Virtual Network NAT とは

Virtual Network NAT は、フル マネージドで回復性の高いネットワーク アドレス変換 (NAT) サービスです。 Virtual Network NAT を使用すると、仮想ネットワークでアウトバウンドインターネット接続が簡単になります。 サブネットで構成すると、すべてのアウトバウンド接続に Virtual Network NAT の静的パブリック IP アドレスが使用されます。

図は、内部サブネットからトラフィックを受信し、それをパブリック IP (PIP) と IP プレフィックスに転送する NAT を示しています。

図:Virtual Network NAT

Virtual Network NAT ベネフィット

セキュリティ

NAT を使うと、個々の VM (または他のコンピューティング リソース) でパブリック IP アドレスが必要なくなり、完全にプライベートな状態を維持できます。 パブリック IP アドレスを持たないリソースでも、仮想ネットワークの外部にある外部ソースに引き続き到達できます。 また、パブリック IP プレフィックスを関連付けて、IP の連続するセットがアウトバウンドに使用されるようにできます。 この予測可能な IP リストに基づいて、宛先ファイアウォール規則を構成できます。

回復性

NAT は、フル マネージドの分散サービスです。 VM や 1 つの物理ゲートウェイ デバイスのような、個別のコンピューティング インスタンスには依存しません。 ソフトウェア定義ネットワークにより、NAT ゲートウェイの回復性が高くなっています。

スケーラビリティ

Virtual Network NAT作成からスケールアウトされます。 スケールアップまたはスケールアウト操作は必要ありません。 Azure が仮想ネットワーク NAT の運用を管理します。 NAT ゲートウェイは常に複数の障害ドメインを持ち、サービス停止なしに複数の障害を維持することができる。

NAT は、サブネットに関連付けることができ、そのサブネット内のすべてのコンピューティング リソースで使用できます。 仮想ネットワーク内のすべてのサブネットは、同じリソースを使用できます。 NAT ゲートウェイは、パブリック IP プレフィックスに関連付けられている場合、送信に必要な IP アドレスの数に自動的にスケーリングされます。

パフォーマンス

Virtual Network NATは、ソフトウェア定義のネットワーク サービスです。 NAT ゲートウェイは、コンピューティング リソースのネットワーク帯域幅には影響を与え "ない"。 NAT ゲートウェイのパフォーマンスの詳細をご確認ください。

Virtual Network NAT の基礎

送信接続

  • Azure Virtual Network NAT (NAT ゲートウェイ) は、送信接続用に推奨される方法です。 NAT ゲートウェイには、デフォルトのアウトバウンド アクセスロード バランサーのアウトバウンド規則のように、SNAT ポートの枯渇に関する制限はありません。

  • NAT ゲートウェイを使用すると、仮想ネットワークから仮想ネットワーク外のサービスへのフローを作成できます。 インターネットからの戻りトラフィックは、アクティブなフローへの応答でのみ許可されます。 仮想ネットワーク外のサービスは、NATゲートウェイを経由してインバウンド接続を開始することができません。

  • NAT ゲートウェイは、他のアウトバンド シナリオ (ロード バランサーとインスタンス レベルのパブリック IP アドレスを含む) よりも優先され、サブネットの既定のインターネット宛先が置き換えられます。

  • アウトバウンド規則を持つ標準ロード バランサーが既に存在する仮想ネットワークに NAT ゲートウェイが構成されている場合、NAT ゲートウェイがすべての送信トラフィックを引き継ぎます。 ロード バランサー上の既存の接続のトラフィック フローにドロップはありません。 新しい接続ではすべて NAT ゲートウェイを使用します。

  • 仮想アプライアンスと ExpressRoute にカスタム Uドルが存在すると、インターネットにバインドされたトラフィック (アドレス プレフィックス 0.0.0.0/0 へのルート) を転送するために NAT ゲートウェイがオーバーライドされます。

  • アウトバウンド接続の操作の順序での優先順位は次のとおりです: 仮想アプライアンスの UDR と ExpressRoute >> NAT ゲートウェイ >> 仮想マシンでのインスタンスレベルのパブリック IP アドレス >> ロード バランサーのアウトバウンド規則 >> 既定のシステム

