この記事では、NAT ゲートウェイ リソースの主要なコンポーネントについて説明します。これにより、高度にセキュリティで保護され、スケーラブルで回復性の高い送信接続が提供されます。 NAT ゲートウェイは、サポートされているクライアントを介してサブスクリプションで構成できます。 これらのクライアントには、Azure portal、Azure CLI、Azure PowerShell、Resource Manager テンプレート、または適切な代替手段が含まれます。
Important
Standard V2 SKU Azure NAT Gateway は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
NAT ゲートウェイ SKU
NAT ゲートウェイは、StandardV2 と Standard の 2 つの SKU で利用できます。
図 1: NAT ゲートウェイの Standard SKU と StandardV2 SKU。
StandardV2 SKU は既定でゾーン冗長です。 リージョン内の複数の可用性ゾーンに自動的にまたがり、1 つのゾーンが使用できなくなった場合でも継続的な送信接続が確保されます。
Standard SKU はゾーン リソースです。 これは特定の可用性ゾーンにデプロイされ、そのゾーン内で回復性があります。
StandardV2 SKU NAT Gateway では IPv6 パブリック IP もサポートされますが、Standard SKU NAT Gateway では IPv4 パブリック IP のみがサポートされます。
NAT Gateway のアーキテクチャ
Azure NAT Gateway では、ソフトウェア定義ネットワークを使用して、フル マネージドの分散サービスとして動作します。 設計上、NAT ゲートウェイは複数の障害ドメインにまたがるため、サービスに影響を与えずに複数の障害に耐えられます。 NAT ゲートウェイは、Azure 仮想ネットワークの関連付けられたサブネット内のプライベート インスタンスに対してソース ネットワーク アドレス変換 (SNAT) を提供します。 インターネットに送信接続する NAT ゲートウェイの静的パブリック IP アドレスへの仮想マシン SNAT のプライベート IP。 また、NAT Gateway では、送信元の接続のみに対する応答パケットに対して宛先ネットワーク アドレス変換 (DNAT) も提供されます。
"図: インターネットへの送信用の NAT ゲートウェイ"
仮想ネットワーク内のサブネットに構成されている場合、NAT ゲートウェイは、インターネットに送信されるすべての送信トラフィックに対するサブネットの既定の次ホップの種類になります。 追加のルーティング構成は必要ありません。 NAT Gateway は、インターネットからの要求されていない受信接続を提供しません。 DNAT は、送信パケットへの応答として到着したパケットに対してのみ実行されます。
サブネット
StandardV2 および Standard NAT ゲートウェイは、インターネットへの送信接続を提供するために、仮想ネットワーク内の複数のサブネットに接続できます。 NAT ゲートウェイがサブネットに接続されている場合、インターネットへの既定のルートが想定されます。 NAT ゲートウェイは、インターネット宛てのすべての送信トラフィックの次ホップの種類として機能します。
NAT ゲートウェイでは、次のサブネット構成を使用できません。
各サブネットに複数の NAT ゲートウェイを接続することはできません。
NAT ゲートウェイは、異なる仮想ネットワークのサブネットに接続できません。
NAT ゲートウェイは、ゲートウェイ サブネットでは使用できません。 ゲートウェイ サブネットは、Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信する VPN ゲートウェイ用の指定されたサブネットです。 ゲートウェイ サブネットの詳細については、「ゲートウェイ サブネット」を参照してください。
静的パブリック IP アドレス
NAT ゲートウェイは、静的パブリック IP アドレスまたはパブリック IP プレフィックスに関連付けることができます。 パブリック IP プレフィックスを割り当てた場合、そのパブリック IP プレフィックス全体が使われます。 パブリック IP プレフィックスを直接使用することも、プレフィックス のパブリック IP アドレスを複数の NAT ゲートウェイ リソースに分散することもできます。 NAT ゲートウェイは、プレフィックスの IP アドレスの範囲にすべてのトラフィックを送信します。
- StandardV2 NAT ゲートウェイでは、最大 16 個の IPv4 および 16 個の IPv6 パブリック IP アドレスがサポートされます。
