次に、Azure NAT Gateway の使用についてよくある質問の回答を示します。
Azure NAT Gateway の基本
Azure NAT Gateway とは
Azure NAT Gateway は、Azure 仮想ネットワーク用のフル マネージドで回復性の高い送信接続ソリューションです。 セキュリティで保護されたスケーラブルなアウトバウンド接続を実現するには、NAT ゲートウェイを、仮想ネットワーク内のサブネットと、少なくとも 1 つの静的パブリック IP アドレスにアタッチします。
Azure NAT Gateway の価格はいくらですか?
「Azure NAT Gateway の価格」を参照してください。
Azure NAT Gateway の既知の制限事項はどのようなものですか?
Azure NAT Gateway の制限に関するページを参照してください。
サブスクリプションごとに許可される NAT ゲートウェイ リソースの数はいくつですか?
1 つのリージョンの 1 つのサブスクリプションに許可される NAT ゲートウェイ リソースの数は、無料試用版、従量課金、クラウド ソリューション プロバイダー (CSP)、Enterprise Agreement などのオファー カテゴリの種類によって異なります。 Enterprise Agreement と CSP のオファーの種類には、最大 1,000 個の NAT ゲートウェイ リソースを含めることができます。 スポンサープランと従量課金制プランの種類には、最大 100 個の NAT ゲートウェイ リソースを含めることができます。 無料試用版など、他のすべてのオファーの種類には、最大 15 個の NAT ゲートウェイ リソースを含めることができます。
1 つの NAT ゲートウェイを複数のサブスクリプションで使用できますか?
いいえ。NAT ゲートウェイ リソースは、一度に複数のサブスクリプションで使用することはできません。 詳細なガイダンスについては、リージョン移動後の NAT ゲートウェイの作成と構成に関する記事をご覧ください。
NAT ゲートウェイを別のリージョン、サブスクリプション、リソース グループに移動できますか?
いいえ。NAT ゲートウェイは、サブスクリプション、リージョン、またはリソース グループ間で移動できません。 他のサブスクリプション、リージョン、またはリソース グループ用に新しい NAT ゲートウェイを作成する必要があります。
NAT ゲートウェイはインバウンド接続に使用できますか?
NAT ゲートウェイは、仮想ネットワークからのアウトバウンド接続を提供します。 アウトバウンド フローに直接応答する戻りトラフィックも、NAT ゲートウェイを通過できます。 インターネットから直接届くインバウンド トラフィックは、NAT ゲートウェイを通過できません。
NAT ゲートウェイ リソースのログを取得するにはどうすればよいですか?
仮想ネットワーク (VNet) フロー ログは、仮想ネットワーク内を流れる IP トラフィックに関する情報をログする Azure Network Watcher の機能です。 仮想ネットワーク フロー ログからのフロー データは、Azure Storage に送信されます。 そこからデータにアクセスし、任意の視覚化ツール、セキュリティ情報イベント管理 (SIEM) ソリューション、または侵入検出システム (IDS) にエクスポートできます。
VNet フロー ログは、仮想マシンの接続情報を提供します。 接続情報には、送信元 IP とポート、宛先 IP とポート、および接続の状態が含まれます。 トラフィック フローの方向と、トラフィックのサイズ (送信されたパケットおよびバイト数) もログに記録されます。 VNet フロー ログ内で明示されているソース IP とポートは仮想マシンのものであり、NAT ゲートウェイのものではありません。
仮想ネットワーク フロー ログを作成して管理するための一般的なガイダンスについては、「仮想ネットワーク フロー ログの管理」を参照してください。
NAT ゲートウェイ リソースを削除するにはどうすればよいですか?
NAT ゲートウェイ リソースを削除するには、最初にサブネットからリソースの関連付けを解除する必要があります。 すべてのサブネットからの関連付けを解除された後の NAT ゲートウェイ リソースは、削除できます。 ガイダンスについては、既存のサブネットからの NAT ゲートウェイ リソースの削除とリソースの削除に関する記事をご覧ください。
NAT ゲートウェイは IP 断片化をサポートしていますか?
