NAT Gateway

プロダクト紹介

NAT Gatewayとは

NAT Gateway は、最大 10 Gbps の転送能力とゾーン間ディザスタリカバリ機能を備えた NAT プロキシサービス (SNAT および DNAT) を提供するエンタープライズクラスのインターネットゲートウェイです。 VPC ネットワークのトポロジ内の NAT Gateway の位置づけは、次の図のようになります。

*

インターネットゲートウェイとして正常に機能するためには、NAT Gateway にはパブリック IP アドレスを設定する必要があります。 NAT Gateway を作成したら、EIP をバインドできます。

注:2018 年 1 月 26 日以前から NAT 帯域幅パッケージをお使いのお客様が、パブリック IP を提供するには、引き続き帯域幅パッケージを使用する必要があります。 EIP を NAT Gateway にバインドしたい場合は、チケットを起票し、サポートセンターへお問い合わせください。

機能

NAT Gateway は SNAT および DNAT の機能を提供します。

SNAT

NAT Gateway は、SNAT (ソース NAT) をサポートしているため、パブリック IP アドレスを VSwitch に関連付けることができます。 その後、VSwitch 内の ECS インスタンスはパブリック IP アドレスを使用してインターネットに接続できます。

さらに、SNAT はバックエンド ECS インスタンスを保護する単純なファイアウォールとしても機能します。 ECS インスタンスが外部端末との接続をアクティブに確立した後で、外部端末は ECS インスタンスにアクセスできます。 接続が確立されなければ、信頼できない外部端末はバックエンド ECS インスタンスにアクセスできません。

DNAT

NAT Gateway は DNAT (デスティネーションNAT) をサポートしており、パブリック IP アドレスとプライベート IP アドレスをマッピングできます。 そうすると、パブリック IP アドレスを持つ ECS インスタンスは、サービスを一般に提供できます。

DNAT はポートマッピングと IP マッピングの両方をサポートしています。

特徴

柔軟性と使いやすさ

エンタープライズクラスの VPC 用パブリックネットワークゲートウェイとして、NAT Gateway は SNAT および DNAT 機能を提供しています。そのため、お客様自身でサーバー用に SNAT ゲートウェイを構築する必要はありません。 NAT Gateway は、高度な柔軟性、安定性および信頼性と、使いやすさを備えています。

高パフォーマンス

NAT Gateway は、Alibaba Cloud が自社開発した分散型ゲートウェイをベースに、SDN 仮想化技術を使用した仮想ネットワークハードウェアです。 NAT Gateway は、最大 10 Gbps の転送能力により、大規模インターネットアプリケーションをサポートします。

高可用性

NAT Gateway は、ゾーン間のディザスタリカバリをサポートしています。 単一のゾーンで障害が発生しても、NAT Gateway のサービスには影響しません。

従量課金

変化するサービス要件を満たすため、ゲートウェイ仕様および EIP 数はいつでも変更できます。

制限

NAT Gateway の制限

  • 1 つの VPC は 1 つの NAT Gateway しか持つことができません。
  • 1 つのパブリック IP を、SNAT エントリと DNAT エントリの両方に使用することはできません。
  • VPC に宛先 CIDR ブロックが 0.0.0.0/0 のカスタムルートエントリが含まれている場合は、NAT Gateway を作成する前に削除しておく必要があります。
  • VSwitch が SNAT エントリに追加されると、その VSwitch の帯域幅は選択した EIP によって制限されます。
  • DNAT テーブルに追加できる DNAT エントリは、最大 100 個です。
  • SNAT テーブルに追加できる SNAT エントリは、最大 40 個です。

EIP バインドの制限

  • 1 つの NAT Gateway に対し、最大 10 個の EIP をバインドできます。 それ以上の数が必要な場合は、チケットを起票し、サポートセンターへお問い合わせください。
  • 各 EIP の帯域幅は最大 200 Mbps です。
  • 018 年 1 月 26 日以前に NAT 帯域幅パッケージを購入した場合、パブリック IP を提供 るには引き続き帯域幅パッケージを使用する必要があります。 EIP を NAT Gateway にバインドしたい場合は、チケットを起票し、サポートセンターへお問い合わせください。

FAQ

NAT Gateway に関する FAQ

1 つのパブリック IP アドレスに対して DNAT ルールと SNAT ルールの両方を設定できますか。

いいえ。パブリック IP アドレスに対しては、 DNAT ルールまたは SNAT ルールのいずれか一方のみ設定できます。 DNAT ルールと SNAT ルールは、それぞれ別のパブリック IP アドレスに対して設定する必要があります。

作成できる NAT Gateway の数に上限はありますか。

Alibaba Cloudアカウントが作成できるNAT Gateway の数に制限はありません。

NAT Gateway に追加できる DNAT エントリの数に上限はありますか。

1 つの NAT Gateway には 100 個まで DNATエントリを追加できます。

[クォータ管理] ページでクォータ名 natgw_quota_dnat_entry_num を検索し、関連付け可能なエントリ数の追加を申請できます。

NAT Gateway に追加できる SNAT エントリの数に上限はありますか。

1 つの NAT Gateway には 40 個まで SNATエントリを追加できます。

[クォータ管理] ページでクォータ名 natgw_quota_snat_entry_num を検索し、関連付け可能なエントリ数の追加を申請できます。

1 つの SNAT エントリに関連付けることができるパブリック IP アドレスの数に上限はありますか。

1 つの SNAT エントリには、256 個までパブリック IP アドレスを関連付けることができます。

VSwitchのトラフィックを、対応する NAT Gateway のコンソールで表示できますか?

