NAT Gateway を使用した仮想ネットワークの設計する際に注意すべき事項を理解するには、この記事を参照してください。
NAT Gateway を使用してインターネットに接続する
インターネット経由でパブリック エンドポイントに接続する必要があるすべての運用ワークロードには、NAT Gateway をお勧めします。 サブネットと少なくとも 1 つのパブリック IP アドレスを持つ NAT ゲートウェイをデプロイすると、送信接続がすぐに行われます。 NAT Gateway を使用して送信接続を開始するのに、ルーティング構成は必要ありません。 NAT Gateway は、インターネットへのサブネットの既定ルートになります。
ロード バランサーやインスタンス レベルのパブリック IP (IL PIP) など、仮想ネットワーク内に他の送信構成がある場合、送信接続では NAT Gateway が優先されます。 新しい送信開始トラフィックとリターン トラフィックには、NAT Gateway が使用されます。 既存の送信構成を持つサブネットに NAT Gateway を追加しても、送信接続にダウン タイムが生じることはありません。
動的ワークロードの需要に合わせて NAT Gateway をスケーリングする
NAT Gateway のスケーリングは主に、共有された空き SNAT ポート インベントリを管理する機能です。
ワークロードをスケーリングするときは、フローごとに新しい SNAT ポートが必要になることを想定し、アウトバウンド トラフィックに使用可能な IP アドレスの総数を増やすようにしてください。 設計するスケールを慎重に検討し、それに応じて IP アドレスの数を割り当てます。 NAT Gateway には、NAT Gateway に接続されているすべてのサブネットに予測されるピーク送信フローに対して十分な SNAT ポート インベントリが必要です。
SNAT ポートが枯渇間近になると、接続フローが成功しない可能性があります。
スケーリングに関する考慮事項
各 NAT ゲートウェイのパブリック IP アドレスでは、送信接続を行うために 64,512 個の SNAT ポートが提供されます。 NAT Gateway では、100 万個を超える SNAT ポートまでスケールアップできます。
SNAT は、サブネット内のプライベート アドレスを NAT Gateway にアタッチされた 1 つまたは複数のパブリック IP アドレスにマップするものです。そのプロセスの中で送信元アドレスと送信元ポートは書き換えられます。 同じ宛先エンドポイントに対して複数の接続が行われると、新しい SNAT ポートが使用されます。 同じ宛先に向かう異なる接続フローを区別するには、新しい SNAT ポートを使用する必要があります。
異なる宛先エンドポイントに向かう接続フローでは、同じ SNAT ポートを同時に再利用できます。 異なる送信先への SNAT ポート接続は、可能な場合再利用されます。 SNAT ポートが枯渇状況に近づくと、フローが成功しないことがあります。
SNAT の例については、「NAT Gateway の SNAT フローの例」を参照してください。
Private Link を使用して Azure サービスに接続する
Azure 仮想ネットワークから Azure PaaS サービスへの接続は、Azure のバックボーン経由で直接行い、インターネットをバイパスできます。 インターネットをバイパスして他の Azure PaaS サービスに接続すると、SNAT ポートが解放され、SNAT ポート枯渇のリスクが軽減されます。 可能な場合は Private Link を使用して Azure PaaS サービスに接続し、SNAT ポート インベントリを解放する必要があります。
Private Link では、Azure ネットワークから仮想マシンまたは他のコンピューティング リソースのプライベート IP アドレスを使用して、Azure のバックボーン経由で Azure PaaS サービスにプライベートかつ安全に直接接続します。 Private Link でサポートされている利用可能な Azure サービスの一覧を参照してください。
Note
Microsoft では、Azure でホストされているサービスへのセキュリティで保護されたプライベート アクセスには、Azure Private Link を使用することをお勧めしています。 サービス エンドポイント を使用して、Azure バックボーン経由で Azure PaaS サービスに直接接続することもできます。
Azure 仮想ネットワークの送信接続と受信接続を提供する
NAT Gateway、ロード バランサー、およびインスタンス レベルのパブリック IP はフロー方向に対応しており、同じ仮想ネットワーク内に共存して送信と受信の接続をシームレスに提供できます。 ロード バランサーまたはインスタンス レベルのパブリック IP を介する受信トラフィックは、NAT Gateway を介する送信トラフィックとは別に変換されます。
プライベート インスタンスでは、送信トラフィックと、 送信元フローへの応答トラフィックに NAT Gateway が使用されます。 プライベート インスタンスでは、受信トラフィックと、 受信元フローへの応答トラフィックに対して、インスタンス レベルのパブリック IP またはロード バランサーが使用されます。
次の例で、ロード バランサーまたはインスタンス レベルのパブリック IP と NAT ゲートウェイの共存を示します。 受信トラフィックはロード バランサーまたはパブリック IP を通過します。 送信トラフィックは NAT ゲートウェイを通過します。
インスタンス レベルのパブリック IP を持つ NAT Gateway と VM
図: インスタンス レベルのパブリック IP を持つ NAT Gateway と VM
| リソース | Traffic flow direction (トラフィック フローの方向) | 使用される接続方法 |
|---|---|---|
| VM (サブネット 1) | 受信および送信 | インスタンス レベルのパブリック IP NAT Gateway |