いいえ。NAT ゲートウェイでは、伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) の IP 断片化はサポートされていません。
NAT ゲートウェイ メトリック
NAT ゲートウェイの SNAT 接続数と SNAT 接続数の合計メトリックの違いは何ですか?
SNAT 接続数メトリックは、1 秒間に行われた新しいソース ネットワーク アドレス変換 (SNAT) 接続の数を示します。 SNAT 接続数の合計メトリックは、NAT ゲートウェイ リソースでのアクティブな接続の合計数を示します。
NAT ゲートウェイでの SNAT ポートの使用状況を確認するにはどうすればよいですか?
NAT ゲートウェイに関する SNAT ポート使用量メトリックはありません。 SNAT 接続数と SNAT 接続数の合計メトリックを使って、NAT ゲートウェイ リソースの SNAT 容量を評価できます。
NAT ゲートウェイのメトリックを長期間保存するにはどうすればよいですか?
NAT ゲートウェイ メトリックは、メトリック REST API を使用して取得できます。 または、Azure portal の [NAT ゲートウェイ メトリック] ペインから [共有]、[Excel にダウンロード] の順に選ぶこともできます。
診断設定を使用して NAT ゲートウェイ メトリックを取得できますか?
いいえ。診断設定を使って NAT ゲートウェイ メトリックをエクスポートすることはできません。 NAT ゲートウェイ メトリックは多次元です。 診断設定では、多次元メトリックのエクスポートはサポートされていません。
NAT ゲートウェイを使用するアウトバウンド接続
現在アウトバウンド用に異なるサービスを使っているセットアップで、NAT ゲートウェイを使ってアウトバウンドを接続するにはどうすればよいですか?
NAT ゲートウェイは、パブリック IP アドレスまたはプレフィックスとサブネットにアタッチされた後、アウトバウンドをインターネットに自動的に接続します。 NAT ゲートウェイは、アウトバウンド規則を使っている Azure Load Balancer、仮想マシン (VM) 上のインスタンス レベルのパブリック IP アドレス、アウトバウンド接続用の Azure Firewall より優先されます。
現在アウトバウンド接続に別のサービスが使われているサブネットに NAT ゲートウェイをアタッチした後で、接続が中断されますか?
いいえ。接続の中断はありません。 以前のアウトバウンド サービス (Load Balancer、Azure Firewall、インスタンス レベルのパブリック IP アドレス) を使っている既存の接続は、それらの接続が閉じるまで引き続き動作します。 NAT ゲートウェイが仮想ネットワークのサブネットに追加された後は、すべての新しい接続でアウトバウンド接続を行うために NAT ゲートウェイが使われます。
NAT Gateway のパブリック IP では、プライベート IP アドレスにインターネットを介して直接接続できますか?
いいえ。NAT ゲートウェイのパブリック IP アドレスは、インターネット経由でプライベート IP に直接接続できません。
1 つの NAT ゲートウェイ リソースに複数のパブリック IP アドレスが割り当てられている場合、いずれかの IP アドレスが削除されると、トラフィック フローは中断されますか?
パブリック IP アドレスに関連付けられているアクティブな接続は、パブリック IP アドレスが削除されると終了します。 NAT ゲートウェイ リソースに複数のパブリック IP がある場合、割り当てられた IP 間で新しいトラフィックが分散されます。
NAT ゲートウェイのパブリック IP とは異なる IP がアウトバウンド接続に使われている場合、何を意味していますか?
NAT ゲートウェイに関連付けられている IP とは異なる IP がアウトバウンドへの接続に使用されている場合、考えられる理由がいくつかあります。 トラブルシューティングについては、Azure NAT Gateway 接続のトラブルシューティング ガイドに関する記事をご覧ください。
NAT Gateway はアクティブ FTP モードで動作しますか?
