すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:インターネットNATゲートウェイに関連付けられたVPCでのIPv4ゲートウェイの作成と有効化

最終更新日:Jan 17, 2025

インターネットNATゲートウェイがデプロイされている仮想プライベートクラウド (VPC) でIPv4ゲートウェイを有効にする場合は、新しいインターネットNATゲートウェイを作成するか、インターネットNATゲートウェイを保持できます。

シナリオ

ある企業がシンガポールリージョンにVPCを作成し、VPCのvSwitch (VSW1) にElastic Compute Service (ECS) クラスターをデプロイしました。 クラウドサービスはECSクラスターにデプロイされています。 ECSクラスターは、DNATが有効なインターネットNATゲートウェイ (NATGW1) を使用して、インターネット経由でサービスを提供します。 ビジネス開発により、クラスター内の一部のECSインスタンスには静的パブリックIPアドレスまたはEIP (elastic IPアドレス) が割り当てられます。 これらのECSインスタンスは、VPCルートテーブルを参照せずにインターネットにアクセスできます。

インターネットに公開されているECSインスタンスを保護するために、VPCにIPv4ゲートウェイを作成する予定です。 IPv4ゲートウェイをカスタムルートと一緒に使用して、ECSインスタンスからインターネットへのアクセスを規制できます。 この目標を達成するには、インターネットNATゲートウェイのvSwitchにインターネットアクセスが必要です。 vSwitchに関連付けられたルートテーブルのデフォルトルートは、IPv4ゲートウェイを指す必要があります。 インターネットNATゲートウェイを使用してインターネットにアクセスするECSインスタンスは、インターネットにアクセスできないvSwitchにデプロイする必要があります。 vSwitchに関連付けられたルートテーブルのデフォルトルートは、IPv4ゲートウェイではなく、インターネットNATゲートウェイを指す必要があります。 したがって、ECSインスタンスとインターネットNATゲートウェイは、異なるvSwitchにデプロイする必要があります。 次のいずれかの方法を使用して、インターネットNATゲートウェイを設定できます。

  • 方法1: インターネットNATゲートウェイ (NATGW2) とvSwitch (VSW2) を作成し、パブリックIPアドレスを持つECSインスタンスをVSW1からVSW2に移行する。 パブリックIPアドレスを持たないECSインスタンスはVSW1に残ります。

  • 方法2: 既存のNATゲートウェイを使用し、vSwitch (VSW2) を作成し、パブリックIPアドレスなしでECSインスタンスをVSW1からVSW2に移行する。

方法1: インターネットNATゲートウェイの作成

この方法では、VPCにvSwitch (VSW2) を作成し、パブリックIPアドレスを持つECS2をVSW1からVSW2に移行する必要があります。 次に、VSW2でインターネットNATゲートウェイ (NATGW2) を作成し、VSW2でNATGW2へのルートをポイントし、VSW1からNATGW1を削除する必要があります。

上記の操作を完了した後、VSW1でパブリックIPアドレスが割り当てられていないECS1は、NATGW2とIPv4ゲートウェイを使用してインターネットにアクセスする必要があります。 ECS1はパブリックIPアドレスを使用してインターネットにアクセスすることはできません。 VSW2でパブリックIPアドレスが割り当てられているECS2は、IPv4ゲートウェイを使用してインターネットにアクセスできます。 これにより、VPC内のECSインスタンスがインターネットにアクセスするのを制限できます。

image

方法2: 既存のインターネットNATゲートウェイを使用する

この方法では、次の操作を実行する必要があります。VPCにIPv4ゲートウェイを作成し、vSwitch (VSW2) を作成し、VSW2をカスタムルートテーブル2に関連付け、VSW1でパブリックIPアドレスが割り当てられていないECS1をVSW2に移行し、VSW1に関連付けられているカスタムルートテーブル1のルートのネクストホップをNATGW1からIPv4ゲートウェイに変更します。カスタムルートテーブル-2のデフォルトルートのネクストホップをNATGW1に設定し、IPv4ゲートウェイをアクティブ化します。

上記の操作を完了した後、VSW2でパブリックIPアドレスが割り当てられていないECS1は、NATGW1とIPv4ゲートウェイを使用してインターネットにアクセスする必要があります。 ECS1はパブリックIPアドレスを使用してインターネットにアクセスすることはできません。 VSW1でパブリックIPアドレスが割り当てられているECS2は、IPv4ゲートウェイを使用してインターネットにアクセスできます。 これにより、VPC内のECSインスタンスがインターネットにアクセスするのを制限できます。

image

ビジネス要件に基づいて、上記の方法のいずれかを選択します。 この例では、方法1: インターネットNATゲートウェイの作成を使用します。

重要

従量課金制のインターネットNATゲートウェイのみを作成できます。 サブスクリプションの課金方法を使用する既存のインターネットNATゲートウェイがあり、課金方法を変更しない場合は、方法2: 既存のインターネットNATゲートウェイを使用するを選択できます。

