すべてのプロダクト
Search

このプロダクト

    NAT Gateway:インターネットNATゲートウェイの作成と管理

    ドキュメントセンター

    NAT Gateway:インターネットNATゲートウェイの作成と管理

    最終更新日:Oct 18, 2024

    インターネットNATゲートウェイを使用すると、インスタンスはネットワークアドレス変換機能を使用してインターネットにアクセスできます。 これにより、アドレスの公開が回避され、ネットワークセキュリティが向上します。

    背景情報

    • elastic IPアドレス (EIP) と一緒にインターネットNATゲートウェイを購入することを推奨します。 インターネットNATゲートウェイが作成されると、EIPはインターネットNATゲートウェイに自動的に関連付けられます。 詳細については、「インターネットNATゲートウェイとEIPの購入」をご参照ください。

      このトピックでは、インターネットNATゲートウェイは標準モードで作成されます。

    • 仮想プライベートクラウド (VPC) に最初のインターネットNATゲートウェイを作成すると、送信先CIDRブロックが0.0.0.0/0で、ネクストホップがインターネットNATゲートウェイであるルートがVPCのシステムルートテーブルに自動的に追加されます。 このルートは、トラフィックをインターネットNATゲートウェイにルーティングするために使用されます。 VPCにカスタムルートテーブルがある場合、またはVPCに複数のインターネットNATゲートウェイが存在する場合は、要件に基づいて手動でルートを追加します。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

      インターネットNATゲートウェイが作成される前に、宛先CIDRブロックが0.0.0.0/0であるルートがVPCのシステムルートテーブルにすでに存在する場合、システムはインターネットNATゲートウェイを指すルートを自動的に追加しません。

    • SNATエントリは、パブリックIPアドレスが割り当てられているElastic Compute Service (ECS) インスタンスには適用されません。 たとえば、ECSインスタンスに静的パブリックIPアドレスを割り当てたり、EIPに関連付けたり、DNAT IPマッピングを設定したりできます。 この場合、ECSインスタンスは、インターネットNATゲートウェイのSNATエントリの代わりにパブリックIPアドレスを使用してインターネットにアクセスします。 VPC内のECSインスタンスが同じEIPを使用してインターネットにアクセスする場合は、「静的パブリックIPアドレスが割り当てられているECSインスタンスを構成して同じEIPを使用してインターネットにアクセスする」および「DNAT IPマッピングで構成されているECSインスタンスを構成して同じNAT IPアドレスを使用してインターネットにアクセスする」をご参照ください。

    • 複数のSNATエントリのソースCIDRブロックが互いに重複する場合、最も長いサブネットマスクを有するCIDRブロックが使用されます。

      • たとえば、ECSインスタンスのSNATエントリを作成した場合、ソースCIDRブロックのサブネットマスクは /32であり、これは最長のサブネットマスクです。 したがって、SNATエントリの優先度が最も高くなります。

      • 他のリソース用に作成したSNATエントリの場合、ソースCIDRブロックのサブネットマスクの長さに基づいてSNATエントリの優先度が決定されます。 ソースCIDRブロックのサブネットマスク長が長いSNATエントリの優先度が高くなります。

    • ECSインスタンスがすでにEIPに関連付けられている場合、ECSインスタンスのDNATエントリを作成することはできません。 ECSインスタンスのDNATエントリを作成する前に、ECSインスタンスからEIPの関連付けを解除する必要があります。 EIPの関連付けを解除する方法の詳細については、「クラウドリソースからEIPの関連付けを解除する」をご参照ください。

    前提条件

    インターネットNATゲートウェイの作成

    1. NAT Gatewayコンソールにログインします。

    2. [インターネットNATゲートウェイ] ページで、[NATゲートウェイの作成] をクリックします。

    3. 初めてインターネットNATゲートウェイを作成するときは、購入ページの [サービスにリンクされたロールの作成] セクションの [作成] をクリックして、サービスにリンクされたロールを作成します。 サービスにリンクされたロールの作成後、インターネットNATゲートウェイを作成できます。

      创建角色 詳細については、「サービスにリンクされたロール」をご参照ください。

    4. 購入ページで、次のパラメーターを設定し、今すぐ購入をクリックします。

      パラメーター

      説明

      課金方法

      デフォルトでは、従量課金が選択されています。 使用後にリソースの料金を支払うことができます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

