Oracle Cloud Infrastructureドキュメント

NATゲートウェイ

このトピックでは、ネットワーク・アドレス変換(NAT)ゲートウェイを設定および管理する方法について説明します。NATゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースは、着信インターネット接続にそれらのリソースを公開せずにインターネットにアクセスできます。

警告

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、クラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合、機密情報を入力することは避けてください。

ハイライト

  • NATゲートウェイをVCNに追加して、プライベート・サブネット内のインスタンスにインターネットへのアクセス権を付与できます。
  • プライベート・サブネット内のインスタンスは、パブリックIPアドレスを持ちません。NATゲートウェイを使用すると、インターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。
  • NATゲートウェイは可用性が高く、TCP、UDPおよびICMPのpingトラフィックをサポートしています。

NATの概要

NATは、各ホストにパブリックIPv4アドレスを割り当てることなく、プライベート・ネットワーク全体にインターネットへのアクセス権を付与するために一般的に使用されるネットワーキング手法です。各ホストはインターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。

プライベート・ネットワークのホストがインターネットバウンド接続を開始すると、NATデバイスのパブリックIPアドレスがアウトバウンド・トラフィックのソースIPアドレスになります。したがって、インターネットからのレスポンス・トラフィックは、そのパブリックIPアドレスを宛先IPアドレスとして使用します。その後、NATデバイスは、接続を開始したプライベート・ネットワーク内のホストにレスポンスをルーティングします。

NATゲートウェイの概要

ネットワーキング・サービスは、VCNに対してNATゲートウェイの形式で信頼性と可用性の高いNATソリューションを提供します。

シナリオ例: インターネット(Webサーバーなど)からのインバウンド・トラフィックを受信する必要があるリソースがあるとします。また、インターネットからのインバウンド・トラフィックから保護する必要のあるプライベート・リソースもあるとします。これらのリソースはすべて、インターネットへの接続を開始して、インターネット上のサイトからのソフトウェア更新をリクエストする必要があります。

VCNを設定し、Webサーバーを含むパブリック・サブネットを追加します。インスタンスを起動するときに、インバウンド・インターネット・トラフィックを受信できるようにパブリックIPアドレスをそれらに割り当てます。また、プライベート・インスタンスを保持するプライベート・サブネットも追加します。これらはプライベート・サブネット内にあるため、パブリックIPアドレスを持つことはできません。

インターネット・ゲートウェイをVCNに追加します。また、パブリック・サブネットのルート表内に、インターネットバウンド・トラフィックをインターネット・ゲートウェイに送信するルート・ルールを追加します。これで、パブリック・サブネットのインスタンスは、インターネットへの接続を開始できるようになり、さらにインターネットから開始されたインバウンド接続を受信できるようになります。セキュリティ・ルールを使用して、インスタンスの出入りが許可されるトラフィックのタイプをパケット・レベルで制御できることに注意してください。

NATゲートウェイをVCNに追加します。また、プライベート・サブネットのルート表内に、インターネットバウンド・トラフィックをNATゲートウェイに送信するルート・ルールを追加します。これで、プライベート・サブネットのインスタンスはインターネットへの接続を開始できるようになります。NATゲートウェイではレスポンスは許可されますが、インターネットから開始された接続は許可されません。そのNATゲートウェイがない場合は、プライベート・インスタンスがパブリック・サブネットに存在し、かつソフトウェア更新を取得するためのパブリックIPアドレスを持つ必要があります。

次の図は、この例の基本的なネットワーク・レイアウトを示しています。矢印は、接続を開始できる方向が1方向のみか両方向かを示しています。

この図は、NATゲートウェイおよびインターネット・ゲートウェイを使用するVCNの基本的なレイアウトを示しています

ノート

NATゲートウェイを使用できるのは、そのゲートウェイ自身のVCN内のリソースのみです。VCNが他のVCNとピアリングされている場合、もう一方のVCN内のリソースはNATゲートウェイにアクセスできません。

