NAT インスタンス - Amazon Virtual Private Cloud
NAT インスタンスの基本NAT インスタンス AMINAT インスタンスを設定するNATSG セキュリティグループを作成する送信元/送信先チェックを無効にするメインルートテーブルを更新するNAT インスタンスの設定のテスト

NAT インスタンス

重要

NAT AMI は、2020 年 12 月 31 日に標準サポートが終了した Amazon Linux の最新バージョン 2018.03 に基づいて構築されています。詳細については、ブログ記事「Amazon Linux AMI のサポート期間終了」をご参照ください。この機能は、重要なセキュリティ更新プログラムのみを受け取ります (定期的な更新はありません)。

既存の NAT AMI を使用する場合、AWS では、できるだけ早く NAT ゲートウェイに移行するか、Amazon Linux 2 で独自の NAT AMI を作成することを推奨しています。インスタンスを移行する方法については、「NAT インスタンスからの移行」をご参照ください。

VPC のパブリックサブネットにおいて、独自のネットワークアドレス変換 AMI を作成し、EC2 インスタンスで NAT インスタンスとして実行して、プライベートサブネットのインスタンスがインターネットや他の AWS のサービスへのアウトバウンド IPv4 トラフィックを開始することを許可しつつ、インターネット上で他の人が開始したインバウンドトラフィックはインスタンスで受信しないようにすることができます。

パブリックサブネットとプライベートサブネットの詳細については、「サブネットのルーティング」を参照してください。NAT の詳細については、「VPC の NAT デバイス」を参照してください。

NAT では IPv6 トラフィックがサポートされていません。Egress-Only インターネットゲートウェイを使用してください。詳細については、「Egress-Only インターネットゲートウェイ」を参照してください。

NAT インスタンスのクォータは、リージョンのインスタンスのクォータによって異なります。詳細については、「EC2 のよくある質問」を参照してください。

注記

また、NAT ゲートウェイを使用することもできます。NAT ゲートウェイはマネージド NAT サービスであり、可用性と帯域幅に優れ、運用管理の手間を節約できます。一般的ユースケースには、NAT インスタンスではなく NAT ゲートウェイを使用することをお勧めします。詳細については、「NAT ゲートウェイ」および「NAT ゲートウェイと NAT インスタンスを比較する」を参照してください。

NAT インスタンスの基本

次の図は、NAT インスタンスの基本を示しています。メインルートテーブルはプライベートサブネットと関連付けられ、プライベートサブネットのインスタンスからパブリックサブネット内の NAT インスタンスにトラフィックを送信します。次に、NAT インスタンスは、そのトラフィックを VPC のインターネットゲートウェイに送信します。トラフィックは NAT インスタンスの Elastic IP アドレスによってもたらされます。NAT インスタンスは応答用に大きなポート番号を指定します。応答が戻ってきた場合、NAT インスタンスはそれをプライベートサブネット内のインスタンスに、応答用のポート番号に基づいて送信します。

プライベートサブネット内のインスタンスからのインターネットトラフィックは NAT インスタンスにルーティングされ、NAT インスタンスはインターネットと通信します。したがって、NAT インスタンスはインターネットにアクセスできる必要があります。また、パブリックサブネット (インターネットゲートウェイへのルートを持つルートテーブルを持つサブネット) に存在し、パブリック IP アドレスまたは Elastic IP アドレスを持っている必要があります。

NAT インスタンスの設定

NAT インスタンス AMI

Amazon は NAT インスタンスとして実行するように設定された Amazon Linux AMI を提供していますが、これらは Amazon Linux の最新バージョン 2018.03 に基づいて構築されています。このバージョンは 2020 年 12 月 31 日に標準サポートが終了し、重要なセキュリティ更新のみを受け取ります (定期的な更新はありません)。既存の NAT AMI (これらの AMI の名前には、文字列 amzn-ami-vpc-nat が含まれます) を使用する場合、AWS では、できるだけ早く NAT ゲートウェイに移行するか、Amazon Linux 2 で独自の NAT AMI を作成することを推奨しています。

