デフォルトでは、仮想プライベートクラウド (VPC) 内のリソースは、パブリックIPv4アドレスをバインドすることでインターネットと通信できます。 ただし、インターネットアクセスが運用保守部門によって監視されない場合があり、セキュリティ上のリスクが発生します。 たとえば、業務部門は、O&Mに通知することなく、Elastic Compute Service (ECS) インスタンスのパブリックIPアドレスを設定します。
VPC境界のトラフィック制御コンポーネントとして、IPv4ゲートウェイを使用すると、ルートテーブルを介してインターネットアクセスを管理でき、パブリックトラフィックがIPv4ゲートウェイを通過することを保証するため、分散アクセスに関連するセキュリティリスクが軽減されます。
概要
VPCコンポーネント
次のVPCコンポーネントを理解すると、IPv4ゲートウェイをよりよく理解するのに役立ちます。
パブリックIPv4アドレス: インターネット経由で直接アクセスできるIPv4アドレス。 これらのアドレスはグローバルに一意であり、世界中でアクセスできます。 2つのタイプがあります。
静的パブリックIP: ECSやClassic Load Balancer (CLB) などのインスタンスと一緒に作成および削除されたパブリックIPアドレス。 これらのIPアドレスはインスタンスに強くバインドされており、作成後に変更できないため、柔軟な分離と管理をサポートしていません。
Elastic IPアドレス (EIP): 柔軟な管理をサポートする、動的にバインドおよびバインド解除できる独立したパブリックIPアドレス。
インターネットNATゲートウェイ: EIPをバインドすることでインターネットアクセスを提供するVPC内のネットワークアドレス変換デバイス。 プライベートIPv4アドレスをパブリックアドレスまたはEIPに変換します。 これにより、実際のIPアドレスの公開が回避され、安全なインターネット通信が可能になります。 VPC内のリソースは、インターネットにアクティブにアクセスし、NATゲートウェイを介してインターネット経由でサービスを提供できます。
Server Load Balancer (SLB): パブリックIPをバインドすることでインターネットアクセスを提供するVPC内のアプリケーショントラフィック分散サービス。 トラフィックをバックエンドサーバーに分散して、アプリケーションシステムのスループットを拡大し、単一障害点 (SPOF) を排除し、アプリケーションシステムの可用性を向上させます。 VPC内のリソースはインターネット経由でのみサービスを提供でき、SLBを介してインターネットにアクティブにアクセスすることはできません。
IPv4ゲートウェイを持つVPCのアーキテクチャ
次のアーキテクチャは、VPC内のインバウンドトラフィックとアウトバウンドトラフィックを示しています。 図に示すように、IPv4ゲートウェイは、インターネットトラフィックを一律に制御するVPC境界のパブリックトラフィックゲートウェイであり、パブリックIPアドレス、NATゲートウェイ、および負荷分散とは異なります。
IPv4ゲートウェイを使用する理由?
項目 | IPv4ゲートウェイなしのインターネットアクセス (デフォルト) | IPv4ゲートウェイによる集中制御 |
例: | ECSインスタンスは、静的パブリックIP、EIP、またはインターネットNATゲートウェイを介してインターネットにアクセスします。 | インターネットのインバウンドとアウトバウンドトラフィックを集中的に制御します。 |
シナリオ | 一部のECSインスタンスには、独立した直接インターネットアクセスが必要です。 インターネットアクセス要件が頻繁に変更されるシナリオに適しています。 | 大規模な多層ネットワークアーキテクチャに適しています。 セキュリティとコンプライアンスに関する厳格な要件を持つエンタープライズレベルの環境。 |
複雑さ | ルート構成を必要としないシンプルで迅速な操作。 | ネットワーク計画とルーティング設定が必要です。 |
柔軟性 | 各インスタンスは独立しています。 | ネットワークポリシーの変更は、VPC内のすべてのインスタンスに影響します。 |
セキュリティ | セキュリティ保護は、インスタンスのセキュリティグループルールを設定することで実現されます。 | IPv4ゲートウェイの集中制御モードは、ネットワークポリシーと全体的なセキュリティの一貫性を保証します。 |
制限事項
機能制限
スコープ:
IPv4ゲートウェイは、それが配置されているリージョンでのみ使用できるリージョンレベルのリソースです。
制限事項
VPCには1つのIPv4ゲートウェイのみを設定でき、各IPv4ゲートウェイは1つのVPCにのみ関連付けられます。
IPv4ゲートウェイは、ボーダゲートウェイタイプのゲートウェイルートテーブルに排他的にバインドできます。 各IPv4ゲートウェイは、単一のゲートウェイルートテーブルに関連付けられる。
例外:
EIPまたはAnycast EIPを使用して内部接続CLBをIPv4ゲートウェイにバインドすると、ゲートウェイはインターネットからの戻りトラフィックを制限しません。
