仮想プライベートクラウド (VPC) NAT ゲートウェイは、競合するアドレス間の通信や、指定されたアドレスへのアクセスを可能にするプライベート NAT 機能を提供します。
背景情報
VPC NAT ゲートウェイを使用して、プライベートネットワーク通信の問題に対処できます。
アドレスが競合する 2 つの VPC 間のプライベート通信を有効にするには、VPC ごとに一意のプライベートアドレスを持つ VPC NAT ゲートウェイを構成します。
VPC とデータセンター間のプライベート通信を有効にするには、NAT ゲートウェイを構成し、プライベート IP アドレスを指定します。
VPC NAT ゲートウェイを選ぶ理由
VPC NAT ゲートウェイには、次の利点があります。
セキュリティ
VPC NAT ゲートウェイは、アドレスの公開を回避し、SNAT エントリを使用してインバウンドトラフィックを制御し、きめ細かいアウトバウンドルールをサポートします。
高い弾力性
VPC NAT ゲートウェイは、トラフィックの急増などのシナリオでの要件を満たすために、自動スケーリングと高パフォーマンスをサポートします。
高可用性
VPC NAT ゲートウェイは、クロスゾーン障害復旧をサポートしています。これにより、1 つのゾーンに障害が発生した場合でも、サービスを想定どおりに実行できます。
柔軟な課金
VPC NAT ゲートウェイは、従量課金方式をサポートしており、コストを削減できます。
監視
VPC NAT ゲートウェイは、さまざまなディメンションで複数の監視メトリクスをサポートし、セッションログと VPC フローログをサポートして、さまざまな監視要件に対応します。
特徴
VPC NAT ゲートウェイは、SNAT 機能と DNAT 機能を提供します。次の表に、これらの機能を示します。
機能 | 説明 |
SNAT | VPC NAT ゲートウェイは、NAT IP アドレスを使用して、VPC 内のインスタンスが外部プライベートネットワークにアクセスできるようにします。 |
DNAT | VPC NAT ゲートウェイは、NAT IP アドレスとポートを VPC 内のインスタンスの IP アドレスとポートにマッピングして、インスタンスが外部ネットワークにプライベートサービスを提供できるようにします。 |
自動スケーリング | NAT ゲートウェイは、5 Gbit/s のスループット容量、20,000 の新規接続、および 500,000 の同時接続をサポートしており、最大 15 Gbit/s、100,000 の新規接続、および 2,000,000 の同時接続までスケールアップできます。 |
セッションログ | NAT ゲートウェイは、セッションログ機能をサポートしています。SNAT エントリを作成し、トラフィックが NAT ゲートウェイを通過すると、SNAT セッションがログとして記録され、トラフィックの監視と追跡が容易になります。 |
さまざまな監視メトリクス | VPC NAT ゲートウェイは、複数の監視メトリクスをサポートしています。VPC NAT ゲートウェイをリアルタイムで監視できます。 |
シナリオ
静的 IP アドレスを使用して、ハイブリッドクラウド内のネットワークが相互にアクセスできるようにする
金融業界や証券業界がクラウドでビジネスを拡大するにつれて、これらの業界では、相互に通信できる複数のプライベートネットワークを作成することがよくあります。場合によっては、規制当局が、静的プライベート IP アドレスを使用してネットワークが相互にアクセスすることを要求する場合があります。VPC NAT ゲートウェイの SNAT 機能と DNAT 機能を使用すると、複数のプライベートネットワークが静的プライベート IP アドレスを使用して相互にアクセスできるようになります。
CIDR ブロックが競合する VPC が相互にアクセスできるようにする
不適切なネットワーク計画またはビジネス統合により、相互に通信する必要がある 2 つの VPC のアドレスが競合する場合があります。VPC NAT ゲートウェイを作成し、VPC ごとに NAT IP アドレスを構成できます。2 つの NAT IP アドレスが相互に競合しないことを確認してください。一方の VPC は SNAT を使用して送信元 IP アドレスを構成済みの NAT IP アドレスに変換し、これにより VPC はもう一方の VPC にアクセスできます。もう一方の VPC は、DNAT エントリで構成された NAT IP アドレスを使用して外部サービスを提供します。このようにして、2 つの VPC は相互にアクセスできます。
