Azure NAT Gateway とは

Azure NAT Gateway は、フル マネージドで回復性の高いネットワーク アドレス変換 (NAT) サービスです。 Azure NAT ゲートウェイを使用すると、サブネット内のすべてのインスタンスがインターネットに送信接続され、完全にプライベートなままにすることができます。 インターネットからの未承諾の受信接続は、NAT ゲートウェイ経由では許可されません。 NAT ゲートウェイを通過できるのは、アウトバウンド接続への応答パケットとして到着したパケットだけです。

NAT ゲートウェイは、送信接続を自動的にスケールし、SNAT ポート枯渇のリスクを最小限に抑えるために、SNAT ポートを動的に割り当てます。

図: Azure NAT Gateway

Azure NAT ゲートウェイは、次の 2 つの SKU で使用できます。

• 標準 SKU NAT ゲートウェイはゾーン (単一の可用性ゾーンにデプロイ) され、1 つの仮想ネットワーク内のサブネットにスケーラブルな送信接続を提供します。

• StandardV2 SKU NAT ゲートウェイは ゾーン冗長 であり、Standard SKU、IPv6 のサポート、フロー ログのサポートよりも高いスループットです。

StandardV2 NAT ゲートウェイ

StandardV2 NAT ゲートウェイは、動的な SNAT ポートの割り当てや、仮想ネットワーク内のサブネットの安全な送信接続など、Standard SKU NAT ゲートウェイと同じ機能をすべて提供します。 さらに、StandardV2 NAT ゲートウェイはゾーン冗長です。つまり、Standard NAT ゲートウェイのような単一のゾーンではなく、リージョン内のすべてのゾーンからの送信接続を提供します。

図: StandardV2 NAT ゲートウェイは、リージョン内の複数の可用性ゾーンにまたがっています。

StandardV2 NAT ゲートウェイの主な機能

• ゾーン冗長 - 1 つのゾーン障害時に接続を維持するために、リージョン内のすべての可用性ゾーンで動作します。
• IPv6 のサポート - 送信接続用に IPv4 と IPv6 の両方のパブリック IP アドレスとプレフィックスをサポートします。
• スループットの向上 - StandardV2 NAT ゲートウェイごとに、Standard NAT ゲートウェイの場合は 50 Gbps に比べて最大 100 Gbps のデータ スループットを提供できます。
• フロー ログのサポート - 送信トラフィック フローの監視と分析に役立つ IP ベースのトラフィック情報を提供します。

StandardV2 NAT ゲートウェイをデプロイする方法の詳細については、「 StandardV2 NAT ゲートウェイの作成」を参照してください。

StandardV2 NAT ゲートウェイの主な制限事項

• StandardV2 SKU のパブリック IP アドレスまたはプレフィックスが必要です。 Standard SKU パブリック IP は、StandardV2 NAT ゲートウェイではサポートされていません。
• Standard SKU NAT ゲートウェイを StandardV2 NAT ゲートウェイにアップグレードすることはできません。 最初に StandardV2 SKU NAT ゲートウェイを作成し、サブネット上の Standard SKU NAT ゲートウェイを置き換える必要があります。
• 次のリージョンでは、StandardV2 NAT ゲートウェイはサポートされていません。
  • カナダ東部
  • インド中部
  • チリ中部
  • インドネシア中部
  • イスラエル北西部
  • マレーシア西部
  • カタール中部
  • アラブ首長国連邦中部
• Terraform では、StandardV2 NAT ゲートウェイと StandardV2 パブリック IP デプロイはまだサポートされていません。
• StandardV2 NAT ゲートウェイは、次のサービスの委任されたサブネットをサポートしていないため、接続できません。
  • Azure SQL Managed Instance
  • Azure Container Instances
  • Azure Database for PostgreSQL - フレキシブル サーバー
  • Azure Database for MySQL - フレキシブル サーバー
  • Azure Database for MySQL
  • Azure Data Factory - データ移動
  • Microsoft Power Platform サービス
  • Azure Stream Analytics
  • Azure Web アプリ
  • Azure DNS Private Resolver