サポートされるリージョン
地域 | リージョン |
アジア太平洋 - 中国 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 中国 (香港) 、中国 (武漢-地域) 、中国 (福州-地域) |
アジア太平洋 - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (シリコンバレー)、米国 (バージニア) |
中東 | UAE (ドバイ)、サウジアラビア (リヤド - パートナーリージョン) 重要 SAU (リヤド-パートナーリージョン) リージョンはパートナーによって運営されています。 |
IPv4ゲートウェイの使用
働くモード
インターネットトラフィックを均一に制御するには、IPv4ゲートウェイを有効にする必要があります。 IPv4ゲートウェイの動作モードは、インターネットにアクセスし、パブリックトラフィックを集中的に管理する機能を規定する。
次の図を参照して、作業モードとモードの切り替えを理解してください。
VPCのネットワークトラフィックは、IPv4ゲートウェイを有効化するまで影響を受けません。 しかしながら、トラフィック経路切り替えのために、起動中に短時間のネットワーク中断があり得る。
シナリオ
このセクションでは、VPC内の2つのECSインスタンスのインターネットアクセスを使用して、IPv4ゲートウェイの使用方法を示します。
インターネットアクセス | ターゲット |
VPC内の2つのECSインスタンスは、EIP経由でインターネットにアクセスしたり、インターネット経由で外部サービスを提供したりできます。 |
|
リージョンでIPv4ゲートウェイを使用するには、VPC、ECS、およびEIPを作成する必要があります。 VPCがIPv4ゲートウェイに関連付けられていないことを確認します。
手順1: IPv4ゲートウェイの作成と有効化
次の条件では, IPv4ゲートウェイを作成できません。
VPC内のEIPはカットスルーモードです。
VPCのインターネットNATゲートウェイは、IPv4ゲートウェイと互換性がありません。 これを解決するには、互換性のためにインターネットNATゲートウェイモードに切り替えます。
共有VPCのIPv4ゲートウェイは作成できません。
IPv4ゲートウェイコンソールに移動し、上部のナビゲーションバーからリージョンを選択します。
[IPv4ゲートウェイの作成] をクリックし、VPCを選択して [作成] をクリックします。
ECSが配置されているvSwitchに関連付けられているルートテーブルを選択し、[有効化] をクリックします。 複数のvSwitchルートテーブルがある場合は、該当するすべてを選択します。
説明アクティベーション時に、vSwitchの選択したルートテーブルにIPv4ゲートウェイを指すデフォルトルート
0.0.0.0/0
が追加され、インターネットアクセスが許可されます。 宛先CIDRブロックが0.0.0.0/0
のデフォルトルートが既にある場合、IPv4ゲートウェイのデフォルトルートは追加できません。VPCのネットワークトラフィックは、IPv4ゲートウェイがアクティブ化される前は影響を受けません。 しかしながら、活性化は、トラフィックパスにおける切り替えのために、短時間のネットワーク中断を引き起こし得る。
IPv4ゲートウェイがアクティブ化され、ルートテーブルが設定されます。
これで、VPCには有効化されたIPv4ゲートウェイがあります。 機能のテストに進みます。
説明ECS接続テストに影響を与えないように、ネットワークACLとセキュリティグループの設定が適切であることを確認します。
IPv4ゲートウェイを指す
0.0.0.0/0
のルートで、ECSインスタンスはインターネットにアクセスできます。pin g aliyun.com
コマンドでネットワーク接続をテストします。IPv4ゲートウェイにはVPCを指すルートがないため、インターネットからECSへの着信トラフィックは破棄されます。 これをテストするには、接続に失敗するインターネットクライアントから
ping ECS address
コマンドを使用します。
手順2: インバウンドルートの設定
IPv4ゲートウェイの受信ルートは、ゲートウェイのルートテーブルによって管理されます。
ゲートウェイルートテーブルの作成
[関連リソースタイプ] を [ボーダーゲートウェイ] に設定すると、ルートテーブルがゲートウェイルートテーブルになります。
ルートテーブルに移動し、上部のナビゲーションバーからゲートウェイルートテーブルを作成するリージョンを選択します。
[ルートテーブルの作成] をクリックします。 ダイアログボックスで、対応するVPCを選択し、[関連リソースタイプ] で [ボーダーゲートウェイ] を選択し、ルートテーブルの名前を入力して、[OK] をクリックします。
ゲートウェイルートの設定
[ルートテーブル] ページで、新しく作成したゲートウェイルートテーブルのIDをクリックします。