また、FastConnectまたはIPSec VPNを使用してNATゲートウェイのVCNに接続されているオンプレミス・ネットワークのリソースも、NATゲートウェイを使用できません。

NATゲートウェイに関するいくつかの基本情報を次に示します:

  • NATゲートウェイでは、TCP、UDPおよびICMPのpingトラフィックをサポートしています。
  • このゲートウェイでは、1つの宛先アドレスおよびポートに対して最大で約20,000の同時接続をサポートしています。
  • ネットワーキング・サービスによって、パブリックIPアドレスがNATゲートウェイに自動的に割り当てられます。パブリックIPアドレスを選択したり、予約済パブリックIPアドレスの1つを使用することはできません。
  • VCN当たりのNATゲートウェイの数には制限があります。その制限まで引上げをリクエストできます。サービス制限を参照してください。

NATゲートウェイのルーティング

VCN内のルーティングはサブネット・レベルで制御するため、VCN内のどのサブネットがNATゲートウェイを使用するかを指定できます。1つのVCNに複数のNATゲートウェイを設定できます(ただし、制限範囲内で引上げをリクエストする必要があります)。たとえば、外部アプリケーションがVCNの各サブネットのトラフィックを区別できるようにする場合は、サブネットごとに異なるNATゲートウェイ(つまり、異なるパブリックIPアドレス)を設定できます。ある特定のサブネットでは、トラフィックを1つのNATゲートウェイにのみルーティングできます。

NATゲートウェイを介するトラフィックのブロック

特定のVCNのコンテキストでNATゲートウェイを作成します。つまり、そのNATゲートウェイは常に、選択した1つのVCNのみに自動的にアタッチされます。ただし、そのNATゲートウェイを介するトラフィックは、いつでもブロックまたは許可できます。デフォルトでは、ゲートウェイの作成時にトラフィックが許可されます。NATゲートウェイをブロックすると、VCN内に存在するルート・ルールやセキュリティ・ルールにかかわらず、すべてのトラフィック・フローが禁止されます。トラフィックをブロックする手順については、NATゲートウェイのトラフィックをブロック/許可するにはを参照してください。

NATゲートウェイへの切替え

VCN内のNATインスタンスの使用からNATゲートウェイの使用に切り替える場合は、NATデバイスのパブリックIPアドレスが変わることを考慮してください。

インターネット・ゲートウェイの使用からNATゲートウェイの使用に切り替える場合、NATゲートウェイへのアクセス権を持つインスタンスは、インターネットに到達するためにパブリックIPアドレスを必要としなくなります。また、インスタンスがパブリック・サブネットに存在する必要もなくなります。サブネットをパブリックからプライベートに切り替えることはできません。ただし、必要に応じて、インスタンスからエフェメラル・パブリックIPを削除することはできます。

NATゲートウェイの削除

NATゲートウェイを削除する場合、そのトラフィックをブロックする必要はありませんが、そのゲートウェイがターゲットとしてリストされたルート表が存在していない必要があります。手順については、NATゲートウェイを削除するにはを参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者が記述するポリシー で、コンソールまたはSDK、CLIまたはその他のツールを使用したREST APIのどれを使用しているかにかかわらず、必要なアクセスのタイプを付与されている必要があります。アクションを実行しようとしたときに、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセスのタイプと作業するコンパートメントを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

NATゲートウェイの設定

タスク1: NATゲートウェイの作成
タスク2: サブネットのルーティングの更新

コンソールの使用

NATゲートウェイのトラフィックをブロック/許可するには
NATゲートウェイを更新するには
NATゲートウェイを削除するには
NATゲートウェイのタグを管理するには
NATゲートウェイを別のコンパートメントに移動するには

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

NATゲートウェイを管理するには、次の操作を使用します:

ルート表を管理するには、ルート表を参照してください。