チュートリアル: Azure portal を使用して NAT ゲートウェイとパブリック ロード バランサーを統合する

このチュートリアルでは、NAT ゲートウェイをパブリック ロード バランサーと統合する方法について説明します。

既定では、Azure Standard Load Balancer はセキュリティで保護されています。 アウトバウンド接続は、アウトバウンド SNAT (送信元ネットワーク アドレス変換) を有効にすることによって明示的に定義されます。 SNAT は、負荷分散規則またはアウトバウンド規則で有効になっています。

NAT ゲートウェイの統合により、バックエンド プールのアウトバウンド SNAT に対するアウトバウンド規則が必要なくなります。

このチュートリアルでは、以下の内容を学習します。

  • Azure Load Balancer を作成する
  • Azure Load Balancer のバックエンド プール用に 2 つの仮想マシンを作成する
  • NAT ゲートウェイを作成する
  • ロード バランサーのバックエンド プール内にある仮想マシンのアウトバウンド接続を検証する

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます

仮想ネットワークの作成

このセクションでは、仮想ネットワークとサブネットを作成します。

  1. ポータルの上部にある検索ボックスに、「仮想ネットワーク」と入力します。 検索結果で、[仮想ネットワーク] を選択します。

  2. [仮想ネットワーク][+ 作成] を選択します。

  3. [仮想ネットワークの作成][基本] タブで次の情報を入力または選択します。

    設定 Value
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [新規作成] を選択します。
    [名前] に、「TutorPubLBNAT-rg」と入力します。

    を選択します。
    インスタンスの詳細
    名前 myVNet」と入力します
    リージョン [(米国) 米国東部] を選択します
  4. [IP アドレス] タブを選択するか、ページの下部にある [Next: IP Addresses](次へ: IP アドレス) ボタンを選択します。

  5. [IP アドレス] タブで、次の情報を入力します。

    設定
    IPv4 アドレス空間 10.1.0.0/16」と入力します。
  6. [サブネット名] で、 [default](既定) という単語を選択します。

  7. [サブネットの編集] に次の情報を入力します。

    設定
    サブネット名 myBackendSubnet」と入力します
    サブネットのアドレス範囲 10.1.0.0/24」と入力します。
  8. [保存] を選択します。

  9. [セキュリティ] タブを選択するか、ページ下部にある [次へ: セキュリティ] ボタンを選択します。

  10. [BastionHost][有効にする] を選択します。 この情報を入力します。

    設定
    要塞名 myBastionHost」と入力します
    AzureBastionSubnet のアドレス空間 10.1.1.0/27」 と入力します
    パブリック IP アドレス [新規作成] を選択します。
    [名前] に「myBastionIP」と入力します。

    を選択します。
  11. [確認と作成] タブを選択するか、 [確認と作成] ボタンを選択します。

  12. [作成] を選択します

ロード バランサーの作成

このセクションでは、仮想マシンの負荷分散を行うゾーン冗長ロード バランサーを作成します。 ゾーン冗長では、1 つまたは複数の可用性ゾーンで障害が発生しても対応可能であり、リージョン内に正常なゾーンが 1 つでも残っていれば、データ パスは存続します。

ロード バランサーの作成中に、次の構成を行います。

  • フロントエンド IP アドレス
  • バックエンド プール
  • インバウンドの負荷分散規則
  1. ポータルの上部にある検索ボックスに、「ロード バランサー」と入力します。 検索結果で [ロード バランサー] を選択します。

  2. [ロード バランサー] ページで、 [作成] を選択します。

  3. [ロード バランサーの作成] ページの [基本] タブで、次の情報を入力または選択します。

    設定
    プロジェクトの詳細
    サブスクリプション サブスクリプションを選択します。
    Resource group [TutorPubLBNAT-rg] を選択します。
    インスタンスの詳細
    名前 myLoadBalancer」と入力します
    リージョン [(米国) 米国東部] を選択します。
    SKU 既定値 [標準] のままにします。
    Type [パブリック] を選択します。
    レベル [地域] は既定値のままにします。
  4. ページ下部にある [次へ: フロントエンド IP の構成] を選択します。

