« OCIとTerraform / サンプルvcn_full.tfで構成されるVCN | メイン | サービスゲートウェイ »

NATゲートウェイ

渡部です。これは、(全部俺) Oracle Cloud Infrastructure Advent Calendar 2018 の22目のエントリです。

Oracle Cloud Infrastructureに最近(2018年10月)、NATゲートウェイが導入されました。 これは、Privateなサブネット内のComputeインスタンス(VM)から、インターネットへの通信を可能にする機能です。 AWSのVPCにも、同様の機能を持ち、同じ名前のNATゲートウェイがあります。

1222_natgw01.png

Privateなサブネット内のComputeインスタンスであっても、ソフトウェアのアップデートなどでインターネット上のサーバに接続したいケースはあるでしょうから、このような場合は有効な機能と思います。(とはいえ、インターネット上の全てのサーバへの接続を許可するのもセキュリティの観点で気になりますから、用途に応じた特定のサーバーのみ接続を許可するようにセキュリティルールを構成することになるでしょう)

さて、インターネット通信というと、インターネットゲートウェイ(IGW)との違いが気になりますが、両者を比較したのが以下です。NATデートウェイは、あくまでもVCN(=Oracle Cloud)からインターネット方向への接続(片方向、外方向)にのみ使用可能な点に注意してください。

1222_natgw02.png

また、NATゲートウェイは、ユーザーによる管理は一切不要なmanangedサービスとして提供されています。 名称には"ゲートウェイ"が含まれますが、Computeインスタンスのような実体はなく、実体は仮想ルーターの設定だと思われます。

NATゲートウェイの構成手順は以下に記載されています。

構成手順の概要は以下の通りです。

  • NATゲートウェイを作成する
  • サブネットのルートテーブルにNATゲートウェイへのルートルールを追加する
    • 通常 0.0.0.0/0のトラフィックを作成したNATゲートウェイへルートする
  • サブネットのセキュリティルールにインターネット向けのトラフィックを許可するegressルールを追加する
    • 通常 0.0.0.0/0のアウトバウンドトラフィックを許可する

インターネットゲートウェイを使用する場合と異なり、ComputeインスタンスにPublic IPアドレスを割り当てる必要はありません。

なお、現状ではNATゲートウェイの設定項目はほとんどなく、有効/無効のみです。

NATゲートウェイ導入前は、NATインスタンス(NATを構成したComputeインスタンス)を用いてNATを実現していました。 NATインスタンスでは、パッチ適用や可用性確保などを利用者の責任で行う必要がありましたから、managedサービスであるNATゲートウェイを利用すると、これらの作業から解放されます。

About

2018年12月22日 00:00に投稿されたエントリーのページです。

ひとつ前の投稿は「OCIとTerraform / サンプルvcn_full.tfで構成されるVCN」です。

次の投稿は「サービスゲートウェイ」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。