自動マルチ AZ 拡張用のリージョン NAT ゲートウェイ
ネットワークアーキテクチャを簡素化し、セキュリティ体制を改善し、デフォルトで高可用性を設定する場合は、リージョン NAT ゲートウェイを使用します。リージョン NAT ゲートウェイは、ワークロードの存在に基づいてアベイラビリティーゾーン間で自動的に拡張されます。単一のアベイラビリティーゾーンで動作する標準 NAT ゲートウェイ (ゾーン NAT ゲートウェイと呼ばれます) とは異なり、リージョン NAT ゲートウェイはワークロードに従って自動高可用性を提供します。
左側の図 A は、ゾーン NAT ゲートウェイを使用した現在のセットアップを示しています。まず、アベイラビリティーゾーンごとにゾーン NAT ゲートウェイを作成し、パブリックサブネットで NAT をホストします。次に、アベイラビリティーゾーンごとにプライベートサブネットからそのアベイラビリティーゾーンの NAT への個別のルートを設定します。高可用性を確保するため、ワークロードが新しいアベイラビリティーゾーンに拡張されるたびに、このステップを繰り返します。さらに、アベイラビリティーゾーンごとに NAT サブネットのルートテーブルにインターネットゲートウェイのルートを追加する必要があります。
一方、リージョン NAT ゲートウェイでは、パブリックサブネットを作成してホストする必要はありません。また、ワークロードが新しいアベイラビリティーゾーンに拡張されるたびに、NAT ゲートウェイを作成および削除したり、ルートテーブルを編集したりする必要はありません。代わりに、リージョンモードの NAT ゲートウェイを作成し、VPC を選択するだけで、ワークロードの存在に基づいてすべての AZ 間で自動的に拡張および縮小され、高可用性が提供されます。図 B に示すように、プライベートサブネット内のリソースからのトラフィックをすべての AZ 間でこの単一のリージョン NAT ゲートウェイ ID にルーティングすることも、AZ 内のサブネット間で同じルートテーブルを使用してネットワークアドレス変換を実行することもできます。リージョン NAT ゲートウェイを作成すると、AWS は自動的にそのルートテーブルを作成します。このテーブルには、インターネットゲートウェイへの事前設定されたルートが付属しています。このルートテーブルを使用して、ミドルボックスに戻りルートを追加できます。
利点
リージョン NAT ゲートウェイには以下の利点があります。
-
セットアップの簡素化 – ネットワークインターフェイスを持つすべてのアベイラビリティーゾーンで単一の NAT ID を使用するため、異なるアベイラビリティーゾーンのサブネットに同じルートエントリを使用できます。
-
セキュリティの強化 – パブリックサブネットは必要ありません。リージョン NAT ゲートウェイは、独自のルートテーブルを持つスタンドアロンリソースであり、リージョン NAT ゲートウェイをホストするために VPC 内のパブリックサブネットを必要としないため、パブリック接続を使用してサブネット内のプライベートリソースを誤って設定する可能性が低くなります。
-
自動高可用性 — ワークロードフットプリントを自動的に拡張および縮小し、デフォルトで高可用性を提供するゾーンアフィニティを維持します。
-
ポートと IP の制限の引き上げ – リージョン NAT ゲートウェイは、アベイラビリティーゾーンごとに最大 32 個の IP アドレスをサポートします (ゾーン NAT ゲートウェイの場合は 8 個)。各 IP アドレスは、一般的な送信先 (送信先 IP、送信先ポート、プロトコルの一意の組み合わせで識別) への同時接続の制限を 55,000 引き上げます。
リージョン NAT ゲートウェイを使用するタイミング
プライベート接続を必要とするユースケースを除くすべてのユースケースで、リージョン NAT ゲートウェイを使用することを検討してください。リージョン NAT ゲートウェイはプライベート接続を提供しないため、プライベート NAT ユースケースではゾーンアベイラビリティーモードで NAT ゲートウェイを使用することをお勧めします。
リージョン NAT ゲートウェイの仕組み
新しいアベイラビリティーゾーンでリソースを起動すると、リージョン NAT ゲートウェイはそのアベイラビリティーゾーン内のネットワークインターフェイス (ENI) の存在を検出し、自動的にそのゾーンに拡張します。同様に、NAT ゲートウェイはアクティブなワークロードがないアベイラビリティーゾーンから縮小します。
リソースがインスタンス化された後、リージョン NAT ゲートウェイが新しいアベイラビリティーゾーンに拡張されるまでに最大 60 分かかる場合があります。この拡張が完了するまで、このリソースからの関連するトラフィックは、既存のアベイラビリティーゾーンのいずれかのリージョン NAT ゲートウェイによってゾーン間で処理されます。
リージョン NAT ゲートウェイは 2 つのモードをサポートします。
-
自動モード – このモードでは、AWS は IP アドレスとアベイラビリティーゾーンの拡張を自動的に管理します (推奨)。このモードで独自の IP アドレスを使用し、Amazon VPC IPAM を使用する場合は、「Amazon VPC IPAM ユーザーガイド」の「IPAM ポリシーを使用してパブリック IPv4 割り当て戦略を定義する」を参照してください。
-
手動モード – このモードでは、各アベイラビリティーゾーンの IP アドレスを手動で管理し、ネットワークアドレス変換を制御します。手動モードでは、アベイラビリティーゾーン間で NAT ゲートウェイを拡張および縮小する責任がユーザーにあります。
料金
料金については、「Amazon VPC の料金
リージョン NAT ゲートウェイを作成する
コンソールを使用する
Amazon VPC コンソールの https://console.aws.amazon.com/vpc/
を開いてください。 -
ナビゲーションペインで [NAT ゲートウェイ] を選択します。
-
[NAT ゲートウェイを作成] を選択します。
-
[アベイラビリティーモード] で、[リージョン] を選択します。リージョンの可用性を選択するときは、サブネットを指定する必要はありません。
-
VPC を選択してください。
-
残りの設定を完了し、[NAT ゲートウェイの作成] を選択します。
AWS CLI の使用
リージョン NAT ゲートウェイを作成する
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
NAT ゲートウェイの詳細を表示する
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
IP アドレスを追加する (手動モード)
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
IP アドレスを削除する
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
リージョン NAT ゲートウェイを削除する
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
ゾーン NAT ゲートウェイからリージョン NAT ゲートウェイへの変換
重要
これにより、既存の接続がリセットされます。メンテナンスウィンドウでこれらのステップを完了することをお勧めします。
既存のゾーン NAT ゲートウェイをリージョン NAT ゲートウェイに変換するには、次の 2 つの方法のいずれかを使用します。
新しい IP アドレスでリージョン NAT ゲートウェイを使用しても問題ない場合:
-
新しいリージョン NAT ゲートウェイを作成する
-
リージョン NAT ゲートウェイを参照するようにルートテーブルを更新する
-
古いゾーン NAT ゲートウェイを削除する
このアプローチでは、新しい IP アドレスを使用し、ルートが更新されると既存の接続をリセットします。
リージョン NAT ゲートウェイで既存の IP アドレスを再利用する場合:
-
既存のゾーン NAT ゲートウェイを削除して IP アドレスを解放する
-
リリースされた IP アドレスを使用してリージョン NAT ゲートウェイを作成する
-
リージョン NAT ゲートウェイを参照するようにルートテーブルを更新する
このアプローチでは IP アドレスは保持されますが、移行中にトラフィックが中断されるため、メンテナンスウィンドウが必要です。