StandardV2 NAT ゲートウェイの既知の問題

• StandardV2 NAT ゲートウェイがサブネットに関連付けられている場合、ロード バランサーの送信規則を使用する IPv6 送信トラフィックは中断されます。 IPv4 と IPv6 の両方の送信接続が必要な場合は、IPv4 トラフィックと IPv6 トラフィックの両方にロード バランサー送信規則を使用するか、IPv4 トラフィックに Standard NAT ゲートウェイを使用し、IPv6 トラフィックにロード バランサー送信規則を使用します。

• 仮想マシンなしで 2025 年 4 月より前に作成された空のサブネットに StandardV2 NAT ゲートウェイをアタッチすると、仮想ネットワークが失敗状態になる可能性があります。 仮想ネットワークを正常な状態に戻すには、StandardV2 NAT ゲートウェイを削除し、仮想マシンを作成してサブネットに追加してから、StandardV2 NAT ゲートウェイを再アタッチします。

StandardV2 NAT ゲートウェイの既知の問題と制限事項の詳細については、「 StandardV2 NAT ゲートウェイの既知の問題と制限事項」を参照してください。

Standard NAT ゲートウェイ

Standard NAT ゲートウェイはインターネットへの送信接続を提供し、同じ仮想ネットワーク内のサブネットに関連付けることができます。 Standard NAT ゲートウェイは、単一の可用性ゾーンから動作します。

*図: 単一の可用性ゾーン内の Standard NAT ゲートウェイ。

Azure NAT Gateway のメリット

設定が簡単

NAT ゲートウェイを使用すると、デプロイが意図的に単純になります。 NAT ゲートウェイをサブネットとパブリック IP アドレスにアタッチし、すぐにインターネットへの送信接続を開始します。 メンテナンスとルーティングの構成は必要ありません。 既存の構成に影響を与えることなく、後でパブリック IP やサブネットをさらに追加できます。

NAT ゲートウェイを設定する方法の例を次に示します。

• 非ゾーン NAT ゲートウェイまたはゾーン NAT ゲートウェイを作成します。

• NAT ゲートウェイを作成します。

• パブリック IP アドレスまたはパブリック IP プレフィックスを割り当てます。

• NAT ゲートウェイを使用するようにサブネットを構成します。

必要に応じて、伝送制御プロトコル (TCP) アイドル タイムアウトを変更します (省略可能)。 既定値を変更する前に、「タイマー」を確認してください。

セキュリティ

NAT ゲートウェイは、ゼロ トラスト ネットワーク セキュリティ モデルに基づいて構築されており、既定でセキュリティで保護されています。 NAT ゲートウェイでは、サブネット内のプライベート インスタンスは、インターネットに到達するためにパブリック IP アドレスを必要としません。 プライベート リソースは、ソース ネットワーク アドレス変換 (SNAT) から NAT ゲートウェイの静的パブリック IP アドレスまたはプレフィックスによって、仮想ネットワークの外部の外部ソースに到達できます。 パブリック IP プレフィックスを使用して、アウトバウンド接続用の IP の連続したセットを提供できます。 この予測可能な IP リストに基づいて、宛先ファイアウォール規則を構成できます。

回復性

Azure NAT Gateway は、フル マネージドの分散サービスです。 仮想マシンや単一の物理ゲートウェイ デバイスなどの個々のコンピューティング インスタンスには依存しません。 NAT ゲートウェイには常に複数の障害ドメインがあり、サービスの停止なしに複数の障害を維持できます。 ソフトウェア定義ネットワークにより、NAT ゲートウェイの回復性が高くなります。

スケーラビリティ

NAT ゲートウェイは作成からスケールアウトされます。 ランプアップ操作やスケールアウト操作は必要ありません。 Azure が NAT ゲートウェイの操作を管理します。

