【初心者向け】Azure NAT ゲートウェイをざっくり理解する
この記事の内容
- Azure NAT ゲートウェイの基本的な仕組みと役割を解説します
- パブリックIPアドレスの有無による VM の挙動の違いを説明します
- プライベートサブネットとNATゲートウェイを組み合わせた構成を紹介します
- NATゲートウェイ導入のメリットと注意点をまとめます
NAT ゲートウェイとは何か?
NAT ゲートウェイは、仮想マシン(VM)がインターネットにアクセスする際に、VM が直接外部に出るのではなく、NAT ゲートウェイを経由して通信する仕組みを提供するサービスです。NAT ゲートウェイを経由することで、外部から見えるIPアドレスを一元管理できるようになります。
複数のVMが存在する場合でも、すべての通信をNATゲートウェイに集約し、NATゲートウェイが持つパブリックIPアドレスからインターネットにアクセスできます。これにより、ファイアウォール設定などのアクセス制御の管理が容易になります。
Azureネットワーク構成のおさらい
Azureでは、VNet(仮想ネットワーク)の中にサブネットがあり、その中にVMを配置します。VMにはNIC(ネットワークインターフェイス)が割り当てられ、必要に応じてパブリックIPアドレスも付与できます。
パブリックIPアドレスの有無による挙動の違い
VMのパブリックIPアドレスの有無によって、インターネットへのアクセス方法が異なります。
| 状態 | 挙動 |
|---|---|
| パブリックIPアドレスあり | インターネットに出る際にそのパブリックIPが使われ、外部からもそのIPでVMにアクセス可能 |
| パブリックIPアドレスなし | サブネットの設定によってはインターネットへ出られるが、使われるIPはAzureが動的に割り当てたもので利用者が管理できない |
| プライベートサブネット内 | 原則としてインターネットへ直接出られない(NATゲートウェイ等の仕組みが必要) |
実際の構築例で理解する
パブリックIPありVMの動作
パブリックIPアドレス付きでVMを構築し、インターネットに接続してみると、そのパブリックIPを使って外部にアクセスしていることが確認できます。外部サービスへの接続元IPとして、VMに割り当てたパブリックIPがそのまま使われます。
パブリックIPなしVMの動作
同じサブネット内にパブリックIPなしのVMを作成し、1台目のVMからRDP(リモートデスクトップ)で接続してインターネットへの接続テストを行うと、パブリックIPがなくてもインターネットへアクセスできる場合があります。
ただし、このときに使われるIPアドレスはAzureが動的に割り当てたものです。利用者が管理するIPではないため、アドレスが変動する可能性があり、ファイアウォール設定には適しません。
プライベートサブネットの挙動
サブネットをプライベートサブネットに変更し、パブリックIPを持たないVMを配置した場合、インターネットへの接続ができなくなります。プライベートサブネットはインターネットへの直接通信が遮断されるため、よりセキュアな構成となります。
NATゲートウェイの導入手順
プライベートサブネット内のVMからインターネットへアクセスするには、NATゲートウェイを作成してサブネットに割り当てます。
作成の流れ
NATゲートウェイリソースを作成する
- Azureポータルから「NAT ゲートウェイ」を新規作成します
- パブリックIPアドレスを割り当てます
サブネットに関連付ける
- 対象のサブネットに作成したNATゲートウェイを関連付けます
NATゲートウェイを割り当てたサブネットに所属するすべてのVMは、パブリックIPアドレスを持っていなくても、NATゲートウェイ経由でインターネットにアクセスできるようになります。外部から見えるIPアドレスはNATゲートウェイに割り当てたパブリックIPとなるため、一貫性のあるアクセス制御が可能です。
NATゲートウェイの効果と注意点
メリット
外部からのアクセス制御が容易になる NATゲートウェイのパブリックIPをファイアウォールルールで許可するだけで、インターネット通信を制御できます。
VMごとのパブリックIPが不要になる すべてのVMが共通のパブリックIPから外部に出るため、IP管理がシンプルになります。
注意点
外部からVMへの直接アクセスはできない NATゲートウェイ経由では、外部からVMへのインバウンド通信はできません。外部公開が必要なVMには、個別にパブリックIPを割り当てる必要があります。
セッション数(ポート数)に上限がある 1つのパブリックIPにつき利用できるポート数は約64,000が上限です。大規模な接続が必要な場合は、複数のパブリックIPやPublic IP Prefixの利用も検討しましょう。
まとめ
Azure NAT ゲートウェイを活用することで、サブネット内の複数VMからのインターネット通信を一元的に管理し、セキュリティと運用効率の向上が図れます。
- パブリックIPが付与されていないVMも、NATゲートウェイ経由でインターネットにアクセス可能になります
- 外部からのインバウンド通信は遮断されるため、セキュリティが向上します
- IPアドレスを一元管理できるため、ファイアウォール設定などのアクセス制御が容易になります
- 大量のセッションが必要な場合は、複数のパブリックIPやPublic IP Prefixの利用を検討してください
Azureのネットワーク設計を行う際は、ぜひNATゲートウェイの活用を検討してみてください。