  5. [フロントエンド IP 構成] で、[+ フロントエンド IP 構成の追加] を選択します。

  6. [名前] に、「LoadBalancerFrontend」と入力します。

  7. [IP バージョン] には [IPv4] または [IPv6] を選択します。

    Note

    IPv6 は現在、ルーティングの優先順位およびリージョン間の負荷分散 (グローバル階層) ではサポートされていません。

  8. [IP の種類] として [IP アドレス] を選択します。

    Note

    IP プレフィックスの詳細については、Azure パブリック IP アドレス プレフィックスに関するページを参照してください。

  9. [パブリック IP アドレス][新規作成] を選択します。

  10. [パブリック IP アドレスの追加] で、 [名前] に「myPublicIP」と入力します。

  11. [可用性ゾーン] で、 [ゾーン冗長] を選択します。

    Note

    Availability Zones があるリージョンでは、ゾーンなし (既定のオプション)、特定のゾーン、またはゾーン冗長を選択できます。 この選択は、特定のドメイン障害要件によって異なる場合があります。 Availability Zones がないリージョンでは、このフィールドは表示されません。
    可用性ゾーンの詳細については、可用性ゾーンの概要に関するページを参照してください。

  12. [ルーティングの優先順位] は、既定値の [Microsoft ネットワーク] のままにします。

  13. [OK] を選択します。

  14. [追加] を選択します。

  15. ページ下部で [次へ: バックエンド プール] を選択します。

  16. [バックエンド プール] タブで、 [+ バックエンド プールの追加] を選択します。

  17. [バックエンド プールの追加][名前] に「myBackendPool」と入力します。

  18. [仮想ネットワーク][myVNet] を選択します。

  19. [バックエンド プールの構成] には [NIC] または [IP アドレス] を選択します。

  20. [IP バージョン] には [IPv4] または [IPv6] を選択します。

  21. [追加] を選択します。

  22. ページ下部にある [次へ: 受信規則] ボタンを選択します。

  23. [受信規則] タブの [負荷分散規則] で、 [+ 負荷分散規則の追加] を選択します。

  24. [負荷分散規則の追加] で、次の情報を入力または選択します。

    設定
    Name myHTTPRule」と入力します。
    IP バージョン 要件に応じて、 [IPv4] または [IPv6] を選択します。
    フロントエンド IP アドレス [LoadBalancerFrontend] を選択します。
    バックエンド プール [myBackendPool] を選択します。
    Protocol [TCP] を選択します。
    Port 80」と入力します。
    バックエンド ポート 80」と入力します。
    正常性プローブ [新規作成] を選択します。
    [名前] に、「myHealthProbe」と入力します。
    [プロトコル] で、[HTTP] を選択します。
    残りの部分は既定値のままにし、[OK] を選択します。
    セッション永続化 [なし] を選択します。
    アイドル タイムアウト (分) 15」を入力または選択します。
    TCP リセット [Enabled] を選択します。
    フローティング IP [無効] をクリックします。
    アウトバウンド送信元ネットワーク アドレス変換 (SNAT) 既定値の [(推奨) アウトバウンド規則を使用して、バックエンド プールのメンバーがインターネットにアクセスできるようにします。] のままにします。
  25. [追加] を選択します。

  26. ページ下部にある青色の [確認と作成] ボタンを選択します。

  27. [作成] を選択します

仮想マシンを作成する

このセクションでは、2 つの異なるゾーン (ゾーン 1ゾーン 2) に 2 つの VM (myVM1myVM2) を作成します。

これらの VM を、前に作成したロード バランサーのバックエンド プールに追加します。

  1. ポータルの左上で、 [リソースの作成]>[Compute]>[仮想マシン] を選択します。

  2. [仮想マシンの作成][Basic] タブに、値を入力するか選択します。

    設定
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [TutorPubLBNAT-rg] を選択します
    インスタンスの詳細
    仮想マシン名 myVM1」と入力します
    リージョン [(米国) 米国東部] を選択します
    可用性オプション [可用性ゾーン] を選択します
    可用性ゾーン [1] を選択します
    Image [Windows Server 2019 Datacenter] を選択します
    Azure Spot インスタンス 既定値をそのまま使用します。
    サイズ VM サイズを選択するか、既定の設定を使用します
    管理者アカウント
    ユーザー名 ユーザー名を入力します
    Password [パスワード] を入力します
    [パスワードの確認入力] パスワードを再入力します
    受信ポートの規則
    パブリック受信ポート [なし] を選択します
  3. [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。

  4. [ネットワーク] タブで、次を選択または入力します。

    設定
    ネットワーク インターフェイス
    仮想ネットワーク myVNet
    Subnet myBackendSubnet
    パブリック IP [なし] を選択します。
    NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します
    ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
    [ネットワーク セキュリティ グループの作成] で、[名前] に「myNSG」と入力します。

