私は、Amazon Virtual Private Cloud (VPC) のパブリックサブネットにネットワークアドレス変換 (NAT) インスタンスを作成して、VPC プライベートサブネット内のインスタンスがアウトバウンドトラフィックをインターネットまたは他の AWS サービスに送信することができるようにしたいと思っています。そのために、VPC のパブリックサブネット内に NAT インスタンスを作成するにはどうすればいいですか。

NAT インスタンスは、「Squid を使用している NAT インスタンスに DNS フィルタリング機能を追加する方法」で説明されているように、ジャンプサーバーを使ってトラフィックをフィルタリングしたり、大部分の現在のオペレーティングシステムでサポートされている方法を使って、ポート転送やトラフィックの優先順位付けのために使用したりするうおうに構成することができます。

NAT インスタンスは AWS の管理対象ではないので、ソフトウェアおよびセキュリティ更新、インスタンスの障害管理、ならびにインバウンドトラフィックがセキュリティグループで制御されることを保証することなどは、すべてあなたの責任になります。カスタマーは AWS の管理対象ではない AWS ソフトウェアをデプロイすることはできますが、ソフトウェアの適切なメンテナンスおよび管理の責任は、「AWS 共有責任モデル」での記載に従って相互努力になります。


一般的な用途では、NAT インスタンスではなく NAT ゲートウェイの使用をお勧めします。NAT ゲートウェイの使用法については、『Amazon Virtual Private Cloud ユーザーガイド』の「NAT インスタンスからの移行」を参照してください。

  1. Amazon EC2 コンソールで、最新の Amazon VPC NAT AMI またはカスタム NAT AMI を選択します。
  2. [Launch (起動)] を選択します。
  3. トラフィックが最小限ではない限り、c4.large など、拡張ネットワーキングのインスタンスタイプを選択します。
  4. [Configure Instance Details (インスタンスの詳細の構成)] を選択します。
  5. VPC 内の [Public Subnet (パブリックサブネット)] (IGW 付属) を選択します。確信が持てない場合、[VPC Console Subnets (VPC コンソールのサブネット)] 内の各サブネットをチェックします。パブリックサブネットの場合、[Route Table (ルートテーブル)] タブでは、0.0.0.0/0 igw-abcd1234 のような宛先を指定します。
  6. [Review and Launch (確認して起動)] を選択します。
  7. [Edit security groups (セキュリティグループの編集)] を選択して、インバウンドアクセス要件に合わせて調整します。
  8. [Launch (起動)] を選択し、キーペアを選択して、[Launch Instance (インスタンスの起動)] ウィザードを終了します。
  9. EC2 コンソールインスタンスで、インスタンスを右クリックします。[Networking (ネットワーキング)] の下で、[Change Source/Destination Check (送信元/宛先チェックの変更)] を選択してから [Disabled (無効)] を選択します。
  10. VPC コンソールのルートテーブルで、各プライベートルートテーブルを見つけます。
    a) [Route (ルート)] タブを選択します。プライベートルートテーブルは、0.0.0.0/0 eni-abcd1234 / i-098765abcdef12345 のような宛先を持ちます。
    b) [Edit (編集)] を選択し、「0.0.0.0/0」ルートのターゲットを新しい NAT インスタンスに変更します。
    c) [Save (保存)] を選択します。
  11. [Private Subnet (プライベートサブネット)] 内のインスタンスに接続して、プライベートサブネット上のインスタンスが、アウトバウンドのインターネットリクエストを送信できることを確認します。
  12. (オプション) NAT インスタンスに接続して、OS レベルのツールおよびチューニングオプションをインストールします。
         sudo yum install conntrack-tools

インストールが完了したら、Linux シェルから以下のコマンドを実行して、NAT インスタンスの性能を最適化する目的で監視する接続の数を設定します。

cat <

# for large instance types, allow keeping track of more

# connections (requires enough RAM)

net.ipv4.netfilter.ip_conntrack_max=262144

EOF

sudo sysctl -p /etc/sysctl.d/custom_nat_tuning.conf

Amazon VPC、NAT インスタンスのインストール、DNS のフィルタリング、ジャンプサーバー、ポート転送、ネットワークトラフィックの優先順位付け、NAT ゲートウェイ


このページは役に立ちましたか? はい | いいえ

AWS サポートナレッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2016 年 5 月 6 日