Amazon VPC のプライベートサブネット用の NAT ゲートウェイをセットアップする方法を教えてください。

簡単な説明

NAT ゲートウェイによって、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスはインターネット上のリソースへのアウトバウンド接続を確立できます。アウトバウンド接続は、Amazon EC2 インスタンスへのインバウンド接続を許可することなく確立されます。インスタンスに割り当てられたプライベート IP アドレスは、インターネット経由の通信には使用できません。NAT ゲートウェイは Elastic IP アドレスを使用して、プライベートリソースがインターネットと通信できるようにします。

解決策

プライベート Amazon VPC サブネット用に NAT ゲートウェイをセットアップするには、以下の手順を実行します。

1. NAT ゲートウェイをホストする公開サブネットを作成します。
2. インターネットゲートウェイを作成して Amazon VPC にアタッチします。
3. インターネットゲートウェイへのルートを使用して、パブリックサブネット用のカスタムルートテーブルを作成します。
4. パブリックサブネットのネットワークアクセスコントロールリスト (ACL) が、プライベートサブネットからのインバウンドトラフィックを許可していることを確認します。詳細については、「ネットワーク ACL の処理」を参照してください。
5. 公開サブネットに公開 NAT ゲートウェイを作成します。必要に応じて、新規または既存の Elastic IP アドレスを作成して関連付けます。詳細については、Elastic IP アドレスの処理を参照してください。
6. プライベート Amazon VPC サブネット内のルートテーブルを更新して、インターネットトラフィックが NAT ゲートウェイを指すようにしてください。
7. プライベート Amazon VPC 内のサブネットにインスタンスからインターネットに ping を実行して、NAT ゲートウェイをテストします。

ベストプラクティス

• リソースが複数のアベイラビリティーゾーン (AZ) にまたがっている場合は、AZ ごとに 1 つの NAT ゲートウェイを作成します。これにより、単一障害点やゾーンのデータ転送の料金が発生するのを防ぐことができます。
• 同じ AZ 内の Amazon EC2 と Elastic Network Interfaces 間で転送されるデータは無料です。ただし、同じ AWS リージョン内の複数の AZ 間で Amazon EC2 と Elastic Network Interfaces との間で送受信されるデータには料金がかかります。料金は、リージョンのデータ転送速度によって異なります。
• AWS Trusted Advisor を使用して、NAT ゲートウェイが AZ に依存しないように設定されているかどうか確認してください。特定の AZ 内のリソースは、同じ AZ 内の NAT ゲートウェイを使用する必要があります。これにより、別の AZ にあるリソースが、NAT ゲートウェイまたはゲートウェイに関連付けられている AZ の停止による影響を受けるのを防ぐことができます。詳細については、NAT ゲートウェイ AZ インディペンデンスを参照してください。

関連情報

Amazon CloudWatch による NAT ゲートウェイのモニタリング