0.はじめに
この記事はAWS SAA試験勉強のための、Amazon VPCに関する知識のまとめです。
1.NAT(ナット)ゲートウェイ
内部からインターネットを使いたいときはNATゲートウェイを使用します。
アプリケーションへのパブリックアクセスを制限しながら、最低限の管理と高可用性、高拡張性を備えたAWSサービスを構築しようとする時、NATゲートウェイは、パブリックサブネットに構成します。そして、プライベートサブネットからNATゲートウェイへのルーティングを設定します。
NATとはNetwork Address Translationの略で、プライベートIPアドレスをパブリックIPアドレスに変換することを意味し、「プライベートサブネット→インターネット」の向きの通信だけを許可します。
例えば、プライベートサブネットのデータベースがパッチの更新用に、インターネットに接続するためには、パブリックサブネットにNATゲートウェイを配置します。
- NATゲートウェイは、AWSの1年間の無料利用枠の対象外。作成した時点から、1時間単位で課金されます
- NATゲートウェイにはNATインスタンスと違って「停止」という操作はありません
- AWSによってAZ内で冗長化されています
NATとNAPT
NATには「IPアドレスだけを置換するもの」と「IPアドレスとポート番号の両方を置換するもの」の2種類があります。前者をNATと呼び、後者をNAPTと呼んで区別することもありますが、両方ともNATと呼ぶことが多いです。
IPAの試験ではNAPTという言葉がしばしば出て来ます。
2.NATインスタンス
NATインスタンスは、NATゲートウェイと同じくプライベートサブネットからインターネットへの通信を可能にするIPv4専用の機能です。NATゲートウェイはマネージドサービスなのに対し、NATインスタンスはEC2インスタンスから作成するため、ユーザーが障害対応などの運用管理を実施する必要があります。
NATインスタンスは、NATゲートウェイでは利用できないポート転送機能を設定できます。
3.NATゲートウェイとインターネットゲートウェイ
パブリックサブネットのリソースがインターネットと双方向に通信する必要がある場合は、インターネットゲートウェイを使用します。
プライベートサブネットのリソースがインターネットにアウトバウンド接続をする必要がある場合は、NATゲートウェイを使用します。