この記事では、ネットワーク アドレス変換 (NAT) ゲートウェイ リソースの主要なコンポーネントについて説明します。これにより、セキュリティが高く、スケーラブルで回復性の高い送信接続が提供されます。 NAT ゲートウェイ リソースは、Azure NAT Gateway サービスの一部です。
サポートされているクライアントを使用して、サブスクリプション内の NAT ゲートウェイを構成できます。 これらのクライアントには、Azure ポータル、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート、または適切な代替手段が含まれます。
Azure NAT Gateway の SKU一覧
Azure NAT Gatewayは、StandardV2 と Standard の 2 つの SKU で利用できます。
StandardV2 SKU は既定でゾーン冗長です。 1 つのゾーンが使用できなくなった場合でも、リージョン内の複数の可用性ゾーンにまたがるため、継続的な送信接続が提供されます。
Standard SKU はゾーン リソースです。 これは特定の可用性ゾーンにデプロイされ、そのゾーン内で回復性があります。
StandardV2 NAT ゲートウェイでは IPv4 および IPv6 パブリック IP がサポートされますが、Standard NAT ゲートウェイでは IPv4 パブリック IP のみがサポートされます。
Azure NAT Gateway アーキテクチャ
Azure NAT Gateway では、ソフトウェア定義ネットワークを使用して、フル マネージドの分散サービスとして動作します。 設計上、NAT ゲートウェイは複数の障害ドメインにまたがるため、サービスに影響を与えずに複数の障害に耐えられるようになります。
Azure NAT Gatewayは、Azure仮想ネットワークの関連付けられたサブネット内のプライベート インスタンスのソース ネットワーク アドレス変換 (SNAT) を提供します。 仮想マシンのプライベート IP は、NAT ゲートウェイの静的パブリック IP アドレスを使用して SNAT を行い、インターネットへの外向き接続を行います。 Azure NAT Gatewayでは、送信元の接続のみに対する応答パケットの宛先ネットワーク アドレス変換 (DNAT) も提供されます。
NAT ゲートウェイは、仮想ネットワーク内のサブネットに対して構成されると、インターネットに送信されるすべての送信トラフィックに対するサブネットの既定の次ホップの種類になります。 追加のルーティング構成は必要ありません。 NAT ゲートウェイは、インターネットからの要求されていない受信接続を提供しません。 DNAT は、送信パケットへの応答として到着したパケットに対してのみ実行されます。
サブネット
StandardV2 または Standard NAT ゲートウェイを仮想ネットワーク内の複数のサブネットに接続して、インターネットへの送信接続を提供できます。 NAT ゲートウェイがサブネットに接続されている場合、インターネットへの既定のルートが想定されます。 NAT ゲートウェイは、インターネット宛てのすべての送信トラフィックの次ホップの種類として機能します。
NAT ゲートウェイには、サブネット構成に関して次の制限があります。
各サブネットに複数の NAT ゲートウェイを接続することはできません。
異なる仮想ネットワークのサブネットに NAT ゲートウェイをアタッチすることはできません。
NAT ゲートウェイはゲートウェイ サブネットで使用できません。 ゲートウェイ サブネットは、Azure 仮想ネットワークとオンプレミスの場所の間で暗号化されたトラフィックを送信する VPN ゲートウェイ用の指定されたサブネットです。
静的パブリック IP アドレス
NAT ゲートウェイは、静的パブリック IP アドレスまたはパブリック IP プレフィックスに関連付けることができます。 パブリック IP プレフィックスを割り当てた場合、そのパブリック IP プレフィックス全体が使われます。 パブリック IP プレフィックスを直接使用することも、プレフィックス のパブリック IP アドレスを複数の NAT ゲートウェイ リソースに分散することもできます。 NAT ゲートウェイは、プレフィックスの IP アドレスの範囲にすべてのトラフィックを送信します。
次の条件が適用されます。
StandardV2 NAT ゲートウェイは、最大 16 個の IPv4 および 16 個の IPv6 パブリック IP アドレスをサポートします。
IPv6 パブリック IP アドレスまたはプレフィックスで Standard NAT ゲートウェイを使用することはできません。 Standard NAT ゲートウェイでは、最大 16 個の IPv4 パブリック IP アドレスがサポートされます。
