NATゲートウェイ

このトピックでは、ネットワーク・アドレス変換(NAT)ゲートウェイを設定および管理する方法について説明します。NATゲートウェイを使用すると、パブリックIPアドレスを持たないクラウド・リソースは、着信インターネット接続にそれらのリソースを公開せずにインターネットにアクセスできます。

ハイライト

  • NATゲートウェイをVCNに追加して、プライベート・サブネット内のインスタンスにインターネットへのアクセス権を付与できます。
  • プライベート・サブネット内のインスタンスは、パブリックIPアドレスを持ちません。NATゲートウェイを使用すると、インターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。
  • NATゲートウェイは可用性が高く、TCP、UDPおよびICMPのpingトラフィックをサポートしています。

NATの概要

NATは、各ホストにパブリックIPv4アドレスを割り当てることなく、プライベート・ネットワーク全体にインターネットへのアクセス権を付与するために一般的に使用されるネットワーキング手法です。各ホストはインターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。

プライベート・ネットワークのホストがインターネットバウンド接続を開始すると、NATデバイスのパブリックIPアドレスがアウトバウンド・トラフィックのソースIPアドレスになります。したがって、インターネットからのレスポンス・トラフィックは、そのパブリックIPアドレスを宛先IPアドレスとして使用します。その後、NATデバイスは、接続を開始したプライベート・ネットワーク内のホストにレスポンスをルーティングします。

NATゲートウェイの概要

ネットワーキング・サービスは、VCNに対してNATゲートウェイの形式で信頼性と可用性の高いNATソリューションを提供します。

シナリオ例: インターネット(Webサーバーなど)からのインバウンド・トラフィックを受信する必要があるリソースがあるとします。また、インターネットからのインバウンド・トラフィックから保護する必要のあるプライベート・リソースもあるとします。これらのリソースはすべて、インターネットへの接続を開始して、インターネット上のサイトからのソフトウェア更新をリクエストする必要があります。

VCNを設定し、Webサーバーを含むパブリック・サブネットを追加します。インスタンスを起動するときに、インバウンド・インターネット・トラフィックを受信できるようにパブリックIPアドレスをそれらに割り当てます。また、プライベート・インスタンスを保持するプライベート・サブネットも追加します。これらはプライベート・サブネット内にあるため、パブリックIPアドレスを持つことはできません。

インターネット・ゲートウェイをVCNに追加します。また、パブリック・サブネットのルート表内に、インターネットバウンド・トラフィックをインターネット・ゲートウェイに送信するルート・ルールを追加します。これで、パブリック・サブネットのインスタンスは、インターネットへの接続を開始できるようになり、さらにインターネットから開始されたインバウンド接続を受信できるようになります。セキュリティ・ルールを使用して、インスタンスの出入りが許可されるトラフィックのタイプをパケット・レベルで制御できることに注意してください。

NATゲートウェイをVCNに追加します。また、プライベート・サブネットのルート表内に、インターネットバウンド・トラフィックをNATゲートウェイに送信するルート・ルールを追加します。これで、プライベート・サブネットのインスタンスはインターネットへの接続を開始できるようになります。NATゲートウェイではレスポンスは許可されますが、インターネットから開始された接続は許可されません。そのNATゲートウェイがない場合は、プライベート・インスタンスがパブリック・サブネットに存在し、かつソフトウェア更新を取得するためのパブリックIPアドレスを持つ必要があります。

次の図は、この例の基本的なネットワーク・レイアウトを示しています。矢印は、接続を開始できる方向が1方向のみか両方向かを示しています。

この図は、NATゲートウェイおよびインターネット・ゲートウェイを使用するVCNの基本的なレイアウトを示しています

ノート

NATゲートウェイを使用できるのは、そのゲートウェイ自身のVCN内のリソースのみです。VCNが他のVCNとピアリングされている場合、もう一方のVCN内のリソースはNATゲートウェイにアクセスできません。

また、FastConnectまたはSite - to - Site VPNを使用してNATゲートウェイのVCNに接続されているオンプレミス・ネットワークのリソースも、NATゲートウェイを使用できません。

NATゲートウェイに関するいくつかの基本情報を次に示します:

  • NATゲートウェイでは、TCP、UDPおよびICMPのpingトラフィックをサポートしています。
  • このゲートウェイでは、1つの宛先アドレスおよびポートに対して最大で約20,000の同時接続をサポートしています。
  • ネットワーキング・サービスでは、新しいNATゲートウェイに新しいパブリックIPアドレスを割り当てることも、新しく作成したNATゲートウェイに使用する特定の既存の予約済パブリックIPを指定することもできます。
  • VCN当たりのNATゲートウェイの数には制限があります。その制限まで引上げをリクエストできます。サービス制限を参照してください。