NAT ゲートウェイをサブネットにアタッチして、そのサブネット内のすべてのプライベート リソースに送信接続を提供します。 仮想ネットワーク内のすべてのサブネットで、同じ NAT ゲートウェイ リソースを使用できます。 最大 16 個のパブリック IP アドレスまたは /28 サイズのパブリック IP プレフィックスを NAT ゲートウェイに割り当てることで、送信接続をスケールアウトできます。 NAT ゲートウェイがパブリック IP プレフィックスに関連付けられている場合、送信に必要な IP アドレスの数に自動的にスケーリングされます。

パフォーマンス

Azure NAT Gateway は、ソフトウェア定義のネットワーク サービスです。 各 NAT ゲートウェイは、送信トラフィックとリターン トラフィックの両方に対して最大 50 Gbps のデータを処理できます。

NAT ゲートウェイは、コンピューティング リソースのネットワーク帯域幅には影響しません。 NAT ゲートウェイのパフォーマンスの詳細を確認します。

Azure NAT Gateway の基本

Azure NAT Gateway は、仮想ネットワーク内のリソースに対してセキュリティで保護されたスケーラブルな送信接続を提供します。 これは、インターネットへの送信アクセスに推奨される方法です。

送信接続

• NAT ゲートウェイは、送信接続に推奨される方法です。

  • 既定の送信アクセスまたは Load Balancer の送信規則から NAT ゲートウェイへの送信アクセスを移行するには、「 Azure NAT ゲートウェイへの送信アクセスの移行」を参照してください。

• NAT ゲートウェイは、サブネット レベルで送信接続を提供します。 NAT ゲートウェイは、送信接続を提供するために、サブネットの既定のインターネット宛先を置き換えます。

• NAT ゲートウェイでは、サブネット ルート テーブルにルーティング構成は必要ありません。 NAT ゲートウェイがサブネットに接続されると、すぐに送信接続が提供されます。

• NAT ゲートウェイを使用すると、仮想ネットワークから仮想ネットワークの外部のサービスへのフローを作成できます。 インターネットからの戻りトラフィックは、アクティブなフローへの応答でのみ許可されます。 仮想ネットワークの外部にあるサービスは、NAT ゲートウェイ経由で受信接続を開始できません。

• NAT ゲートウェイは、ロード バランサー、インスタンス レベルのパブリック IP アドレス、Azure Firewall など、他の送信接続方法よりも優先されます。

• NAT ゲートウェイは、すべての新しい接続に対して仮想ネットワークで構成されている他の明示的な送信方法よりも優先されます。 既存の接続では、他の明示的な送信接続方法を使用してもトラフィック フローには低下がありません。

• NAT ゲートウェイには、ロード バランサーの 既定の送信アクセス 規則と 送信規則と同じ SNAT ポート枯渇の制限はありません。

• NAT ゲートウェイでは、TCP およびユーザー データグラム プロトコル (UDP) プロトコルのみがサポートされます。 インターネット制御メッセージ プロトコル (ICMP) はサポートされません。

  • 仮想ネットワーク統合経由の Azure App Services インスタンス (Web アプリケーション、REST API、モバイル バックエンド)。

• サブネットには、宛先 0.0.0.0/0 のトラフィックをインターネットに自動的にルーティングする、システムの既定のルートがあります。 サブネットに NAT ゲートウェイが構成されると、サブネット内の仮想マシンは NAT ゲートウェイのパブリック IP を使用してインターネットと通信します。

• 0.0.0.0/0 トラフィックのサブネット ルート テーブルにユーザー定義ルート (UDR) を作成すると、このトラフィックの既定のインターネット パスがオーバーライドされます。 次ホップの種類として仮想アプライアンスまたは仮想ネットワーク ゲートウェイ (VPN ゲートウェイと ExpressRoute) に 0.0.0.0/0 トラフィックを送信する UDR は、代わりにインターネットへの NAT ゲートウェイ接続をオーバーライドします。

