インターネットゲートウェイ
インターネットゲートウェイは、VPC のインスタンスとインターネットとの間の通信を可能にする VPC コンポーネントであり、冗長性と高い可用性を備えており、水平スケーリングが可能です。そのため、ネットワークトラフィックに課される可用性のリスクや帯域幅の制約はありません。
インターネットゲートウェイは 2 つの目的を果たします。1 つは、インターネットでルーティング可能なトラフィックの送信先を VPC のルートテーブルに追加することです。もう 1 つは、パブリック IPv4 アドレスが割り当てられているインスタンスに対してネットワークアドレス変換 (NAT) を行うことです。
インターネットゲートウェイは、IPv4 トラフィックおよび IPv6 トラフィックをサポートしています。
インターネットアクセスを有効にする
VPC のサブネットのインスタンスでインターネットのアクセスを有効にするには、以下を実行する必要があります。
-
VPC にインターネットゲートウェイをアタッチする。
-
サブネットのルートテーブルがインターネットゲートウェイに繋がっていることを確認します。
-
サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。
-
ネットワークアクセスコントロールとセキュリティグループルールがインスタンス間で関連するトラフィックを許可していることを確認します。
インターネットゲートウェイを使用するには、インターネットゲートウェイにインターネット経由のトラフィックが流れるルートをサブネットのルートテーブルに追加する必要があります。そのルートに流れるトラフィックの送信先としては、明示的に既知でない送信先
(IPv4 の場合は0.0.0.0/0、IPv6 の場合は::/0) を指定することも、特定の IP アドレス範囲の送信先 (AWS の外側にある会社のパブリックエンドポイントのパブリック IPv4 アドレスや、VPC の外側にある他の
Amazon EC2 インスタンスの Elastic IP アドレスなど) を指定することもできます。サブネットに関連付けられているルートテーブルにインターネットゲートウェイへのルートがある場合、そのサブネットは「パブリックサブネット」と呼ばれます。
IPv4 でインターネット通信できるようにするには、パブリック IPv4 アドレス、またはインスタンスのプライベート IPv4 アドレスに関連付けられる Elastic IP アドレスが必要です。インスタンスは、VPC とサブネット内で定義されたプライベート(内部)IP アドレス空間のみを認識します。インターネットゲートウェイはインスタンスに代わって 1 対 1 の NAT を論理的に行います。そのため、トラフィックが VPC サブネットから出てインターネットへ向かうとき、返信アドレスフィールドは、インスタンスのプライベート IP アドレスではなくパブリック IPv4 アドレスまたは Elastic IP アドレスに設定されます。逆に、インスタンスのパブリック IPv4 アドレスまたは Elastic IP アドレス宛てのトラフィックは、その送信先アドレスがインスタンスのプライベート IPv4 アドレスに変換されてから、VPC に配信されます。
IPv6 のインターネット経由の通信を有効にするには、VPC およびサブネットは IPv6 CIDR ブロックと関連付け、インスタンスはサブネットの範囲の IPv6 アドレスに割り当てる必要があります。IPv6 アドレスは、グローバルに一意であるため、デフォルトではパブリックアドレスになっています。
次の図では、VPC のサブネット 1 は、カスタムルートテーブルと関連付けられており、インターネット経由の IPv4 トラフィックはすべてインターネットゲートウェイにポイントされます。このインスタンスには、インターネットとの通信を有効にする Elastic IP アドレスが割り当てられています。
デフォルトとデフォルト以外の VPCs へのインターネットアクセス
次の表では、IPv4 または IPv6 経由でインターネットアクセスに必要なコンポーネントが VPC に自動的に付与されるかどうかについて示します。
| デフォルト VPC | デフォルトではない VPC | |
|---|---|---|
| インターネットゲートウェイ | はい | 最初または 2 番目のオプションを使用して VPC を作成した場合は自動的に付与されます。それ以外の場合は、インターネットゲートウェイを手動で作成してアタッチする必要があります。 |
| IPv4 トラフィックのインターネットゲートウェイ (0.0.0.0/0) にルーティングするルートテーブル。 | はい | 最初または 2 番目のオプションを使用して VPC を作成した場合は自動的に付与されます。それ以外の場合は、手動でルートテーブルを作成し、ルーティングテーブルを追加する必要があります。 |
| IPv6 トラフィックのインターネットゲートウェイ (::/0) にルーティングするルートテーブル。 | いいえ | VPC ウィザードで、最初または 2 番目のオプションを使用して VPC を作成した場合や、IPv6 を VPC CIDR ブロックを関連付けるオプションを指定した場合は自動的に付与されます。それ以外の場合は、手動でルートテーブルを作成し、ルーティングテーブルを追加する必要があります。 |
| サブネットに起動されるインスタンスに自動的に割り当てられたパブリック IPv4 アドレス。 | Yes (デフォルトサブネット) | No (デフォルト以外のサブネット) |
| サブネットに起動されるインスタンスに自動的に割り当てられた IPv6 アドレス。 | いいえ (デフォルトサブネット) | No (デフォルト以外のサブネット) |