- Standard NAT ゲートウェイは、IPv6 パブリック IP アドレスまたはプレフィックスでは使用できません。 最大 16 個の IPv4 パブリック IP アドレスをサポートします。
- NAT ゲートウェイは、基本 SKU のパブリック IP アドレスでは使用できません。
| NAT ゲートウェイ SKU | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | はい。IPv4 パブリック IP アドレスとプレフィックスをサポートします。 | はい。IPv6 パブリック IP アドレスとプレフィックスをサポートします。 |
| Standard | はい。IPv4 パブリック IP アドレスとプレフィックスをサポートします。 | いいえ。IPv6 パブリック IP アドレスとプレフィックスはサポートされていません。 |
SNAT ポート
SNAT ポート インベントリは、パブリック IP アドレス、パブリック IP プレフィックス、または NAT ゲートウェイに接続されている両方によって提供されます。 SNAT ポート インベントリは、NAT ゲートウェイに接続されているサブネット内のすべてのインスタンスでオンデマンドで使用できます。 インスタンスあたりの SNAT ポートの事前割り当ては必要ありません。
SNAT ポートと Azure NAT Gateway の詳細については、「ソース ネットワーク アドレス変換 (SNAT) と Azure NAT Gateway」を参照してください。
仮想ネットワーク内の複数のサブネットが同じ NAT ゲートウェイ リソースに接続されている場合、NAT Gateway によって提供される SNAT ポート インベントリはすべてのサブネットで共有されます。
SNAT ポートは、互いに異なる接続フローを区別するための一意の識別子として機能します。 同じ SNAT ポートを使用して、同時に異なる宛先エンドポイントに接続できます。
異なる SNAT ポート は、異なる接続フローを相互に区別するために、同じ宛先エンドポイントに接続するために使用されます。 同じ宛先に接続するために再利用される SNAT ポートは、再利用される前に再利用クールダウン タイマーに配置されます。
図: SNAT ポートの割り当て
1 つの NAT ゲートウェイは、それに関連付けられているパブリック IP アドレスの数だけスケーリングできます。 各 NAT ゲートウェイのパブリック IP アドレスでは、送信接続を行うために 64,512 個の SNAT ポートが提供されます。 NAT ゲートウェイでは、100 万個を超える SNAT ポートまでスケールアップできます。 TCP と UDP は、別個の SNAT ポート インベントリであり、NAT Gateway から独立しています。
可用性ゾーン
NAT ゲートウェイには、Standard と StandardV2 の 2 つの SKU があります。 アーキテクチャがゾーン障害に対する回復性を確保するには、ゾーン冗長リソースであるため、StandardV2 NAT ゲートウェイをデプロイします。 リージョン内の 可用性ゾーン がダウンすると、残りの正常なゾーンから新しい接続がフローします。
図: StandardV2 NAT ゲートウェイのマルチゾーンデプロイ。
Standard NAT ゲートウェイはゾーン リソースであり、個々の可用性ゾーンからデプロイして運用できることを意味します。 Standard NAT ゲートウェイに関連付けられているゾーンがダウンした場合、NAT ゲートウェイに関連付けられているサブネットの送信接続が影響を受けます。
可用性ゾーンと Azure NAT Gateway の詳細については、「可用性ゾーンの設計に関する考慮事項」を参照してください。
図: Standard NAT ゲートウェイの単一ゾーンのデプロイ。
NAT ゲートウェイのデプロイ後は、ゾーン選択は変更できません。
プロトコル
NAT Gateway は、UDP および TCP フローの IP および IP トランスポート ヘッダーと対話します。 NAT ゲートウェイは、アプリケーション層のペイロードに依存しません。 ICMP などの他の IP プロトコルはサポートされていません。
TCP リセット
TCP リセット パケットは、NAT ゲートウェイが存在しない接続フロー上のトラフィックを検出したときに送信されます。 TCP リセット パケットは、接続フローが解放され、この同じ TCP 接続での今後の通信が失敗することを受信エンドポイントに示します。 TCP リセットは、NAT ゲートウェイでは一方向です。
次の場合、接続フローが存在しない可能性があります。
接続フローで一定の非アクティブ状態が発生した後、アイドル タイムアウトに達し、接続が通知なく切断されました。