タブをクリックして、システムルートエントリを表示します。 ゲートウェイルートテーブル内のVPCのvSwitchごとにシステムルートエントリが自動的に作成されます。ECSに関連付けられているvSwitchの2つのルートエントリを指すように [宛先CIDRブロック] を変更し、ECSインスタンスへのネクストホップを設定します。
設定が完了すると、2つのシステムルートエントリがカスタムルートエントリになります。 ステータスがActiveであることを確認してください。
ゲートウェイルートテーブルをIPv4ゲートウェイに関連付ける
ゲートウェイルートテーブルの詳細ページで、ボーダーゲートウェイの関連付けに進みます。
関連付け後、ステータスが [利用可能] であることを確認します。
テスト接続
説明ECS接続テストに影響を与えないように、ネットワークACLとセキュリティグループの設定を確認してください。
インターネットクライアントで
ping ECS address
コマンドを実行します。 結果はアクセス可能であるべきです。インターネットクライアントで
ping other addresses within the VPC
コマンドを実行します。 結果はアクセスできないはずです。
追加操作
パブリックインバウンドルートの変更
IPv4ゲートウェイの受信ルートは、ゲートウェイのルートテーブルで管理されます。 ゲートウェイルートテーブルのシステムルートエントリを変更することで、インバウンドルートを変更できます。
ゲートウェイルートテーブルでは、システムルートを変更できますが、カスタムルートエントリを作成することはできません。
システムルートの編集と保存に成功すると、それらはカスタムルートエントリになり、削除時にシステムルートエントリに戻ります。
ルートテーブルのシステムルートエントリを変更する場合は、次のホップタイプに関する次の推奨事項を参照してください。
ローカル: vSwitch内のすべてのIPアドレスへのアクセスを有効にします。
ECSインスタンス /Elastic Network Interface (ENI): vSwitch内の指定されたECSインスタンスまたはENIへのアクセスを許可します。 これは通常、パブリックトラフィックを特定のECSインスタンスまたはENIに安全に転送するために使用されます。 ネクストホップをこのタイプに変更するには、ルートエントリを削除してから、システムのルートエントリを再編集する必要があります。 直接交換はサポートされていません。
Gateway Load Balancerエンドポイント (GWLBe): vSwitch内の指定されたエンドポイントへのアクセスを提供し、パブリックトラフィックをGWLBのサードパーティのセキュリティデバイスにルーティングします。
パブリックアウトバウンドルートの変更
IPv4ゲートウェイのパブリックアウトバウンドルートは、vSwitchルートテーブルで管理されます。 vSwitchにIPv4ゲートウェイを指すルートエントリが含まれている場合、対応するルートエントリアドレスはインターネットにアクセスできます。 このようなvSwitchはパブリックvSwitchですが、このようなルートのないvSwitchはプライベートvSwitchと呼ばれます。
IPv4ゲートウェイの削除
削除する前に、ゲートウェイルートテーブルのバインドを解除する必要があります。
VPC内のインターネットアクセスに影響を与えるIPv4ゲートウェイを削除するときにモードを選択します。 詳細については、「作業モード」をご参照ください。
プライベートモードでは、続行する前に、IPv4ゲートウェイを指すVPCルートテーブル内のすべてのルートエントリを削除する必要があります。
警告プライベートモードを選択すると、VPC内のすべてのリソースがインターネットにアクセスできなくなります。 作業は慎重に行ってください。
パブリックモードでは、IPv4ゲートウェイを指すすべてのルートエントリが自動的に削除されます。 インスタンスがパブリックIPアドレスを介してインターネットにアクセスできる初期状態に戻す必要がある場合は、このモードを選択します。
ベストプラクティス
インターネット出口の集中制御
組織は、O&Mチームからの監視がないパブリックアクセスチャネルを持っている可能性があります。 たとえば、業務部門が自らの裁量でECSインスタンスのパブリックIPを設定すると、ネットワーク管理にセキュリティの脆弱性が生じる可能性があります。
IPv4ゲートウェイを使用することで、ネットワークアーキテクチャを集中フレームワークに変換し、ルートテーブルを介してパブリックトラフィックを管理できます。 これにより、すべてのデータがIPv4ゲートウェイを流れるようになり、統合されたセキュリティポリシーと監査の施行が容易になり、分散アクセスに関連するリスクが軽減されます。
以下はIPv4アーキテクチャの例です。 詳細については、「IPv4ゲートウェイを使用したインターネットアクセスの集中管理」をご参照ください。
パブリックCIDRブロックをプライベートとして使用する
一部の組織では、ローカルデータセンターまたはVPCで30.0.0.0/16
