チュートリアル: Azure portal を使用して NAT ゲートウェイとパブリック ロード バランサーを統合する
このチュートリアルでは、NAT ゲートウェイをパブリック ロード バランサーと統合する方法について説明します。
既定では、Azure Standard Load Balancer はセキュリティで保護されています。 アウトバウンド接続は、アウトバウンド SNAT (送信元ネットワーク アドレス変換) を有効にすることによって明示的に定義されます。 SNAT は、負荷分散規則またはアウトバウンド規則で有効になっています。
NAT ゲートウェイの統合により、バックエンド プールのアウトバウンド SNAT に対するアウトバウンド規則が必要なくなります。
このチュートリアルでは、次の作業を行う方法について説明します。
- NAT ゲートウェイを作成する
- Azure Load Balancer を作成する
- Azure Load Balancer のバックエンド プール用に 2 つの仮想マシンを作成する
- ロード バランサーのバックエンド プール内にある仮想マシンのアウトバウンド接続を検証する
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
Azure へのサインイン
Azure アカウントで Azure Portal にサインインします。
NAT ゲートウェイを作成する
NAT ゲートウェイ リソースやその他のリソースをデプロイするには、まずデプロイするリソースを含むリソース グループが必要です。 次の手順では、リソース グループ、NAT ゲートウェイ リソース、およびパブリック IP アドレスを作成します。 1 つまたは複数のパブリック IP アドレス リソース、パブリック IP プレフィックス、またはその両方を使用できます。
パブリック IP プレフィックスと NAT ゲートウェイの詳細については、NAT ゲートウェイの管理に関するページを参照してください。
ポータルの上部にある検索ボックスに、「NAT ゲートウェイ」と入力します。 検索結果から [NAT ゲートウェイ] を選択します。
[+ 作成] を選択します。
[ネットワーク アドレス変換 (NAT) ゲートウェイを作成します] の [基本] タブにこの情報を入力または選択します。
設定 Value プロジェクトの詳細 サブスクリプション Azure サブスクリプションを選択します。 リソース グループ [新規作成] を選択します。
「test-rg」と入力します。
[OK] を選択します。インスタンスの詳細 NAT ゲートウェイ名 「nat-gateway」と入力します リージョン [米国東部 2] を選択します 可用性ゾーン [ゾーンなし] を選択します。 TCP アイドル タイムアウト (分) 既定値の [4] のままにします。 可用性ゾーンと NAT ゲートウェイの詳細については、「NAT ゲートウェイと可用性ゾーン」を参照してください。
[Outbound IP](アウトバウンド IP) タブを選択するか、ページの下部にある [Next: Outbound IP](次へ: アウトバウンド IP) を選択します。
[Outbound IP](アウトバウンド IP) タブで、次の情報を入力または選択します。
設定 Value パブリック IP アドレス [Create a new public IP address](新しいパブリック IP アドレスを作成する) を選択します。
[名前] に「public-ip-nat」と入力します。
[OK] を選択します。[Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。
[作成] を選択します
仮想ネットワークと bastion ホストの作成
次の手順では、リソース サブネット、Azure Bastion サブネット、Azure Bastion ホストのある仮想ネットワークを作成します。
ポータルで、[仮想ネットワーク] を検索して選択します。
[仮想ネットワーク] ページで、[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 Name 「vnet-1」と入力します。 リージョン [(米国) 米国東部 2] を選択します。 ![Azure portal の [仮想ネットワークの作成] の [基本] タブのスクリーンショット。](../includes/media/virtual-network-create-with-nat-bastion/create-virtual-network-basics.png)
[次へ] を選択して、[セキュリティ] タブに進みます。
[セキュリティ] タブの [Azure Bastion] セクションで [Azure Bastion を有効にする] を選択します。
Azure Bastion では、プライベート IP アドレスを使用して Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) を介して、仮想ネットワーク内の VM にブラウザーで接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 Azure Bastion の詳細については、Azure Bastion に関するページをご覧ください。
[Azure Bastion] で、次の情報を入力または選択します。