Basic SKU のパブリック IP アドレスで NAT ゲートウェイを使用することはできません。
| Azure NAT Gateway SKU(製品の種類) | IPv4 | IPv6 |
|---|---|---|
| StandardV2 | はい。IPv4 パブリック IP アドレスとプレフィックスをサポートします。 | はい。IPv6 パブリック IP アドレスとプレフィックスをサポートします。 |
| Standard | はい。IPv4 パブリック IP アドレスとプレフィックスをサポートします。 | いいえ。IPv6 パブリック IP アドレスとプレフィックスはサポートされていません。 |
SNAT ポート
SNAT ポート インベントリは、パブリック IP アドレス、パブリック IP プレフィックス、または NAT ゲートウェイに接続されている両方によって提供されます。 SNAT ポート インベントリは、NAT ゲートウェイに接続されているサブネット内のすべてのインスタンスでオンデマンドで使用できます。 インスタンスあたりの SNAT ポートの事前割り当ては必要ありません。
SNAT ポートと Azure NAT Gateway の詳細については、「ソース ネットワーク アドレス変換 (SNAT) と Azure NAT Gateway」を参照してください。
仮想ネットワーク内の複数のサブネットが同じ NAT ゲートウェイ リソースに接続されている場合、NAT ゲートウェイが提供する SNAT ポート インベントリはすべてのサブネットで共有されます。
SNAT ポートは、接続フローを相互に区別するための一意の識別子として機能します。 同じ SNAT ポートを使用して、同時に異なる宛先エンドポイントに接続できます。
接続フローを相互に区別するために、同じ宛先エンドポイントへの接続には、異なる SNAT ポートが使用されます。 同じ宛先に接続するために再利用される SNAT ポートは、再利用される前に 、再利用クールダウン タイマー に配置されます。
1 つの NAT ゲートウェイは、それに関連付けられているパブリック IP アドレスの数だけスケーリングできます。 NAT ゲートウェイの各パブリック IP アドレスには、送信接続を行うために 64,512 個の SNAT ポートが用意されています。 NAT ゲートウェイは、100 万を超える SNAT ポートにスケールアップできます。 TCP と UDP は個別の SNAT ポート インベントリであり、NAT ゲートウェイとは無関係です。
可用性ゾーン
Azure NAT Gatewayには、Standard と StandardV2 の 2 つの SKU があります。 アーキテクチャがゾーン障害に対する回復性を確保するには、ゾーン冗長リソースであるため、StandardV2 NAT ゲートウェイをデプロイします。 リージョン内の 可用性ゾーン がダウンすると、残りの正常なゾーンから新しい接続がフローします。
Standard NAT ゲートウェイはゾーン リソースです。つまり、個々の可用性ゾーンからデプロイして運用できます。 Standard NAT ゲートウェイに関連付けられているゾーンがダウンした場合、停止は NAT ゲートウェイに関連付けられているサブネットの送信接続に影響します。
可用性ゾーンとAzure NAT Gatewayの詳細については、「reliability in Azure NAT Gateway」を参照してください。
NAT ゲートウェイをデプロイした後は、ゾーンの選択を変更することはできません。
プロトコル
NAT ゲートウェイは、UDP および TCP フローの IP および IP トランスポート ヘッダーと対話します。 NAT ゲートウェイは、アプリケーション層ペイロードに依存しません。 ICMP などの他の IP プロトコルはサポートされていません。
TCP リセット
TCP リセット パケットは、NAT ゲートウェイが存在しない接続フロー上のトラフィックを検出したときに送信されます。 TCP リセット パケットは、接続フローが解放されたことを受信エンドポイントに示し、この同じ TCP 接続での今後の通信は失敗します。 TCP リセットは、NAT ゲートウェイの場合は一方向です。
次の場合、接続フローが存在しない可能性があります。
接続フローで一定の非アクティブ状態が続いた後、接続がアイドル タイムアウトに達し、接続はサイレント で切断されます。
送信者は、Azure ネットワーク側またはパブリック インターネット側から、接続が切断された後にトラフィックを送信しました。
