IPv4ゲートウェイは、仮想プライベートクラウド (VPC) をインターネットに接続するネットワークコンポーネントです。 IPv4ゲートウェイとサブネットルーティング機能を併用すると、VPCのアクセス制御を有効にし、インターネット宛てのトラフィックを仮想ファイアウォールにルーティングしてセキュリティを強化できます。 このトピックでは、IPv4ゲートウェイの機能と使用シナリオについて説明します。
機能とサポート対象リージョン
デフォルトでは、IPv4ゲートウェイは次のリージョンでサポートされています。
エリア | サポート対象リージョン |
アジア太平洋-中国 | 中国 (青島) 、中国 (北京) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (杭州) 、中国 (上海) 、中国 (南京-地方地域) 、中国 (福州-地方地域) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) |
アジア太平洋-その他 | 日本 (東京) 、韓国 (ソウル) 、シンガポール (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、フィリピン (マニラ) 、タイ (バンコク) 、インド (ムンバイ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | UAE (ドバイ) |
特徴
IPv4ゲートウェイは、次の機能をサポートします。
IPv4ゲートウェイは、VPCルートテーブル内のルートのネクストホップとして機能し、VPCがインターネット経由でアクセスできる宛先アドレスの範囲を制御できます。
IPv4ゲートウェイは、ECS (Elastic Compute service) インスタンスやENI (elastic network Interface) など、パブリックIPv4アドレスが割り当てられたリソースのネットワークアドレス変換サービスを提供します。
シナリオ
インターネットアクセスの管理
VPC内の静的パブリックIPアドレスまたはEIPアドレス (EIP) が割り当てられているECSインスタンスは、VPCのルートテーブルの影響を受けずにインターネットにアクセスできます。 VPC内のECSインスタンスがインターネットにアクセスするときに発生する可能性のあるセキュリティ上の脅威を軽減するために、IPv4ゲートウェイとサブネットルーティングを使用してVPCのインターネットアクセスを管理できます。 ビジネス要件に基づいて、特定のサブネットによるインターネットへのアクセスを許可したり、特定のサブネットによるインターネットへのアクセスを禁止したりできます。 前の図に示すように、IPv4ゲートウェイを設定します。
VPCにIPv4ゲートウェイを作成します。 詳細については、「IPv4ゲートウェイの作成とVPCへの関連付け」をご参照ください。
vSwitch 1にインターネットNATゲートウェイを作成し、vSwitch 1用のサブネットルートテーブル-1という名前のカスタムルートテーブルを作成します。 IPv4ゲートウェイを指すカスタムルートテーブルのデフォルトの0.0.0.0/0ルートのネクストホップを設定します。
vSwitch 2およびvSwitch 3のサブネットルートテーブル-2という名前のカスタムルートテーブルを作成します。 カスタムルートテーブルのデフォルトの0.0.0.0/0ルートのネクストホップをインターネットNATゲートウェイに設定します。
IPv4ゲートウェイを有効化します。
IPv4ゲートウェイを有効化した後、IPv4ゲートウェイを指すルートがVPCルートテーブルに追加されない場合、ルートテーブルに関連付けられているサブネットはインターネットにアクセスできません。 このサブネットはプライベートサブネットと呼ばれます。 IPv4ゲートウェイを指すルートがVPCルートテーブルに追加された場合、ルートテーブルに関連付けられているサブネットはインターネットにアクセスできます。 このサブネットはパブリックサブネットと呼ばれます。
インバウンドルーティングポリシーの管理