NAT AMI の作成

既存の Amazon AMI から開始し、NAT インスタンスとして実行する独自の AMI を作成するために、適切なカスタマイズを行うことができます。この AMI は、次回 NAT インスタンスを起動する必要があるときに使用できます。独自の NAT AMI を構築するには、最新の Amazon Linux 2 AMI を使用することをお勧めします。AMI の作成方法の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EBS-backed AMI の作成」をご参照ください。

既存の NAT インスタンスの更新

既に NAT AMI を使用している場合は、NAT ゲートウェイに移行するか、Amazon Linux 2 で独自の NAT AMI を作成することをお勧めします。

NAT インスタンスを設定する

開始する前に、NAT インスタンスとして実行するように設定されている AMI を作成します。詳細については、「NAT AMI の作成」を参照してください。この AMI は、Amazon Elastic Compute Cloud コンソールで、[Owned by me] (自己所有) でフィルタリングすると、ナビゲーションペインの [Images] (イメージ) の下に表示されます。

コンソールを使用して VPC と NAT インスタンスをセットアップするには、次の手順に従います。

  1. 2 つのサブネットを持つ VPC を作成します。

    1. VPC を作成する (「VPC を作成する」を参照)

    2. 2 つのサブネットを作成する (「サブネットを作成する」を参照)

    3. インターネットゲートウェイを VPC にアタッチする (「インターネットゲートウェイの作成とアタッチ」を参照)

    4. VPC の外部宛てのトラフィックをインターネットゲートウェイに送信するカスタムルートテーブルを作成し、1 つのサブネットに関連付けて、パブリックサブネットにする (「カスタムルートテーブルを作成する」を参照)

  2. NATSG セキュリティグループを作成します (「NATSG セキュリティグループを作成する」を参照)。このセキュリティグループは、NAT インスタンスの起動時に指定します。

  3. NAT インスタンスとして実行されるように設定された AMI からパブリックサブネット内にインスタンスを起動します。

    1. Amazon EC2 コンソールを開きます。

    2. ダッシュボードで、[インスタンスの作成] ボタンを選択し、次のようにウィザードを実行します。

      1. [Choose an Amazon Machine Image (AMI)] (Amazon マシンイメージ (AMI)) ページで、フィルターを [Owned by me] (自己所有) に設定し、AMI を選択します。

      2. [インスタンスタイプの選択] ページでインスタンスタイプを選択し、[次の手順: インスタンスの詳細の設定] を選択します。

      3. [インスタンスの詳細の設定] ページで、[ネットワーク] のリストから作成した VPC を選択し、[サブネット] のリストからパブリックサブネットを選択します。

      4. (オプション) [パブリック IP] チェックボックスをオンにして、NAT インスタンスがパブリック IP アドレスを受け取るように指定します。ここでパブリック IP アドレスを割り当てない場合、Elastic IP アドレスを割り当てて、インスタンスの起動後にそのアドレスをインスタンスに割り当てることができます。起動時のパブリック IP の割り当ての詳細については、「インスタンス起動時のパブリック IPv4 アドレスの割り当て」を参照してください。[次の手順: ストレージの追加] を選択します。

      5. インスタンスにストレージを追加することができます。次のページでは、タグを追加できます。完了したら、[次の手順: セキュリティグループの設定] を選択します。

      6. [セキュリティグループの設定] ページで、[既存のセキュリティグループを選択する] オプションを選択し、作成した NATSG セキュリティグループを選択します。[Review and Launch] を選択します。

      7. 選択した設定を確認します。必要な変更を行い、[Launch] を選択し、キーペアを選択してインスタンスを起動します。

  4. NAT インスタンスの SrcDestCheck 属性を無効にします (「送信元/送信先チェックを無効にする」を参照)。

  5. 起動時に NAT インスタンスにパブリック IP アドレスを割り当てていない場合(手順 3)、Elastic IP アドレスをそのインスタンスに関連付ける必要があります。