など、非RFC 1918プライベートCIDRブロックを使用しています。 他のVPCまたはデータセンターとの接続を確立する場合、インターネットへのアクセスが優先されます。これは、VPCが非RFC 1918 IPをパブリックCIDRブロックとして扱うためです。 そのため、30.0.0.0/16
を指すルートエントリが設定されていても、ターゲットVPCまたはデータセンターにアクセスできません。
IPv4ゲートウェイを使用してインターネットアクセスを一元管理し、トラフィックをVPCまたはデータセンターにルーティングできますセンターにアクセスする場合、30.0.0.0/16
にアクセスします。
以下はアーキテクチャの例です。 詳細については、「IPv4ゲートウェイを使用してインターネットからプライベートネットワークにトラフィックをルーティングする」をご参照ください。
トラフィックをサードパーティのセキュリティデバイスにルーティングする
シングルポイントアーキテクチャ
一部の組織では、VPC内にサードパーティのセキュリティデバイスをデプロイして、インバウンドトラフィックとアウトバウンドトラフィックをスクラブします。
IPv4ゲートウェイをルートテーブルと組み合わせて使用すると、トラフィックを安全に迂回させ、パブリックインバウンドおよびアウトバウンドトラフィックを検査およびフィルタリングのためにセキュリティデバイスに転送できます。 これにより、悪意のある攻撃や不正アクセスを防ぎ、セキュリティを保護します。
GWLB高可用性アーキテクチャ
シングルポイントアーキテクチャでは、サードパーティのデバイスの障害がビジネスシステム全体の可用性に影響を与える可能性があります。 GWLBは、高可用性を達成し、単一障害点を排除するために配備することができる。
このシナリオでは、IPv4ゲートウェイとルートテーブルを組み合わせて使用して、パブリックトラフィックをGWLBeに転送できます。GWLBeはPrivateLinkを介してGWLBに接続し、処理のためにトラフィックをサードパーティのセキュリティデバイスにルーティングします。 スクラブ後、トラフィックはアプリケーションサーバーまたはインターネットクライアントに送信されます。
以下はアーキテクチャの例です。 詳細については、「GWLBインスタンスを使用したIPv4トラフィックのセキュリティチェックシステムの作成」をご参照ください。
インバウンドIPv4トラフィックパス | 送信IPv4トラフィックパス |
|
|
よくある質問
IPv4ゲートウェイとインターネットNATゲートウェイの違いは何ですか?
コンポーネント | IPv4ゲートウェイ | インターネットNATゲートウェイ |
機能 | パブリックIPv4トラフィックを制御するVPC境界のコンポーネント。 | VPCのネットワークアドレス変換デバイス。 |
シナリオ | 公共交通の集中制御。 | インターネットの統合トラフィック出力。 |
インターネットアクセスが提供されているかどうか | いいえ。 これはトラフィック制御コンポーネントです。 | EIPをアタッチすることでインターネットにアクセスできます。 (NATゲートウェイ自体はインターネットアクセス機能を提供していません。) |
IPv4ゲートウェイとインターネットNATゲートウェイは異なる機能を提供し、一緒に使用できます。
ネットワークコンポーネント間の関係の詳細については、「VPC内のIPv4ゲートウェイの場所」をご参照ください。
IPv4ゲートウェイが有効になっているVPCを初期状態に復元するにはどうすればよいですか。
VPCを初期状態に復元するには (たとえば、パブリックIPをバインドしてECSインスタンスがインターネットにアクセスできるようにするなど) 、パブリックモードのIPv4ゲートウェイを削除します。
削除モードは、VPCがインターネットにアクセスする方法に影響します。 詳細については、「作業モード」をご参照ください。
IPv4ゲートウェイはどのように課金されますか?
IPv4ゲートウェイ自体に関連する料金はありません。
ただし、データ転送コストは、ECSまたはCLBのEIPや静的パブリックIPなどのパブリックIPによって発生します。 詳細については、対応する製品の請求書を参照してください。
IPv6トラフィックを一元管理する方法を教えてください。
IPv4ゲートウェイは、VPC境界でパブリックIPv4トラフィック制御コンポーネントとして機能します。 IPv6トラフィックを一元管理するには、IPv6ゲートウェイが必要です。
追加のアクション
次のAPIを呼び出すことで、IPv4ゲートウェイを管理できます。
CreateIpv4Gateway: IPv4ゲートウェイを作成します。
EnableVpcIpv4Gateway: IPv4ゲートウェイを有効にします。
AssociateRouteTableWithGateway: ルートテーブルをIPv4ゲートウェイに関連付けます。
DissociateRouteTableFromGateway: IPv4ゲートウェイからルートテーブルを分離します。
DeleteIpv4Gateway: IPv4ゲートウェイを削除します。