いいえ、表示できません。

ただし、EIP を VSwitch に関連付けて、EIP コンソールで VSwitch のトラフィックを表示できます。

ECS インスタンスにパブリック IP アドレスが割り当てられ、SNAT エントリが設定されている場合、ECS インスタンスが SNAT エントリのパブリック IP アドレスを介してインターネットにアクセスできるようにしたい場合はどうすればよいですか。

ENI を作成して ECS インスタンスにアタッチし、ECS インスタンスに割り当てられたパブリック IP アドレスを EIP に変換し、さらに EIP を ENI に関連付けることで、ECS インスタンスが SNATエントリのパブリック IP アドレスを介してインターネットにアクセスできるようになります。インターネットからのトラフィックは、ENI を介して ECS インスタンスにアクセスします。 詳細については、「パブリック IP アドレスを割り当てられた ECS への ENI のアタッチ」をご参照ください。

ECS インスタンスにパブリック IP アドレスが割り当てられ、SNAT エントリが設定されている場合、ECS インスタンスが SNAT エントリのパブリック IP アドレスを介してインターネットにアクセスできるようにしたい場合はどうすればよいですか。

ENI を作成して ECS インスタンスにアタッチし、EIP と ECS インスタンスの関連付けを解除し、さらに EIP を ENI に関連付けることで、ECS インスタンスが SNATエントリのパブリック IP アドレスを介してインターネットにアクセスできるようになります。インターネットからのトラフィックは、ENI を介して ECS インスタンスにアクセスします。 詳細については、「Attach an ENI to an ECS instance associated with an EIP」をご参照ください。

ECS インスタンスに DNAT IP マッピングと SNAT エントリの両方が設定されている場合、ECS インスタンスが SNAT エントリのパブリック IP アドレスを介してインターネットにアクセスできるようにしたい場合はどうすればよいですか。

ENI を作成して ECS インスタンスにアタッチし、NAT Gateway の既存の DNAT エントリを削除してから新しい DNAT エントリを作成し、さらに NAT ゲートウェイのパブリック IP アドレスを ENI にマッピングすることで、ECS インスタンスは SNAT エントリのパブリックIPアドレスを介してインターネットにアクセスできるようになります。インターネットからのトラフィックは ENI を介して ECS インスタンスにアクセスします。 詳細については、「DNAT IP マッピングが設定された ECS インスタンスへの ENI のアタッチ」をご参照ください。

EIP の制限事項に関するFAQ

NAT Gateway コンソールで EIP を NAT Gateway に関連付けることができないのはなぜですか。

Alibaba Cloud アカウントで NAT Gateway 帯域幅パッケージを購入した日付によっては、EIP をNAT Gateway に関連付けることができない場合があります。 2018 年 1 月 28 日以前に NAT 帯域幅パッケージを購入したアカウントでは、パブリック IP アドレスを提供する必要があります。 EIP の使用をご希望の場合は、チケットを起票して申請してください。

EIP は SNAT IP アドレスプールの作成をサポートしていますか?

はい。 現在、SNAT IP アドレスプールの作成には、API を呼び出す必要があります。 詳細は、「SNAT IP アドレスプールの作成」をご参照ください。

1 つの NAT Gateway に関連付けられる EIP に上限はありますか。

1 つの NAT Gateway に EIP を 20 個まで関連付けることができます。 関連付ける EIP の数を増やしたい場合は、チケットを起票してください。

NAT Gateway とのトラフィックに基づいて課金される EIP を 10 個まで関連付けることができます。ただし、トラフィックに基づいて課金される EIP ごとのピーク帯域幅が 200 Mbps を超えることはできません。

EIP を NAT Gateway に関連付けた後、ピーク帯域幅に到達しないのはなぜですか。

NAT Gateway に関連付けられている EIP の数により、NAT Gateway の最大接続数が制限されます。 NAT Gateway に EIP が 1 つのみ関連付けられている場合、最大接続数は 55,000 です。 複数の ECS インスタンスが同じパブリック IP アドレスおよびポートにアクセスする際の帯域幅が 2 Gbps を超える場合、ポート数の制限によりパケットが破棄される可能性があります。 この問題を解決するには、4 個から 8 個の EIP をNAT Gateway に関連付けて、SNAT プールを作成することを推奨します。