インターネット NAT ゲートウェイを使用すると、インスタンスはネットワークアドレス変換機能を使用してインターネットにアクセスできます。これにより、アドレスの露出を回避し、ネットワーク セキュリティを向上させることができます。
背景
インターネット NAT ゲートウェイは、Elastic IP アドレス (EIP) と一緒に購入することをお勧めします。インターネット NAT ゲートウェイが作成されると、EIP はインターネット NAT ゲートウェイに自動的に関連付けられます。詳細については、「インターネット NAT ゲートウェイと EIP の購入」をご参照ください。
このトピックでは、インターネット NAT ゲートウェイは標準モードで作成されます。
VPC で最初のインターネット NAT ゲートウェイを作成すると、システムは、宛先 CIDR ブロックが 0.0.0.0/0 で、ネクストホップがインターネット NAT ゲートウェイであるルートを、VPC のシステム ルートテーブルに自動的に追加します。このルートは、インターネット NAT ゲートウェイへのトラフィックをルーティングするために使用されます。 VPC にカスタム ルートテーブルがある場合、または VPC に複数のインターネット NAT ゲートウェイが存在する場合は、要件に基づいてルートを手動で追加します。詳細については、「ルートテーブルの作成と管理」をご参照ください。
インターネット NAT ゲートウェイが作成される前に、宛先 CIDR ブロックが 0.0.0.0/0 であるルートが VPC のシステム ルートテーブルに既に存在する場合、システムはインターネット NAT ゲートウェイを指すルートを自動的に追加しません。
SNAT エントリは、パブリック IP アドレスが割り当てられている ECS インスタンスには有効になりません。たとえば、ECS インスタンスに固定パブリック IP アドレスが割り当てられている場合、Elastic IP アドレス (EIP) に関連付けられている場合、または DNAT IP マッピングが設定されている場合があります。この場合、ECS インスタンスは、インターネット NAT ゲートウェイの SNAT エントリではなく、パブリック IP アドレスを使用してインターネットにアクセスします。 VPC 内の ECS インスタンスに同じ EIP を使用してインターネットにアクセスさせる場合は、「固定パブリック IP アドレスが割り当てられている ECS インスタンスを同じ EIP を使用してインターネットにアクセスするように設定する」および「DNAT IP マッピングが設定されている ECS インスタンスを同じ NAT IP アドレスを使用してインターネットにアクセスするように設定する」をご参照ください。
複数の SNAT エントリの送信元 CIDR ブロックが互いに重複している場合、最長のサブネットマスクを持つ CIDR ブロックが使用されます。
たとえば、ECS インスタンスの SNAT エントリを作成する場合、送信元 CIDR ブロックのサブネットマスクは
/32で、これは最長のサブネットマスクです。したがって、SNAT エントリの優先順位が最も高くなります。他のリソース用に作成した SNAT エントリの場合、システムは送信元 CIDR ブロックのサブネットマスク長に基づいて SNAT エントリの優先順位を決定します。送信元 CIDR ブロックのサブネットマスク長が長い SNAT エントリの優先順位が高くなります。
ECS インスタンスが既に EIP に関連付けられている場合、ECS インスタンスの DNAT エントリを作成することはできません。Elastic IP Address (EIP) ECS インスタンスの DNAT エントリを作成するには、まず EIP を ECS インスタンスから関連付け解除する必要があります。 EIP の関連付けを解除する方法の詳細については、「クラウド リソースから EIP の関連付けを解除する」をご参照ください。
前提条件
VPC と vSwitch が作成されています。詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
EIP が作成されています。詳細については、「EIP を申請する」をご参照ください。
インターネット NAT ゲートウェイを作成する
NAT ゲートウェイ コンソール にログインします。
[インターネット NAT ゲートウェイ] ページで、[インターネット NAT ゲートウェイの作成] をクリックします。
インターネット NAT ゲートウェイを初めて作成する場合は、購入ページの [サービスロールの作成] に関する注意事項セクションで [作成] をクリックして、サービスロールを作成します。サービスロールが作成された後、インターネット NAT ゲートウェイを作成できます。
詳細については、「サービスロール」をご参照ください。購入ページで、次のパラメータを設定し、[今すぐ購入] をクリックします。
パラメータ
説明
課金方法
デフォルトでは、[従量課金] が選択されています。リソースを使用した後に料金を支払うことができます。詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
