Azure NAT Gatewayについてよく寄せられる質問

Azure NAT Gatewayは、Azure仮想ネットワーク用のフル マネージドで回復性の高い送信接続ソリューションです。 セキュリティで保護されたスケーラブルなアウトバウンド接続を実現するには、NAT ゲートウェイを、仮想ネットワーク内のサブネットと、少なくとも 1 つの静的パブリック IP アドレスにアタッチします。

Azure NAT Gateway価格を参照してください。

Azure NAT Gateway制限を参照してください。

リージョンごとのサブスクリプションごとに許可される NAT ゲートウェイ リソースの数は、無料試用版、従量課金制、クラウド ソリューション プロバイダー (CSP)、Enterprise Agreement などのオファー カテゴリの種類によって異なります。 Enterprise Agreement と CSP のオファーの種類には、最大 1,000 個の NAT ゲートウェイ リソースを含めることができます。 スポンサープランと従量課金制プランの種類には、最大 100 個の NAT ゲートウェイ リソースを含めることができます。 無料試用版など、他のすべてのオファーの種類には、最大 15 個の NAT ゲートウェイ リソースを含めることができます。

いいえ。NAT ゲートウェイ リソースは、一度に複数のサブスクリプションで使用することはできません。 詳細なガイダンスについては、リージョン移動後の NAT ゲートウェイの作成と構成に関する記事をご覧ください。

いいえ。NAT ゲートウェイは、サブスクリプション、リージョン、またはリソース グループ間で移動できません。 他のサブスクリプション、リージョン、またはリソース グループ用に新しい NAT ゲートウェイを作成する必要があります。

NAT ゲートウェイは、仮想ネットワークからのアウトバウンド接続を提供します。 アウトバウンド フローに直接応答する戻りトラフィックも、NAT ゲートウェイを通過できます。 インターネットから直接届くインバウンド トラフィックは、NAT ゲートウェイを通過できません。

Standard SKU NAT ゲートウェイの場合は、仮想ネットワーク フロー ログを使用します。 仮想ネットワーク (VNet) フロー ログ は、仮想ネットワークを通過する IP トラフィックに関する情報をログに記録するAzure Network Watcherの機能です。 仮想ネットワーク フロー ログからのフロー データは、Azure Storageに送信されます。 そこからデータにアクセスし、任意の視覚化ツール、セキュリティ情報イベント管理 (SIEM) ソリューション、または侵入検出システム (IDS) にエクスポートできます。

VNet フロー ログは、仮想マシンの接続情報を提供します。 接続情報には、送信元 IP とポート、宛先 IP とポート、および接続の状態が含まれます。 トラフィック フローの方向と、トラフィックのサイズ (送信されたパケットおよびバイト数) もログに記録されます。 VNet フロー ログ内で明示されているソース IP とポートは仮想マシンのものであり、NAT ゲートウェイのものではありません。

仮想ネットワーク フロー ログを作成して管理するための一般的なガイダンスについては、「仮想ネットワーク フロー ログの管理」を参照してください。

StandardV2 NAT ゲートウェイの場合、NAT ゲートウェイ フロー ログを使用でき、NAT ゲートウェイを経由するトラフィックに関する IP レベルの情報を提供します。 詳細については、「 フロー ログを使用した NAT ゲートウェイ トラフィックの分析」を参照してください。

NAT ゲートウェイ リソースを削除するには、最初にサブネットからリソースの関連付けを解除する必要があります。 すべてのサブネットからの関連付けを解除された後の NAT ゲートウェイ リソースは、削除できます。 ガイダンスについては、既存のサブネットからの NAT ゲートウェイ リソースの削除とリソースの削除に関する記事をご覧ください。

いいえ。NAT ゲートウェイでは、伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) の IP 断片化はサポートされていません。

StandardV2 NAT ゲートウェイは、Azure NAT Gateway サービスの新しい SKU オファリングです。 StandardV2 NAT ゲートウェイでは、ゾーン冗長のサポート、強化されたデータ処理制限、IPv6 のサポート、フロー ログ、および元の Standard NAT ゲートウェイと比較したスケーラビリティの向上が提供されます。 詳細については、「 NAT ゲートウェイ SKU」を参照してください。

いいえ。既存の Standard NAT ゲートウェイを StandardV2 NAT ゲートウェイにアップグレードすることはできません。 Standard から StandardV2 NAT Gateway に移行するには、新しい StandardV2 NAT ゲートウェイ リソースを作成し、サブネットに関連付けます。