    1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

    2. ナビゲーションペインで [Elastic IPs] を選択し、[Allocate new address] を選択します。

    3. [Allocate] を選択します。

    4. リストから Elastic IP アドレスを選択し、[Actions]、[Associate address] を選択します。

    5. ネットワークインターフェイスリソースを選択し、NAT インスタンスのネットワークインターフェイスを選択します。[Private IP] リストから Elastic IP アドレスを関連付けるアドレスを選択して、[Associate] を選択します。

  6. メインルートテーブルを更新して、NAT インスタンスにトラフィックを送信します。詳細については、「メインルートテーブルを更新する」を参照してください。

コマンドラインを使用した NAT インスタンスの起動

サブネット内に NAT インスタンスを起動するには、次のいずれかのコマンドを使用します。詳細については、「Amazon VPC へのアクセス」を参照してください。NAT インスタンスとして実行するように設定した AMI の AMI ID を使用できます。Amazon Linux 2 での AMI の作成方法の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Amazon EBS-backed AMI の作成」をご参照ください。

NATSG セキュリティグループを作成する

次の表に示すように NATSG セキュリティグループを定義し、NAT インスタンスを有効にして、インターネットに接続されたトラフィックを、プライベートサブネットのインスタンスから受け取ります。また、SSH トラフィックをネットワークから受け取ります。また、NAT インスタンスは、インターネットにトラフィックを送信することもできます。これにより、プライベートサブネットのインスタンスがソフトウェア更新を取得できます。

Inbound
Source Protocol Port range Comments

10.0.1.0/24

TCP

80

プライベートサブネットのサーバーからのインバウンド HTTP トラフィックを許可する

10.0.1.0/24

TCP

443

プライベートサブネットのサーバーからのインバウンド HTTPS トラフィックを許可する

ホームネットワークのパブリック IP アドレスの範囲

TCP

22

ホームネットワークから NAT インスタンスへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可する

Outbound

Destination Protocol Port range Comments

0.0.0.0/0

TCP

80

インターネットへのアウトバウンド HTTP アクセスを許可する

0.0.0.0/0

TCP

443

インターネットへのアウトバウンド HTTPS アクセスを許可する

NATSG セキュリティグループを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Security Groups] を選択して、[Create Security Group] を選択します。

  3. [Create Security Group] ダイアログボックスで、セキュリティグループ名として NATSG を指定し、説明を入力します。[VPC] リストで VPC の ID を選択し、[Yes, Create] を選択します。

  4. 先ほど作成した NATSG セキュリティグループを選択します。詳細ペインに、セキュリティグループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されます。

  5. 次に示すように、[Inbound Rules] タブを使用して、インバウンドトラフィックのルールを追加します。

    1. [Edit] を選択します。

    2. [Add another rule] を選択し、[Type] リストから [HTTP] を選択します。[Source] フィールドで、プライベートサブネットの IP アドレス範囲を指定します。

    3. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Source] フィールドで、プライベートサブネットの IP アドレス範囲を指定します。

    4. [Add another rule] を選択し、[Type] リストから [SSH] を選択します。[Source] フィールドで、ネットワークのパブリック IP アドレス範囲を指定します。

    5. [Save] を選択します。

  6. 次に示すように、[Outbound Rules] タブを使用して、アウトバウンドトラフィックのルールを追加します。

    1. [Edit] を選択します。

    2. [Add another rule] を選択し、[Type] リストから [HTTP] を選択します。[Destination] フィールドで、[0.0.0.0/0] と指定します。

    3. [Add another rule] を選択し、[Type] リストから [HTTPS] を選択します。[Destination] フィールドで、[0.0.0.0/0] と指定します。

    4. [Save] を選択します。

詳細については、「VPC のセキュリティグループ」を参照してください。

送信元/送信先チェックを無効にする

EC2 インスタンスは、送信元/送信先チェックをデフォルトで実行します。つまり、そのインスタンスは、そのインスタンスが送受信する任意のトラフィックの送信元または送信先である必要があります。しかし、NAT インスタンスは、送信元または送信先がそのインスタンスでないときにも、トラフィックを送受信できなければなりません。したがって、NAT インスタンスでは送信元/送信先チェックを無効にする必要があります。

