次の方法で共有

Azure NAT Gateway とは

Azure NAT Gateway は、フル マネージドで回復性の高いネットワーク アドレス変換 (NAT) サービスです。 Azure NAT Gateway を使用すると、プライベート サブネット内のすべてのインスタンスが、完全にプライベートなままでインターネットにアウトバウンド接続できます。 インターネットからの未承諾の受信接続は、NAT ゲートウェイ経由では許可されません。 NAT ゲートウェイを通過できるのは、アウトバウンド接続への応答パケットとして到着したパケットだけです。

NAT Gateway は、アウトバウンド接続を自動的にスケールし、SNAT ポート枯渇のリスクを軽減する動的な SNAT ポート機能を提供します。

図は、内部サブネットからトラフィックを受信し、それをパブリック IP アドレスに転送する NAT を示しています。

図: Azure NAT Gateway

Azure NAT Gateway は、次のような多くの Azure リソースに対してアウトバウンド接続を提供します。

Azure NAT Gateway のメリット

設定が簡単

NAT ゲートウェイを使用すると、デプロイが意図的に単純になります。 NAT ゲートウェイをサブネットとパブリック IP アドレスにアタッチし、すぐにインターネットへの送信接続を開始します。 メンテナンスとルーティングの構成は必要ありません。 既存の構成に影響を与えることなく、後でパブリック IP やサブネットをさらに追加できます。

NAT ゲートウェイを設定する方法の例を次に示します。

  • 非ゾーン NAT ゲートウェイまたはゾーン NAT ゲートウェイを作成します。

  • パブリック IP アドレスまたはパブリック IP プレフィックスを割り当てます。

  • NAT ゲートウェイを使用するように仮想ネットワーク サブネットを構成します。

必要に応じて、伝送制御プロトコル (TCP) アイドル タイムアウトを変更します (省略可能)。 既定値を変更する前に、「タイマー」を確認してください。

セキュリティ

NAT ゲートウェイは、ゼロ トラスト ネットワーク セキュリティ モデルに基づいて構築されており、既定でセキュリティで保護されています。 NAT ゲートウェイでは、サブネット内のプライベート インスタンスは、インターネットに到達するためにパブリック IP アドレスを必要としません。 プライベート リソースは、ソース ネットワーク アドレス変換 (SNAT) から NAT ゲートウェイの静的パブリック IP アドレスまたはプレフィックスによって、仮想ネットワークの外部の外部ソースに到達できます。 パブリック IP プレフィックスを使用して、アウトバウンド接続用の IP の連続したセットを提供できます。 この予測可能な IP リストに基づいて、宛先ファイアウォール規則を構成できます。

回復性

Azure NAT Gateway は、フル マネージドの分散サービスです。 仮想マシンや単一の物理ゲートウェイ デバイスなどの個々のコンピューティング インスタンスには依存しません。 NAT ゲートウェイには常に複数の障害ドメインがあり、サービスの停止なしに複数の障害を維持できます。 ソフトウェア定義ネットワークにより、NAT ゲートウェイの回復性が高くなります。

スケーラビリティ

NAT ゲートウェイは作成からスケールアウトされます。 ランプアップ操作やスケールアウト操作は必要ありません。 Azure が NAT ゲートウェイの操作を管理します。

NAT ゲートウェイをサブネットにアタッチして、そのサブネット内のすべてのプライベート リソースに送信接続を提供します。 仮想ネットワーク内のすべてのサブネットで、同じ NAT ゲートウェイ リソースを使用できます。 最大 16 個のパブリック IP アドレスまたは /28 サイズのパブリック IP プレフィックスを NAT ゲートウェイに割り当てることで、送信接続をスケールアウトできます。 NAT ゲートウェイがパブリック IP プレフィックスに関連付けられている場合、送信に必要な IP アドレスの数に自動的にスケーリングされます。

パフォーマンス

Azure NAT Gateway は、ソフトウェア定義のネットワーク サービスです。 各 NAT ゲートウェイは、送信トラフィックとリターン トラフィックの両方に対して最大 50 Gbps のデータを処理できます。

