AWS仮想プライベートクラウド(VPC)では、インターネットゲートウェイ そして NATゲートウェイ これらは、エクストラネット アクセスを実現するための 2 つの重要なコンポーネントです。これらはそれぞれ異なるサブネットタイプに適用されます - パブリックサブネット そして プライベートサブネットは、クラウド ネットワーク設計において中核的な役割を果たします。
この記事では、2つの機能の違い、導入方法、一般的な使用シナリオを詳しく紹介し、可用性が高く、拡張性が高く、安全なクラウド ネットワーク アーキテクチャ。
インターネットゲートウェイとは何ですか?
インターネットゲートウェイ AWS でホストされる論理ネットワーク コンポーネント。これにより、VPC 内のインスタンスがパブリック IP アドレスまたは Elastic IP アドレスを通じてインターネットにアクセスできるようになります。各 VPC に接続できるインターネット ゲートウェイは 1 つだけです。帯域幅自体を制限するものではなく、トラフィックのボトルネックは関連する Amazon EC2インスタンスタイプ。
コア機能:
-
持つことができます パブリックIPアドレス インターネットに接続されたインスタンス
-
そして ルートテーブル パブリックサブネットの送信トラフィックをインターネットに誘導するために協力する
-
これは、双方向のパブリックネットワークアクセスを実現するための前提条件です。
構成手順の例:
-
VPCを作成し、インターネットゲートウェイを接続する
-
作成する パブリックサブネットルートテーブルにターゲットを追加します
0.0.0.0/0ネクストホップはインターネットゲートウェイに設定されます -
サブネット内のEC2インスタンスの「パブリックIPアドレスの自動割り当て」機能を有効にする
✅ このサブネットは パブリックサブネットパブリックネットワーク経由で通信できるインスタンス
NAT ゲートウェイとは何ですか?
サブネット内のインスタンスがパブリックネットワークから直接アクセスされたくないただし、インターネットにアクティブにアクセスする必要がある場合 (更新のプル、リクエストの送信など)、NAT (ネットワーク アドレス変換) メカニズムを使用する必要があります。
2 つの NAT 実装方法:
1. NATインスタンス
NAT インスタンスは、EC2 上で実行されるカスタム NAT サーバーです。セキュリティ グループ、ルーティング テーブルを手動で構成し、送信元/宛先のチェックをオフにする必要があります。
欠点:
-
自分で操作・監視する必要がある
-
パフォーマンスのボトルネックになりやすい(帯域幅はEC2インスタンスタイプによって制限される)
2. マネージドNATゲートウェイ
NATゲートウェイ これは AWS によってホストされる、弾力性と可用性に優れたサービスであり、実稼働環境に推奨されます。
NAT ゲートウェイの利点:
-
完全管理型サービス: メンテナンスするサーバーや設定するファイアウォールはありません
-
高可用性: 自動フェイルオーバー
-
高帯域幅: 最大45 Gbps(地域によって異なります)
-
弾性IPアドレスをサポート: パブリックネットワーク出口をバインドする
一般的な展開方法:
-
存在する パブリックサブネット NATゲートウェイを作成し、 エラスティックIP
-
存在する プライベートサブネット ルートテーブルに追加
0.0.0.0/0ルーティング、ターゲットをNATゲートウェイに設定
⚠️ NAT ゲートウェイは送信トラフィックにのみ使用できます。パブリック ネットワーク リクエストは、NAT ゲートウェイの背後にあるプライベート インスタンスにアクティブに接続できません。
インターネットゲートウェイとNATゲートウェイ:主な違いの概要
| 特性 | インターネットゲートウェイ | NATゲートウェイ |
|---|---|---|
| 接続方向 | 双方向(インバウンド/アウトバウンド) | 発信のみ |
| 適用可能なサブネット | パブリックサブネット | プライベートサブネット |
| パブリック IP は必須ですか? | はい | いいえ(NATエクスポートによって均一に変換されます) |
| リソース管理 | AWSホスティング | AWSホスティング |
| 可用性構成 | 全地域をサポート | 可用性ゾーンごとに個別に作成する必要がある |
| セキュリティグループバインディング | サポート | バインディング セキュリティ グループをサポートしていません |
| Elastic IPの使用 | オプション | EIPにバインドする必要があります |
関連するコアコンセプトのリスト
NAT とインターネット ゲートウェイをより深く理解するには、次の概念を習得する必要があります。
-
パブリックNATゲートウェイ: パブリックサブネットにデプロイされ、プライベートサブネットからのアウトバウンドアクセス用にEIPが割り当てられます
-
プライベートNATゲートウェイ: AWS はまだネイティブにはサポートしていません (ただし、同様のロジックは Transit Gateway を通じて実装できます)
-
ルートテーブルVPC内のサブネットは、ルーティングテーブルを介して出力パスを定義する必要があります(たとえば、インターネットゲートウェイまたはNATゲートウェイへ)。
-
プライベートIPアドレスとパブリックIPアドレス: プライベートサブネット内のプライベート IP を使用します。パブリックネットワークアクセスが必要な場合は、Elastic Public Network IPを設定するか、NATを使用する必要があります。
-
仮想プライベートゲートウェイ: 企業のデータセンターをAWSネットワークに接続するためのVPNまたはDirect Connectに使用されます
ベストプラクティスとアーキテクチャの推奨事項
✅ パブリックサブネットアーキテクチャ:
-
パブリックネットワークアクセスを必要とするサービス(Webサーバーなど)を配置する
-
インターネットゲートウェイとパブリックIPを構成する
✅ プライベートサブネットアーキテクチャ:
-
場所データベース、キャッシュ、その他のイントラネットサービス
-
サービスがインターネットリソースにアクセスできるように NAT ゲートウェイを構成する
-
受信トラフィックを転送するためにElastic Load Balancer(ELB)を使用する
Oncloud AIはクラウドへの安全な移行を支援します
AWS公式認定パートナーとして、オンクラウドAI 以下のサービス サポートを提供します。
-
AWS エンタープライズアカウント登録および支払いサービス
-
安全でコンプライアンスに準拠した VPC ネットワーク アーキテクチャを構築する
-
NATゲートウェイ、インターネットゲートウェイの構成と最適化
-
クラウドサーバーホスティングおよび継続的な運用・保守サービス
-
ネットワークセキュリティチーム、セキュリティ監査、侵入防止コンサルティング
📧 AWS アーキテクチャの設計とリソースの最適化が必要な場合は、Oncloud AI にご連絡ください。安心してクラウドに移行できます。
結論
インターネットゲートウェイと NAT ゲートウェイを適切に使用することで、ビジネスのセキュリティポリシーに応じて VPC 内のサブネットアクセス権を柔軟に分割し、安全で効率的なネットワークアーキテクチャを構築できます。
AWS ネットワークサービスの基礎ロジックを理解することは、コストの最適化に役立つだけでなく、将来のシステムの拡張性のための強固な基盤を築くことにもつながります。