リソースグループ
仮想プライベートクラウド (VPC) が属するリソースグループを選択します。詳細については、「リソースグループの概要」をご参照ください。
タグ
[タグキー]: タグキーを選択または入力します。
最大 20 個のタグキーを指定できます。タグキーは最大 64 文字で、 aliyun または acs: で始めることはできません。 http:// または https:// を含めることはできません。
[タグ値]: タグ値を選択または入力します。
最大 20 個のタグ値を指定できます。タグ値は最大 128 文字です。 aliyun または acs: で始めることはできず、 http:// または https:// を含めることはできません。
リージョン
インターネット NAT ゲートウェイを作成するリージョンを選択します。
VPC
インターネット NAT ゲートウェイを作成する VPC を選択します。インターネット NAT ゲートウェイが作成された後、インターネット NAT ゲートウェイが属する VPC を変更することはできません。
VSwitch の関連付け
インターネット NAT ゲートウェイが属する vSwitch を選択します。
計測方法
デフォルトでは、[CU 単位課金] が選択されています。使用したリソースに基づいて課金されます。詳細については、「インターネット NAT ゲートウェイの課金」をご参照ください。
請求サイクル
デフォルトでは、[時間単位] が選択されています。請求書は 1 時間ごとに生成されます。インターネット NAT ゲートウェイを 1 時間未満使用した場合、使用期間は 1 時間に切り上げられます。
インスタンス名
インターネット NAT ゲートウェイの名前を入力します。
名前は 2 ~ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を含めることができます。名前は文字で始める必要があります。
アクセスモード
インターネット NAT ゲートウェイを作成するモードを選択します。次のモードがサポートされています。
[すべての VPC リソースの SNAT]: この値を選択すると、インターネット NAT ゲートウェイは一元管理モードで作成されます。インターネット NAT ゲートウェイが作成されると、VPC 内のすべてのリソースは、NAT ゲートウェイの SNAT 機能を使用してインターネットにアクセスできます。
[すべての VPC リソースの SNAT] を選択した場合は、EIP も指定する必要があります。
[後で設定]: このオプションを選択すると、支払いが完了した後、コンソールでインターネット NAT ゲートウェイを設定できます。
[後で設定] を選択した場合、インターネット NAT ゲートウェイのみが作成されます。 SNAT エントリは作成されません。
この例では、[後で設定] が選択されています。
[確認] ページで、情報を確認し、利用規約のチェックボックスを選択して、[確認] をクリックします。
[購入済み] メッセージが表示されたら、インターネット NAT ゲートウェイが作成されます。
EIP をインターネット NAT ゲートウェイに関連付ける
2022 年 9 月 19 日以降、新しく作成されたインターネット NAT ゲートウェイに EIP を関連付ける場合、NAT ゲートウェイが存在する vSwitch のランダムなプライベート IP アドレスが使用されます。 vSwitch には、使用可能なプライベート IP アドレスが十分にあることを確認してください。そうでない場合、EIP を NAT ゲートウェイに関連付けることはできません。既存の NAT ゲートウェイは影響を受けません。
インターネット NAT ゲートウェイは、EIP をインターネット NAT ゲートウェイに関連付けた後にのみ正常に動作します。 1 つのインターネット NAT ゲートウェイに最大 20 個の EIP を関連付けることができます。 クォータ管理 ページにアクセスして、クォータの増加をリクエストできます。 EIP をインターネット NAT ゲートウェイに関連付ける前に、インターネット NAT ゲートウェイが作成されていることを確認してください。
NAT ゲートウェイ コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、インターネット NAT ゲートウェイを見つけ、[EIP] 列の [今すぐ関連付ける] をクリックします。
[EIP の関連付け] ダイアログボックスで、次のパラメータを設定し、[OK] をクリックします。
パラメータ
説明
リソースグループ
EIP のリソースグループを選択します。
EIP の選択
インターネット NAT ゲートウェイに関連付ける EIP を選択します。有効な値:
[既存の EIP を選択]: ドロップダウンリストから既存の EIP を選択します。
[EIP を購入して関連付ける]: システムは、トラフィック課金で課金される EIP を自動的に作成し、EIP をインターネット NAT ゲートウェイに関連付けます。
EIP をインターネット NAT ゲートウェイに関連付けると、EIP は [Elastic IP アドレス] 列に表示されます。