NATゲートウェイのルーティング

VCN内のルーティングはサブネット・レベルで制御するため、VCN内のどのサブネットがNATゲートウェイを使用するかを指定できます。1つのVCNに複数のNATゲートウェイを設定できます(ただし、制限範囲内で引上げをリクエストする必要があります)。たとえば、外部アプリケーションがVCNの各サブネットのトラフィックを区別できるようにする場合は、サブネットごとに異なるNATゲートウェイ(つまり、異なるパブリックIPアドレス)を設定できます。ある特定のサブネットでは、トラフィックを1つのNATゲートウェイにのみルーティングできます。

NATゲートウェイを介するトラフィックのブロック

特定のVCNのコンテキストでNATゲートウェイを作成します。つまり、そのNATゲートウェイは常に、選択した1つのVCNのみに自動的にアタッチされます。ただし、そのNATゲートウェイを介するトラフィックは、いつでもブロックまたは許可できます。デフォルトでは、ゲートウェイの作成時にトラフィックが許可されます。NATゲートウェイをブロックすると、VCN内に存在するルート・ルールやセキュリティ・ルールにかかわらず、すべてのトラフィック・フローが禁止されます。トラフィックをブロックする手順については、NATゲートウェイのトラフィックをブロック/許可するにはを参照してください。

NATゲートウェイへの切替え

VCN内のNATインスタンスの使用からNATゲートウェイの使用に切り替える場合は、NATデバイスのパブリックIPアドレスが変わることを考慮してください。

インターネット・ゲートウェイの使用からNATゲートウェイの使用に切り替える場合、NATゲートウェイへのアクセス権を持つインスタンスは、インターネットに到達するためにパブリックIPアドレスを必要としなくなります。また、インスタンスがパブリック・サブネットに存在する必要もなくなります。サブネットをパブリックからプライベートに切り替えることはできません。ただし、必要に応じて、インスタンスからエフェメラル・パブリックIPを削除することはできます。

NATゲートウェイの削除

NATゲートウェイを削除する場合、そのトラフィックをブロックする必要はありませんが、そのゲートウェイがターゲットとしてリストされたルート表が存在していない必要があります。手順については、NATゲートウェイを削除するにはを参照してください。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によってポリシーでセキュリティ・アクセス権が付与されている必要があります。このアクセス権は、コンソール、あるいはSDK、CLIまたはその他のツールを使用したREST APIのいずれを使用している場合でも必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

NATゲートウェイの設定

タスク1: NATゲートウェイの作成
  1. コンソールで、NATゲートウェイを追加するVCNを含むコンパートメントを表示していることを確認します。コンパートメントとアクセス制御の詳細は、アクセス制御を参照してください。
  2. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  3. 関心のあるVCNをクリックします。
  4. 「リソース」で、「NATゲートウェイ」をクリックします。
  5. 「NATゲートウェイの作成」をクリックします。
  6. 次の値を入力します。

    • 名前: NATゲートウェイのわかりやすい名前。一意である必要はありません。機密情報の入力は避けてください。
    • コンパートメントに作成: NATゲートウェイを作成するコンパートメント(現在作業しているコンパートメントと異なる場合)。
    • IPアドレス・タイプの選択:パブリックIPアドレスを予約するかエフェメラル・アドレスにするかを指定します。
      • エフェメラルIPアドレス: OracleがOracle IPプールからエフェメラルIPアドレスを指定できるようにするには、このオプションを選択します。これはデフォルトです。
      • 予約済IPアドレス:既存の予約済IPアドレスを名前で指定する場合、または名前を割り当ててアドレスのソースIPプールを選択して新規予約済IPアドレスを作成する場合は、このオプションを選択します。作成したプールを選択しない場合は、デフォルトのOracle IPプールが使用されます。
    • タグ: リソースの作成権限がある場合は、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかわからない場合は、このオプションをスキップするか(後からでもタグを適用できます)、管理者に問い合せてください。
  7. 「NATゲートウェイの作成」をクリックします。

    選択したコンパートメント内にNATゲートウェイが作成され、「NATゲートウェイ」ページに表示されます。デフォルトでは、ゲートウェイのトラフィックは許可されます。いつでも、ゲートウェイを介するトラフィックをブロックまたは許可できます。

