Go to Qiita Advent Calendar Top
LoginSignup
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 8

Microsoft Azure Tech Advent Calendar 2025

@Isato-Hiyama(Hiyama Isato)inMicrosoft

Azure NAT Gateway v2

Last updated at Posted at 2025-12-07

Microsoft Ignite 2025 で Azure の NAT Gateway V2 (プレビュー) が発表されました。
従来の NAT Gateway (v1) をベースに、スループット向上(最大 100Gbps)、ゾーン冗長対などいくつかの改善が加わった新機能です。

本記事では以下の観点で実際の動作検証を含めて解説します。

  • NAT Gateway v2 の概要
  • v1 / v2 の比較表
  • フローログの確認 (v2 の新機能)
  • ゾーン指定の可否(Zonal / Zone-redundant)
  • Azure Firewall と組み合わせる

1. NAT Gateway v2 とは?

Azure の仮想ネットワーク上の VM 等のリソースからインターネットにアウトバウンド通信を行う際は Azure のパブリック IP アドレスにて SNAT する必要があります。
NAT Gateway はサブネットに関連付けることで、サブネット上のリソースからのアウトバウンド通信を NAT Gateway のパブリック IP アドレスにて SNAT することができるようになります。

NAT Gateway v1

ゾーン冗長には対応しておらず、単一ゾーンで利用する必要があったため、複数の可用性ゾーンを利用する場合はサブネットを分けて、NAT Gateway リソースと Public IP リソースも分けて利用する必要がありました。

image.png

NAT Gateway v2

ゾーン冗長に対応したため、上記の制約がなくなり、1 つのリソース、1 つのサブネットだけで複数の可用性ゾーンに対応することができるようになりました。
ゾーンに合わせてサブネットを作る必要がなくなった点は大変うれしい改善です。

image.png

また、NAT Gateway v2 は Standard v2 Public IP を利用する必要がありますので、NAT Gateway v1 の IP アドレスリソースをそのまま引き継ぐことはできません。

v2 で追加された機能

  • 最大 100Gbps のスループット(v1 は最大 50Gbps)
  • IPv6 のサポート
  • ゾーン冗長のサポート
  • フローログのサポート

表にすると以下の感じでしょうか。

項目 v1 v2
最大スループット 50 Gbps 100 Gbps
IPv6 サポート ×
可用性ゾーン 単一 ゾーン冗長
フローログ ×

フローログ以外のコストは v1, v2 共に同じですが、スループットとゾーン対応を考えると v2 の方が集約しやすいため、コストメリットは多いと思います。

NAT Gateway のフローログ

プレビューポータル からログインすると以下のように診断ログを追加できるようになります。VNet フローログとは別のテーブルです。

image.png

NAT Gateway 経由で Web サイトにアクセスを試して、フローログに出てくるかを見てみましたが、以下のように送信元、宛先、NAT Gateway の Public IP や、送受信のパケットの情報も出ておりました。
これは監査ログやトラフィック分析、トラブルシューティングにも有用なログとなるのではないかと思います。

image.png

ゾーン指定の可否

Azure Powershell コマンドの場合、Standard v2 Public IP リソース作成時にゾーンを指定する項目があるのですが、単一ゾーン指定だとエラーで作成できませんでしたので、ゾーン冗長 (1,2,3) での利用が必須のようです。

image.png

Azure Firewall と組み合わせる

AzureFirewallSubnet に NAT Gateway v2 を関連付けて、Azure VM から Azure Firewall 経由で外部にアクセスして、送信元 IP を確認してみます。

image.png

74.xxx.160.176 は Azure Firewall の Public IP で、4.xxx.112.5 が NAT Gateway v2 の IP アドレスですが、NAT Gateway 関連付け後に IP アドレスが変わっていることを確認できました。

hiyama@vm02:~$ curl ifconfig.me ; echo
74.xxx.160.176
#####
NAT Gateway 関連付け
#####
hiyama@vm02:~$ curl ifconfig.me ; echo
4.xxx.112.5

image.png

まとめ

IP アドレスをそのまま引き継げないので、NAT Gateway v1 を多く使っている環境だと移行が少し手間にはなりそうですが、大幅な機能改善が行われており、今後は v2 が主流になっていくと感じるサービスでした。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?