIDR ブロックを削除する前に、その中のすべての NAT IP アドレスを削除してください。

API

CreateNatIpCidr API を呼び出して NAT CIDR ブロックを作成します。
CreateNatIp API を呼び出して NAT IP アドレスを追加します。
DeleteNatIp API を呼び出して NAT IP アドレスを削除します。
DeleteNatIpCidr API を呼び出して NAT CIDR ブロックを削除します。

SNAT エントリの設定

SNAT エントリを使用すると、VPC リソースが NAT IP アドレスを使用して他の VPC やオンプレミスネットワークにアクセスできます。

コンソール

SNAT エントリの作成

VPC NATゲートウェイページに移動し、リージョンを選択します。
対象の VPC NAT ゲートウェイインスタンスの操作列で、SNAT の管理 をクリックし、SNAT エントリの作成 をクリックします。
- [SNAT エントリ]：SNAT エントリのスコープを選択します。
  - [VPC の指定]：すべての VPC CIDR ブロックが、このルールを使用して外部プライベートネットワークにアクセスできます。
  - [vSwitch 粒度]：選択した vSwitch 内の ECS インスタンスが、このルールを使用して外部プライベートネットワークにアクセスできます。
    - [VPC]：vSwitch を選択するか、作成をクリックして VPC コンソールで作成します。
    - [vSwitch の CIDR ブロック]：選択した vSwitch の CIDR ブロックが表示されます。
  - [ECS インスタンスの指定]：選択した ECS インスタンスが、このルールを使用して外部プライベートネットワークにアクセスできます。
    - [ECS インスタンスの選択]：ECS インスタンスを選択するか、ECS インスタンスの作成 をクリックして作成します。複数のインスタンスを選択すると、同じ NAT IP アドレスを持つ複数の SNAT エントリが作成されます。インスタンスは実行中である必要があります。
    - [ECS の CIDR ブロック]：選択した ECS インスタンスの CIDR ブロックが表示されます。
  - [カスタム CIDR ブロックの指定]：指定した CIDR ブロック内のすべての ECS インスタンスが、このルールを使用して外部プライベートネットワークにアクセスできます。
- [NAT IP アドレスの選択]：外部プライベートネットワークへのアクセスに使用する 1 つ以上の NAT IP アドレスを選択します。NAT IP アドレスの作成 を選択して、新しいアドレスを作成します。
- [NAT IP アフィニティ]：複数の NAT IP アドレスが選択されている場合、デフォルトではアフィニティは無効になっています。つまり、同じ送信元 IP が同じ宛先に対して異なる NAT IP を使用する可能性があります。アフィニティを有効にすると、常に同じ NAT IP アドレスが使用されるようになります。
エントリ作成後、エントリの編集列にある操作をクリックして、NAT IP アドレスと NAT IP アフィニティの設定を変更できます。

SNAT エントリの削除

VPC NAT ゲートウェイの詳細ページの SNAT の管理 タブで、対象の SNAT エントリの操作列にある削除をクリックします。

API

CreateSnatEntry API を呼び出して SNAT エントリを作成します。
DeleteSnatEntry API を呼び出して SNAT エントリを削除します。

DNAT エントリの設定

DNAT エントリは、NAT IP アドレスを VPC 内の ECS インスタンスにマッピングし、これらのインスタンスが外部プライベートネットワークにサービスを提供できるようにします。

コンソール

DNAT エントリの作成

VPC NATゲートウェイページに移動し、リージョンを選択します。
対象の VPC NAT ゲートウェイインスタンスの操作列で、DNAT の管理 をクリックし、DNAT エントリの作成 をクリックします。
- [NAT IP アドレスの選択]：外部プライベートネットワークへのアクセスに使用する NAT IP アドレスを選択します。同じ NAT IP アドレスは、DNAT ポートマッピングエントリと SNAT エントリ間で共有できます。
- [プライベート IP アドレスの選択]：DNAT トラフィックを受信するプライベート IP アドレスを選択します。ECS または ENI で選択 または 手動で入力 でアドレスを指定できます。
- [ポート設定]：DNAT マッピングを設定します。
  - [任意のポート]：IP マッピングを作成します。この NAT IP アドレスへのすべてのリクエストは、ターゲットの ECS インスタンスに転送されます。このインスタンスは、アウトバウンドアクセスにもこの NAT IP アドレスを使用できます。
    
    IP マッピングに使用する NAT IP アドレスは、他の DNAT エントリや SNAT エントリと共有することはできません。
    
    DNAT の IP マッピングエントリと SNAT エントリの両方が存在する場合、ECS インスタンスはアウトバウンドアクセスに DNAT の IP マッピングの NAT IP アドレスを優先的に使用します。
  - [特定のポート]：ポートマッピングを作成します。ゲートウェイは、NAT IP アドレスの指定されたプロトコルとポートへのリクエストを、ターゲット ECS インスタンスの指定されたポートに転送します。[フロントエンドポート] (外部ネットワークからアクセスされるポート)、[バックエンドポート] (ターゲット ECS インスタンスのポート)、および プロトコルタイプ を設定します。
    - ポート番号は 1～65535 の範囲内である必要があります。
    - NAT IP アドレスがすでに SNAT エントリで使用されており、1024 を超えるポート番号が必要な場合は、ポートブレイクスルーを有効にする を行う必要があります。デフォルトの SNAT ポート範囲は 1025～65535 です。このオプションを有効にすると、既存の SNAT 接続が一時的に中断される可能性があります。
エントリ作成後、エントリの編集列にある操作をクリックして、NAT IP アドレス、プライベート IP アドレス、ポート設定を変更できます。

DNAT エントリの削除

VPC NAT ゲートウェイの詳細ページの DNAT の管理 タブで、対象の DNAT エントリの操作列にある削除をクリックします。

API

CreateForwardEntry API を呼び出して DNAT エントリを作成します。
DeleteForwardEntry API を呼び出して DNAT エントリを削除します。

ルートの設定

使用する NAT CIDR ブロックのタイプに基づいてルートを設定します。

デフォルトの NAT CIDR ブロックを使用する場合：
- VPC のシステムルートテーブルで、宛先をピアネットワークの CIDR ブロック、ネクストホップを VPC NAT ゲートウェイに設定したルートを追加します。
- ゲートウェイの vSwitch 用にカスタムルートテーブルを作成します。ピアネットワークへの動的ルート (CEN からなど) が学習されているかどうかを確認します。
  - 動的ルートが存在する場合、手動でのルート設定は不要です。
  - 動的ルートが存在しない場合、宛先をピアネットワークの CIDR ブロック、ネクストホップをピアデバイス (VBR や CEN など) に設定したルートを手動で追加します。
カスタム NAT CIDR ブロックを使用する場合：
- VPC のシステムルートテーブルで、宛先をカスタム NAT CIDR ブロック、ネクストホップを VPC NAT ゲートウェイに設定したルートを追加します。
- 同じルートテーブルで、宛先をピアネットワークの CIDR ブロック、ネクストホップを VPC NAT ゲートウェイに設定した別のルートを追加します。
- ゲートウェイの vSwitch 用にカスタムルートテーブルを作成します。宛先をピアネットワークの CIDR ブロック、ネクストホップをピアデバイス (ルーターインターフェイスや transit router など) に設定したルートを追加します。
- カスタム NAT CIDR ブロックを使用するリソースと、オンプレミスまたはクロス VPC リソース間の通信を有効にするには、Enterprise Edition transit router を使用します。