いいえ、NAT Gateway は、アクティブ FTP モードとの互換性がありません。 NAT Gateway が構成されている場合、アクティブ FTP モードのクライアント チャネルとデータ チャネルは異なる IP を使用するため、FTP サーバーにより接続が無効と見なされます。 詳細については、NAT Gateway 接続のトラブルシューティング ガイドで、アクティブまたはパッシブ モードの FTP 接続エラーに関するセクションを参照してください。
NAT Gateway はパッシブ FTP モードで動作しますか?
NAT Gateway は、NAT Gateway に対して 1 つのパブリック IP が構成されている場合にのみパッシブ FTP モードで使用できます。 FTP パッシブ モードは、パブリック IP プレフィックスまたは複数のパブリック IP で構成された NAT Gateway では機能しません。 複数のパブリック IP アドレスがある NAT ゲートウェイは、送信トラフィックを送信するときに、ソース IP アドレスとしてパブリック IP アドレスの 1 つをランダムに選択します。 データとコントロールのチャネルで異なるソース IP アドレスが使用されていると、FTP パッシブ モードは失敗します。 詳細については、NAT Gateway 接続のトラブルシューティング ガイドで、アクティブまたはパッシブ モードの FTP 接続エラーに関するセクションを参照してください。
トラフィック ルート
0.0.0.0/0 (インターネット) トラフィックを NVA、Azure VPN Gateway、または Azure ExpressRoute に 強制的にトンネルすると、NAT ゲートウェイはどうなりますか?
NAT ゲートウェイは、サブネットのシステムの既定のインターネット パスを使って、トラフィックをインターネットにルーティングします。 ユーザー定義ルートが、0.0.0.0/0 トラフィックをネクスト ホップの種類のネットワーク仮想アプライアンス (NVA) または仮想ネットワーク ゲートウェイに送信するように作成されている場合、トラフィックは NAT ゲートウェイを通過しません。
NAT ゲートウェイを使ってアウトバウンド接続を行うために、サブネット ルート テーブルでどのような構成を行う必要があります?
NAT ゲートウェイとのアウトバウンド接続を始めるために、サブネット ルート テーブルの構成は必要ありません。 NAT ゲートウェイがサブネットに割り当てられると、NAT ゲートウェイはすべてのインターネット宛てトラフィックに対してネクスト ホップの種類になります。 NAT ゲートウェイがサブネットおよび少なくとも 1 つのパブリック IP アドレスに割り当てられるとすぐに、トラフィックはインターネットへのアウトバウンド接続を開始できます。
NAT ゲートウェイ構成
パブリック IP アドレスまたはサブネットがなくても NAT ゲートウェイをデプロイできますか?
はい。NAT ゲートウェイは、パブリック IP アドレスまたはプレフィックスとサブネットがなくてもデプロイできます。 ただし、少なくとも 1 つのパブリック IP アドレスまたはプレフィックスとサブネットをアタッチするまでは動作しません。
NAT ゲートウェイのパブリック IP アドレスは静的ですか?
はい。NAT ゲートウェイのパブリック IP アドレスは固定であり、変更されません。
NAT ゲートウェイにはいくつのパブリック IP アドレスをアタッチできますか?
NAT ゲートウェイでは、最大 16 個のパブリック IP アドレスを使用できます。 NAT ゲートウェイでは、パブリック IP アドレスとパブリック IP プレフィックスの任意の組み合わせを、合計で 16 個のアドレスまで使用できます。 NAT ゲートウェイでは、/28 (16 アドレス)、/29 (8 アドレス)、/30 (4 アドレス)、/31 (2 アドレス) のプレフィックス サイズがサポートされています。
NAT ゲートウェイでカスタム IP プレフィックス (BYOIP) を使用するにはどうすればよいですか?