NAT ゲートウェイのしくみ

• ルート テーブルの構成なし - NAT ゲートウェイはサブネット レベルで動作します。 接続後、NAT ゲートウェイは、サブネット ルート テーブルでルーティング構成を必要とせずに送信接続を提供します。

  • 仮想マシン上のインスタンス レベルのパブリック IP アドレス>> NAT ゲートウェイ>>次ホップ仮想アプライアンスまたは仮想ネットワーク ゲートウェイへの UDR >> Load Balancer の送信規則>>、インターネットへの既定のシステム ルートです。

NAT ゲートウェイの構成

• 同じ仮想ネットワーク内の複数のサブネットで、異なる NAT ゲートウェイまたは同じ NAT ゲートウェイを使用できます。

• 複数の NAT ゲートウェイを 1 つのサブネットに接続することはできません。

• NAT ゲートウェイは複数の仮想ネットワークにまたがることができます。 ただし、NAT Gateway を使用してハブ アンド スポーク モデルで送信接続を提供できます。 詳細については、 NAT ゲートウェイのハブとスポークのチュートリアルを参照してください。

• NAT ゲートウェイを ゲートウェイ サブネットにデプロイすることはできません。

• NAT ゲートウェイ リソースでは、次の種類の任意の組み合わせで最大 16 個の IP アドレスを使用できます。

• 複数の NAT ゲートウェイを 1 つのサブネットに接続することはできません。

• NAT ゲートウェイは複数の仮想ネットワークにまたがることができます。 ただし、NAT Gateway を使用してハブ アンド スポーク モデルで送信接続を提供できます。 詳細については、 NAT ゲートウェイのハブとスポークのチュートリアルを参照してください。

• NAT ゲートウェイは、SQL Managed Instance を含むゲートウェイ サブネットまたはサブネットにデプロイできません。

• NAT ゲートウェイを IPv6 パブリック IP アドレスまたは IPv6 パブリック IP プレフィックスに関連付けることはできません。

• NAT ゲートウェイは、アウトバウンド規則を使用して Load Balancer と共に使用して、デュアルスタック送信接続を提供できます。 NAT ゲートウェイとロード バランサーを使用したデュアル スタック送信接続を参照してください。

• NAT ゲートウェイは、任意の仮想マシン ネットワーク インターフェイスまたは IP 構成で動作します。 NAT ゲートウェイは、ネットワーク インターフェイス上で複数の IP 構成を SNAT できます。

• NAT ゲートウェイは、ハブ仮想ネットワーク内の Azure Firewall サブネットに関連付けることができ、ハブにピアリングされたスポーク仮想ネットワークからの送信接続を提供できます。 詳細については、 Azure Firewall と NAT Gateway の統合に関するページを参照してください。

可用性ゾーン

• Standard SKU NAT ゲートウェイは、特定の可用性ゾーンに作成することも、 ゾーンに配置することもできません。

• ゾーン分離シナリオを作成する場合、Standard NAT ゲートウェイは特定の ゾーンで分離できます。 NAT ゲートウェイをデプロイした後、ゾーンの選択を変更することはできません。

• Standard NAT ゲートウェイは、既定では ゾーンに配置されません 。 非ゾーン NAT ゲートウェイは、Azure によってゾーンに配置されます。

• StandardV2 SKU NAT ゲートウェイはゾーン冗長であり、1 つのゾーン障害時に接続を維持するために、リージョン内のすべての可用性ゾーンで動作します。

既定の送信アクセス

• インターネットへの安全な送信接続を提供するには、既定の送信 IP が作成されないようにプライベート サブネットを有効 にし、代わりに NAT ゲートウェイなどの明示的な送信接続方法を使用することをお勧めします。

• 特定のサービスは、Windows ライセンス認証や Windows 更新プログラムなどの送信接続の明示的な方法がない場合、プライベート サブネット内の仮想マシンでは機能しません。 Windows などの仮想マシン オペレーティング システムをアクティブ化または更新するには、NAT ゲートウェイなどの送信接続の明示的な方法が必要です。

