プライベート NAT ゲートウェイ

チームは多くの場合、独立して作業し、プロジェクト用に新しい VPC を作成することがあります。この VPC には、クラスレスドメイン間ルーティング (CIDR) ブロックが重複している可能性があります。統合のために、重複する CIDRs、VPC ピアリングや Transit Gateway などの機能では実現できません。プライベート NAT ゲートウェイはこのユースケースに役立ちます。プライベート NAT ゲートウェイは、一意のプライベート IP アドレスを使用して、重複する送信元 IP アドレスの送信元 NAT を実行し、ELB は重複する送信先 IP アドレスの送信先 NAT を実行します。Transit Gateway または仮想プライベートゲートウェイを使用して、プライベート NAT ゲートウェイから他の VPCs またはオンプレミスネットワークにトラフィックをルーティングできます。

セットアップ例 – プライベート NAT ゲートウェイ

上の図は、VPC A と B の 2 つのルーティング不可能な (重複CIDRs、100.64.0.0/16) サブネットを示しています。それらの間の接続を確立するには、VPC A 10.0.1.0/24と B にそれぞれ、重複しない/ルーティング可能なセカンダリ CIDRs (ルーティング可能なサブネット、10.0.2.0/24) を追加できます。ルーティング可能な CIDRs は、IP 割り当てを担当するネットワーク管理チームによって割り当てられる必要があります。プライベート NAT ゲートウェイは、IP アドレスが の VPC A のルーティング可能なサブネットに追加されます10.0.1.125。プライベート NAT ゲートウェイは、VPC A (100.64.0.10) のルーティング不可能なサブネットのインスタンスからのリクエストに対して10.0.1.125、プライベート NAT ゲートウェイの ENI である としてソースネットワークアドレス変換を実行します。これで、トラフィックは、 のターゲットを持つ VPC B () の Application Load Balancer (ALB10.0.2.10) に割り当てられたルーティング可能な IP アドレスを指すことができます100.64.0.10。トラフィックは Transit Gateway を介してルーティングされます。リターントラフィックは、プライベート NAT ゲートウェイによって元の Amazon EC2 インスタンスに接続をリクエストして処理されます。

プライベート NAT ゲートウェイは、オンプレミスネットワークが承認された IPs へのアクセスを制限するときにも使用できます。少数のお客様のオンプレミスネットワークは、お客様が所有する承認された IPs の限られた連続したブロックを介してのみ、プライベートネットワーク (IGW なし) とのみ通信することをコンプライアンスで要求されます。各インスタンスに ブロックから個別の IP を割り当てる代わりに、プライベート NAT ゲートウェイを使用して、許可リストに登録された各 IP の背後にある AWS VPCs で大規模なワークロードを実行できます。詳細については、「プライベート NAT ソリューションによるプライベート IP の枯渇を解決する方法」ブログ記事を参照してください。

セットアップ例 – プライベート NAT ゲートウェイを使用してオンプレミスネットワークに承認された IPs を提供する方法