はい。詳細については、StandardV2 NAT ゲートウェイの 既知の問題 と 制限事項 を参照してください。

いいえ。価格の違いはありません。 Standard と StandardV2 NAT ゲートウェイは同じ価格です。 詳細については、「Azure NAT Gateway 価格」を参照してください。

いいえ。Standard パブリック IP は StandardV2 NAT ゲートウェイでは使用できません。 StandardV2 NAT ゲートウェイを使用するには、StandardV2 パブリック IP を使用する必要があります。 詳細については、「 NAT ゲートウェイ SKU」を参照してください。

いいえ。StandardV2 NAT ゲートウェイは、一度に 1 つの仮想ネットワークにのみ接続できます。

Standard NAT ゲートウェイで使用できるのと同じメトリックは、StandardV2 NAT ゲートウェイでも使用できます。 詳細については、「 NAT ゲートウェイメトリック」を参照してください。

いいえ。StandardV2 NAT ゲートウェイは、ほとんどのパブリック リージョンで使用できます。 StandardV2 NAT ゲートウェイでまだサポートされていないリージョンの詳細については、 既知の制限事項を参照してください。

SNAT 接続数メトリックは、1 秒間に行われた新しいソース ネットワーク アドレス変換 (SNAT) 接続の数を示します。 SNAT 接続数の合計メトリックは、NAT ゲートウェイ リソースでのアクティブな接続の合計数を示します。

NAT ゲートウェイに関する SNAT ポート使用量メトリックはありません。 SNAT 接続数と SNAT 接続数の合計メトリックを使って、NAT ゲートウェイ リソースの SNAT 容量を評価できます。

NAT ゲートウェイ メトリックは、メトリック REST API を使用して取得できます。 または、Share を選択し、Azure ポータルの >NAT ゲートウェイ メトリック ペインから Excel にダウンロードします。

いいえ。診断設定を使って NAT ゲートウェイ メトリックをエクスポートすることはできません。 NAT ゲートウェイ メトリックは多次元です。 診断設定では、多次元メトリックのエクスポートはサポートされていません。

NAT ゲートウェイは、パブリック IP アドレスまたはプレフィックスとサブネットにアタッチされた後、アウトバウンドをインターネットに自動的に接続します。 NAT ゲートウェイは、Azure Load Balancer、アウトバウンド ルール、仮想マシン (VM) 上のインスタンス レベルのパブリック IP アドレス、および Azure Firewall に対して送信接続の優先順位を持ちます。

いいえ。接続の中断はありません。 前の送信サービス (Load Balancer、Azure Firewall、インスタンス レベルのパブリック IP アドレス) との既存の接続は、それらの接続が閉じるまで引き続き機能します。 NAT ゲートウェイが仮想ネットワークのサブネットに追加された後は、すべての新しい接続でアウトバウンド接続を行うために NAT ゲートウェイが使われます。

ただし、StandardV2 NAT ゲートウェイと、ロード バランサー、ファイアウォール、または仮想マシン インスタンス レベルのパブリック IP を使用した既存の接続には既知の問題があります。 StandardV2 NAT ゲートウェイをサブネットに追加すると、他の送信接続方法との既存の接続が中断されます。 すべての新しい接続では、StandardV2 NAT ゲートウェイが使用されます。 詳細については、 既知の問題を参照してください。

いいえ。NAT ゲートウェイのパブリック IP アドレスは、インターネット経由でプライベート IP に直接接続できません。

パブリック IP アドレスに関連付けられているアクティブな接続は、パブリック IP アドレスが削除されると終了します。 NAT ゲートウェイ リソースに複数のパブリック IP がある場合、割り当てられた IP 間で新しいトラフィックが分散されます。

NAT ゲートウェイに関連付けられている IP とは異なる IP がアウトバウンドへの接続に使用されている場合、考えられる理由がいくつかあります。 トラブルシューティングを行うには、Azure NAT Gateway接続のトラブルシューティング ガイドを参照してください。

いいえ、NAT Gateway は、アクティブ FTP モードとの互換性がありません。 NAT ゲートウェイが構成されている場合、アクティブ FTP モードのクライアント チャネルとデータ チャネルは異なる IP を使用するため、FTP サーバーは接続が無効と見なされます。 詳細については、NAT Gateway 接続のトラブルシューティング ガイドで、アクティブまたはパッシブ モードの FTP 接続エラーに関するセクションを参照してください。

