Azure NAT Gatewayについて
NAT ゲートウェイ(Azure NAT Gateway)の概要からデプロイ手順について纏めてみました。
-
-
- Azure NAT Gatewayの概要
- Azure NAT Gatewayのデプロイ手順
- 仮想マシン(Azure VM)からインターネットアクセス
- プライベートサブネットからインターネットアクセス
- パブリックIPアドレスを持った仮想マシン(Azure VM)からインターネットアクセス
-
NAT ゲートウェイ(Azure NAT Gateway)の概要
NAT ゲートウェイ(Azure NAT Gateway)とは
SNAT(Source NAT)機能を提供するAzure上のフルマネージドサービスです。
仮想ネットワーク(サブネット)からインターネットへのアウトバウンド通信に適用出来ます。
複数の障害ドメインを持ちます。
単一障害時にも影響を受けず継続したサービスが提供されます。
SLAは99.99%以上です。
スケールアウトもマネージドで自動的に実施されます。
最大16個のIPアドレス(プレフィックス)を割り当てる事が出来ます。
価格
リソースをデプロイしている時間とトラフィック量に応じて課金されます。
-
- 東日本リージョンの場合(2023年11月現在)
- リソース時間 $0.045 / 時間
- 処理されたデータ $0.045/GB
- 東日本リージョンの場合(2023年11月現在)
NAT ゲートウェイ(Azure NAT Gateway)へ適用しているパブリックIPにも課金が発生します。
プライベートサブネットも利用可能
NAT ゲートウェイ(Azure NAT Gateway)に割り当てたパブリックIPがソースのアドレスになります。
仮想マシン(Azure VM)等にパブリックIPは必要ありません。
インターネットへのアクセス時には割り当てたパブリックIPが利用されます。
プライベートサブネット(Azure Private Subnet)でも利用する事が出来ます。
アクセス先(365系サービス等)でのIP制限などがしやすくなります。
プライベートサブネット(Azure Private Subnet)についてはこちらに纏めています。
https://www.tama-negi.com/2023/11/18/azure-private-subnet/インバウンド通信は許可されない
インターネット側から接続されるインバウンド通信はNAT ゲートウェイ経由では許可されません。
NATゲートウェイに割り当てたパブリックIPを利用して仮想マシン(Azure VM)等にアクセスする事は出来ません。
仮想マシン(Azure VM)だけではない
仮想ネットワーク(サブネット)に対して割り当てします。
仮想マシン(Azure VM)や仮想マシンスケールセット(VMSS)に限らずAzure App Services等でも利用出来ます。
データ処理量は50Gbps
アウトバウンドとインバウンド(戻り)のトラフィックについて、最大50Gbps のデータを処理する事が出来ます。
注意点
パブリックIPやロードバランサー等のBasic SKUのリソースが存在するサブネットでは使用できません。
仮想ネットワーク ゲートウェイが接続されたサブネットでは使用できません。
1つのサブネットに複数のNATゲートウェイを接続する事は出来ません。
TCP、UDPのみがサポートされておりUDPはサポートされていません。
1つのNATゲートウェイに複数の仮想ネットワークを割り当てる事は出来ません。
割り当てする事が出来るのは1つの仮想ネットワーク内の複数のサブネットです。
またトラフィックフローはNATゲートウェイ(Azure NAT Gateway)では確認出来ません。
NSGフローログを利用して確認します。
ーーー広告ーーー
NAT ゲートウェイ(Azure NAT Gateway)のデプロイ手順
リソースをデプロイ
新規に仮想ネットワークをデプロイします。
-
- リソースグループ:test-rg-01
- NATゲートウェイ名:test-natgateway-01
- パブリックIPアドレス:natgateway-ip-01
- 割り当てた仮想ネットワーク名:test-vnet-01(puvlic-subnet-01、private-subnet-01)
※private-subnet-01はプライベートサブネットとして事前にデプロイしています。
| NATゲートウェイのメニューで作成を選択します。 |  |
| インスタンスの詳細でNATゲートウェイ名や地域を選択します。 可用性ゾーンも選択できます。 |
 |
| 送信IP設定です。 パブリックIPかパブリックIPアドレスプレフィックスを割り当てます。 割り当てたらサブネット選択に進みます。 |
 |
 |
|
| NATゲートウェイを割り当てる仮想ネットワークとサブネットを選択します。 |  |
| 確認画面です。 内容を確認して問題が無ければ作成を選択します。 |
 |
デプロイ後の確認
NATゲートウェイ(Azure NAT Gateway)デプロイ後のリソース状況を確認します。
| デプロイ後の確認 | |
| 左側のメニューで送信IPを選択します。 割り当てされているパブリックIPアドレス(もしくはパブリックIPプレフィックス)を確認出来ます。 |
 |
| 左側のメニューでサブネットを選択します。 割り当てた仮想ネットワークやサブネットが確認出来ます。 |
 |
| 仮想ネットワーク(サブネット)でもNATゲートウェイと関連付けが確認出来ます。 |  |
プライベートサブネットからインターネットへアクセス
プライベートサブネット(Azure Private Subnet)に配置した仮想マシン(Azure VM)からインターネットへアクセスしてみます。
仮想マシン(Azure VM)にはパブリックIPは付与していません。
| プライベートサブネットからインターネットアクセス | |
| インターネットへのアウトバウンド通信出来る事が確認出来ます。 パブリックIPもNATゲートウェイのIPアドレスである事が確認出来ます。 |
 |
 |
|
 |
|
※test-vm-02はプライベートサブネット(Azure Private Subnet)にデプロイした仮想マシン(Azure VM)です。
※プライベートサブネット(Azure Private Subnet)からアクセスになる為、NATゲートウェイが無い場合はインターネットアクセス出来ません。
Windows Updateのみに制限
NATゲートウェイ(Azure NAT Gateway)を利用した場合でもNSG(ネットワークセキュリティグループ)を利用してアウトバウンド通信を制御する事が出来ます。
Windows Updateのみに制限する方法についてはこちらに纏めています。
※AzureUpdateDeliveryのService Tagを利用した制限です。
パブリックIPアドレスを割り当てた仮想マシン(Azure VM)の場合
パブリックIPを割り当てた仮想マシン(Azure VM)からインターネットへアクセスしてみます。
| パブリックIPアドレスを付与した場合 | |
|
NATゲートウェイに付与されているパブリックIPでインターネットアクセスしている事が確認出来ます。 ※NICのパブリックIPではなくNATゲートウェイに割り当てたIPアドレスが表示されています。 |
 |
|
|
ーーー広告ーーー
最後に
今回はNAT ゲートウェイ(Azure NAT Gateway)の概要からデプロイ手順、プライベートサブネットでの動作確認などについて纏めてみました。
サブネットに割り当てるだけで利用出来て、とても簡単に使えるサービスかと思いました。
リソースの利用料は掛かりますが、パブリックIPの制限やアクセス元のIP管理等を考えると良いかと思います。
今後も色々試してみたいと思います。
プライベートサブネット(Azure Private Subnet)の概要、デプロイ手順、挙動についてはこちらに纏めています。
仮想マシン(Azure VM)のNSG(ネットワークセキュリティグループ)の受信セキュリティ規則周りについてはこちら。