NAT ゲートウェイの基本 - Amazon Virtual Private Cloud

NAT ゲートウェイの基本

各 NAT ゲートウェイは、アベイラビリティーゾーン別に作成され、各ゾーンで冗長性を持たせて実装されます。各アベイラビリティーゾーンに作成できる NAT ゲートウェイの数にはクォータがあります。詳細については、「ゲートウェイ」を参照してください。

複数のアベイラビリティーゾーンにリソースがあって、1 つの NAT ゲートウェイを共有している場合、その NAT ゲートウェイが属するアベイラビリティーゾーンがダウンすると、その他のアベイラビリティーゾーンのリソースはインターネットにアクセスできなくなります。耐障害性を高めるには、各アベイラビリティーゾーンに NAT ゲートウェイを作成し、同じアベイラビリティーゾーンに属する NAT ゲートウェイがリソースで使用されるようにルーティングを設定します。

NAT ゲートウェイには、次の特性と規則が適用されます。

  • NAT ゲートウェイは、プロトコルとして TCP、UDP、ICMP をサポートします。

  • NAT ゲートウェイは IPv4 または IPv6 トラフィックでサポートされます。IPv6 トラフィックの場合、NAT ゲートウェイは NAT64 を実行します。これを DNS64 (Route 53 Resolver で利用可能) と組み合わせて使用することで、Amazon VPC のサブネット内の IPv6 ワークロードが IPv4 リソースと通信できます。これらの IPv4 サービスは、オンプレミス環境またはインターネット上の、同じ VPC (別のサブネット内) または別の VPC に存在することがあります。

  • NAT ゲートウェイは 5 Gbps の帯域幅をサポートし、100 Gbps まで自動的に拡張します。これ以上の帯域幅が必要な場合は、リソースを分割して複数のサブネットに配置し、サブネットごとに NAT ゲートウェイを作成できます。

  • NAT ゲートウェイは 1 秒あたり 100 万パケットを処理でき、自動的に 1 秒あたり 1,000 万パケットまで拡張できます。この制限を超えると、NAT ゲートウェイはパケットをドロップします。パケット損失を防ぐには、リソースを分割して複数のサブネットに配置し、サブネットごとに個別の NAT ゲートウェイを作成します。

  • 各 IPv4 アドレスは、固有の送信先それぞれに対して最大 55,000 の同時接続をサポートできます。固有の送信先は、送信先 IP アドレス、送信先ポート、およびプロトコル (TCP/UDP/ICMP) の一意の組み合わせで識別されます。この制限は、NAT ゲートウェイに最大 8 個の IPv4 アドレス (1 個のプライマリ IPv4 アドレスと 7 個のセカンダリ IPv4 アドレス) を関連付けることで、引き上げることができます。デフォルトで、パブリック NAT ゲートウェイに関連付ける Elastic IP アドレスは 2 個に制限されています。この制限は、クォータの調整をリクエストすることで引き上げることができます。詳細については、「Elastic IP アドレス」を参照してください。

  • NAT ゲートウェイを作成するときに、NAT ゲートウェイに割り当てられているプライマリプライベート IPv4 アドレスを選択できます。選択しない場合は、サブネットの IPv4 アドレス範囲から自動的に選択されます。プライマリプライベート IPv4 アドレスを変更または削除することはできません。必要に応じて、セカンダリプライベート IPv4 アドレスを追加できます。

  • NAT ゲートウェイにセキュリティグループを関連付けることはできません。セキュリティグループをインスタンスに関連付けて、インバウンドトラフィックとアウトバウンドトラフィックをコントロールできます。

  • NAT ゲートウェイのリクエスタマネージドネットワークインターフェイスが作成されます。ネットワークインターフェイスは Amazon EC2 コンソールで参照できます。説明の中から NAT ゲートウェイの ID を検索します。ネットワークインターフェイスにタグを追加できますが、このネットワークインターフェイスの他のプロパティを変更することはできません。

  • NAT ゲートウェイのサブネットに出入りするトラフィックを管理するには、ネットワーク ACL を使用できます。NAT ゲートウェイはポート 1024 ~ 65535 を使用します。詳細については、「ネットワーク ACL」を参照してください。

  • VPC ピアリング接続を経由して NAT ゲートウェイにトラフィックをルーティングすることはできません。ただし、VPC ピア接続を介した NAT ゲートウェイからピア接続された VPC の送信先へのトラフィックは、「送信者に戻る」動作をサポートします。リターントラフィックは、送信先 VPC でリターンルートが設定されていなくても、送信元 NAT ゲートウェイに自動的にルーティングされて戻ります。この動作は NAT ゲートウェイに固有であり、標準の EC2 インスタンスには適用されません。これを避けるには、NACL を使用してリターントラフィックをブロックします。

    サポート外:

    Client → Peering → NAT → Internet

    サポート対象:

    Client → NAT → Peering → Destination

  • 仮想プライベートゲートウェイを使用して Site-to-Site VPN または Direct Connect から NAT ゲートウェイへの方向のトラフィックをルーティングすることはできません。仮想プライベートゲートウェイではなく、トランジットゲートウェイを使用する場合は、Site-to-Site VPN または Direct Connect から NAT ゲートウェイにトラフィックをルーティングできます。

  • NAT ゲートウェイは最大伝送単位 (MTU) が 8500 のトラフィックをサポートしますが、以下の点に注意する必要があります。

    • MTU とは、接続を介して渡すことができる最大許容パケットサイズ (バイト) です。接続の MTU が大きいほど、より多くのデータを単一のパケットで渡すことができます。

    • NAT ゲートウェイに到達した 8,500 バイトを超えるパケットはドロップ (または該当する場合はフラグメント化) されます。

    • パブリック NAT ゲートウェイを使用してインターネット経由でリソースと通信する際にパケットロスが発生するのを防ぐため、EC2 インスタンスの MTU 設定は 1500 バイトを超えないようにしてください。インスタンスの MTU の確認と設定については、「Amazon EC2 ユーザーガイド」の「EC2 インスタンスのネットワーク MTU」を参照してください。

    • NAT ゲートウェイは、FRAG_NEEDED ICMPv4 パケットとパケット・トゥー・ビッグ (PTB) ICMPv6 パケットによるパス MTU ディスカバリー (PMTUD) をサポートします。

    • NAT ゲートウェイは、すべてのパケットに対して最大セグメントサイズ (MSS) クランプを適用します。詳細については、「RFC879」を参照してください。