NAT ゲートウェイは、コンピューティング リソースのネットワーク帯域幅には影響しません。 NAT ゲートウェイのパフォーマンスの詳細を確認します。

Azure NAT Gateway の基本

送信接続

  • NAT ゲートウェイは、送信接続に推奨される方法です。

2025 年 9 月 30 日、新しい仮想ネットワークでは既定でプライベート サブネットが使用されます。つまり、既定の 送信アクセス は既定で提供されなくなり、インターネット上および Microsoft 内のパブリック エンドポイントに到達するには、明示的な送信方法を有効にする必要があります。 代わりに、NAT ゲートウェイなどの明示的な形式の送信接続を使用することをお勧めします。

  • NAT ゲートウェイは、サブネット レベルで送信接続を提供します。 NAT ゲートウェイは、送信接続を提供するために、サブネットの既定のインターネット宛先を置き換えます。

  • NAT ゲートウェイでは、サブネット ルート テーブルにルーティング構成は必要ありません。 NAT ゲートウェイがサブネットに接続されると、すぐに送信接続が提供されます。

  • NAT ゲートウェイを使用すると、仮想ネットワークから仮想ネットワークの外部のサービスへのフローを作成できます。 インターネットからの戻りトラフィックは、アクティブなフローへの応答でのみ許可されます。 仮想ネットワークの外部にあるサービスは、NAT ゲートウェイ経由で受信接続を開始できません。

  • NAT ゲートウェイは、ロード バランサー、インスタンス レベルのパブリック IP アドレス、Azure Firewall など、他の送信接続方法よりも優先されます。

  • NAT ゲートウェイは、すべての新しい接続に対して仮想ネットワークで構成されている他の明示的な送信方法よりも優先されます。 既存の接続では、他の明示的な送信接続方法を使用してもトラフィック フローには低下がありません。

  • NAT ゲートウェイには、ロード バランサーの 既定の送信アクセス 規則と 送信規則と同じ SNAT ポート枯渇の制限はありません。

  • NAT ゲートウェイでは、TCP およびユーザー データグラム プロトコル (UDP) プロトコルのみがサポートされます。 インターネット制御メッセージ プロトコル (ICMP) はサポートされません。

トラフィック ルート

  • サブネットには、宛先 0.0.0.0/0 のトラフィックをインターネットに自動的にルーティングする、システムの既定のルートがあります。 サブネットに NAT ゲートウェイが構成されると、サブネット内の仮想マシンは NAT ゲートウェイのパブリック IP を使用してインターネットと通信します。

  • 0.0.0.0/0 トラフィックのサブネット ルート テーブルにユーザー定義ルート (UDR) を作成すると、このトラフィックの既定のインターネット パスがオーバーライドされます。 次ホップの種類として仮想アプライアンスまたは仮想ネットワーク ゲートウェイ (VPN ゲートウェイと ExpressRoute) に 0.0.0.0/0 トラフィックを送信する UDR は、代わりにインターネットへの NAT ゲートウェイ接続をオーバーライドします。

  • さまざまなルーティングとアウトバウンド接続の方法の中で、アウトバウンド接続が従う優先順位は、次のとおりです。

    • 仮想マシン上のインスタンス レベルのパブリック IP アドレス>> NAT ゲートウェイ>>次ホップ仮想アプライアンスまたは仮想ネットワーク ゲートウェイへの UDR >> Load Balancer の送信規則>>、インターネットへの既定のシステム ルートです。

NAT ゲートウェイの構成

  • 同じ仮想ネットワーク内の複数のサブネットで、異なる NAT ゲートウェイまたは同じ NAT ゲートウェイを使用できます。

  • 複数の NAT ゲートウェイを 1 つのサブネットに接続することはできません。

  • NAT ゲートウェイは複数の仮想ネットワークにまたがることができます。 ただし、NAT Gateway を使用してハブ アンド スポーク モデルで送信接続を提供できます。 詳細については、 NAT ゲートウェイのハブとスポークのチュートリアルを参照してください。