システムは、切断された接続フローでトラフィックを検出した場合にのみ、TCP リセット パケットを送信します。 この操作は、接続フローが切断された直後に TCP リセット パケットが送信されないことを意味します。
システムは、トラフィックがAzureネットワーク側またはパブリック インターネット側のいずれから送信されたかに関係なく、存在しない接続フロー上のトラフィックの検出に応答して TCP リセット パケットを送信します。
TCP アイドル タイムアウト
NAT ゲートウェイは、TCP プロトコルに対して 4 分から 120 分の構成可能なアイドル タイムアウト範囲を提供します。 UDP プロトコルのアイドル タイムアウトは 4 分で構成不可です。
接続がアイドル状態になると、接続アイドル状態がタイムアウトするまで、NAT ゲートウェイは SNAT ポートを保持します。アイドル タイムアウト タイマーが長いと、SNAT ポートが枯渇する可能性が不必要に高くなる可能性があるため、TCP アイドル タイムアウト期間を既定の 4 分より長くすることはお勧めしません。 アイドル タイマーは、アイドル状態にならないフローには影響しません。
TCP キープアライブを使用して、長いアイドル状態の接続とエンドポイントのライブネス検出を更新するパターンを提供できます。 詳細については、これらの.NETの例を参照してください。 TCP キープアライブは、エンドポイントに対する重複する受信確認 (AK) として表示され、オーバーヘッドが少なく、アプリケーションレイヤーからは見えません。
UDP アイドル タイムアウト タイマーは構成できません。 UDP キープアライブを使用して、接続がアイドル タイムアウト値に達していないことを確認し、接続を維持する必要があります。 TCP 接続とは異なり、接続の一方で有効になっている UDP キープアライブは、一方向のトラフィック フローにのみ適用されます。 トラフィック フローを維持するには、トラフィック フローの両側で UDP キープアライブを有効にする必要があります。
タイマー
ポート再利用タイマー
ポート再利用タイマーは、接続が閉じた後にソース ポートが保留状態になってから、新しい接続が NAT ゲートウェイによって同じ宛先エンドポイントに移動するために再利用できるようになるまでの時間を決定します。
次の表では、同じ宛先エンドポイントに対し、NAT ゲートウェイによって TCP ポートが再利用できるようになるまでの時間に関する情報を示します。
| Timer | 説明 | 値 |
|---|---|---|
| TCP FIN | TCP FIN パケットが接続を閉じた後、65 秒のタイマーが SNAT ポートを押し続けます。 タイマーが終了すると、SNAT ポートを再利用できるようになります。 | 65 秒 |
| TCP RST | TCP RST パケット (リセット) が接続を閉じた後、16 秒のタイマーが SNAT ポートを保持します。 タイマーが終了すると、そのポートを再利用できるようになります。 | 16 秒 |
| TCP 半開状態 | 1 つの接続エンドポイントがもう一方のエンドポイントからの受信確認を待機している接続確立中に、30 秒のタイマーが開始されます。 トラフィックが検出されない場合、接続は閉じます。 接続が閉じると、ソース ポートを同じ宛先エンドポイントに再利用できるようになります。 | 30 秒 |
UDP トラフィックの場合、接続が閉じた後、ポートは再利用できるようになるまで 65 秒間保留状態になります。
無操作タイムアウトタイマー
| Timer | 説明 | 値 |
|---|---|---|
| TCP アイドル タイムアウト | どちらのエンドポイントも長期間データを送信しない場合、TCP 接続はアイドル状態になります。 アイドル状態の接続をタイムアウトにするには、タイマーを 4 分 (既定) から 120 分 (2 時間) に構成できます。 アイドル タイムアウト タイマーは、フロー上のトラフィックによってリセットされます。 | 設定;4 分 (既定値) から 120 分 |
| UDP アイドル タイムアウト | エンドポイントが長期間データを送信しない場合、UDP 接続はアイドル状態になります。 UDP アイドル タイムアウト タイマーは 4 分であり、構成はできません。 アイドル タイムアウト タイマーは、フロー上のトラフィックによってリセットされます。 | 設定不可・4分 |
Note
これらのタイマー設定は、変更されることがあります。 指定された値は、トラブルシューティングに役立ちます。 現時点では、特定のタイマーに依存しないでください。
Bandwidth
Azure NAT Gatewayの各 SKU には帯域幅の制限があります。
