NAT Gatewayがリリースされました!

皆さんこんにちは。SB Cloud の Crane です。

新サービス「NAT Gateway」がリリースされました。NAT Gateway を使うことで、グローバルIPを持たないプロダクトをインターネットと繋げることができます。

例えば、yumによるパッケージのインストールやWindowsUpdateやアンチウイルスソフトのパターンファイル更新など、グローバルIPを持たないインスタンスもインターネットに接続しなくてはならない時があります。
このような時に NAT Gateway を活用することでネットワークの構成を大きく変えることなく、一時的に必要なインターネットアクセスを確保できます。

NAT Gatewayとは

NAT Gateway は Alibaba Cloud が提供する NAT(ネットワークアドレス変換)サービスです。

NAT Gateway と同じ機能を果たす NAT専用インスタンスをご自分で構築する方法もありますが、Alibaba Cloud では手軽に NAT Gateway を導入いただけるよう、NAT Gateway サービスをリリースしました。ご自身でNAT専用のインスタンスを仮想サーバで実現させる場合、NATサーバがSPOFになっており、NAT Gatewayのようなフルマネージドサービスは冗長化にも役に立ちます。

この NAT Gateway のサービスを実際に使い、どれくらい便利なのか体験してみました。本サービスの便利さをご理解いただき、ぜひ導入の検討をいただければと思います。

今回の検証目的

まずはこの NAT Gateway サービスが正しく機能していることを検証して確認します。さらに、手軽に導入できる点も見ていただきたいと思います。

検証環境として図1に示すようなネットワークを構築し、ECS から外部のサーバに対し行った ping が到達するかどうか調べ、また、traceroute コマンドでパケットの経路情報を調査して NAT Gateway を通過していることを確認します。

検証環境のネットワーク構成は以下の通りです。

通信対象の外部公開サーバのIPアドレスは以下の通りです。

公開サーバ:47.74.14.48

なお、設定の中には DNAT (送信先アドレス変換)、SNAT(送信元アドレス変換)に関する設定箇所がありますが、今回は特に設定は行っていません。

NAT Gatewayの購入

「NAT Gateway」 のメニューは、図2のとおり VPC の画面左側のメニューバーの中にあります。ここから赤枠で囲った 「NAT Gateway の作成」を選択します。すると作成の詳細設定画面に移動します。

次の図3が詳細設定画面です。
ここで NAT Gateway を作成するリージョンと NAT Gateway を設置するVPC、規模を設定する「仕様」および課金のタイプについて、それぞれ設定します。設定項目はこの4項目のみです。設定ができたら「今すぐ購入」をクリックして最終確認画面に移動します。

最終確認画面は図4のようになります。内容に間違いがなければ規約に同意して有効化をクリックします。

購入手順は以上です。このように NAT Gateway サービスは非常に簡単に導入できます。

EIPのバインド

EIPとVSwitchをバインドします。詳細メニューから「Elastic IPアドレスのバインド」をクリックします。

バインドさせたいEIPとVSwitchを選択します。

SNATテーブルが作成されたことを確認します。

「SNATの構成」メニューをクリックします。

SNATテーブルに選択したVSwitchとEIPが表示されていることを確認します。

動作確認

VPCの中にNAT Gateway を作成し、図1のようにECSを準備して検証環境を整えました。1台のECSはパブリックIPを付与せず、普段はインターネットに出られないサーバです。
パブリックIPを持たないサーバが NAT Gateway を通して公開サーバと通信できることを ping コマンドで検証しました。
以下がそのログです。

[test@ecs ~]$ ping 47.74.14.48
PING 47.74.14.48 (47.74.14.48) 56(84) bytes of data.
64 bytes from 47.74.14.48: icmp_seq=1 ttl=62 time=0.367 ms
64 bytes from 47.74.14.48: icmp_seq=2 ttl=62 time=0.430 ms
64 bytes from 47.74.14.48: icmp_seq=3 ttl=62 time=0.419 ms
64 bytes from 47.74.14.48: icmp_seq=4 ttl=62 time=0.744 ms
^C
--- 47.74.14.48 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.367/0.490/0.744/0.148 ms

また、公開サーバまでの経路情報を tracerouteコマンド を使って取得しました。
結果は以下のようになりました。

[test@ecs ~]$ traceroute 47.74.14.48
traceroute to 47.74.14.48 (47.74.14.48), 30 hops max, 60 byte packets
 1  * * *
 2  10.106.205.9 (10.106.205.9)  5.633 ms 10.106.205.13 (10.106.205.13)  5.949 ms  6.169 ms
 3  47.74.14.48 (47.74.14.48)  1.217 ms  1.207 ms  1.191 ms
[test@ecs ~]$

2番目のホップが NAT Gateway のアドレスになっています。3番目のホップが通信相手の公開サーバなので、到達していることがわかります。

この結果からパケットは NAT Gateway を通過して目的のサーバに到達していることが分かりました。

価格について

トラフィック量が大きく変化した場合は、最大接続数に応じて4段階で仕様(規模)を変更することが可能です。価格はリージョンと仕様によって変わります。仕様を適切に決めることは価格の点からも重要です。

料金の詳細につきましては以下のページをご覧ください。
https://jp.alibabacloud.com/product/nat#price

またゾーンをまたぐディザスタリカバリに対応しています。1 つのゾーンで障害が発生した場合でも、システム全体には影響が出ないようにできます。(注意:現状では複数ゾーンのみ対応)

まとめ

今回ご紹介した 機能は NAT 専用のインスタンスを構築しても実現できます。しかし、NAT専用インスタンスを一から構築するより、マネージドサービスのNAT Gateway を利用する方が断然手軽に導入することができます。もちろん、メンテナンスやディザスタリカバリ対応はお客様ではなく Alibaba Cloud が行います。ご自身でNATインスタンスを構築・運用する場合に比べて、負担はごくわずかです。

このように手軽で便利な NAT Gateway サービスを是非ご利用ください。

 

この記事をシェアする