すべてのプロダクト
Search
ドキュメントセンター

NAT Gateway:NAT Gateway のレート制限

最終更新日:May 30, 2026

データ分析やログダウンロードなどのワークロードからのバーストトラフィックによってアウトバウンド帯域幅が飽和し、重要なサービスの安定性に影響が及ぶのを防ぐため、NAT Gateway にレート制限ルールを設定できます。これらのルールは、送信元 IP アドレス範囲 (CIDR ブロック) に基づいてアウトバウンド帯域幅を制限します。

NAT Gateway のレート制限は、UK (London) リージョンでのみ利用可能です。この機能を有効にするには、アカウントマネージャーにお問い合わせください。
  • マルチテナント帯域幅管理:異なるテナントの IP 範囲に対して異なる帯域幅制限を設定し、公平なリソース割り当てを実現します。

  • コスト管理:テスト環境や優先度の低いサービスの帯域幅使用量を制限し、パブリックトラフィックコストを削減します。

  • 緊急時のスロットリング:異常なトラフィックソースの帯域幅を迅速に制限し、他のサービスへの影響を回避します。

仕組み

レート制限モデル

NAT Gateway は分散クラスターアーキテクチャを使用してネットワークトラフィックを処理し、各転送ノードがレート制限ポリシーを独立して適用します。そのため、レート制限はベストエフォート型であり、完全に正確なものではありません。実際の最大帯域幅は複数の要因によって決まります。以下の式は基本的なロジックを示しています。

  • 接続あたりの実際のレート制限 ≈ (設定されたルールのレート制限 / 転送ノード数) × 1.33

    • 転送ノード数:システムは、NAT Gateway の仕様、負荷、同時接続数などの要因に基づいて、この数を動的に調整します。

    • バースト係数:システムは、トラフィックの変動に対処するために、この冗長なヘッドルームを確保します。

    • 誤差範囲:トラフィックが安定している場合、実際のレート制限は通常、設定値の 80% から 140% の間で変動します。

      例えば、レート制限ルールが 1200 Mbps に設定され、クラスターに 4 つの転送ノードがある場合、単一接続のおおよその帯域幅制限は (1200 / 4) × 1.33 ≈ 400 Mbps となります。
  • 合計トラフィック帯域幅が設定されたレート制限に近づくのは、多数の同時接続が存在し、トラフィックがすべての転送ノードに均等に分散されている場合のみです。同時接続数が少ない場合は、ルールのレート制限を予想帯域幅よりもわずかに高く設定することを推奨します。

レート制限によるパケット損失は、NAT Gateway の自動スケーリングをトリガーしません。サービスで正確なレート制限が必要な場合は、ECS インスタンス内で tc などの追加のトラフィック制御ツールを使用することを推奨します。

ルールの優先順位

複数のレート制限ルールの送信元 CIDR ブロックが重複している場合、システムは最長プレフィックス一致の原則に従って、どのルールを適用するかを決定します。

例えば、192.168.1.100 から発信されるトラフィックに対して、2 つのルールが存在する場合:

  • ルール A:送信元アドレスは 192.168.1.0/24

  • ルール B:送信元アドレスは 192.168.1.0/25

/25 サブネットマスクは /24 サブネットマスクよりも長いため、ルール B の優先順位が高く、システムはそのレート制限ポリシーを適用します。

制限事項

  • この機能は SNAT ルールのみをサポートし、DNAT ルールはサポートしていません。

  • 最小帯域幅:単一ルールのレート制限は 10 Mbps 以上である必要があります。このしきい値を下回る値では、レート制限の精度は保証されません。

  • クォータ:各 NAT Gateway インスタンスは最大 100 個のレート制限ルールをサポートし、1 つのルールでは最大 10 個の送信元 CIDR ブロックをサポートします。