StandardV2 NAT ゲートウェイでは、NAT ゲートウェイ リソースあたり最大 100 Gbps のデータ スループットがサポートされます。
Standard NAT ゲートウェイでは、50 Gbps のスループットが提供されます。これは、送信データと受信 (応答) データの間で分割されます。 データ スループットは、送信では 25 Gbps、Standard NAT ゲートウェイ リソースあたりの受信 (応答) データでは 25 Gbps でレート制限されます。
パフォーマンス
Standard および StandardV2 NAT ゲートウェイはそれぞれ、TCP および UDP トラフィックに対して、インターネット経由で 同じ宛先エンドポイントへの パブリック IP アドレスあたり最大 50,000 の同時接続をサポートします。
それぞれが同時に最大 200 万のアクティブな接続をサポートできます。 NAT ゲートウェイの接続数は、5 タプル (送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポート、プロトコル) に基づいてカウントされます。 NAT ゲートウェイが 200 万接続を超えると、データ パスの可用性が低下し、新しい接続は失敗します。
StandardV2 NAT ゲートウェイは、1 秒あたり最大 1,000 万パケットを処理できます。 Standard NAT ゲートウェイは、1 秒あたり最大 500 万パケットを処理できます。
制限事項
Standard および Basic パブリック IP は、StandardV2 NAT ゲートウェイと互換性がありません。 代わりに StandardV2 パブリック IP を使用してください。
StandardV2 パブリック IP を作成するには、「Azure パブリック IP の作成を参照してください。
Basic ロード バランサーは NAT ゲートウェイと互換性がありません。 Standard と StandardV2 の両方の NAT ゲートウェイに Standard ロード バランサーを使用します。
ロード バランサーを Basic から Standard にアップグレードするには、「 Azure パブリック ロード バランサーをアップグレードする」を参照>。
Basic パブリック IP は、Standard NAT ゲートウェイと互換性がありません。 代わりに Standard パブリック IP を使用してください。
パブリック IP アドレスを Basic から Standard にアップグレードするには、「 Basic パブリック IP アドレスを Standard にアップグレードする」を参照してください。
Azure NAT Gatewayは ICMP をサポートしていません。
ip 断片化は、Azure NAT Gatewayでは使用できません。
Azure NAT Gatewayでは、ルーティング構成の種類が Internet のパブリック IP アドレスはサポートされていません。 パブリック IP での Internet ルーティング構成をサポートするAzure サービスの一覧については、「パブリック インターネット経由でルーティングするためのサポートされているサービスを参照してください。
Azure NAT Gatewayでは、DDoS 保護が有効になっているパブリック IP はサポートされません。 詳細については、DDoS の制限に関するページを参照してください。
Azure NAT Gateway は、セキュリティで保護された仮想ハブ ネットワーク (vWAN) アーキテクチャではサポートされていません。
Standard NAT ゲートウェイを StandardV2 NAT ゲートウェイにアップグレードすることはできません。 ゾーン NAT ゲートウェイを使用するアーキテクチャのゾーン回復性を実現するには、Standard SKU NAT ゲートウェイを置き換えるために StandardV2 NAT ゲートウェイをデプロイする必要があります。
StandardV2 NAT ゲートウェイで Standard パブリック IP を使用することはできません。 StandardV2 NAT ゲートウェイを使用するには、新しい StandardV2 パブリック IP に re-IP する必要があります。
StandardV2 NAT ゲートウェイの既知の制限事項については、「Azure NAT Gateway SKU」を参照してください。
関連するコンテンツ
- Azure NAT Gatewayの概要を確認します。
- Azure NAT Gatewayの
メトリックとアラートについて説明します。 - Learn how to Azure NAT Gateway をトラブルシューティングする方法を学ぶ。