カスタム IP プレフィックス (Bring Your Own IP (BYOIP) とも呼ばれます) から派生したパブリック IP プレフィックスとアドレスを、NAT ゲートウェイで使用できます。 詳細については、「カスタム IP アドレス プレフィックス (BYOIP)」を参照してください。
NAT ゲートウェイで IPv6 のパブリック IP アドレスを使用できますか?
いいえ。NAT ゲートウェイでは、IPv6 のパブリック IP アドレスはサポートされていません。 ただし、NAT ゲートウェイとロード バランサーを使用するデュアルスタック構成によって、IPv4 と IPv6 のアウトバウンド接続を提供できます。 詳しくは、「NAT ゲートウェイとパブリック ロード バランサーを使用してデュアル スタック送信接続を構成する」をご覧ください。
ルーティングの優先順位が "インターネット" であるパブリック IP アドレスを NAT ゲートウェイで使用できますか?
いいえ。NAT ゲートウェイでは、ルーティングの優先順位が "インターネット" のパブリック IP アドレスはサポートされていません。パブリック IP でルーティング構成の種類 "インターネット" をサポートする Azure サービスの一覧については、パブリック インターネット経由のルーティングでサポートされているサービスに関するページを参照してください。
DDoS 保護が有効なパブリック IP アドレスを NAT ゲートウェイで使用できますか?
いいえ。NAT ゲートウェイでは、DDoS 保護が有効なパブリック IP アドレスはサポートされていません。 ほとんどの DDoS 攻撃は大量の着信トラフィックを一挙に送信してターゲットのリソースを圧倒するように設計されているため、DDoS に対して保護されている IP は一般に着信トラフィックにとってより重要です。 DDoS に対して保護されている IP の詳細については、DDoS の制限に関する記事を参照してください。
既存の NAT ゲートウェイのパブリック IP を変更できますか?
いいえ、既存のパブリック IP のアドレスは変更できません。 NAT ゲートウェイでパブリック IP アドレスを変更する必要がある場合は、「パブリック IP アドレスを追加または削除する」のガイダンスを参照してください。
複数のパブリック IP アドレスが NAT ゲートウェイに割り当てられている場合、サブネット リソースではどのパブリック IP が使われますか?
サブネット リソースでは、送信接続のために NAT ゲートウェイにアタッチされた任意のパブリック IP アドレスを使用できます。 NAT ゲートウェイ経由で新しいアウトバウンド接続が行われるたびに、アウトバウンド パブリック IP がランダムに選ばれます。
NAT ゲートウェイのパブリック IP アドレスの 1 つを特定の VM またはサブネットに割り当てて、アウトバウンドへの接続専用に使用することはできますか?
いいえ。 特定のサブネットまたは NAT ゲートウェイが構成されたサブネット内の特定の VM インスタンスに IP を割り当てることはできません。
1 つの NAT ゲートウェイを複数の仮想ネットワークにアタッチできますか?
いいえ。1 つの NAT ゲートウェイを複数の仮想ネットワークにアタッチすることはできません。
1 つの NAT ゲートウェイを複数のサブネットにアタッチできますか?
はい。1 つの NAT ゲートウェイを、1 つの仮想ネットワーク内の最大 800 個のサブネットに関連付けることができます。 仮想ネットワーク内のすべてのサブネットに関連付けられている必要はありません。
NAT ゲートウェイをゲートウェイ サブネットにアタッチできますか?
いいえ。NAT ゲートウェイをゲートウェイ サブネットに関連付けることはできません。
複数の NAT ゲートウェイを 1 つのサブネットに接続できますか?
いいえ。NAT ゲートウェイはサブネットのプロパティに基づいて動作するため、複数の NAT ゲートウェイを 1 つのサブネットにアタッチすることはできません。
NAT ゲートウェイはハブ アンド スポーク ネットワーク アーキテクチャで動作しますか?
