NATゲートウェイ なっとげーとうぇい
簡単に言うとこんな感じ!
クラウドの「内緒の部屋」にいるサーバーが、外のインターネットに連絡を取りたいときだけ使える「代理の受付窓口」だよ。外からは部屋の場所がわからないまま、中からだけ外へ出られる安全な出口なんだ!
NATゲートウェイとは
クラウド上のシステムを構築するとき、データベースや社内向けのサーバーなどは「外部からは直接アクセスできない場所(プライベートサブネット)」に置くのが基本です。ところが、そういったサーバーもソフトウェアの更新やAPIの呼び出しなど、インターネット側へ自分から接続したい場面があります。そのための「一方通行の出口」として機能するのが NATゲートウェイ(NAT Gateway) です。
NAT(Network Address Translation) とは「ネットワークアドレス変換」のこと。プライベートなIPアドレスをパブリックなIPアドレスに置き換えて通信を中継する技術です。NATゲートウェイはそのNAT機能をクラウド事業者がマネージドサービス(運用管理不要で使えるサービス)として提供したものであり、AWS・Azure・Google Cloudのいずれでも同様の概念が採用されています。
重要なポイントは「外から中への通信は遮断し、中から外への通信だけを許可する」という非対称な通信制御です。これにより、プライベートサブネット内のサーバーを外部の攻撃から守りながら、必要な外向き通信だけを安全に行える構成が実現できます。
NATゲートウェイの仕組みと役割
通信の流れ
【プライベートサブネット内のサーバー】
↓ 送信元IP: 10.0.1.5(プライベートIP)
┌─────────────────────────┐
│ NATゲートウェイ │ ← IPアドレスを変換
│ プライベートIP → パブリックIP │
└─────────────────────────┘
↓ 送信元IP: 203.0.113.10(パブリックIP)
【インターネット上のサービス(例: ソフトウェア更新サーバー)】| 通信の方向 | 可否 | 説明 |
|---|---|---|
| プライベートサブネット → インターネット | ✅ 可 | NATゲートウェイが仲介してIPを変換 |
| インターネット → プライベートサブネット | ❌ 不可 | 外部からの接続開始は遮断される |
| パブリックサブネット → インターネット | ✅ 可 | インターネットゲートウェイを直接使う |
主な用途
- OSアップデート・パッチ適用: プライベートなサーバーがセキュリティパッチをダウンロードする
- 外部APIの呼び出し: 決済サービスや地図APIなど、外部サービスとの連携
- ソフトウェアライセンス認証: ライセンスサーバーへの定期的な通信
- ログ・監視データの送信: 外部の監視サービスへのデータ転送
覚え方・語呂合わせ
「NAT(なっと)ゲートウェイ = 内緒の出口」
内(プライベート)から外(インターネット)には出られるけど、外から中へは入れない。「内から外へ、ナット(nat)出る一方通行」 と覚えよう!
歴史と背景
- 1990年代〜: IPアドレスの枯渇問題が顕在化。プライベートIPとパブリックIPを変換するNAT技術が家庭用ルーターやオンプレミス機器で広く採用される
- 2006年〜: AWSがEC2(仮想サーバーサービス)を開始。当初はすべてのインスタンスにパブリックIPを付与するシンプルな構成
- 2009年: AWSがVPC(Virtual Private Cloud)を提供開始。プライベートサブネットという概念が登場し、セキュアなネットワーク設計が可能に
- 2011年〜: VPC普及に伴い、プライベートサブネットからの外向き通信手段として「NATインスタンス(自分でEC2上に構築するNAT)」が使われ始める
- 2015年: AWSが マネージド型のNATゲートウェイ をリリース。運用管理不要・高可用性・自動スケーリングが実現し、NATインスタンスの複雑な管理が不要に
- 現在: Azure(NAT Gateway)・Google Cloud(Cloud NAT)でも同様のマネージドサービスが提供され、クラウドネットワーク設計の標準パターンとして定着
NATゲートウェイ vs 関連サービスの比較
クラウドネットワークでは「外向き通信の出口」として複数の選択肢があります。用途に応じた使い分けが重要です。
| サービス | 通信方向 | 外部からの接続 | 固定IP | 主な用途 |
|---|---|---|---|---|
| NATゲートウェイ | 内→外のみ | ❌ 不可 | ✅ あり(Elastic IP) | プライベートサーバーの外向き通信 |
| インターネットゲートウェイ | 双方向 | ✅ 可 | 任意 | パブリックなWebサーバー |
| NATインスタンス | 内→外のみ | ❌ 不可 | ✅ あり | NATゲートウェイ登場前の旧方式(要管理) |
| VPNゲートウェイ | 双方向 | ✅ 可(VPN内) | ✅ あり | オンプレミスとの拠点間接続 |
VPC内のネットワーク構成図
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 1918 | プライベートIPアドレスの範囲を定義(10.x.x.x、172.16.x.x〜172.31.x.x、192.168.x.x) |
| RFC 3022 | 従来型NATの動作仕様(Traditional NAT)を定義 |
| RFC 4787 | UDP向けNATの動作要件を定義 |
| RFC 6887 | PCP(Port Control Protocol)— NATのポートマッピングをアプリが制御する仕組み |
関連用語
- VPC(Virtual Private Cloud) — クラウド上に作る「自分専用の仮想ネットワーク空間」
- サブネット — VPCをさらに細かく区切ったネットワーク領域。パブリックとプライベートの2種類がある
- インターネットゲートウェイ — VPCとインターネットを双方向でつなぐ出入口
- セキュリティグループ — クラウド上のサーバーへの通信を許可・拒否するファイアウォール設定