SNAT エントリを作成する
インターネット NAT ゲートウェイで SNAT エントリを設定して、ECS インスタンスにパブリック IP アドレスが割り当てられていない場合に、仮想プライベートクラウド (VPC) 内の Elastic Compute Service (ECS) インスタンスがインターネットにアクセスできるようにすることができます。
NAT ゲートウェイ コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [SNAT の設定] をクリックします。
[SNAT 管理] タブで、[SNAT エントリの作成] をクリックします。
[SNAT エントリの作成] ページで、次のパラメータを設定し、[OK] をクリックします。
VPC の指定: インターネット NAT ゲートウェイが属する VPC 内のすべての ECS インスタンスは、SNAT エントリの EIP を使用してインターネットにアクセスします。
vSwitch 粒度: vSwitch に属する ECS インスタンスは、指定された EIP を使用してインターネットにアクセスします。
[vSwitch を選択]: ドロップダウンリストから vSwitch を選択します。ドロップダウンリストから vSwitch を選択するか、[vSwitch の作成] をクリックして、VPC コンソールで vSwitch を作成できます。
複数の vSwitch を選択すると、システムは同じ EIP を使用する複数の SNAT エントリを作成します。
[vSwitch CIDR ブロック]: vSwitch の CIDR ブロックを表示します。
[ECS インスタンス/ENI を指定]: 指定された ECS インスタンスまたは ENI は、EIP を使用してインターネットにアクセスします。
[ECS または ENI で選択]: ドロップダウンリストから ECS インスタンスまたは ENI を選択します。指定された ECS インスタンスまたは ENI は、EIP を使用してインターネットにアクセスします。ドロップダウンリストから ECS インスタンスを選択するか、[ECS インスタンスの作成] をクリックして、ECS コンソールで ECS インスタンスを作成できます。複数の ECS インスタンスを選択すると、システムは同じ EIP を使用する複数の SNAT エントリを作成します。
ECS インスタンスが次の要件を満たしていることを確認してください。
ECS インスタンスは実行中状態です。
ECS インスタンスに EIP が関連付けられておらず、ECS インスタンスに固定パブリック IP アドレスが割り当てられていません。
[ECS インスタンス/ENI]: ECS インスタンスまたは ENI の CIDR ブロックを表示します。
カスタム CIDR ブロックの指定: 指定された CIDR ブロック内の ECS インスタンスは、SNAT エントリを使用してインターネットにアクセスします。
[1 つの IP アドレスを使用]: ドロップダウンリストから EIP を選択します。ドロップダウンリストに利用可能な EIP がない場合は、ドロップダウンリストから [EIP を購入して関連付ける] をクリックします。次に、表示されるダイアログボックスで EIP を購入できます。
[複数の IP アドレスを使用]: [パブリック IP アドレス] リストから複数の EIP を選択します。
複数の EIP を SNAT IP アドレスプールに追加すると、ネットワーク トラフィックは均等に各 EIP に分散されるのではなく、ハッシュ アルゴリズムに基づいて分散されます。個々の EIP が過負荷にならないように、EIP を同じインターネット共有帯域幅インスタンスに関連付けることをお勧めします。
EIP アフィニティが無効になっている場合、1 つのプライベート IP アドレスが宛先 IP アドレスに複数回アクセスするときに、毎回異なる EIP が使用される可能性があります。
EIP アフィニティが有効になっている場合、プライベート IP アドレスが宛先 IP アドレスにアクセスするたびに同じ EIP が使用されます。
セッション数が多い場合、失敗したポート割り当ての監視数が増加する可能性があります。
パラメータ | 説明 |
SNAT エントリ | VPC、vSwitch、ECS インスタンス、またはカスタム CIDR ブロックの SNAT エントリを作成するかどうかを指定します。 |
EIP の選択 | インターネットにアクセスするための 1 つ以上の EIP を選択します。 |
EIP アフィニティ | 複数の EIP を選択した場合、EIP アフィニティを有効にするかどうかを選択できます。 |
エントリ名 | SNAT エントリの名前を入力します。 |
DNAT エントリを作成する
インターネット NAT ゲートウェイの DNAT 機能を使用して、ポート マッピングまたは IP マッピングを介してパブリック IP アドレスを ECS インスタンスにマッピングできます。これにより、ECS インスタンスはインターネット経由でサービスを提供できます。Elastic Compute Service (ECS)