送信者は、Azure ネットワーク側またはパブリック インターネット側から、接続が切断された後にトラフィックを送信しました。
TCP リセット パケットは、切断された接続フローでトラフィックを検出したときにのみ送信されます。 この操作は、接続フローが切断された直後に TCP リセット パケットが送信されない可能性があることを意味します。
システムは、トラフィックが Azure ネットワーク側とパブリック インターネット側のどちらから送信されたかに関係なく、存在しない接続フローでのトラフィックの検出に応答して TCP リセット パケットを送信します。
TCP アイドル タイムアウト
NAT ゲートウェイは、TCP プロトコルに対して 4 分から 120 分の構成可能なアイドル タイムアウト範囲を提供します。 UDP プロトコルのアイドル タイムアウトは 4 分で構成不可です。
接続がアイドル状態になると、接続アイドル状態がタイムアウトするまで、NAT ゲートウェイは SNAT ポートを保持します。長いアイドル タイムアウト タイマーは SNAT ポート枯渇の可能性を不必要に高める可能性があるため、TCP アイドル タイムアウト期間を既定の 4 分よりも長くすることはおすすめしません。 アイドル タイマーは、アイドル状態にならないフローには影響しません。
TCP キープアライブを使用して、長時間のアイドル接続とエンドポイントのライブ状態の検出を更新するパターンを提供できます。 詳細については、こちらの .NET の例をご覧ください。 TCP キープアライブは、エンドポイントからは重複する ACK として認識され、オーバーヘッドが低く、アプリケーション レイヤーからは見えません。
UDP アイドル タイムアウト タイマーは構成できないため、UDP キープアライブを使用して、アイドル タイムアウト値に達していないこと、および接続が維持されていることを確認する必要があります。 TCP 接続とは異なり、接続の片側で有効になっている UDP キープアライブは、一方向のトラフィック フローにのみ適用されます。 トラフィック フローを維持するには、トラフィック フローの両側で UDP キープアライブを有効にする必要があります。
タイマー
ポート再利用タイマー
ポート再利用タイマーは、接続が閉じた後、ソース ポートが保留状態になってから、新しい接続が NAT ゲートウェイによって同じ宛先エンドポイントに移動するために再利用できるようになるまでの時間を決定します。
次の表では、同じ宛先エンドポイントに対し、NAT ゲートウェイによって TCP ポートが再利用できるようになるまでの時間に関する情報を示します。
| Timer | 説明 | 値 |
|---|---|---|
| TCP FIN | TCP FIN パケットによって接続が閉じると、SNAT ポートを保留状態にする 65 秒タイマーがアクティブになります。 タイマーが終了すると、SNAT ポートを再利用できるようになります。 | 65 秒 |
| TCP RST | TCP RST パケットによって接続が閉じると (リセット)、SNAT ポートを保留状態にする 16 秒タイマーがアクティブになります。 タイマーが終了すると、そのポートを再利用できるようになります。 | 16 秒 |
| TCP ハーフ オープン | 一方の接続エンドポイントが他方のエンドポイントからの受信確認を待機している接続確立中に、30 秒タイマーがアクティブになります。 トラフィックが検出されない場合、接続は閉じます。 接続が閉じられると、同じ宛先エンドポイントに対してソース ポートを再利用できます。 | 30 秒 |
UDP トラフィックの場合、接続が閉じた後、ポートは 65 秒間保留状態に置かれてから再利用できるようになります。
アイドル タイムアウト タイマー
| Timer | 説明 | 値 |
|---|---|---|
| TCP アイドル タイムアウト | エンドポイントの間で長時間データが送信されない場合、TCP 接続はアイドル状態になることがあります。 タイマーは、アイドル状態の接続をタイムアウトするように 4 分 (既定) から 120 分 (2 時間) に構成できます。 アイドル タイムアウト タイマーは、フロー上のトラフィックによってリセットされます。 | 構成可能: 4 分 (既定値) - 120 分 |
| UDP アイドル タイムアウト | エンドポイントの間で長時間データが送信されない場合、UDP 接続はアイドル状態になることがあります。 UDP アイドル タイムアウト タイマーは 4 分であり、構成はできません。 アイドル タイムアウト タイマーは、フロー上のトラフィックによってリセットされます。 | 構成不可。4 分 |
Note
これらのタイマー設定は、変更されることがあります。 この値はトラブルシューティングに役立つため提供されており、現時点では特定のタイマーに依存しないでください。