    で、[+ 受信規則の追加] を選択します。
    [宛先ポート範囲] に「80」と入力します。

    に「100」と入力します。
    [名前] に「myNSGRule」と入力
    [追加] を選択
    [OK] を選択します
    負荷分散
    この仮想マシンを既存の負荷分散ソリューションの後ろに配置しますか? チェック ボックスをオンにします。
    ロード バランサーの設定
    負荷分散のオプション [Azure ロード バランサー] を選択する
    ロード バランサーを選択する [myLoadBalancer] を選択します
    バックエンド プールを選択する [myBackendPool] を選択します
  5. [Review + create](レビュー + 作成) を選択します。

  6. 設定を確認し、 [作成] を選択します。

  7. 手順 1. から 7. に従って VM を作成します。次の値を使用し、他の設定はすべて myVM1 と同じにします。

    設定 VM 2
    名前 myVM2
    可用性ゾーン 2
    ネットワーク セキュリティ グループ 既存の [myNSG] を選択します

NAT ゲートウェイの作成

このセクションでは、NAT ゲートウェイを作成し、前に作成した仮想ネットワーク内のサブネットに割り当てます。

  1. 画面の左上で、[リソースの作成] > [ネットワーク] > [NAT ゲートウェイ] を選択するか、検索ボックスで NAT ゲートウェイを検索します。

  2. [作成] を選択します

  3. [ネットワーク アドレス変換 (NAT) ゲートウェイを作成します][基本] タブにこの情報を入力または選択します。

    設定 Value
    プロジェクトの詳細
    サブスクリプション Azure サブスクリプションを選択します。
    リソース グループ [TutorPubLBNAT-rg] を選択します。
    インスタンスの詳細
    名前 myNATGateway」と入力します
    リージョン [(米国) 米国東部] を選択します
    可用性ゾーン [なし] を選択します。
    アイドル タイムアウト (分) 10」と入力します。
  4. [Outbound IP](アウトバウンド IP) タブを選択するか、ページの下部にある [Next: Outbound IP](次へ: アウトバウンド IP) を選択します。

  5. [Outbound IP](アウトバウンド IP) タブで、次の情報を入力または選択します。

    設定 Value
    パブリック IP アドレス [Create a new public IP address](新しいパブリック IP アドレスを作成する) を選択します。
    [名前] に「myNATgatewayIP」と入力します。
    [OK] を選択します。
  6. [サブネット] タブを選択するか、ページの下部にある [次へ: サブネット] ボタンを選択します。

  7. [サブネット] タブで、 [仮想ネットワーク] プルダウンから [myVNet] を選択します。

  8. [myBackendSubnet] の横のチェック ボックスをオンにします。

  9. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。

  10. [作成] を選択します

NAT ゲートウェイをテストする

このセクションでは、NAT ゲートウェイをテストします。 まず、NAT ゲートウェイのパブリック IP を検出します。 次に、テスト仮想マシンに接続し、NAT ゲートウェイ経由のアウトバウンド接続を確認します。

  1. 左側のメニューで [リソース グループ] を選択し、[TutorPubLBNAT-rg] リソース グループを選択し、リソースの一覧から [myNATgatewayIP] を選択します。

  2. パブリック IP アドレスを書き留めておきます。

    Screenshot discover public IP address of NAT gateway.

  3. 左側のメニューで [リソース グループ] を選択し、[TutorPubLBNAT-rg] リソース グループを選択し、リソースの一覧から [myVM1] を選択します。

  4. [概要] ページで [接続][要塞] の順に選択します。

  5. VM 作成時に入力したユーザー名とパスワードを入力します。

  6. myVM1Internet Explorer を開きます。

  7. アドレス バーに「 https://whatsmyip.com 」と入力します。

  8. 表示された IP アドレスが前の手順でメモしておいた NAT ゲートウェイのアドレスと一致していることを確認します。

    Screenshot Internet Explorer showing external outbound IP.

リソースをクリーンアップする

今後このアプリケーションを使う予定がなければ、次の手順を使用して、仮想ネットワーク、仮想マシン、および NAT ゲートウェイを削除します。

  1. 左側のメニューから、 [リソース グループ] を選択します。

  2. [TutorPubLBNAT-rg] リソース グループを選択します。

  3. [リソース グループの削除] を選択します。

  4. TutorPubLBNAT-rg」と入力し、 [削除] を選択します。

次のステップ

Azure Virtual Network NAT の詳細については、以下を参照してください。