タスク2: サブネットのルーティングの更新

NATゲートウェイを作成する場合、サブネットから目的のトラフィックをNATゲートウェイに送信するルート・ルールも作成する必要があります。ゲートウェイにアクセスする必要があるサブネットごとに、これを行います。

  1. VCN内のどのサブネットがNATゲートウェイにアクセスする必要があるかを決定します。
  2. これらのサブネットごとに、新しいルールを含めてサブネットのルート表を更新します:

    1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
    2. 関心のあるVCNをクリックします。
    3. 「リソース」で、「ルート表」をクリックします。
    4. 目的のルート表をクリックします。
    5. 「ルート・ルールの追加」をクリックし、次の値を入力します:

      • ターゲット・タイプ: NATゲートウェイ。
      • 宛先CIDRブロック: 0.0.0.0/0
      • コンパートメント: NATゲートウェイが配置されているコンパートメント。
      • ターゲットNATゲートウェイ: NATゲートウェイ。
      • 説明: ルールのオプションの説明。
    6. 「ルート・ルールの追加」をクリックします。

ルールに一致する宛先のサブネット・トラフィックは、NATゲートウェイにルーティングされます。ルート・ルールの設定の詳細は、VCNルート表を参照してください。

その後、NATゲートウェイが不要になってNATゲートウェイを削除する場合は、そのNATゲートウェイをターゲットとして指定しているVCN内のすべてのルート・ルールを最初に削除する必要があります。

ヒント

必要なルーティングがない場合、トラフィックはNATゲートウェイを通過しません。ゲートウェイを介するトラフィック・フローを一時的に停止する必要がある状況が発生した場合は、トラフィックを有効にするルート・ルールを削除するだけです。あるいは、ゲートウェイを介するトラフィックを完全にブロックすることもできます。削除する必要はありません。

コンソールの使用

NATゲートウェイのトラフィックをブロック/許可するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「NATゲートウェイ」をクリックします。
  4. 目的のNATゲートウェイについて、「アクション」アイコン(3つのドット)をクリックし、「トラフィックのブロック」(NATゲートウェイのトラフィックを有効にする場合は「トラフィックの許可」)をクリックします。
  5. プロンプトが表示されたら確認します。

    トラフィックがブロックされると、NATゲートウェイのアイコンがグレーに変わり、ラベルはBLOCKEDに変わります。トラフィックが許可されると、NATゲートウェイのアイコンが緑色に変わり、ラベルはAVAILABLEに変わります。

NATゲートウェイを更新するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「NATゲートウェイ」をクリックします。
  4. 目的のNATゲートウェイについて、「アクション」アイコン(3つのドット)をクリックし、「編集」をクリックします。
  5. 変更を加え、「変更の保存」をクリックします。
NATゲートウェイを削除するには

前提条件: NATゲートウェイがターゲットとして指定されたルート表が存在していない必要があります。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「NATゲートウェイ」をクリックします。
  4. 削除するNATゲートウェイについて、「アクション」アイコン(3つのドット)をクリックし、「終了」をクリックします。
  5. プロンプトが表示されたら確認します。
NATゲートウェイのタグを管理するには
  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「NATゲートウェイ」をクリックします。
  4. NATゲートウェイの「アクション」アイコン(3つのドット)をクリックし、「タグの表示」をクリックします。その場所で、既存のタグの表示、それらの編集、および新しいタグの適用を行うことができます。

詳細は、リソース・タグを参照してください。

NATゲートウェイを別のコンパートメントに移動するには

NATゲートウェイは、コンパートメント間で移動できます。NATゲートウェイを新しいコンパートメントに移動すると、固有のポリシーがただちに適用されます。

  1. ナビゲーション・メニューを開き、「ネットワーキング」「仮想クラウド・ネットワーク」の順にクリックします。
  2. 関心のあるVCNをクリックします。
  3. 「リソース」で、「NATゲートウェイ」をクリックします。
  4. リストでNATゲートウェイを検索し、「アクション」アイコン(3つのドット)をクリックして、「リソースの移動」をクリックします。
  5. リストから宛先コンパートメントを選択します。
  6. 「リソースの移動」をクリックします。

NATゲートウェイがただちに新しいコンパートメントに移動されます。権限によっては、左側のメニューでコンパートメントを選択すると、NATゲートウェイが表示されます。

コンパートメントとポリシーを使用したクラウド・ネットワークへのアクセスの制御の詳細は、アクセス制御を参照してください。コンパートメントに関する一般情報は、コンパートメントの管理を参照してください。

APIの使用

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKの詳細は、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

NATゲートウェイを管理するには、次の操作を使用します:

ルート表を管理するには、VCNルート表を参照してください。