      リソースグループ

      仮想プライベートクラウド (VPC) が属するリソースグループを選択します。 詳細については、「リソースグループの概要」をご参照ください。

      タグ

      • タグキー: タグキーを選択または入力します。

        最大20個のタグキーを指定できます。 タグキーの長さは最大64文字で、先頭をaliyunまたはacs: にすることはできません。 http:// または https:// を含めることはできません。

      • タグ値: タグ値を選択または入力します。

        最大20個のタグ値を指定できます。 タグ値の長さは最大128文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

      リージョン

      インターネットNATゲートウェイを作成するリージョンを選択します。

      [VPC]

      インターネットNATゲートウェイを作成するVPCを選択します。 インターネットNATゲートウェイの作成後、インターネットNATゲートウェイが属するVPCを変更することはできません。

      vSwitchの関連付け

      インターネットNATゲートウェイが属するvSwitchを選択します。

      課金方法

      デフォルトでは、Pay-By-CUが選択されています。 使用したリソースに基づいて課金されます。 詳細については、「インターネットNATゲートウェイの課金」をご参照ください。

      課金サイクル

      デフォルトでは、[時間単位] が選択されています。 請求書は 1 時間ごとに作成されます。 インターネットNATゲートウェイの使用期間が1時間未満の場合、使用期間は1時間に切り上げられます。

      [インスタンス名]

      インターネットNATゲートウェイの名前を入力します。

      名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は英字とする必要があります。

      アクセスモード

      インターネットNATゲートウェイを作成するモードを選択します。 次のモードがサポートされています。

      • SNAT for All VPC Resources: この値を選択すると、インターネットNATゲートウェイがユニファイドアクセスモードで作成されます。 インターネットNATゲートウェイが作成されると、VPC内のすべてのリソースは、NATゲートウェイのSNAT機能を使用してインターネットにアクセスできます。

        [SNAT for All VPC Resources] を選択した場合、EIPも指定する必要があります。

      • 後で設定: このオプションを選択すると、支払い完了後にコンソールでインターネットNATゲートウェイを設定できます。

        [後で設定] を選択した場合、インターネットNATゲートウェイのみが作成されます。 SNATエントリは作成されません。

      この例では、[後で設定] が選択されています。

    5. 確認ページで情報を確認し、[利用規約] チェックボックスをオンにして、確認をクリックします。

      Purchasedメッセージが表示されると、インターネットNATゲートウェイが作成されます。

    EIPをインターネットNATゲートウェイに関連付ける

    説明

    2022年9月19日以降、EIPを新しく作成したインターネットNATゲートウェイに関連付けると、NATゲートウェイが存在するvSwitchのランダムなプライベートIPアドレスが使用されます。 vSwitchに使用可能な十分なプライベートIPアドレスがあることを確認してください。 それ以外の場合、EIPをNATゲートウェイに関連付けることはできません。 既存のNAT Gatewayは影響を受けません。

    インターネットNATゲートウェイは、EIPをインターネットNATゲートウェイに関連付けた後にのみ、想定どおりに機能します。 最大20のEIPをインターネットNATゲートウェイに関連付けることができます。 クォータ管理ページに移動して、クォータの増加をリクエストできます。 EIPをインターネットNATゲートウェイに関連付ける前に、インターネットNATゲートウェイが作成されていることを確認してください。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    3. インターネットNATゲートウェイページで、インターネットNATゲートウェイを見つけて、EIP列の今すぐ関連付けるをクリックします。

    4. EIPの関連付けダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

      パラメーター

      説明

      リソースグループ

      EIPのリソースグループを選択します。

      EIPの選択

      インターネットNATゲートウェイに関連付けるEIPを選択します。 有効な値:

      • [既存のEIPの選択]: ドロップダウンリストから既存のEIPを選択します。

      • EIPの購入と関連付け: システムは、データ転送ごとに課金されるEIPを自動的に作成し、EIPをインターネットNATゲートウェイに関連付けます。

      EIPをインターネットNATゲートウェイに関連付けると、EIPアドレス列にEIPが表示されます。

    SNATエントリの作成

    インターネットNATゲートウェイでSNATエントリを設定して、ECSインスタンスにパブリックIPアドレスが割り当てられていない場合、VPC内のECSインスタンスがインターネットにアクセスできるようにすることができます。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。

    4. SNAT管理タブで、SNATエントリの作成をクリックします。

    5. SNATエントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

      パラメーター

      説明

      SNATエントリ

      VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。

      • VPC の指定: インターネットNATゲートウェイが属するVPC内のすべてのECSインスタンスは、SNATエントリのEIPを使用してインターネットにアクセスします。