実行中または停止している NAT インスタンスの SrcDestCheck 属性は、コンソールまたはコマンドラインを使用して無効にできます。

コンソールを使用して、送信元/送信先チェックを無効にするには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. NAT インスタンスを選択し、[Actions] (アクション)、[Networking] (ネットワーキング)、[Change source/destination check] (ソース/宛先チェックの変更) を選択します。

  4. 送信元/送信先のチェックが停止していることを確認します。それ以外の場合は、[Stop] (停止) を選択します。

  5. [Save] (保存) をクリックします。

  6. NAT インスタンスにセカンダリネットワークインターフェイスがある場合は、[Networking] (ネットワーキング) のタブで [Network interfaces] (ネットワークインタフェイス) から選択します。インターフェイス ID を選択して、ネットワークインタフェイスのページに移動します。[Actions] (アクション)、[Change source/dest. check] (送信元/送信先の変更チェック) の順に選択し、[Enable] (有効化) をクリアし、[Save] (保存) を選択します。

コマンドラインを使用して送信元/送信先チェックを無効にするには

次のコマンドの 1 つを使用できます。詳細については、「Amazon VPC へのアクセス」を参照してください。

メインルートテーブルを更新する

VPC 内のプライベートサブネットはカスタムルートテーブルに関連付けられないため、メインルートテーブルを使用します。デフォルトでは、メインルートテーブルによって、VPC 内のインスタンスはお互いに通信することができます。その他のすべてのサブネットトラフィックを NAT インスタンスに送信するルートを追加する必要があります。

メインルートテーブルを更新するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Route Tables] を選択します。

  3. VPC のメインルートテーブルを選択します ([Main] 列に [Yes] と表示されます)。詳細ペインには、ルート、関連付け、ルートのプロパゲーションを操作するタブが表示されます。

  4. [Routes] タブで [Edit] を選択し、[Destination] ボックスに [0.0.0.0/0] と指定します。次に、[Target] リストから NAT インスタンスのインスタンス ID を選択して、[Save] を選択します。

  5. [サブネットの関連付け] タブで [編集] を選択し、プライベートサブネットの [関連付け] チェックボックスをオンにします。[Save] を選択します。

詳細については、「VPC のルートテーブル」を参照してください。

NAT インスタンスの設定のテスト

NAT インスタンスを起動して上記の設定手順を完了したら、テストを実行し、NAT インスタンスを踏み台サーバーとして使うことで、NAT インスタンス経由でプライベートサブネットのインスタンスからインターネットにアクセスできるかどうかを確認できます。これを行うには、インバウンドおよびアウトバウンドの ICMP トラフィックとアウトバウンドの SSH トラフィックを許可するように NAT インスタンスのセキュリティグループルールを更新し、プライベートサブネットでインスタンスを起動します。次に、プライベートサブネットのインスタンスにアクセスするように SSH エージェント転送を設定し、インスタンスに接続して、インターネット接続をテストします。

NAT インスタンスのセキュリティグループを更新するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. NAT インスタンスに関連付けられているセキュリティグループのチェックボックスをオンにします。

  4. [Inbound rules] (インバウンドルール) タブで、[Edit inbound rules] (インバウンドルールの編集) を選択します。

  5. [Add rule] を選択します。[Type] (タイプ) で [All ICMP - IPv4] (すべての ICMP - IPv4) を選択します。[Source] (送信元) で [Custom] (カスタム) を選択し、プライベートサブネットの IP アドレス範囲を入力します (例: 10.0.1.0/24)。[Save Rules (ルールの保存)] を選択します。

  6. [Outbound rules] (アウトバウンドルール) タブで [Edit outbound rules] (アウトバウンドルールの編集) を選択します。

  7. [Add rule] を選択します。[Type] (タイプ) で [SSH] を選択します。[Destination] (送信先) で [Custom] (カスタム) を選択し、プライベートサブネットの IP アドレス範囲を入力します (例: 10.0.1.0/24)。

  8. [Add rule] を選択します。[Type] (タイプ) で [All ICMP - IPv4] (すべての ICMP - IPv4) を選択します。[Destination] (送信先) で [Custom] (カスタム) を選択し、0.0.0.0/0 と入力します。[Save Rules (ルールの保存)] を選択します。