NAT ゲートウェイ コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [DNAT の設定] をクリックします。
[DNAT 管理] タブで、[DNAT エントリの作成] をクリックします。
[DNAT エントリの作成] ページで、次のパラメータを設定し、[確認] をクリックします。
パラメータ
説明
EIP の選択
EIP を選択します。
説明インターネット NAT ゲートウェイの場合、SNAT エントリと DNAT エントリで同じ EIP を指定できます。
プライベート IP アドレスの選択
DNAT エントリを使用してインターネットと通信する ECS インスタンスの IP アドレスを指定します。宛先プライベート IP アドレスは、次のいずれかの方法で指定できます。
[ECS または ENI で選択]: ドロップダウンリストから ECS インスタンスまたは ECS インスタンスに関連付けられている Elastic Network Interface (ENI) を選択して、プライベート IP アドレスを指定します。
[手動入力]: プライベート IP アドレスを入力します。
ポート設定
DNAT マッピング方法を選択します。
[任意のポート]: IP マッピングを指定します。 EIP 宛てのリクエストは、指定された ECS インスタンスに転送されます。指定された ECS インスタンスは、EIP を使用してインターネットにアクセスできます。
説明DNAT エントリの EIP に IP マッピングが設定されている場合、EIP は別の DNAT エントリまたは SNAT エントリで使用できません。
インターネット NAT ゲートウェイに、IP マッピングを使用する SNAT エントリと DNAT エントリが設定されている場合、ECS インスタンスは優先的に DNAT を使用してインターネットにアクセスします。
[特定のポート]: ポート マッピングを指定します。インターネット NAT ゲートウェイは、指定されたプロトコルとポートに基づいて、選択された ECS インスタンスにリクエストを転送します。
[特定のポート] を選択した後、ビジネス要件に基づいて次のパラメータを設定します。
[パブリック ポート]: ポート フォワーディングで使用される外部ポートまたはポート範囲。
有効な値: 1 ~ 65535。
ポート範囲を指定するには、最初のポートと最後のポートをスラッシュ (/) で区切ります (例: 10/20)。
[パブリック ポート] がポート範囲に設定されている場合、[プライベート ポート] もポート範囲に設定する必要があります。さらに、パブリック ポート範囲とプライベート ポート範囲では、同じ数のポートを指定する必要があります。たとえば、[パブリック ポート] を 10/20 に設定した場合、[プライベート ポート] を 80/90 に設定できます。
選択した EIP が既に SNAT エントリで指定されており、ポート番号が
1024より大きい場合は、[ポート制限の削除] をクリックし、[OK] をクリックします。これは、デフォルトの SNAT ポート範囲が 1025 ~ 65535 であるためです。警告この操作により、既存の SNAT 接続が一時的に中断される場合があります。接続を再確立することで、この問題を解決できます。注意して進めてください。
[プライベート ポート]: ポート フォワーディングで使用されるプライベート ポートまたはポート範囲。
[プロトコル タイプ]: ポートで使用されるプロトコル。
エントリ名
DNAT エントリの名前を入力します。
名前は 2 ~ 128 文字で、数字、アンダースコア (_)、ハイフン (-) を含めることができます。文字で始める必要があります。
説明ECS インスタンスの DNAT エントリを作成した後、ECS インスタンスに関連付けられているセキュリティグループのセキュリティグループ ルールを設定する必要があります。セキュリティグループのインバウンド ルールの追加方法については、「セキュリティグループ ルールの追加」をご参照ください。
インターネット NAT ゲートウェイにタグを追加する
ビジネスの成長に伴い、インターネット NAT ゲートウェイの数も増加する可能性があります。これにより、管理が難しい多数のゲートウェイが発生する可能性があります。グループで管理するために、インターネット NAT ゲートウェイにタグを追加することをお勧めします。タグを追加した後、タグでインターネット NAT ゲートウェイを検索およびフィルタリングできます。
タグは、エンドポイントを分類するために使用されます。各タグは、キーと値で構成されます。タグを使用するには、次の要件が満たされていることを確認してください。
インターネット NAT ゲートウェイに追加される各タグのキーは一意である必要があります。
インターネット NAT ゲートウェイに追加せずにタグを作成することはできません。すべてのタグは、インターネット NAT ゲートウェイに追加する必要があります。
タグ情報はリージョン間で共有されません。
たとえば、中国 (杭州) リージョンで作成されたタグは、中国 (上海) リージョンには表示されません。
