ネットワーク ・
NAT Gateway とは?プライベートサブネットの送信専用 NAT
NAT Gateway は プライベートサブネットの EC2 がインターネットへ送信通信できるようにするマネージド NAT。受信通信は不可なので、プライベートサブネットの隔離性を保ちつつ、外部 API・パッケージ更新等の外向き通信は許可できる。AZ 単位で配置し、高可用性を...
プライベートサブネットからインターネットへの送信専用 NAT。受信は不可(外部からアクセス不可)。
1. 概要(端的に)
NAT Gateway は プライベートサブネットの EC2 がインターネットへ送信通信できるようにするマネージド NAT。受信通信は不可なので、プライベートサブネットの隔離性を保ちつつ、外部 API・パッケージ更新等の外向き通信は許可できる。AZ 単位で配置し、高可用性を確保する。
2. 何ができるか
- アウトバウンド NAT:プライベートからインターネットへの送信
- マネージド冗長:AZ 内で自動冗長化
- 高スループット:最大 100 Gbps
- 接続数スケール:5 万〜90 万同時接続
- IPv4 / IPv6 対応:IPv6 専用は Egress-only IGW
NAT Instance との違い
- NAT Gateway(推奨):マネージド、自動スケール、高可用性
- NAT Instance(旧式):自前 EC2 で NAT、運用負荷あり
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | 時間課金($0.062/h ≒ ¥9/h)+ データ処理($0.062/GB) |
| 冗長性 | AZ 内マネージド冗長(複数 AZ 配置で AZ 跨ぎ冗長) |
| 配置 | パブリックサブネット必須 |
| EIP | 1 NAT GW に 1 EIP(固定 IP) |
| 対象通信 | アウトバウンドのみ(受信不可) |
| 対応 SG | NAT GW 自体には SG なし(サブネット NACL で制御) |
Multi-AZ 設計
[VPC]
├ パブリックサブネット AZ-a
│ └ NAT Gateway A
├ パブリックサブネット AZ-c
│ └ NAT Gateway C
├ プライベートサブネット AZ-a
│ └ ルート: 0.0.0.0/0 → NAT A
└ プライベートサブネット AZ-c
└ ルート: 0.0.0.0/0 → NAT C→ 各 AZ に NAT GW を配置することで、AZ 障害時にも対応でき、AZ 間データ転送料金を削減できる。
4. 仕組み
NAT Gateway は AWS マネージドな NAT デバイス。プライベート EC2 からの送信パケットを受け取り、送信元 IP を NAT GW の EIP に変換してインターネットへ転送する。
動作の流れ
- プライベート EC2 が外部 API 宛にパケット送信
- ルートテーブルで
0.0.0.0/0 → NAT GW - NAT GW がパケットを受信、送信元 IP を自身の EIP に変換
- IGW 経由でインターネットへ
- レスポンスは IGW → NAT GW → EC2 と逆経路
重要な制約
- 受信不可:外部からプライベート EC2 への接続は不可
- TCP / UDP / ICMP 対応
- SG なし:NAT GW 自体には SG を付けられない(NACL で制御)
- 送信元 IP の保持はしない
料金の罠
- 時間課金 $0.062/h × 24h × 30日 = 約 $45/月/個
- データ処理 $0.062/GB:1 TB = $62
- AZ 跨ぎ転送もデータ処理料金がかかる
- → Multi-AZ NAT GW 配置で AZ 間転送を削減
5. ユースケース
ユースケース 1:プライベート EC2 のパッケージ更新
yum / apt-get でのパッケージダウンロード。
ユースケース 2:外部 API 呼び出し
プライベートサブネットのアプリから決済 API・SaaS 連携。
ユースケース 3:Lambda の VPC 接続
VPC Lambda がインターネット API を叩く時の経路。
ユースケース 4:ECR から Docker Pull
プライベート EC2 が ECR からイメージを取得(VPC Endpoint も選択肢)。
ユースケース 5:ログ送信
プライベート EC2 が外部 SaaS ログサービスへ送信。
6. 関連用語
- VPC — NAT GW の動作環境
- IGW — NAT GW の出口
- EIP — NAT GW に固定 IP 割当
- Subnet — NAT GW はパブリックサブネットに配置
- Route-Table — プライベートからのルート設定
- VPC-Endpoint — NAT GW を回避してコスト削減
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | NAT GW の役割 |
| SAA | 高 | プライベート設計・Multi-AZ・コスト最適化 |
| DVA | 中 | Lambda VPC のインターネット接続 |
| SOA | 高 | NAT GW 運用、料金トラブル |