スポーク仮想ネットワークからのトラフィックは、NVA または Azure Firewall を介して一元化されたハブ仮想ネットワークにルーティングできます。 その場合、NAT ゲートウェイは、一元化されたハブ ネットワークからすべてのスポーク仮想ネットワークへのアウトバウンド接続を提供できます。 NVA を使用してハブ アンド スポーク アーキテクチャで NAT ゲートウェイを設定するには、「ハブ アンド スポーク ネットワークで NAT ゲートウェイを使用する」を参照してください。 ハブ アンド スポークの設定で NAT ゲートウェイと Azure Firewall を使用するには、NAT ゲートウェイと Azure Firewall の統合に関する記事を参照してください。
可用性ゾーン
NAT ゲートウェイは可用性ゾーンでどのように動作しますか?
NAT ゲートウェイは、ゾーンにすることも、"ゾーンなし" に配置することもできます。詳しくは、Azure NAT Gateway と可用性ゾーンに関する記事をご覧ください。 さらに:
- 非ゾーンの NAT ゲートウェイは、Azure によって自動的にゾーンに配置されます。
- ゾーンベースの NAT ゲートウェイは、その NAT ゲートウェイが作成されたときにユーザーによって特定のゾーンに関連付けられます。
- NAT ゲートウェイのゾーン構成は、デプロイ後に変更できません。
ゾーン冗長パブリック IP アドレスを NAT ゲートウェイに接続できますか?
ゾーン冗長パブリック IP アドレスとプレフィックスは、ゾーンなし NAT ゲートウェイまたは特定の可用性ゾーンに割り当てられた NAT ゲートウェイのいずれかにアタッチできます。 詳しくは、Azure NAT Gateway と可用性ゾーンに関する記事をご覧ください。
Azure NAT Gateway と Basic SKU リソース
Basic SKU リソース (Basic ロード バランサ―と Basic パブリック IP アドレス) は NAT ゲートウェイと互換性がありますか?
いいえ。NAT ゲートウェイは、Standard SKU リソースと互換性があります。 詳しくは、「Azure NAT Gateway の基本」をご覧ください。 NAT ゲートウェイで使うには、Basic ロード バランサーと Basic パブリック IP アドレスを Standard にアップグレードしてください。 詳細については、以下を参照してください。
- Basic ロード バランサーを Standard にアップグレードするには、Azure パブリック ロード バランサ―のアップグレードに関する記事をご覧ください。
- Basic パブリック IP を Standard にアップグレードするには、「パブリック IP アドレスをアップグレードする」を参照してください。
- VM にアタッチされている Basic パブリック IP を Standard にアップグレードするには、VM にアタッチされている Basic パブリック IP アドレスをアップグレードする方法に関するページを参照してください。
接続のタイムアウトとタイマー
NAT ゲートウェイのアイドル タイムアウトはどれくらいですか?
TCP 接続の場合、アイドル タイムアウト タイマーの既定値は 4 分で、最大 120 分まで構成できます。 長い接続フローを維持する必要がある場合は、アイドル タイムアウト タイマーを延長するのではなく、TCP キープアライブを使用します。 TCP キープアライブは、アクティブな接続を長期間維持します。
UDP アイドル タイムアウト タイマーは 4 分に設定されており、構成できません。
NAT ゲートウェイでは、SNAT ポートはどのように再利用されますか?
TCP/UDP 接続が閉じられると、ポートはクール ダウン期間を経てから、同じ宛先エンドポイントに接続するために再利用できるようになります。 詳細については、「SNAT ポート再利用タイマー」を参照してください。 別の宛先への接続では、すぐに SNAT ポートを使用できます。 詳しくは、SNAT と Azure NAT Gateway に関する記事をご覧ください。
NAT ゲートウェイと他の Azure サービスの統合
Azure App Service で NAT ゲートウェイを使用できますか?