デフォルト VPC の詳細については、「デフォルト VPC とデフォルトサブネット」を参照してください。VPC ウィザードを使用して、インターネットゲートウェイを使う VPC を作成する方法の詳細については、「シナリオ 1: 単一のパブリックサブネットを持つ VPC」または「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT) 」を参照してください。
VPC 内の IP アドレス、インスタンスにパブリック IPv4 または IPv6 アドレスを割り当てる方法を制御する方法の詳細は、「VPC の IP アドレス指定」を参照してください。
新しいサブネットを VPC に追加するとき、サブネットに必要なルーティングとセキュリティを設定する必要があります。
インターネットゲートウェイを関連付けた VPC の作成
インターネットアクセスをサポートするパブリックサブネットを手動で作成する方法を以下に示します。
タスク
サブネットを作成する
サブネットを VPC に追加するには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [Subnets] を選択し、続いて [Create Subnet] を選択します。
-
[Create Subnet] ダイアログボックスで、[VPC]、[アベイラビリティーゾーン] の順に選択し、サブネットの IPv4 CIDR ブロックを指定します。
-
(オプション、IPv6 のみ) [IPv6 CIDR block] で、[Specify a custom IPv6 CIDR] を選択します。
-
[Yes, Create] を選択します。
サブネットの詳細については、「VPC とサブネット」を参照してください。
インターネットゲートウェイの作成とアタッチ
インターネットゲートウェイを作成して VPC にアタッチするには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [インターネットゲートウェイ] を選択してから、[インターネットゲートウェイの作成] を選択します。
-
任意でインターネットゲートウェイに名前を付け、[作成] を選択します。
-
作成したインターネットゲートウェイを選択して、[アクション]、[VPC にアタッチ] を選択します。
-
リストから VPC を選択し、[アタッチ] を選択します。
カスタムルートテーブルを作成する
サブネットを作成すると、VPC のメインルートテーブルと自動的に関連付けられます。デフォルトでは、メインルートテーブルにインターネットゲートウェイへのルートは含まれません。次の手順では、VPC の外部あてのトラフィックをインターネットゲートウェイに送信するルートを含むカスタムルートテーブルを作成してから、それをサブネットに関連付けます。
カスタムルートテーブルを作成するには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [Route Tables] を選択して、[Create Route Table] を選択します。
-
[Create Route Table] ダイアログボックスで、必要に応じてルートテーブルに名前を指定し、VPC を選んでから、[Yes, Create] を選択します。
-
作成したカスタムルートテーブルを選択します。詳細ペインには、ルート、関連付け、ルートのプロパゲーションを操作するタブが表示されます。
-
[Routes] タブで、[Edit]、[Add another route] の順に選択し、必要に応じて以下のルートを選択します。以上が完了したら、[Save] を選択します。
-
IPv4 トラフィックの場合、[送信先] ボックスで
0.0.0.0/0を指定し、[ターゲット] リストでインターネットゲートウェイ ID を選択します。 -
IPv6 トラフィックの場合、[送信先] ボックスで
::/0を指定し、[ターゲット] リストでインターネットゲートウェイ ID を選択します。
-
-
[Subnet Associations] タブで [Edit] を選択し、サブネットの [Associate] チェックボックスをオンにして、[Save] を選択します。
詳細については、「ルートテーブル」を参照してください。
セキュリティグループルールを更新する
VPC には、デフォルトのセキュリティグループが用意されています。VPC で起動する各インスタンスは、自動的にそのデフォルトのセキュリティグループに関連付けられます。デフォルトのセキュリティグループのデフォルトの設定では、インターネットからのインバウンドトラフィックを許可せず、インターネットに対するすべてのアウトバンドトラフィックを許可します。そのため、インスタンスがインターネットと通信できるようにするには、パブリックインスタンスがインターネットにアクセスすることを許可する新しいセキュリティグループを作成する必要があります。
新しいセキュリティグループを作成し、インスタンスに関連付けるには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [Security Groups] を選択して、[Create Security Group] を選択します。
-
[Create Security Group] ダイアログボックスに、セキュリティグループの名前と説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。
-
セキュリティグループを選択します。詳細ペインには、セキュリティグループの詳細と、インバウンドルールとアウトバンドルールを操作するタブが表示されます。
-
[Inbound Rules] タブで、[Edit] を選択します。[Add Rule] を選択し、必要な情報を入力します。たとえば、[Type] リストから [HTTP] または [HTTPS] を選択し、IPv4 トラフィックの場合は、
0.0.0.0/0、IPv6 トラフィックの場合は::/0を [Source] に入力します。以上が完了したら、[Save] を選択します。 -