プライベートサブネット内にインスタンスを起動するには

  1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. プライベートサブネット内にインスタンスを起動します。詳細については、「サブネット内にインスタンスを起動する」を参照してください。起動ウィザードの次のオプションを必ず設定し、[Launch] を選択します。

    • [Choose an Amazon Machine Image (AMI)] ページで、[Quick Start] カテゴリから [Amazon Linux AMI] を選択します。

    • [Configure Instance Details] ページで、[Subnet] リストからプライベートサブネットを選択します。このときに、インスタンスにパブリック IP アドレスを割り当てないでください。

    • [Configure Security Group] ページで、NAT インスタンスのプライベート IP アドレスからの SSH アクセス、またはパブリックサブネットの IP アドレス範囲からの SSH アクセスを許可するインバウンドルールがセキュリティグループに含まれていて、アウトバウンド ICMP トラフィックを許可するアウトバウンドルールがあることを確認します。

    • [Select an existing key pair or create a new key pair] ダイアログボックスで、NAT インスタンスの起動に使用したのと同じキーペアを選択します。

Linux または OS X の SSH エージェント転送を設定するには

  1. ローカルマシンから、認証エージェントにプライベートキーを追加します。

    Linux の場合、次のコマンドを使用します。

    ssh-add -c mykeypair.pem

    OS X の場合、次のコマンドを使用します。

    ssh-add -K mykeypair.pem

  2. -A オプションを使用して NAT インスタンスに接続し、SSH エージェント転送を有効にします。その例を次に示します。 

    ssh -A ec2-user@54.0.0.123

Windows (PuTTY) 用に SSH エージェント転送を設定するには

  1. 既にインストールされていない場合は、PuTTY のダウンロードページから Pageant をダウンロードしてインストールします。

  2. プライベートキーを .ppk 形式に変換します。詳細については、「PuTTYgen を使用してプライベートキーを変換する」を参照してください。

  3. Pageant を起動し、タスクバーの Pageant アイコン (非表示の場合があります) を右クリックして、[Add Key] を選択します。作成した .ppk ファイルを選択し、必要に応じてパスフレーズを入力して、[Open] を選択します。

  4. PuTTY セッションを開始して NAT インスタンスに接続します。[Auth] カテゴリで、必ず [Allow agent forwarding] オプションを選択し、[Private key file for authentication] フィールドは空のままにします。

インターネット接続をテストするには

  1. ICMP が有効なウェブサイトに対して ping コマンドを実行して、NAT インスタンスがインターネットと通信できることをテストします。次に例を示します。 

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=48 time=74.9 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=48 time=75.1 ms
...

    ping コマンドをキャンセルするには、Ctrl + C を押します。

  2. NAT インスタンスから、プライベート IP アドレスを使用してプライベートサブネットのインスタンスに接続します。例:

    ssh ec2-user@10.0.1.123

  3. プライベートインスタンスから ping コマンドを実行して、インターネットに接続できることをテストします。 

    ping ietf.org
    PING ietf.org (4.31.198.44) 56(84) bytes of data.
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
...

    ping コマンドをキャンセルするには、Ctrl + C を押します。

    ping コマンドが失敗した場合、次の情報を確認します。

    • NAT インスタンスのセキュリティグループルールで、プライベートサブネットからのインバウンド ICMP トラフィックを許可していることを確認します。許可していない場合、NAT インスタンスはプライベートインスタンスから ping コマンドを受け取ることができません。

    • ルートテーブルが正しく設定されていることを確認します。詳細については、「メインルートテーブルを更新する」を参照してください。

    • NAT インスタンスの送信元/送信先チェックを無効にしたことを確認します。詳細については、「送信元/送信先チェックを無効にする」を参照してください。

    • ICMP を有効にしたウェブサイトに対して ping を実行していることを確認します。そうでない場合、応答パケットを受け取ることはできません。これをテストするには、自分のコンピュータのコマンドラインターミナルから同じ ping コマンドを実行します。

  4. (オプション)必要がなくなった場合は、プライベートインスタンスを終了します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「インスタンスの終了」を参照してください。