NAT Gateway は、NAT Gateway に対して 1 つのパブリック IP が構成されている場合にのみパッシブ FTP モードで使用できます。 FTP パッシブ モードは、パブリック IP プレフィックスまたは複数のパブリック IP で構成された NAT Gateway では機能しません。 複数のパブリック IP アドレスがある NAT ゲートウェイは、送信トラフィックを送信するときに、ソース IP アドレスとしてパブリック IP アドレスの 1 つをランダムに選択します。 データとコントロールのチャネルで異なるソース IP アドレスが使用されていると、FTP パッシブ モードは失敗します。 詳細については、NAT Gateway 接続のトラブルシューティング ガイドで、アクティブまたはパッシブ モードの FTP 接続エラーに関するセクションを参照してください。

いいえ。NAT ゲートウェイのパブリック IP は、同じリージョン内のストレージ アカウントへの接続には使用されません。 Azure ストレージ アカウントと同じリージョンにデプロイされたサービスは、通信にプライベート Azure IP アドレスを使用します。 パブリック送信 IP アドレス範囲に基づいて、特定のAzure サービスへのアクセスを制限することはできません。 詳しくは、「IP ネットワーク規則の制限」をご覧ください。

NAT ゲートウェイは、サブネットのシステムの既定のインターネット パスを使って、トラフィックをインターネットにルーティングします。 ユーザー定義ルートが、0.0.0.0/0 トラフィックをネクスト ホップの種類のネットワーク仮想アプライアンス (NVA) または仮想ネットワーク ゲートウェイに送信するように作成されている場合、トラフィックは NAT ゲートウェイを通過しません。

NAT ゲートウェイとのアウトバウンド接続を始めるために、サブネット ルート テーブルの構成は必要ありません。 NAT ゲートウェイがサブネットに割り当てられると、NAT ゲートウェイはすべてのインターネット宛てトラフィックに対してネクスト ホップの種類になります。 NAT ゲートウェイがサブネットおよび少なくとも 1 つのパブリック IP アドレスに割り当てられるとすぐに、トラフィックはインターネットへのアウトバウンド接続を開始できます。

はい。NAT ゲートウェイは、パブリック IP アドレスまたはプレフィックスとサブネットがなくてもデプロイできます。 ただし、少なくとも 1 つのパブリック IP アドレスまたはプレフィックスとサブネットをアタッチするまでは動作しません。

はい。NAT ゲートウェイのパブリック IP アドレスは固定であり、変更されません。

NAT ゲートウェイでは、最大 16 個のパブリック IP アドレスを使用できます。 NAT ゲートウェイでは、パブリック IP アドレスとパブリック IP プレフィックスの任意の組み合わせを、合計で 16 個のアドレスまで使用できます。 NAT ゲートウェイでは、/28 (16 アドレス)、/29 (8 アドレス)、/30 (4 アドレス)、/31 (2 アドレス) のプレフィックス サイズがサポートされます。

カスタム IP プレフィックス (Bring Your Own IP (BYOIP) とも呼ばれます) から派生したパブリック IP プレフィックスとアドレスは、Standard SKU NAT ゲートウェイで使用できます。 カスタム IP は、StandardV2 NAT ゲートウェイではサポートされていません。 詳細については、「カスタム IP アドレス プレフィックス (BYOIP)」を参照してください。

Standard SKU NAT ゲートウェイでは、IPv6 パブリック IP アドレスはサポートされていません。 StandardV2 NAT ゲートウェイは、最大 16 個の IPv6 パブリック IP アドレスまたは /124 サイズのプレフィックスに関連付けることができます。

いいえ。NAT ゲートウェイは、ルーティング設定 "インターネット" でパブリック IP アドレスをサポートしていません。パブリック IP でルーティング構成の種類 "internet" をサポートするAzure サービスの一覧については、「パブリック インターネット経由のルーティング用のサポート対象サービスを参照してください。

いいえ。NAT ゲートウェイでは、DDoS 保護が有効なパブリック IP アドレスはサポートされていません。 ほとんどの DDoS 攻撃は大量の着信トラフィックを一挙に送信してターゲットのリソースを圧倒するように設計されているため、DDoS に対して保護されている IP は一般に着信トラフィックにとってより重要です。 DDoS に対して保護されている IP の詳細については、DDoS の制限に関する記事を参照してください。

はい。既存の NAT ゲートウェイに関連付けられているパブリック IP アドレスを変更できます。 NAT ゲートウェイでパブリック IP アドレスを変更する必要がある場合は、「パブリック IP アドレスを追加または削除する」のガイダンスを参照してください。 StandardV2 SKU パブリック IP は Standard NAT ゲートウェイでは機能しません。 StandardV2 SKU パブリック IP は、StandardV2 NAT ゲートウェイでのみ機能します。