はい。Azure App Service で NAT ゲートウェイを使用して、アプリケーションで仮想ネットワークからインターネットにアウトバウンド トラフィックを転送できます。 NAT ゲートウェイと Azure App Service の間のこの統合を使うには、リージョンでの仮想ネットワーク統合を有効にする必要があります。 仮想ネットワークと NAT ゲートウェイの統合を有効にする方法のガイダンスについては、「Azure NAT Gateway の統合」をご覧ください。
Azure Kubernetes Service で NAT ゲートウェイを使用できますか?
はい。 NAT ゲートウェイと Azure Kubernetes Service の統合の詳細については、「マネージド NAT Gateway」を参照してください。
AKS クラスターから AKS API サーバーへの接続に NAT Gateway が使用されるのは、どのようなときですか?
AKS クラスターを管理するために、クラスターは API サーバーとやり取りします。 非公開ではないクラスターでは、API サーバー クラスターのトラフィックは、クラスターのアウトバウンド タイプを通じてルーティングされ、処理されます。 クラスターの送信の種類が NAT Gateway に設定されている場合、API サーバー トラフィックは NAT Gateway 経由のパブリック トラフィックとして処理されます。 API サーバー トラフィックがパブリック トラフィックとして処理されることを防ぐには、プライベート クラスターの使用を検討するか、API Server VNet 統合機能 (プレビュー段階) を使用してください。
Azure Firewall で NAT ゲートウェイを使用できますか?
はい。NAT ゲートウェイは Azure Firewall と併用できます。 NAT ゲートウェイと併用するときは、Azure Firewall をゾーン構成にする必要があります。 NAT ゲートウェイはゾーン冗長ファイアウォールで動作しますが、現時点ではそのデプロイはお勧めしません。 NAT ゲートウェイと Azure Firewall の統合について詳しくは、NAT ゲートウェイを使用した SNAT ポートのスケーリングに関する記事をご覧ください。
Azure 仮想ネットワーク サービス エンドポイントまたは Azure Private Link で NAT ゲートウェイを使用できますか?
はい。サービス エンドポイントを含むサブネットに NAT ゲートウェイを追加しても、エンドポイントへの影響はありません。 仮想ネットワーク サービス エンドポイントを使用すると、宛先となる Azure サービス トラフィックへのより具体的なルートが示されます。 サービス エンドポイントのトラフィックは、インターネットではなく Azure バックボーンを通過します。 Azure ネットワークから Azure サービスとしてのプラットフォーム (PaaS) に直接接続するときは、サービス エンドポイントより Private Link をお勧めします。
Azure Databricks ワークスペースで NAT ゲートウェイを使用できますか?
はい。 セキュリティで保護されたクラスター接続をワークスペースで有効にする場合、Azure Databricks で NAT ゲートウェイを使うには、2 つの方法のいずれかを使用できます。
- Azure Databricks によって作成される既定の仮想ネットワークでセキュリティ保護されたクラスター接続を使う場合、ワークスペースのサブネットからのアウトバウンド トラフィック用 NAT ゲートウェイが、Azure Databricks によって自動的に作成されます。 NAT ゲートウェイは、Azure Databricks によって管理される管理対象リソース グループ内に作成されます。 このリソース グループ、またはその中にプロビジョニングされたリソースは、変更できません。
- 仮想ネットワーク インジェクションを使用するワークスペースでセキュリティ保護されたクラスター接続を有効にすると、ワークスペースの両方のサブネットに NAT ゲートウェイをデプロイしてアウトバウンド接続を提供できます。 この場合、カスタマイズされた送信接続の要件の構成を変更できます。 詳細については、「セキュリティで保護されたクラスター接続」を参照してください。
次のステップ
ご不明な点がこちらの一覧にない場合は、このページに関するフィードバックに質問を添えてお送りください。 この情報に基づき、製品チームがお客様からの貴重なご質問すべてにお答えできるよう、GitHub のイシューが作成されます。