• 既定の送信アクセスまたは Load Balancer の送信規則から NAT ゲートウェイへの送信アクセスを移行するには、「 Azure NAT ゲートウェイへの送信アクセスの移行」を参照してください。

NAT ゲートウェイと基本的なリソース

• Standard NAT ゲートウェイは、Standard パブリック IP アドレスまたはパブリック IP プレフィックスと互換性があります。 StandardV2 NAT ゲートウェイは、StandardV2 パブリック IP アドレスまたはパブリック IP プレフィックスのみと互換性があります。

• NAT ゲートウェイは、基本的なリソースが存在するサブネットでは使用できません。 Basic Load Balancer や基本的なパブリック IP などの基本的な SKU リソースは、NAT ゲートウェイと互換性がありません。 Basic Load Balancer と Basic パブリック IP は、NAT ゲートウェイを使用するために Standard にアップグレードできます。

  • Load Balancer を Basic から Standard にアップグレードする方法の詳細については、「 パブリック Basic Azure Load Balancer のアップグレード」を参照してください。

  • パブリック IP を Basic から Standard にアップグレードする方法の詳細については、「パブリック IP アドレスをアップグレードする」を参照してください。

  • 仮想マシンにアタッチされている Basic パブリック IP を Basic から Standard にアップグレードする方法の詳細については、仮想マシンにアタッチされている Basic パブリック IP のアップグレードに関する記事を参照してください。

接続のタイムアウトとタイマー

• NAT ゲートウェイは、既存の接続として認識されない接続フローに対して TCP リセット (RST) パケットを送信します。 NAT ゲートウェイのアイドル タイムアウトに達したか、接続が以前に閉じられた場合、接続フローは存在しなくなりました。

• 存在しない接続フロー上のトラフィックの送信者が NAT ゲートウェイ TCP RST パケットを受信すると、接続は使用できなくなります。

• 接続が閉じた後、SNAT ポートを同じ宛先エンドポイントに再利用することはすぐにはできません。 NAT ゲートウェイは、SNAT ポートをクール ダウン状態にしてから、同じ宛先エンドポイントに接続するために再利用できるようにします。

• TCP トラフック用の SNAT ポートの再利用 (クール ダウン) タイマー期間は、接続がどのように終了したかによって異なります。 詳細については、「ポート再利用タイマー」を参照してください。

• 4 分という TCP アイドル タイムアウトの既定値が使用されます。これは最大 120 分にまで増やすことができます。 また、アイドル タイマーは、フロー上の任意のアクティビティ (TCP キープアライブを含む) でリセットすることもできます。 詳細については、「アイドル タイムアウト タイマー」を参照してください。

• UDP トラフィックのアイドル タイムアウト タイマーは 4 分で、これは変更できません。

• UDP トラフィックのポート再利用タイマーは 65 秒であり、その期間ポートが保留されてから、同じ宛先エンドポイントに対して再利用できるようになります。

価格とサービス レベル アグリーメント (SLA)

Standard と StandardV2 NAT ゲートウェイは同じ価格です。 Azure NAT Gateway の価格については、 NAT Gateway の価格に関するページを参照してください。

SLA の詳細については、「Azure NAT Gateway の SLA」を参照してください。

次のステップ

• NAT ゲートウェイの作成と検証の詳細については、「 クイック スタート: Azure portal を使用して NAT ゲートウェイを作成する」を参照してください。

• Azure NAT ゲートウェイの詳細については、「Azure NAT ゲートウェイ を使用して送信接続を向上させる方法」を参照してください。

• NAT ゲートウェイ リソースの詳細については、「 NAT ゲートウェイ リソース」を参照してください。

• Azure NAT Gateway の詳細については、次のモジュールを参照してください。

  • Learn モジュール: Azure NAT Gateway の概要。

• Azure NAT ゲートウェイのアーキテクチャ オプションの詳細については、Azure NAT ゲートウェイ の Azure Well-Architected Framework のレビューを参照してください。