サブネット リソースでは、送信接続のために NAT ゲートウェイにアタッチされた任意のパブリック IP アドレスを使用できます。 NAT ゲートウェイ経由で新しいアウトバウンド接続が行われるたびに、アウトバウンド パブリック IP がランダムに選ばれます。

いいえ。 特定のサブネットまたは NAT ゲートウェイが構成されたサブネット内の特定の VM インスタンスに IP を割り当てることはできません。

いいえ。1 つの NAT ゲートウェイを複数の仮想ネットワークにアタッチすることはできません。

はい。NAT ゲートウェイは、仮想ネットワーク内の最大 800 個のサブネットに関連付けることができます。 仮想ネットワーク内のすべてのサブネットに関連付けられている必要はありません。

いいえ。NAT ゲートウェイをゲートウェイ サブネットに関連付けることはできません。 ゲートウェイ サブネットは VPN ゲートウェイ リソース用に予約されており、NAT ゲートウェイのデプロイと互換性がありません。 NAT ゲートウェイを使用するには、同じ仮想ネットワーク内の他のサブネットに接続します。

いいえ。NAT ゲートウェイはサブネットのプロパティに基づいて動作するため、複数の NAT ゲートウェイを 1 つのサブネットにアタッチすることはできません。

スポーク仮想ネットワークからのトラフィックは、NVA またはAzure Firewallを介して一元化されたハブ仮想ネットワークにルーティングできます。 その場合、NAT ゲートウェイは、一元化されたハブ ネットワークからすべてのスポーク仮想ネットワークへのアウトバウンド接続を提供できます。 NVA を使用してハブ アンド スポーク アーキテクチャで NAT ゲートウェイを設定するには、「ハブ アンド スポーク ネットワークで NAT ゲートウェイを使用する」を参照してください。 ハブ アンド スポークセットアップでAzure Firewallで NAT ゲートウェイを使用するには、「Azure Firewall を使用した NAT ゲートウェイの統合」を参照してください。

Standard NAT ゲートウェイはゾーンにすることも、"ゾーンなし" に配置することもできます。ゾーンなしの NAT ゲートウェイは、Azureによってゾーンに配置されます。 ゾーンベースの NAT ゲートウェイは、その NAT ゲートウェイが作成されたときにユーザーによって特定のゾーンに関連付けられます。 StandardV2 NAT ゲートウェイはゾーン冗長のみです。 1 つのゾーンがリージョンでダウンした場合、StandardV2 NAT ゲートウェイは存続し、残りの正常なゾーンからの送信接続を提供できます。 NAT ゲートウェイのゾーン構成は、デプロイ後に変更できません。

ゾーン冗長 Standard SKU のパブリック IP アドレスとプレフィックスは、ゾーンなしまたはゾーンの Standard SKU NAT ゲートウェイのいずれかにアタッチできます。 StandardV2 SKU パブリック IP はゾーン冗長のみで、ゾーン冗長でもある StandardV2 NAT ゲートウェイでのみ使用できます。 詳細については、「Azure NAT Gateway および可用性ゾーンを参照してください。

いいえ。Standard および StandardV2 NAT ゲートウェイは、基本的な SKU リソースと互換性がありません。 詳細については、Azure NAT Gatewayの基本を参照してください。 NAT ゲートウェイで使うには、Basic ロード バランサーと Basic パブリック IP アドレスを Standard にアップグレードしてください。 さらなるヘルプが必要な場合は、以下を参照してください。

• 基本ロード バランサーを Standard にアップグレードするには、パブリック ロード バランサー Azureアップグレードに関するページを参照してください。
• Basic パブリック IP を Standard にアップグレードするには、「パブリック IP アドレスをアップグレードする」を参照してください。
• VM にアタッチされている Basic パブリック IP を Standard にアップグレードするには、VM にアタッチされている Basic パブリック IP アドレスをアップグレードする方法に関するページを参照してください。

いいえ。既定の送信アクセスが使用されているサブネットに NAT ゲートウェイを追加してもダウンタイムはありません。 NAT ゲートウェイがサブネットに追加されると、既定の送信アクセスではなく、すべての新しい接続で NAT ゲートウェイの使用が開始されます。 既定の送信アクセスを持つ既存の接続は、接続が閉じられるまで保持されます。

NAT ゲートウェイなどのプライベート サブネット機能を有効にする前に、仮想マシンが使用する送信接続の明示的な方法を設定して、インターネットへの送信接続を維持することができます。