| 仮想マシン スケール セット (サブネット 1) | 受信および送信 | NA NAT Gateway |
| VM (サブネット 2) | 受信および送信 | NA NAT Gateway |
仮想マシンは、送信トラフィックと戻りトラフィックに NAT Gateway を使用します。 内部で発生したトラフィックは、サブネット 1 内の仮想マシンに直接関連付けられたインスタンス レベル パブリック IP を通過します。 サブネット 1 の仮想マシン スケール セットとサブネット 2 の VM は、NAT ゲートウェイを通してしか応答トラフィックのエグレスと受信を行うことができません。 受信元のトラフィックは受信できません。
標準のパブリック ロード バランサーを使用する NAT Gateway と VM
図: 標準のパブリック ロード バランサーを使用する NAT Gateway と VM
| リソース | Traffic flow direction (トラフィック フローの方向) | 使用される接続方法 |
|---|---|---|
| VM と仮想マシン スケール セット (サブネット 1) | 受信および送信 | ロード バランサー NAT Gateway |
| VM (サブネット 2) | 受信および送信 | NA NAT Gateway |
NAT ゲートウェイは、負荷分散規則またはロード バランサーのアウトバウンド規則からの送信構成よりも優先されます。 バックエンド プール内の VM インスタンスは、NAT Gateway を使用して送信トラフィックを送信し、戻りトラフィックを受信します。 内部で発生したトラフィックは、ロード バランサーのバックエンド プール内のすべての VM インスタンス (サブネット 1) 用のロード バランサーを通過します。 サブネット 2 の VM は、NAT ゲートウェイを通してしか応答トラフィックのエグレスと受信を行うことができません。 受信元のトラフィックは受信できません。
インスタンス レベルのパブリック IP と標準パブリック ロード バランサーを使用した VM と NAT Gateway
図: インスタンス レベルのパブリック IP と標準パブリック ロード バランサーを使用した VM と NAT Gateway
| リソース | Traffic flow direction (トラフィック フローの方向) | 使用される接続方法 |
|---|---|---|
| VM (サブネット 1) | 受信および送信 | インスタンス レベルのパブリック IP NAT Gateway |
| 仮想マシン スケール セット (サブネット 1) | 受信および送信 | ロード バランサー NAT Gateway |
| VM (サブネット 2) | 受信および送信 | NA NAT Gateway |
NAT Gateway は、ロード バランサーの負荷分散規則またはアウトバウンド規則からの送信構成や、仮想マシン上のインスタンス レベルのパブリック IP よりも優先されます。 サブネット 1 と 2 内のすべての仮想マシンは、送信トラフィックと戻りトラフィックのためだけに NAT ゲートウェイを使用します。 インスタンスレベル パブリック IP は、ロード バランサーよりも優先されます。 サブネット 1 内の VM は、内部で発生するトラフィックにインスタンス レベル パブリック IP を使用します。 VMSS には、インスタンスレベル パブリック IP がありません。
NAT Gateway でサービス タグ付きパブリック IP を使用する方法
サービス タグは、ある特定の Azure サービスからの IP アドレスのグループを表します。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。これにより、ネットワーク セキュリティ規則の管理の複雑さが軽減されます。
サービス タグ付きパブリック IP アドレスは、インターネットへの送信接続を提供するために NAT Gateway と共に使用できます。 NAT ゲートウェイにタグ付けされたサービスのパブリック IP を追加するには、ポータル、CLI、PowerShell など、Azure で使用可能な任意のクライアントを使用して接続できます。 詳細なガイダンスについては、NAT ゲートウェイのパブリック IP を追加および削除する方法に関するページを参照してください。
Note
ルーティングの優先順位が "インターネット" のパブリック IP アドレスは NAT Gateway でサポートされていません。 NAT Gateway では、Microsoft グローバル ネットワーク経由でルーティングされるパブリック IP のみがサポートされます。
VNet フロー ログを使用して送信ネットワーク トラフィックを監視する
仮想ネットワーク (VNet) フロー ログは、仮想ネットワーク内を流れる IP トラフィックに関する情報をログする Azure Network Watcher の機能です。 NAT ゲートウェイの内側にある仮想マシンから流れる送信トラフィックを監視するには、VNet フロー ログを有効にします。
VNet フロー ログを有効にする方法のガイドについては、「仮想ネットワーク フロー ログの管理」を参照してください。
送信トラフィックのデータのクエリとフィルター処理も行うことができる Log Analytics ワークスペース上でログ データにアクセスすることが推奨されます。 Log Analytics の使用方法の詳細については、「Log Analytics チュートリアル」を参照してください。
VNet フロー ログ スキーマの詳細については、「トラフィック分析スキーマとデータ集計」を参照してください。
Note
VNet フロー ログには、インターネットに送信接続している VM インスタンスのプライベート IP しか表示されません。 VNet フロー ログには、送信接続に先立って VM のプライベート IP が SNAT した NAT Gateway のパブリック IP アドレスは表示されません。
制限事項
- NAT Gateway は、vWAN ハブ構成ではサポートされていません。