タグのキーと値を変更したり、インターネット NAT ゲートウェイからタグを削除したりできます。インターネット NAT ゲートウェイを削除すると、インターネット NAT ゲートウェイに追加されたタグは削除されます。
各インターネット NAT ゲートウェイには最大 20 個のタグを追加できます。クォータを増やすことはできません。
NAT ゲートウェイ コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、インターネット NAT ゲートウェイを見つけ、[タグ] 列の
にポインタを移動し、[追加] または [編集] をクリックします。[タグの設定] ダイアログボックスで、次のパラメータを設定し、[OK] をクリックします。
パラメータ
説明
タグキー
タグのキー。キーを選択または入力できます。
タグキーは最大 128 文字です。
aliyunまたはacs:で始めることはできず、http://またはhttps://を含めることはできません。タグ値
タグの値。値を選択または入力できます。
タグ値は最大 128 文字です。
aliyunまたはacs:で始めることはできず、http://またはhttps://を含めることはできません。[インターネット NAT ゲートウェイ] ページに戻り、[タグでフィルタリング] をクリックします。 [タグでフィルタリング] ダイアログボックスで、タグキーとタグ値を指定して、インターネット NAT ゲートウェイを検索できます。
インターネット NAT ゲートウェイを変更する
NAT ゲートウェイ コンソール にログインします。
上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。
[インターネット NAT ゲートウェイ] ページで、管理する NAT ゲートウェイを見つけ、[アクション] 列の [管理] をクリックします。
[基本情報] タブの [基本情報] セクションで、次の操作を実行してインターネット NAT ゲートウェイを変更できます。
インターネット NAT ゲートウェイの名前を変更する
[インスタンス名] の横にある [編集] をクリックします。表示されたダイアログボックスで、新しい名前を入力し、[OK] をクリックします。
インターネット NAT ゲートウェイの説明を変更する
[説明] の横にある [編集] をクリックします。表示されたダイアログボックスで、インターネット NAT ゲートウェイの新しい説明を入力し、[OK] をクリックします。
削除保護を有効または無効にする
[削除保護] の横にある [削除保護を有効にする] または [削除保護を無効にする] をクリックします。
ICMP 取得を有効または無効にする
[ICMP 取得] の横にあるスイッチをオンまたはオフにします。
説明デフォルトでは、NAT ゲートウェイでは ICMP 取得が有効になっています。この場合、NAT ゲートウェイは ICMP パケットを返すことができます。 ping コマンドを実行してプローブを実行すると、応答パケットは NAT ゲートウェイを介して返されます。ただし、これはバックエンドサーバーが想定どおりに実行されていることを意味するものではありません。したがって、ICMP 取得が有効になっていると、O&M システムのプローブの精度に影響を与える可能性があります。 ICMP 取得が無効になっている場合、NAT ゲートウェイは ICMP パケットを返しません。 DNAT に [任意のポート] が指定されている場合、NAT ゲートウェイは ICMP パケットをバックエンドサーバーに転送します。
次の手順
操作 | 説明 |
SNAT エントリの変更 |
|
SNAT エントリの削除 |
|
DNAT エントリの変更 |
|
DNAT エントリの削除 |
|
インターネット NAT ゲートウェイからの EIP の関連付けの解除 | 関連付けを解除する EIP が SNAT エントリまたは DNAT エントリで使用されていないことを確認します。EIP が SNAT エントリまたは DNAT エントリで使用されている場合は、最初に SNAT エントリまたは DNAT エントリを削除します。
|
インターネット NAT ゲートウェイの削除 |
|
> [削除]参照
CreateNatGateway: インターネット NAT ゲートウェイを作成します。
AssociateEipAddress: インスタンスに EIP を関連付けます。
CreateSnatEntry: SNAT エントリを作成します。
CreateForwardEntry: DNAT エントリを作成します。
DeleteSnatEntry: SNAT エントリを削除します。
DeleteForwardEntry: DNAT エントリを削除します。
UnassociateEipAddress: インスタンスから EIP の関連付けを解除します。
TagResources: インスタンスにタグを追加します。
ModifyNatGatewayAttribute: インターネット NAT ゲートウェイの基本情報を変更します。
DeleteNatGateway: インターネット NAT ゲートウェイを削除します。