場合によっては、NAT ゲートウェイまたは NVA/ファイアウォールにトラフィックを送信する UDR が構成されている場合でも、既定の送信 IP が非プライベート サブネット内の仮想マシンに割り当てられます。 これは、明示的な送信接続方法が削除されない限り、既定の送信 IP がエグレスに使用されることを意味するものではありません。 既定の送信 IP を完全に削除するには、サブネットをプライベートにし、仮想マシンを停止して割り当てを解除する必要があります。

TCP 接続の場合、アイドル タイムアウト タイマーの既定値は 4 分で、最大 120 分まで構成できます。 長い接続フローを維持する必要がある場合は、アイドル タイムアウト タイマーを延長するのではなく、TCP キープアライブを使用します。 TCP キープアライブは、アクティブな接続を長期間維持します。

UDP アイドル タイムアウト タイマーは 4 分に設定されており、構成できません。

TCP/UDP 接続が閉じられると、ポートはクール ダウン期間を経てから、同じ宛先エンドポイントに接続するために再利用できるようになります。 詳細については、「SNAT ポート再利用タイマー」を参照してください。 別の宛先への接続では、すぐに SNAT ポートを使用できます。 詳細については、Azure NAT Gateway を使用した SNATを参照してください。

はい。NAT ゲートウェイをAzure App Serviceと共に使用して、アプリケーションが仮想ネットワークからインターネットに送信トラフィックを送信できるようにします。 NAT ゲートウェイとAzure App Serviceの間でこの統合を使用するには、リージョン仮想ネットワーク統合を有効にする必要があります。 NAT ゲートウェイとの仮想ネットワーク統合を有効にする方法のガイダンスについては、Azure NAT Gateway 統合を参照してください。

はい。 StandardV2 および Standard NAT ゲートウェイは、マネージド NAT ゲートウェイまたはユーザー割り当て NAT ゲートウェイを使用してデプロイできます。 NAT ゲートウェイと Azure Kubernetes Service の統合の詳細については、「Managed NAT Gateway」を参照してください。

AKS クラスターを管理するために、クラスターは API サーバーとやり取りします。 非プライベート クラスターでは、API サーバー クラスター のトラフィックは、クラスターの 送信の種類を通じてルーティングされ、処理されます。 クラスターの送信の種類が NAT Gateway に設定されている場合、API サーバー トラフィックは NAT Gateway 経由のパブリック トラフィックとして処理されます。 API サーバー トラフィックがパブリック トラフィックとして処理されることを防ぐには、プライベート クラスターの使用を検討するか、API Server VNet 統合機能 (プレビュー段階) を使用してください。

はい。NAT ゲートウェイは、Azure Firewallで使用できます。 ゾーン冗長ファイアウォールで StandardV2 NAT ゲートウェイを使用することをお勧めします。 NAT ゲートウェイと Azure Firewall の統合の詳細については、「 NAT ゲートウェイを使用した SNAT ポートのスケーリングを参照してください。

はい。サービス エンドポイントを含むサブネットに NAT ゲートウェイを追加しても、エンドポイントへの影響はありません。 Virtual Network サービス エンドポイントは、それらが表す宛先Azureサービス トラフィックに対して、より具体的なルートを有効にします。 サービス エンドポイントのトラフィックは、インターネットではなくAzureバックボーンを経由します。 Azure ネットワークから直接サービスとしてのプラットフォーム (PaaS) に接続する場合には、サービス エンドポイントより、Private Link を使用することをお勧めします。

はい。 ワークスペースでセキュリティで保護されたクラスター接続を有効にした場合、NAT ゲートウェイは次の 2 つの方法のいずれかでAzure Databricksで使用できます。

• Azure Databricksが既定の仮想ネットワークを作成し、これを用いてセキュアなクラスター接続を使用する場合、Azure Databricksは自動的にワークスペースのサブネットからの送信トラフィック用のNATゲートウェイを作成します。 NAT ゲートウェイは、Azure Databricksが管理するマネージド リソース グループ内に作成されます。 このリソース グループ、またはその中にプロビジョニングされたリソースは、変更できません。
• 仮想ネットワーク インジェクションを使用するワークスペースでセキュリティ保護されたクラスター接続を有効にすると、ワークスペースの両方のサブネットに NAT ゲートウェイをデプロイしてアウトバウンド接続を提供できます。 この場合、カスタマイズされた送信接続の要件の構成を変更できます。 詳細については、「セキュリティで保護されたクラスター接続」を参照してください。

いいえ。NAT ゲートウェイは、SQL Managed Instanceサブネットでは使用できません。

次のステップ

ご不明な点がこちらの一覧にない場合は、このページに関するフィードバックに質問を添えてお送りください。 この情報により、製品チームのGitHub問題が発生し、お客様の大切な質問がすべて確実に回答されます。