IPv4ゲートウェイと一緒にサブネットルーティング機能を使用して、クラウドファイアウォールなどの仮想ファイアウォールにインバウンドトラフィックをルーティングできます。 これにより、悪意のあるリクエストからECSインスタンスが保護されます。 EIPに関連付けられたECSインスタンスとインターネット間のトラフィックがファイアウォールによってフィルタリングされるシナリオでは、前の図に示すようにルートを設定します。
指定したVPCにIPv4ゲートウェイを作成します。
仮想ファイアウォール専用のvSwitchをデプロイし、カスタムルートテーブルをvSwitchに関連付けます。 ルートテーブルのデフォルトの0.0.0.0/0ルートのネクストホップをIPv4ゲートウェイに設定します。 このようにして、仮想ファイアウォールが展開されているvSwitchはインターネットにアクセスできます。
ワークロードに専用のvSwitchをデプロイし、カスタムルートテーブルをvSwitchに関連付けます。 ルートテーブルのデフォルトの0.0.0.0/0ルートのネクストホップを仮想ファイアウォールのENIに設定します。
VPCにカスタムルートテーブルを作成し、ルートテーブルをIPv4ゲートウェイに関連付けて、インターネットからのインバウンドトラフィックを制御します。 このルートテーブルは、ゲートウェイルートテーブルと呼ばれる。 ゲートウェイルートテーブルで、ワークロードがデプロイされているvSwitchのCIDRブロックを指すルートを見つけ、ルートのネクストホップを仮想ファイアウォールのENIに変更します。
制限とクォータ
制限事項
IPv4ゲートウェイはIPv4トラフィックのみをサポートします。
IPv4ゲートウェイは1つのリージョンでのみ使用できます。
VPCにIPv4ゲートウェイを1つだけ作成し、IPv4ゲートウェイを1つのVPCに関連付けることができます。
有効化されたIPv4ゲートウェイのみがインターネットへのアクセスをサポートします。
IPv4ゲートウェイに関連付けることができるゲートウェイルートテーブルは1つだけです。
システムルートテーブルをIPv4ゲートウェイに関連付けることはできません。
vSwitchに既に関連付けられているルートテーブルをIPv4ゲートウェイに関連付けることはできません。
いいえ、ゲートウェイルートテーブルでカスタムルートを設定することはできません。 ただし、ゲートウェイルートテーブルのルートのネクストホップタイプは変更できます。
サポートされているネクストホップタイプ: ローカル、ENI、およびECSインスタンス。 ネクストホップタイプがENIに設定されていて、ネクストホップタイプをECSインスタンスに変更する場合は、まずネクストホップタイプをローカルに変更してから、ネクストホップタイプをECSインスタンスに変更する必要があります。 次に、次のホップとしてECSインスタンスを選択できます。 このルールは、ネクストホップタイプをECSインスタンスからENIに変更するシナリオにも適用されます。 ネクストホップタイプをECSインスタンスからENIに、またはENIからECSインスタンスに直接変更することはできません。
VPCに次のいずれかのリソースが含まれている場合、VPCにIPv4ゲートウェイを作成することはできません。
カットスルーモードでENIに関連付けられているEIP。 カットスルーモードの詳細については、「カットスルーモードでのセカンダリENIの関連付け (推奨なし) 」をご参照ください。
注意事項
VPCにIPv4ゲートウェイを作成した後、IPv4ゲートウェイを有効化する必要があります。 これにより、IPv4ゲートウェイはVPCのインターネットアクセスを管理できます。 IPv4ゲートウェイのアクティブ化によって引き起こされるサービスの中断を防ぐには、VPCルートテーブルで0.0.0.0のデフォルトルートまたはより特定のパブリックCIDRブロックを持つルートを見つけ、ルートのネクストホップをIPv4ゲートウェイに変更する必要があります。
VPCにIPv4ゲートウェイを作成して有効化すると、IPv4ゲートウェイはVPCのインターネットアクセスを管理できます。 VPCがインターネットにアクセスする前に、VPC内のルートのネクストホップがIPv4ゲートウェイを指していることを確認してください。
Quotas
項目 | 制限 | 調整可能 |
各VPCで作成できるIPv4ゲートウェイの最大数 | 1 | 任意 |
各IPv4ゲートウェイに関連付けることができるゲートウェイルートテーブルの最大数 | 1 |