      • vSwitch 粒度: vSwitchに属するECSインスタンスは、指定されたEIPを使用してインターネットにアクセスします。

        • [vSwitchの選択]: ドロップダウンリストからvSwitchを選択します。 ドロップダウンリストからvSwitchを選択するか、[vSwitchの作成] をクリックしてVPCコンソールでvSwitchを作成します。

          複数のvSwitchを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。

        • vSwitch CIDRブロック: vSwitchのCIDRブロックを表示します。

      • ECSインスタンス /ENIの指定: 指定されたECSインスタンスまたはENIは、EIPを使用してインターネットにアクセスします。

        • ECSまたはENIで選択: ドロップダウンリストからECSインスタンスまたはENIを選択します。 指定されたECSインスタンスまたはENIは、EIPを使用してインターネットにアクセスします。 ドロップダウンリストからECSインスタンスを選択するか、[ECSインスタンスの作成] をクリックしてECSコンソールでECSインスタンスを作成します。 複数のECSインスタンスを選択した場合、システムは同じEIPを使用する複数のSNATエントリを作成します。

          ECSインスタンスが次の要件を満たしていることを確認します。

          • ECSインスタンスは [実行中] 状態です。

          • ECSインスタンスにEIPが関連付けられておらず、ECSインスタンスに静的パブリックIPアドレスが割り当てられていません。

        • ECSインスタンス /ENI: ECSインスタンスまたはENIのCIDRブロックを表示します。

      • カスタム CIDR ブロックの指定: 指定されたCIDRブロック内のECSインスタンスは、SNATエントリを使用してインターネットにアクセスします。

      EIPの選択

      1つ以上のEIPを選択してインターネットにアクセスします。

      • 1つのIPアドレスを使用: ドロップダウンリストからEIPを選択します。 ドロップダウンリストで利用可能なEIPがない場合は、ドロップダウンリストから [EIPの購入と関連付け] をクリックします。 次に、表示されるダイアログボックスでEIPを購入できます。

      • [複数のIPアドレスを使用]: [パブリックIPアドレス] リストから複数のEIPを選択します。

        SNAT IPアドレスプールに複数のEIPを追加すると、ネットワークトラフィックは各EIPに均等に分散されるのではなく、ハッシュアルゴリズムに基づいて分散されます。 個々のEIPが過負荷になるのを防ぐために、EIPを同じインターネット共有帯域幅インスタンスに関連付けることを推奨します。

      EIPアフィニティ

      複数のEIPを選択した場合、EIPアフィニティを有効にするかどうかを選択できます。

      1つのプライベートIPアドレスが宛先IPアドレスに複数回アクセスする場合、毎回異なるEIPを使用することができます。 EIPアフィニティを有効にすると、プライベートIPアドレスが宛先IPアドレスにアクセスするたびに同じEIPが使用されます。

      エントリ名

      SNATエントリの名前を入力します。

    DNATエントリの作成

    Internet NAT GatewayのDNAT機能を使用して、ポートマッピングまたはIPマッピングを使用してパブリックIPアドレスをECSインスタンスにマッピングできます。 これにより、ECSインスタンスはインターネット経由でサービスを提供できます。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [DNATの設定] をクリックします。

    4. DNAT管理タブで、DNATエントリの作成をクリックします。

    5. DNATエントリの作成ページで、次のパラメーターを設定し、確認をクリックします。

      パラメーター

      説明

      EIPの選択

      EIPを選択します。

      説明

      インターネットNATゲートウェイの場合、SNATエントリとDNATエントリで同じEIPを指定できます。

      プライベートIPアドレスの選択

      DNATエントリを使用してインターネットと通信するECSインスタンスのIPアドレスを指定します。 次のいずれかの方法で、宛先プライベートIPアドレスを指定できます。

      • ECSまたはENIで選択: ドロップダウンリストからECSインスタンスまたはECSインスタンスに関連付けられているelastic network interface (ENI) を選択して、プライベートIPアドレスを指定します。

      • 手動で入力: プライベートIPアドレスを入力します。

      ポート設定

      DNATマッピング方法を選択します。

      • Any Port: IPマッピングを指定します。 EIP宛てのリクエストは、指定されたECSインスタンスに転送されます。 指定されたECSインスタンスは、EIPを使用してインターネットにアクセスできます。