設定 値 Azure Bastion ホスト名 「bastion」と入力します。 Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
[名前] に「public-ip-bastion」と入力します。
を選択します。![Azure portal の [仮想ネットワークの作成] の bastion ホストの有効化のスクリーンショット。](../includes/media/virtual-network-create-with-nat-bastion/enable-bastion.png)
[次へ] を選択して、[IP アドレス] タブに進みます。
[サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。
[サブネットの編集] で次の情報を入力または選択します。
設定 Value サブネットの目的 既定値の [既定] のままにします。 名前 「subnet-1」と入力します。 IPv4 IPv4 アドレス範囲 既定値である 10.0.0.0/16 のままにします。 開始アドレス 既定値の 10.0.0.0 のままにします。 サイズ 既定値の /24(256 アドレス) のままにします。 Security NAT Gateway [nat-gateway] を選択します。 
[保存] を選択します。
画面の下部にある [確認と作成] を選択し、検証に合格したら [作成] を選択します。
ロード バランサーの作成
このセクションでは、仮想マシンの負荷分散を行うゾーン冗長ロード バランサーを作成します。 ゾーン冗長では、1 つまたは複数の可用性ゾーンで障害が発生しても対応可能であり、リージョン内に正常なゾーンが 1 つでも残っていれば、データ パスは存続します。
ロード バランサーの作成中に、次の構成を行います。
- フロントエンド IP アドレス
- バックエンド プール
- インバウンドの負荷分散規則
ポータルの上部にある検索ボックスに、「ロード バランサー」と入力します。 検索結果で [ロード バランサー] を選択します。
[ロード バランサー] ページで、 [作成] を選択します。
[ロード バランサーの作成] ページの [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「load-balancer」と入力します リージョン [(米国) 米国東部 2] を選択します。 SKU 既定値 [標準] のままにします。 Type [パブリック] を選択します。 レベル [地域] は既定値のままにします。 ページ下部にある [次へ: フロントエンド IP の構成] を選択します。
[フロントエンド IP 構成] で、[+ フロントエンド IP 構成の追加] を選択します。
[名前] に「frontend」と入力します。
[IP バージョン] には [IPv4] または [IPv6] を選択します。
Note
IPv6 は現在、ルーティングの優先順位およびリージョン間の負荷分散 (グローバル階層) ではサポートされていません。
[IP の種類] として [IP アドレス] を選択します。
Note
IP プレフィックスの詳細については、Azure パブリック IP アドレス プレフィックスに関するページを参照してください。
[パブリック IP アドレス] で [新規作成] を選択します。
[パブリック IP アドレスの追加]で、[名前] に「public-ip-load-balancer」と入力します。
[可用性ゾーン] で、 [ゾーン冗長] を選択します。
Note
Availability Zones があるリージョンでは、ゾーンなし (既定のオプション)、特定のゾーン、またはゾーン冗長を選択できます。 この選択は、特定のドメイン障害要件によって異なる場合があります。 Availability Zones がないリージョンでは、このフィールドは表示されません。
可用性ゾーンの詳細については、可用性ゾーンの概要に関するページを参照してください。[ルーティングの優先順位] は、既定値の [Microsoft ネットワーク] のままにします。
[OK] を選択します。
[追加] を選択します。
ページ下部で [次へ: バックエンド プール] を選択します。
[バックエンド プール] タブで、 [+ バックエンド プールの追加] を選択します。
[バックエンド プールの追加] の [名前] に「backend-pool」と入力します。
[仮想ネットワーク] で、[vnet-1 (test-rg)] を選択します。
[バックエンド プールの構成] には [NIC] または [IP アドレス] を選択します。
[保存] を選択します。
ページ下部にある [次へ: 受信規則] ボタンを選択します。
[受信規則] タブの [負荷分散規則] で、 [+ 負荷分散規則の追加] を選択します。
[負荷分散規則の追加] で、次の情報を入力または選択します。
設定 値 名前 「http-rule」と入力します IP バージョン 要件に応じて、 [IPv4] または [IPv6] を選択します。 フロントエンド IP アドレス [front-end] を選択します。 バックエンド プール [backend-pool] を選択します。 Protocol [TCP] を選択します。 Port 「80」と入力します。 バックエンド ポート 「80」と入力します。 正常性プローブ [新規作成] を選択します。