  • NAT ゲートウェイでサポートされるのは、TCP と UDP プロトコルのみです。 ICMP はサポートされていません。

  • 仮想マシン インスタンスまたは他のコンピューティング リソースが、存在しない TCP 接続で通信を試みると、TCP リセット パケットが送信されます。 たとえば、接続がアイドル タイムアウトに達した場合が該当します。 次に受信したパケットによって、仮想マシンのプライベート IP アドレスに TCP リセットが返され、これによって接続の終了が伝えられて、接続は強制的に終了されます。 NAT ゲートウェイのパブリック側は、TCPリセットパケットや他のトラフィックを生成しません。 出力されるのは、お客様の仮想ネットワークによって生成されたトラフィックだけです。

NAT ゲートウェイ構成

  • アウトバウンド接続は、NAT ゲートウェイを使用して各サブネットに対して定義できます。 同じ仮想ネットワーク内の複数のサブネットは、関連する異なる NAT ゲートウェイを有することができる。

  • NAT ゲートウェイは、複数の仮想ネットワークにまたがることはできません。

  • 同じ仮想ネットワーク内の複数のサブネットは、異なる NAT ゲートウェイを使用することも、同じ NAT ゲートウェイを使用することもできます。

  • 複数の NAT ゲートウェイを 1 つのサブネットに接続することはできません。

  • NAT ゲートウェイをゲートウェイ サブネットにデプロイすることはできません。

  • NAT ゲートウェイ リソースは、以下の任意の組み合わせで最大 16 個の IP アドレスを使用できます。

    • パブリック IP アドレス

    • パブリック IP プレフィックス

    • カスタム IP プレフィックス (BYOIP) から派生したパブリック IP アドレスとプレフィックスの詳細については、「カスタム IP アドレス プレフィックス (BYOIP)」 を参照してください

  • NAT ゲートウェイを、IPv6 パブリック IP アドレスまたは IPv6 パブリック IP プレフィックスに関連付けることはできません。 それは、デュアル スタック サブネットに関連付けることはできますが、IPv4 アドレスを持つアウトバウンド トラフィックのみを送信できます。

可用性ゾーン

  • NAT ゲートウェイは、特定の可用性ゾーンに作成することも、「ゾーンなし」 に配置することもできます。

  • ゾーンの分離シナリオを作成するときに、NAT ゲートウェイを特定のゾーンに分離できます。 この展開はゾーン展開と呼ばれます。 NAT ゲートウェイのデプロイ後は、ゾーン選択は変更できません。

  • NAT ゲートウェイは、既定ではゾーンに配置されません。 非ゾーンの NAT ゲートウェイは、Azure によってゾーンに配置されます。

NAT ゲートウェイと基本的な SKU リソース

  • NAT ゲートウェイは、標準の SKU のパブリック IP アドレスとパブリック IP プレフィックスリソースのどちらか、またはその両方を組み合わせたものと互換性があります。 パブリック IP プレフィックスを直接使用できるほか、複数の NAT ゲートウェイ リソースにプレフィックスのパブリック IP アドレスを割り振ることもできます。 NAT ゲートウェイは、すべてのトラフィックをプレフィックスの IP アドレスの範囲に集約します。

  • 基本的なロード バランサーや基本的なパブリック IP などの基本的なリソースは、Virtual Network NAT。 Basic リソースは、NAT Gateway に関連付けられていないサブネットに配置する必要があります。 NAT ゲートウェイを使用するために、Basic ロード バランサーと基本パブリック IP を Standard にアップグレードできます

NAT ゲートウェイ タイマー

  • NAT ゲートウェイでは、接続が閉じた後、インターネット経由で同じ宛先エンドポイントに接続するために再利用できるようになるまで、SNAT ポートを保持します。 TCP トラフック用の SNAT ポートの再利用タイマー時間は、接続の終了方法によって異なります。 詳細については、「ポート再利用タイマー」を参照してください。

  • 4 分という TCP アイドル タイムアウトの既定値が使用されます。これは最大 120 分にまで増やすことができます。 また、アイドル タイマーは、フロー上の任意のアクティビティ (TCP キープアライブを含む) でリセットすることもできます。 詳細については、「アイドル タイムアウト タイマー」を参照してください。

  • UDP トラフィックのアイドル タイムアウト タイマーは 4 分で、これは変更できません。

  • UDP トラフィックのポート リセット タイマーは 65 秒で、同じ宛先エンドポイントで再利用できるようになるまでポートは保留されます。

料金と SLA

価格についてはAzure Virtual Network NAT ゲートウェイの 価格に関するページを参照してください

SLA の詳細については、「SLA for Virtual Network NAT」を参照してください

次の手順