        説明

        • DNATエントリのEIPに対してIPマッピングが設定されている場合、別のDNATエントリまたはSNATエントリでEIPを使用することはできません。

        • インターネットNATゲートウェイにSNATエントリとIPマッピングを使用するDNATエントリが設定されている場合、ECSインスタンスは優先的にDNATを使用してインターネットにアクセスします。

      • Specific Port: ポートマッピングを指定します。 インターネットNATゲートウェイは、指定されたプロトコルとポートに基づいて、選択したECSインスタンスにリクエストを転送します。

        [特定のポート] を選択した後、ビジネス要件に基づいて次のパラメーターを設定します。

        • パブリックポート: ポート転送で使用される外部ポートまたはポート範囲。

          • 有効な値: -1 から 65535

          • ポート範囲を指定するには、最初のポートと最後のポートをスラッシュ (/) (10/20など) で区切ります。

          • パブリックポートがポート範囲に設定されている場合は、プライベートポートもポート範囲に設定する必要があります。 さらに、パブリックポート範囲とプライベートポート範囲は同じ数のポートを指定する必要があります。 たとえば、[パブリックポート]10/20に設定した場合、[プライベートポート]80/90に設定できます。

          選択したEIPがSNATエントリで既に指定されており、ポート番号が1024より大きい場合は、デフォルトのSNATポート範囲が65535に1025されているため、[ポート制限の削除] をクリックし、[OK] をクリックします。

          警告

          この動作は、既存のSNAT接続を一時的に中断する。 接続を再確立することでこの問題を解決できます。 作業は慎重に行ってください。

        • プライベートポート: ポート転送で使用されるプライベートポートまたはポート範囲。

        • プロトコルタイプ: ポートによって使用されるプロトコル。

      エントリ名

      DNATエントリの名前を入力します。

      名前は2 ~ 128文字で、数字、アンダースコア (_) 、ハイフン (-) を使用できます。 先頭は文字である必要があります。

      説明

      ECSインスタンスのDNATエントリを作成した後、ECSインスタンスに関連付けられているセキュリティグループのセキュリティグループルールを設定する必要があります。 詳細については、「セキュリティグループルールの追加」をご参照ください。

    インターネットNATゲートウェイにタグを追加する

    ビジネスの成長に伴い、インターネットNATゲートウェイの数も増加する可能性があります。 これは、管理するのが難しいかもしれない多数のゲートウェイをもたらす。 インターネットNAT Gatewayにタグを追加して、グループごとに管理することを推奨します。 タグを追加すると、タグでインターネットNATゲートウェイを検索してフィルタリングできます。

    タグはエンドポイントの分類に使用されます。 各タグはキーと値で構成されています。 タグを使用するには、次の要件が満たされていることを確認します。

    • インターネットNATゲートウェイに追加される各タグのキーは一意である必要があります。

    • インターネットNATゲートウェイにタグを追加せずにタグを作成することはできません。 すべてのタグをインターネットNATゲートウェイに追加する必要があります。

    • タグ情報はリージョンを超えては共有されません。

      たとえば、中国 (杭州) リージョンで作成されたタグは、中国 (上海) リージョンには表示されません。

    • タグのキーと値を変更したり、インターネットNATゲートウェイからタグを削除したりできます。 インターネットNATゲートウェイを削除すると、インターネットNATゲートウェイに追加されたタグが削除されます。

    • 各インターネットNATゲートウェイに最大20個のタグを追加できます。 クォータを増やすことはできません。

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    3. インターネットNATゲートウェイページでインターネットNATゲートウェイを見つけ、タグ列でポインタを标签图标での上に移動し、追加または編集をクリックします。

    4. タグの設定ダイアログボックスで、次のパラメーターを設定し、OKをクリックします。

      パラメーター

      説明

      タグキー

      タグのキー。 キーを選択または入力できます。

      タグキーの長さは、最大 128 文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

      タグ値

      タグの値。 値を選択または入力できます。

      タグの値の長さは、最大 128 文字です。 aliyunまたはacs: で始めることはできません。また、http:// またはhttps:// を含めることはできません。

    5. [インターネットNATゲートウェイ] ページに戻り、[タグでフィルター] をクリックします。 [タグでフィルタリング] ダイアログボックスで、インターネットNATゲートウェイを検索するためのタグキーとタグ値を指定できます。