Bandwidth
NAT ゲートウェイの SKU ごとに異なる帯域幅制限があります。 StandardV2 SKU NAT Gateway では、NAT ゲートウェイ リソースあたり最大 100 Gbps のデータ スループットがサポートされます。 Standard SKU NAT ゲートウェイは、送信データと受信 (応答) データの間で分割される 50 Gbps のスループットを提供します。 データ スループットは、送信では 25 Gbps、Standard NAT ゲートウェイ リソースあたりの受信 (応答) データでは 25 Gbps でレート制限されます。
パフォーマンス
Standard および StandardV2 NAT ゲートウェイはそれぞれ、TCP および UDP トラフィックに対して、インターネット経由で 同じ宛先エンドポイントへの パブリック IP アドレスあたり最大 50,000 の同時接続をサポートします。
それぞれが同時に最大 200 万のアクティブな接続をサポートできます。 NAT ゲートウェイの接続数は、5 タプル (送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、プロトコル) に基づいてカウントされます。 NAT ゲートウェイが 200 万接続を超えると、データパスの可用性が低下し、新しい接続が失敗します。
StandardV2 NAT ゲートウェイは、1 秒あたり最大 10M パケットを処理できます。 Standard NAT ゲートウェイは、1 秒あたり最大 5M パケットを処理できます。
制限事項
Standard および Basic パブリック IP は、StandardV2 NAT ゲートウェイと互換性がありません。 代わりに StandardV2 パブリック IP を使用してください。
- StandardV2 パブリック IP を作成するには、「Azure パブリック IP の作成」を参照してください。
Basic ロード バランサーは NAT ゲートウェイと互換性がありません。 Standard と StandardV2 の両方の NAT ゲートウェイに Standard ロード バランサーを使用します。
- Load Balancer を Basic から Standard にアップグレードするには、「Azure Public Load Balancer をアップグレードする」を参照してください。
Basic パブリック IP は、Standard NAT ゲートウェイと互換性がありません。 代わりに Standard パブリック IP を使用してください。
パブリック IP アドレスを Basic から Standard にアップグレードするには、「Basic パブリック IP アドレスを Standard にアップグレードする」を参照してください。
NAT ゲートウェイでは ICMP をサポートしません
IP 断片化は NAT Gateway では使用できません。
NAT Gateway は、ルーティング構成の種類がインターネットのパブリック IP アドレスをサポートしません。 パブリック IP でインターネットのルーティング構成をサポートする Azure サービスの一覧については、パブリック インターネット経由のルーティングでサポートされているサービスに関するページを参照してください。
DDoS 保護が有効になっているパブリック IP は、NAT ゲートウェイではサポートされていません。 詳細については、DDoS の制限に関するページを参照してください。
Azure NAT Gateway は、セキュリティで保護された仮想ハブ ネットワーク (vWAN) アーキテクチャではサポートされていません。
Standard SKU NAT ゲートウェイを StandardV2 SKU NAT ゲートウェイにアップグレードすることはできません。 ゾーン NAT ゲートウェイを使用してアーキテクチャのゾーン回復性を実現するには、StandardV2 SKU NAT ゲートウェイをデプロイし、Standard SKU NAT ゲートウェイを置き換える必要があります。
Standard SKU パブリック IP は、StandardV2 NAT ゲートウェイでは使用できません。 StandardV2 NAT ゲートウェイを使用するには、新しい StandardV2 SKU パブリック IP に re-IP する必要があります。
StandardV2 NAT ゲートウェイの既知の制限事項については、「 NAT ゲートウェイ SKU」を参照してください。
次のステップ
Azure NAT Gateway に関する記事を参照してください。
NAT ゲートウェイのメトリックとアラートについて理解する。
NAT ゲートウェイのトラブルシューティング方法を理解する。