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
-
ナビゲーションペインで、[Instances] を選択します。
-
インスタンスを選択し、[Actions] を選択して、続いて [Networking] を選択し、次に [Change Security Groups] を選択します。
-
[Change Security Groups] ダイアログボックスで、現在選択しているセキュリティグループのチェックボックスをオフにし、新しいセキュリティグループを選択します。[Assign Security Groups] を選択します。
詳細については、「VPC のセキュリティグループ」を参照してください。
Elastic IP アドレスを追加する
IPv4 経由でインターネットからインスタンスに到達できるようにするには、サブネットでインスタンスを起動した後に、そのインスタンスに Elastic IP アドレスを割り当てる必要があります。
注記
起動中にパブリック IPv4 アドレスをインスタンスに割り当てた場合、インスタンスはインターネットから到達可能であるため、Elastic IP アドレスを割り当てる必要はありません。インスタンスの IP アドレスの割り当ての詳細については、「VPC の IP アドレス指定」を参照してください。
コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [Elastic IP] を選択します。
-
[Allocate new address] を選択します。
-
[Allocate] を選択します。
注記
アカウントが EC2-Classic をサポートしている場合には、まず [VPC] を選択します。
-
リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate address] を選択します。
-
[Instance] または [Network interface] を選択してから、インスタンスまたはネットワークインターフェイス ID を選択します。Elastic IP アドレスを関連付けるプライベート IP アドレスを選択してから、[Associate] を選択します。
詳細については、「Elastic IP アドレス」を参照してください。
VPC からのインターネットゲートウェイのアタッチ解除
デフォルトではない VPC 内に起動するインスタンスでインターネットアクセスが不要になった場合には、VPC からインターネットゲートウェイをデタッチできます。VPC に関連付けられたパブリック IP アドレスまたは Elastic IP アドレスを持つリソースがある場合、インターネットゲートウェイをデタッチすることはできません。
インターネットゲートウェイをデタッチするには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで [Elastic IPs] を選択し、Elastic IP アドレスを選択します。
-
[Actions]、[Disassociate address] の順に選択します。[Disassociate address] を選択します。
-
ナビゲーションペインで、[Internet Gateways] を選択します。
-
インターネットゲートウェイを選択し、[アクション]、[VPC からデタッチ] を選択します。
-
[VPC からデタッチ] ダイアログボックスで、[デタッチ] を選択します。
インターネットゲートウェイを削除する
インターネットゲートウェイが不要になった場合には、それを削除することができます。VPC にアタッチされているインターネットゲートウェイを削除することはできません。
インターネットゲートウェイを削除するには
-
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
-
ナビゲーションペインで、[Internet Gateways] を選択します。
-
インターネットゲートウェイを選択し、[アクション]、[インターネットゲートウェイの削除] の順に選択します。
-
[インターネットゲートウェイの削除] ダイアログボックスで、[削除] を選択します。
API とコマンドの概要
このページで説明しているタスクは、コマンドラインまたは API を使用して実行できます。コマンドラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon VPC へのアクセス」を参照してください。
インターネットゲートウェイを作成する
-
create-internet-gateway (AWS CLI)
-
New-EC2InternetGateway (AWS Tools for Windows PowerShell)
インターネットゲートウェイを VPC にアタッチする
-
attach-internet-gateway (AWS CLI)
-
Add-EC2InternetGateway (AWS Tools for Windows PowerShell)
インターネットゲートウェイについて説明する
-
describe-internet-gateways (AWS CLI)
-
Get-EC2InternetGateway (AWS Tools for Windows PowerShell)
VPC からインターネットゲートウェイをデタッチする
-
detach-internet-gateway (AWS CLI)
-
Dismount-EC2InternetGateway (AWS Tools for Windows PowerShell)
インターネットゲートウェイを削除する
-
delete-internet-gateway (AWS CLI)
-
Remove-EC2InternetGateway (AWS Tools for Windows PowerShell)