    インターネットNATゲートウェイの変更

    1. NAT Gatewayコンソールにログインします。

    2. 上部のナビゲーションバーで、インターネットNATゲートウェイを作成するリージョンを選択します。

    3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [管理] をクリックします。

    4. 基本情報タブの基本情報セクションで、次の操作を実行してインターネットNATゲートウェイを変更できます。

      • インターネットNATゲートウェイの名前を変更する

        [インスタンス名] の横にある [編集] をクリックします。 表示されるダイアログボックスで、新しい名前を入力し、[OK] をクリックします。

      • インターネットNATゲートウェイの説明を変更する

        [説明] の横にある [編集] をクリックします。 表示されるダイアログボックスで、インターネットNATゲートウェイの新しい説明を入力し、[OK] をクリックします。

      • 削除保護の有効化または無効化

        [削除保護の有効化] または [削除保護] の横にある [削除保護の無効化] をクリックします。

      • ICMP取得の有効化または無効化

        ICMP取得の横にあるスイッチをオンまたはオフにします。

        説明

        デフォルトでは、NAT GatewayのICMP取得が有効になっています。 この場合、NAT GatewayはICMPパケットを返すことができます。 pingコマンドを実行してプローブを実行すると、NATゲートウェイを介して応答パケットが返されます。 ただし、これはバックエンドサーバーが期待どおりに実行されているという意味ではありません。 したがって、ICMP検索を有効にすると、O&Mシステムのプローブの精度に影響を与える可能性があります。 ICMP取得が無効になっている場合、NAT GatewayはICMPパケットを返しません。 DNATにAny Portが指定されている場合、NAT GatewayはICMPパケットをバックエンドサーバーに転送します。

    次に何をすべきか

    API 操作

    手順

    SNATエントリの変更

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [操作] 列の [SNATの設定] をクリックします。

    3. [SNATエントリで使用] セクションで、管理するSNATエントリを見つけ、[操作] 列の [編集] をクリックします。

    4. [SNATエントリの編集] ページで、EIP、EIPアフィニティ、またはエントリ名を変更し、[OK] をクリックします。

    SNAT エントリの削除

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [操作] 列の [SNATの設定] をクリックします。

    3. [SNATエントリで使用] セクションで、削除するSNATエントリを見つけ、[操作] 列の [削除] をクリックします。

    4. 表示されたメッセージボックスで、[OK] をクリックします。

    DNATエントリの変更

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [操作] 列の [DNATの設定] をクリックします。

    3. [DNATエントリリスト] セクションで、管理するDNATエントリを見つけ、[操作] 列の [編集] をクリックします。

    4. [DNATエントリの編集] ページで、EIP、プライベートIPアドレス、ポート設定、またはエントリ名を変更し、[OK] をクリックします。

    DNAT エントリの削除

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [操作] 列の [DNATの設定] をクリックします。

    3. [DNATエントリリスト] セクションで、管理するDNATエントリを見つけ、[操作] 列の [削除] をクリックします。

    4. 表示されたメッセージボックスで、[OK] をクリックします。

    インターネットNATゲートウェイからのEIPの関連付けの解除

    関連付けを解除するEIPがSNATエントリまたはDNATエントリで使用されていないことを確認してください。 EIPがSNATまたはDNATエントリで使用されている場合は、まずSNATまたはDNATエントリを削除します。

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [EIP] 列の [EIP] をクリックします。

    3. [関連付けられたEIP] タブで、インターネットNATゲートウェイとの関連付けを解除するEIPを選択し、[操作] 列の [関連付け解除] をクリックします。

    4. 表示されたメッセージボックスで、[OK] をクリックします。

      説明

      EIPが指定されているSNATおよびDNATエントリを削除しなかった場合は、[操作] 列の [強制NAT] をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。 システムは、EIPが指定されているSNATおよびDNATエントリを削除し、インターネットNATゲートウェイからEIPの関連付けを解除します。

    インターネットNATゲートウェイの削除

    1. [インターネットNATゲートウェイ] ページで、インターネットNATゲートウェイを見つけます。

    2. [操作] 列の 更多操作 > [削除] を選択します。

    3. ゲートウェイの削除 メッセージで、[OK] をクリックします。

      説明

      インターネットNATゲートウェイと関連するリソースを強制的に削除するには、ゲートウェイの削除 ダイアログボックスで 削除 (NAT Gateway とリソースの削除) を選択します。 インターネットNATゲートウェイを強制的に削除すると、システムは自動的にインターネットNATゲートウェイからEIPの関連付けを解除し、インターネットNATゲートウェイのSNATエントリとDNATエントリを削除します。

    関連ドキュメント