使用上の注意
VPC NAT ゲートウェイを作成する場合は、VPC と VPC 内の vSwitch を選択する必要があります。ルート構成を容易にするために、VPC NAT ゲートウェイ専用の vSwitch を使用することをお勧めします。
NAT IP アドレスは、SNAT エントリまたは DNAT エントリで指定された IP アドレスです。VPC NAT ゲートウェイを作成すると、VPC NAT ゲートウェイに指定した vSwitch の CIDR ブロックがデフォルトの NAT CIDR ブロックとして使用されます。デフォルトの NAT CIDR ブロックの IP アドレスは、デフォルトの NAT IP アドレスとして使用されます。デフォルトの CIDR ブロックに IP アドレスを追加したり、NAT CIDR ブロックを作成したりできます。NAT CIDR ブロックを使用してルートを構成する方法の詳細については、「ルートを構成する」をご参照ください。
新しく作成された NAT CIDR ブロックは、次の要件を満たしている必要があります。
NAT CIDR ブロックは、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットの範囲内である必要があります。
サブネットマスクの長さは 16 ~ 32 ビットである必要があります。
NAT CIDR ブロックは、NAT ゲートウェイが属する VPC のプライベート CIDR ブロックと重複することはできません。VPC の他の IP アドレスを使用して NAT サービスを提供する場合は、vSwitch を作成し、別の VPC NAT ゲートウェイに接続します。
VPC のユーザー CIDR ブロックを、VPC に属する VPC NAT ゲートウェイの NAT CIDR ブロックとして指定できます。詳細については、「ユーザー CIDR ブロックとは」をご参照ください。
デフォルトでは、VPC NAT ゲートウェイは 5 Gbit/s でトラフィックを処理でき、トラフィックの増加に応じて最大 15 Gbit/s までスケールアップできます。トラフィック処理容量、新規接続レート、および同時接続レートを上げるには、アカウントマネージャーに連絡してください。
メトリクス
1 秒あたりの新規接続数
同時接続数
スループット (インバウンドトラフィックとアウトバウンドトラフィックを含む)
デフォルト
20,000
500,000
5 Gbit/s
最大 (自動スケーリング対応)
100,000
2,000,000
15 Gbit/s
説明最大メトリクスを超えると、パケット損失が発生し、サービスに影響を与える可能性があります。
制限
インスタンスの制限
項目 | 制限 | 調整可能 |
VPC に作成できる VPC NAT ゲートウェイの最大数 | 5 | 次のいずれかの方法でクォータの増加をリクエストできます。
|
VPC NAT ゲートウェイに作成できる NAT IP アドレスの数 | 15 | 次のいずれかの方法でクォータの増加をリクエストできます。
|
SNAT の制限
項目 | 制限 | 調整可能 |
VPC NAT ゲートウェイに作成できる SNAT エントリの最大数 | 40 | 次のいずれかの方法でクォータの増加をリクエストできます。
|
SNAT エントリの IP アドレスの数によって制限される同時接続の最大数 | VPC 内の ECS インスタンスが VPC NAT ゲートウェイを介して 1 つの宛先 IP アドレスと 1 つのポートにアクセスする場合、VPC NAT ゲートウェイでサポートされる同時接続の最大数は N × 55000 です。ここで、N は SNAT エントリで指定された NAT IP アドレスの数を指します。 | 該当なし |
DNAT の制限
項目 | 制限 | 調整可能 |
VPC NAT ゲートウェイに作成できる DNAT エントリの最大数 | 100 | 次のいずれかの方法でクォータの増加をリクエストできます。
|