  • NAT ゲートウェイを ゲートウェイ サブネットにデプロイすることはできません。

  • NAT ゲートウェイ リソースでは、次の種類の任意の組み合わせで最大 16 個の IP アドレスを使用できます。

    • パブリック IP アドレス。

    • パブリック IP プレフィックス。

    • カスタム IP プレフィックス (BYOIP) から派生したパブリック IP アドレスとプレフィックスの詳細については、「カスタム IP アドレス プレフィックス (BYOIP)」 を参照してください。

  • NAT ゲートウェイを IPv6 パブリック IP アドレスまたは IPv6 パブリック IP プレフィックスに関連付けることはできません。

  • NAT ゲートウェイは、アウトバウンド規則を使用して Load Balancer と共に使用して、デュアルスタック送信接続を提供できます。 NAT ゲートウェイとロード バランサーを使用したデュアル スタック送信接続を参照してください。

  • NAT ゲートウェイは、任意の仮想マシン ネットワーク インターフェイスまたは IP 構成で動作します。 NAT ゲートウェイは、ネットワーク インターフェイス上で複数の IP 構成を SNAT できます。

  • NAT ゲートウェイは、ハブ仮想ネットワーク内の Azure Firewall サブネットに関連付けることができ、ハブにピアリングされたスポーク仮想ネットワークからの送信接続を提供できます。 詳細については、 Azure Firewall と NAT Gateway の統合に関するページを参照してください。

可用性ゾーン

  • NAT ゲートウェイは、特定の可用性ゾーンに作成することも、 ゾーンに配置することもできません

  • NAT ゲートウェイは、ゾーン分離シナリオを作成するときに、特定 のゾーンで分離できます。 NAT ゲートウェイをデプロイした後、ゾーンの選択を変更することはできません。

  • NAT ゲートウェイは、既定では ゾーンに配置されません非ゾーン NAT ゲートウェイは、Azure によってゾーンに配置されます。

NAT ゲートウェイと基本的なリソース

  • NAT ゲートウェイは、標準のパブリック IP アドレス、パブリック IP プレフィックス、またはその両方の組み合わせと互換性があります。

  • NAT ゲートウェイは、基本的なリソースが存在するサブネットでは使用できません。 Basic Load Balancer や基本的なパブリック IP などの基本的な SKU リソースは、NAT ゲートウェイと互換性がありません。 Basic Load Balancer と Basic パブリック IP は、NAT ゲートウェイを使用するために Standard にアップグレードできます。

接続のタイムアウトとタイマー

  • NAT ゲートウェイは、既存の接続として認識されない接続フローに対して TCP リセット (RST) パケットを送信します。 NAT ゲートウェイのアイドル タイムアウトに達したか、接続が以前に閉じられた場合、接続フローは存在しなくなりました。

  • 存在しない接続フロー上のトラフィックの送信者が NAT ゲートウェイ TCP RST パケットを受信すると、接続は使用できなくなります。

  • 接続が閉じた後、SNAT ポートを同じ宛先エンドポイントに再利用することはすぐにはできません。 NAT ゲートウェイは、SNAT ポートをクール ダウン状態にしてから、同じ宛先エンドポイントに接続するために再利用できるようにします。

  • TCP トラフック用の SNAT ポートの再利用 (クール ダウン) タイマー期間は、接続がどのように終了したかによって異なります。 詳細については、「ポート再利用タイマー」を参照してください。

  • 4 分という TCP アイドル タイムアウトの既定値が使用されます。これは最大 120 分にまで増やすことができます。 また、アイドル タイマーは、フロー上の任意のアクティビティ (TCP キープアライブを含む) でリセットすることもできます。 詳細については、「アイドル タイムアウト タイマー」を参照してください。

  • UDP トラフィックのアイドル タイムアウト タイマーは 4 分で、これは変更できません。

  • UDP トラフィックのポート再利用タイマーは 65 秒であり、その期間ポートが保留されてから、同じ宛先エンドポイントに対して再利用できるようになります。

価格とサービス レベル アグリーメント (SLA)

Azure NAT Gateway の価格については、 NAT Gateway の価格に関するページを参照してください。

SLA の詳細については、「Azure NAT Gateway の SLA」を参照してください。

次のステップ