前提条件

  • シンガポールリージョンでVPCが作成され、VPCに2つのvSwitch (VSW1とVSW2) が作成されます。 詳細については、「IPv4 CIDRブロックを使用したVPCの作成」をご参照ください。

  • VSW1にパブリックIPアドレスを持たないECSインスタンス (ECS1) が作成され、VSW2にパブリックIPアドレスを持つ別のECSインスタンス (ECS2) が作成されている。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

  • 別のインターネットNATゲートウェイ (NATGW1) がVSW1に作成され、インターネットNATゲートウェイはEIPに関連付けられます。 NATGW1を指すカスタムルートは、VPCのシステムルートテーブルから削除されます。 詳細については、「ルートテーブルの作成と管理」をご参照ください。

  • インターネットNATゲートウェイ (NATGW2) がVSW2に作成され、インターネットNATゲートウェイはEIPに関連付けられています。 詳細については、「インターネットNATゲートウェイの作成と管理」をご参照ください。

手順1: カスタムルートテーブルの作成

カスタムルートテーブルを作成し、それをVSW2に関連付ける必要があります。 次に、IPv4ゲートウェイを指すルートをルートテーブルに追加する必要があります。

  1. VPCコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

  3. 上部のナビゲーションバーで、カスタムルートテーブルを作成するリージョンを選択します。 上部のナビゲーションバーで、IPv4ゲートウェイがデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

  4. ルートテーブルページで、ルートテーブルの作成をクリックします。

  5. ルートテーブルの作成ページで、以下のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    [VPC]

    カスタムルートテーブルが属するVPCを選択します。

    説明

    IPv4ゲートウェイが関連付けられているVPCを選択します。

    関連リソースタイプ

    ルートテーブルを関連付けるリソースのタイプを選択します。 この例では、vSwitchが選択されています。

  6. [ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。

  7. ルートテーブルの詳細ページで、[関連vSwitch] タブをクリックし、[vSwitchの関連付け] をクリックします。

  8. vSwitchの関連付けダイアログボックスでVSW2を選択し、OKをクリックします。

手順2: IPv4ゲートウェイの作成と有効化

IPv4ゲートウェイは、VPCのインターネットNATゲートウェイと互換性がある場合に作成できます。 そうしないと、IPv4ゲートウェイの作成に失敗します。 IPv4ゲートウェイを作成する前に、インターネットNATゲートウェイのモードを変更してIPv4ゲートウェイと互換性を持たせることができます。 インターネットNATゲートウェイのモードを変更する方法の詳細については、「インターネットNATゲートウェイのモードの変更」をご参照ください。

  1. VPCコンソールにログインします。

  2. 上部のナビゲーションバーで、IPv4ゲートウェイを作成するリージョンを選択します。 この例では、シンガポールが選択されています。

  3. 左側のナビゲーションウィンドウで、[IPv4ゲートウェイ] をクリックします。

  4. IPv4ゲートウェイページでIPv4ゲートウェイの作成をクリックします。

  5. IPv4ゲートウェイの作成ダイアログボックスで、以下のパラメーターを設定し、作成をクリックします。

  6. [IPv4ゲートウェイの作成] ダイアログボックスでパラメーターを設定します。 次に、IPv4ゲートウェイを有効化し、IPv4ゲートウェイを指すルートを追加します。

    1. IPv4ゲートウェイの作成

      [IPv4ゲートウェイの作成] ウィザードで、次のパラメーターを設定し、[作成] をクリックします。

      パラメーター

      説明

      リージョン

      IPv4ゲートウェイを作成するリージョンが表示されます。

      [VPC]

      IPv4ゲートウェイを関連付けるVPCを選択します。

    2. IPv4ゲートウェイの有効化

      [IPv4ゲートウェイの有効化] ウィザードで、[ステップ1] で作成したカスタムルートテーブルを選択し、[有効化] をクリックします。

    3. アクティベーションの成功を促すメッセージで、[閉じる] をクリックします。

ステップ3: VSW2でNATGW2のSNATエントリを作成する

VSW2でNATGW2のSNATエントリを作成して、VSW1でパブリックIPアドレスを持たないECSインスタンスがVSW2でNATGW2を使用してインターネットにアクセスできるようにする必要があります。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、NATGW2がデプロイされているリージョンを選択します。 上部のナビゲーションバーで、IPv4ゲートウェイがデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

