Azure NAT Gatewayとは?(概要、アクセス確認、作成手順)
NAT ゲートウェイ(Azure NAT Gateway)の概要やリソース作成手順の紹介です。
NATゲートウェイ作成後に仮想マシン(Azure VM)を利用してプライベートサブネットからインターネットへアクセス確認しています。
-
-
- Azure NAT Gatewayの概要
- Azure NAT Gatewayのリソース作成手順
- 仮想マシンからインターネットアクセス
- プライベートサブネットからインターネットアクセス
- パブリックIPアドレスを持った仮想マシンからインターネットアクセス
-
※Azure NAT GatewayをNAT ゲートウェイとして表記しています。
※Azure Virtual Machines(Azure VM)を仮想マシンとして表記しています。
NAT ゲートウェイの概要
NAT ゲートウェイとは
SNAT(Source NAT)機能を提供するAzure上のフルマネージドサービスです。
仮想ネットワーク(サブネット)からインターネットへのアウトバウンド通信に適用出来ます。
複数の障害ドメインを持ちます。
単一障害時にも影響を受けず継続したサービスが提供されます。
SLAは99.99%以上です。
スケールアウトもマネージドで自動的に実施されます。
最大16個のIPアドレス(プレフィックス)を割り当てる事が出来ます。
価格
リソースをデプロイしている時間とトラフィック量に応じて課金されます。
-
- 東日本リージョンの場合(2023年11月現在)
- リソース時間 $0.045 / 時間
- 処理されたデータ $0.045/GB
- 東日本リージョンの場合(2023年11月現在)
NAT ゲートウェイへ適用しているパブリックIPにも課金が発生します。
プライベートサブネットも利用可能
NAT ゲートウェイに割り当てたパブリックIPがソースのアドレスになります。
仮想マシン等にパブリックIPは必要ありません。
インターネットへのアクセス時には割り当てたパブリックIPが利用されます。
プライベートサブネット(Azure Private Subnet)でも利用する事が出来ます。
アクセス先(365系サービス等)でのIP制限などがしやすくなります。
プライベートサブネット(Azure Private Subnet)についてはこちらに纏めています。
https://www.tama-negi.com/2023/11/18/azure-private-subnet/インバウンド通信は許可されない
インターネット側から接続されるインバウンド通信はNAT ゲートウェイ経由では許可されません。
NATゲートウェイに割り当てたパブリックIPを利用して仮想マシン等にアクセスする事は出来ません。
仮想マシンだけではない
仮想ネットワーク(サブネット)に対して割り当てします。
仮想マシンや仮想マシンスケールセット(VMSS)に限らずAzure App Services等でも利用出来ます。
データ処理量は50Gbps
アウトバウンドとインバウンド(戻り)のトラフィックについて、最大50Gbps のデータを処理する事が出来ます。
注意点
パブリックIPやロードバランサー等のBasic SKUのリソースが存在するサブネットでは使用できません。
仮想ネットワーク ゲートウェイが接続されたサブネットでは使用できません。
1つのサブネットに複数のNATゲートウェイを接続する事は出来ません。
TCP、UDPのみがサポートされておりUDPはサポートされていません。
1つのNATゲートウェイに複数の仮想ネットワークを割り当てる事は出来ません。
割り当てする事が出来るのは1つの仮想ネットワーク内の複数のサブネットです。
またトラフィックフローはNATゲートウェイ(Azure NAT Gateway)では確認出来ません。
NSGフローログを利用して確認します。
—広告—
NAT ゲートウェイのデプロイ手順
リソースをデプロイ
新規に仮想ネットワークをデプロイします。
-
- リソースグループ:test-rg-01
- NATゲートウェイ名:test-natgateway-01
- パブリックIPアドレス:natgateway-ip-01
- 割り当てた仮想ネットワーク名:test-vnet-01(puvlic-subnet-01、private-subnet-01)
※private-subnet-01はプライベートサブネットとして事前にデプロイしています。
| NATゲートウェイのメニューで作成を選択します。 |  |
| インスタンスの詳細でNATゲートウェイ名や地域を選択します。 可用性ゾーンも選択できます。 |
 |
| 送信IP設定です。 パブリックIPかパブリックIPアドレスプレフィックスを割り当てます。 割り当てたらサブネット選択に進みます。 |
 |
 |
|
| NATゲートウェイを割り当てる仮想ネットワークとサブネットを選択します。 |  |
| 確認画面です。 内容を確認して問題が無ければ作成を選択します。 |
 |
デプロイ後の確認
NATゲートウェイ(Azure NAT Gateway)デプロイ後のリソース状況を確認します。
| デプロイ後の確認 | |
| 左側のメニューで送信IPを選択します。 割り当てされているパブリックIPアドレス(もしくはパブリックIPプレフィックス)を確認出来ます。 |
 |
| 左側のメニューでサブネットを選択します。 割り当てた仮想ネットワークやサブネットが確認出来ます。 |
 |
| 仮想ネットワーク(サブネット)でもNATゲートウェイと関連付けが確認出来ます。 |  |
プライベートサブネットからインターネットへアクセス
プライベートサブネット(Azure Private Subnet)に配置した仮想マシンからインターネットへアクセスしてみます。
仮想マシンにはパブリックIPは付与していません。
| プライベートサブネットからインターネットアクセス | |
| インターネットへのアウトバウンド通信出来る事が確認出来ます。 パブリックIPもNATゲートウェイのIPアドレスである事が確認出来ます。 |
 |
 |
|
 |
|
※test-vm-02はプライベートサブネット(Azure Private Subnet)にデプロイした仮想マシンです。
※プライベートサブネット(Azure Private Subnet)からアクセスになる為、NATゲートウェイが無い場合はインターネットアクセス出来ません。
Windows Updateのみに制限
NATゲートウェイ(Azure NAT Gateway)を利用した場合でもNSG(ネットワークセキュリティグループ)を利用してアウトバウンド通信を制御する事が出来ます。
Windows Updateのみに制限する方法についてはこちらに纏めています。
※AzureUpdateDeliveryのService Tagを利用した制限です。
パブリックIPアドレスを割り当てた仮想マシンの場合
パブリックIPを割り当てた仮想マシンからインターネットへアクセスしてみます。
| パブリックIPアドレスを付与した場合 | |
|
NATゲートウェイに付与されているパブリックIPでインターネットアクセスしている事が確認出来ます。 ※NICのパブリックIPではなくNATゲートウェイに割り当てたIPアドレスが表示されています。 |
 |
|
|
最後に
今回はNAT ゲートウェイの概要からデプロイ手順、プライベートサブネットでの動作確認などについて纏めてみました。
サブネットに割り当てるだけで利用出来て、とても簡単に使えるサービスかと思いました。
リソースの利用料は掛かりますが、パブリックIPの制限やアクセス元のIP管理等を考えると良いかと思います。
今後も色々試してみたいと思います。
プライベートサブネット(Azure Private Subnet)の概要、デプロイ手順、挙動についてはこちらに纏めています。
仮想マシンのNSG(ネットワークセキュリティグループ)の受信セキュリティ規則周りについてはこちら。