レート制限ルールの設定

コンソール

  1. NAT Gateway コンソールにログオンし、対象のインスタンスの 管理 列で 操作 をクリックします。

  2. 帯域幅制限ルール タブを選択し、帯域幅制限ルールの作成 をクリックします。

    • [帯域制限値]ルールの最大アウトバウンド帯域幅を Mbps 単位で設定します。最小値は 10 Mbps です。

    • [ソース CIDR]トラフィックを制限する送信元 CIDR ブロックを選択します。

      • ドロップダウンリストには、デフォルトで現在の VPC 内のすべての vSwitch CIDR ブロックが表示されます。vSwitch CIDR ブロックに含まれる、より具体的な CIDR ブロックを入力することもできます。例えば、単一の IP アドレスのレートを制限するために /32 ルールを設定できます。

      • 1 つのルールで最大 10 個の CIDR ブロックをサポートします。

    • [ルール名] および [説明]これらのフィールドは、リソースの整理や管理に使用します。

  3. ルールの効果を確認するには、CloudMonitor で NAT Gateway インスタンスの OutInternetBandwidth (アウトバウンドパブリック帯域幅) メトリックを確認します。ピーク帯域幅が設定したレート制限に近い値であることを確認してください。

    レート制限によって破棄されたパケットを直接追跡するメトリックはありません。代わりに、クライアント側でのアプリケーションレイテンシや再送率を監視することで、効果を間接的に評価してください。

作成したルールは、変更または削除できます。

  • レート制限ルールを変更すると、ルールの範囲内にある既存のネットワーク接続に短時間、影響が及ぶ可能性があります。オフピーク時にこの操作を実行してください。

  • ルールを削除すると、NAT Gateway は対応する送信元 CIDR ブロックからのアウトバウンドトラフィックの帯域幅を制限しなくなります。

課金

レート制限機能は無料です。

レート制限は、設定されたしきい値を超えるデータパケットを破棄することで機能します。これらの破棄されたパケットは、パブリックネットワークトラフィック料金に含まれないため、トラフィック課金モデルでのコスト管理に役立ちます。

TCP などの信頼性の高いトランスポートプロトコルの場合、パケット損失によりクライアント側での再送がトリガーされ、アプリケーション層でのデータ転送量がわずかに増加する可能性があります。

よくある質問

レート制限ルールが動作しないのはなぜですか?

レート制限ルールを設定した後、期待どおりに動作しない場合は、以下の手順でトラブルシューティングを行ってください。

  1. ルールのステータスを確認:「レート制限ルール」リストで、対象ルールの [ステータス] が [有効]になっていることを確認してください。

  2. トラフィックパスを確認:サービストラフィックがこの NAT Gateway をパブリック出口ポイントとして使用していることを確認してください。デフォルトでは、パブリック IP アドレスが割り当てられた ECS インスタンスは、自身の IP アドレスを介してインターネットにアクセスします。トラフィックを NAT Gateway 経由で強制的に経由させるには、ポリシーベースルーティングを設定するか、セカンダリ Elastic Network Interface を使用する必要があります。

  3. 送信元アドレスの一致を確認:トラフィックを送信するインスタンスまたはコンテナのプライベート IP アドレスが、ルールの [送信元 CIDR ブロック] 内に含まれていることを確認してください。

  4. ルールの優先順位を確認:より優先順位の高いルール (サブネットマスクが長いルール) が現在のルールをオーバーライドしていないことを確認してください。最長プレフィックス一致の原則に従い、より具体的なルールが優先されます。

  5. ベストエフォート動作を理解:モニタリングデータでピーク帯域幅を確認してください。この機能はベストエフォート型のレート制限を提供するため、実際の帯域幅が設定値の周辺で変動することは正常です。詳細については、動作原理をご参照ください。

レート制限はインバウンドトラフィックに影響しますか?

いいえ。レート制限ルールは、NAT Gateway を経由してインターネットにアクセスするアウトバウンドトラフィックにのみ適用されます。