[名前] に「health-probe」と入力します。
[プロトコル] で [TCP] を選択します。
残りの部分は既定値のままにし、[OK] を選択します。セッション永続化 [なし] を選択します。 アイドル タイムアウト (分) 「15」を入力または選択します。 TCP リセット [Enabled] を選択します。 フローティング IP [無効] をクリックします。 アウトバウンド送信元ネットワーク アドレス変換 (SNAT) 既定値の [(推奨) アウトバウンド規則を使用して、バックエンド プールのメンバーがインターネットにアクセスできるようにします。] のままにします。 [保存] を選択します。
ページ下部にある青色の [確認と作成] ボタンを選択します。
[作成] を選択します
仮想マシンを作成する
このセクションでは、2 つの異なるゾーン (ゾーン 1 とゾーン 2) に 2 つの VM (vm-1 と vm-2) を作成します。
これらの VM を、前に作成したロード バランサーのバックエンド プールに追加します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。
[仮想マシンの作成] の [Basic] タブに、値を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-1」と入力します。 リージョン [米国東部 2] を選択します。 可用性のオプション [ゾーン 1] を選びます。 セキュリティの種類 [Standard] を選択します。 Image [Ubuntu Server 22.04 LTS - x64 Gen2] を選びます。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 「azureuser」と入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-1] を選択します。 Subnet [subnet-1 (10.0.0.0/24)] を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
[ネットワーク セキュリティ グループの作成] で、[名前] に「nsg-1」と入力します。
で、[+ 受信規則の追加] を選択します。
[サービス] で、[HTTP] を選択します。
[追加] を選択します
[OK] を選択します負荷分散 この仮想マシンを既存の負荷分散ソリューションの後ろに配置しますか? チェック ボックスをオンにします。 ロード バランサーの設定 負荷分散のオプション [Azure ロード バランサー] を選択する ロード バランサーを選択する [load-balancer] を選択します バックエンド プールを選択する [backend-pool] を選択します [Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
前の手順に従って VM を作成します。次の値を使用し、他の設定はすべて vm-1 と同じにします。
設定 VM 2 名前 vm-2 可用性ゾーン 2 ネットワーク セキュリティ グループ 既存の [nsg-1] を選択します 負荷分散のオプション [Azure ロード バランサー] を選択する ロード バランサーを選択する [load-balancer] を選択します バックエンド プールを選択する [backend-pool] を選択します
NAT ゲートウェイをテストする
このセクションで、NAT ゲートウェイをテストします。 まず、NAT ゲートウェイのパブリック IP を検出します。 次に、テスト仮想マシンに接続し、NAT ゲートウェイ経由のアウトバウンド接続を確認します。
ポータルの上部にある検索ボックスに、「パブリック IP」と入力します。 検索結果から [パブリック IP アドレス] を選択します。
public-ip-nat を選択します。
パブリック IP アドレスを書き留めておきます。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
vm-1 を選択します。
[概要] ページで、[接続] を選択し、[Bastion] タブを選択します。
[Bastion を使用する] を選択します。
VM 作成時に入力したユーザー名とパスワードを入力します。 [接続] を選択します。
bash プロンプトで、次のコマンドを入力します。
curl ifconfig.meコマンドが返す IP アドレスが NAT ゲートウェイのパブリック IP アドレスと一致することを確認します。
azureuser@vm-1:~$ curl ifconfig.me 20.7.200.36vm-1 への Bastion 接続を閉じます。
作成したリソースを使い終えたら、リソース グループとそのすべてのリソースを削除できます。
Azure portal で、「リソース グループ」を検索して選択します。
[リソース グループ] ページで、test-rg リソース グループを選択します。
[test-rg] ページで、[リソース グループの削除] を選択します。
[削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。
次のステップ
Azure NAT Gateway について詳しくは、以下を参照してください。