  3. [インターネットNATゲートウェイ] ページで、管理するNATゲートウェイを見つけ、[操作] 列の [SNATの設定] をクリックします。

  4. [SNAT管理] タブで、[SNATエントリの作成] をクリックします。

  5. SNATエントリの作成ページで、次のパラメーターを設定し、OKをクリックします。

    パラメーター

    説明

    SNATエントリ

    VPC、vSwitch、ECSインスタンス、またはカスタムCIDRブロックのいずれのSNATエントリを作成するかを指定します。 この例では、[vSwitchの指定] が選択されています。

    vSwitchの選択

    ECSインスタンスがSNATエントリを使用してインターネットにアクセスできるvSwitchを選択します。 この例では、VSW1が選択されている。

    vSwitch CIDRブロック

    選択したvSwitchのCIDRブロックが自動的に表示されます。

    EIPの選択

    インターネットへのアクセスに使用する1つ以上のEIPを選択します。

    この例では、[単一IPの使用] が選択され、NATGW2に関連付けられたEIPがドロップダウンリストから選択されます。

ステップ4: システムルートテーブルにカスタムルートを追加する

VSW2のNATGW2を指すカスタムルートを、VSW1に関連付けられているシステムルートテーブルに追加する必要があります。 これにより、VSW1でパブリックIPアドレスが割り当てられていないECSインスタンスは、ルートを使用してインターネットにアクセスできます。

  1. VPCコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

  3. 上部のナビゲーションバーで、カスタムルートテーブルを作成するリージョンを選択します。 上部のナビゲーションバーで、IPv4ゲートウェイがデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

  4. [ルートテーブル] ページで、VPCのシステムルートテーブルを見つけ、そのIDをクリックします。

  5. ルートテーブルの詳細ページで、ルートエントリ一覧 > カスタムルート を選択します。

  6. [ルートエントリの追加] をクリックします。 [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

    パラメーター

    説明

    宛先CIDRブロック

    トラフィックをルーティングする宛先CIDRブロックを入力します。 この例では、0.0.0.0/0が使用されます。

    ネクストホップタイプ

    ネクストホップのタイプを選択します。 この例では、NAT Gatewayが選択されています。

    NATゲートウェイ

    この例では、NATGW2のIDが選択される。

ステップ5: VSW1でNATGW1を削除する

NATGW1を削除する前に、次の要件が満たされていることを確認してください。

  • インターネットNATゲートウェイに関連付けられているEIPはありません。 EIPがインターネットNATゲートウェイに関連付けられている場合は、インターネットNATゲートウェイからEIPの関連付けを解除します。 詳細については、「EIPの関連付けの解除」をご参照ください。

  • SNATテーブルにSNATエントリが含まれていません。 SNATテーブルにSNATエントリが含まれている場合は、削除します。 詳細については、「SNATエントリの作成と管理」をご参照ください。

  • デフォルトでは、インターネットNATゲートウェイの [基本情報] タブの [削除保護] は [無効] 状態になります。 [削除保護] が [有効] 状態の場合は、削除保護を無効にします。

  1. NAT Gatewayコンソールにログインします。

  2. 上部のナビゲーションバーで、NATGW1がデプロイされているリージョンを選択します。 上部のナビゲーションバーで、IPv4ゲートウェイがデプロイされているリージョンを選択します。 この例では、シンガポールが選択されています。

  3. インターネットNATゲートウェイページで、削除するインターネットNATゲートウェイを見つけて、p526884.png > 削除で、アクション列を作成します。

  4. [ゲートウェイの削除] メッセージで、[OK] をクリックします。

    重要

    インターネットNATゲートウェイとそのリソースを強制的に削除する場合は、ゲートウェイの削除 ダイアログボックスで 削除 (NAT Gateway とリソースの削除) を選択します。 インターネットNATゲートウェイを強制的に削除すると、システムは自動的にインターネットNATゲートウェイからEIPの関連付けを解除し、インターネットNATゲートウェイからSNATエントリとDNATエントリを削除します。

手順 6:ネットワーク接続のテスト

上記の手順を完了した後、VSW1のECS1がNATGW2とIPv4ゲートウェイを使用して宛先CIDRブロックにアクセスできるかどうか、およびVSW2のECS2がIPv4ゲートウェイを使用して宛先CIDRブロックにアクセスできるかどうかをテストする必要があります。 この例では、ECS1とECS2の両方がLinuxオペレーティングシステムを実行します。

  1. ECS1が宛先CIDRブロックにアクセスできるかどうかをテストします。

    1. ECS1にログインします。 詳細については、「ECSリモート接続方法の概要」をご参照ください。

    2. ECS1でcur l www.aliyun.comコマンドを実行します。

    3. 次のエコー応答パケットは、ECS1がs www.aliyun.comをアクセスできることを示します。ECS1

  2. ECS2が宛先CIDRブロックにアクセスできるかどうかをテストします。

    1. ECS2にログインします。

    2. ECS2でcur l www.aliyun.comコマンドを実行します。

    3. 次のエコー応答パケットは、ECS2がs www.aliyun.comをアクセスできることを示します。ECS2