チュートリアル: Azure portal を使用して NAT ゲートウェイと内部ロード バランサーを統合する
このチュートリアルでは、NAT ゲートウェイを内部ロード バランサーと統合する方法について説明します。
既定では、Azure Standard Load Balancer はセキュリティで保護されています。 送信接続は、送信 SNAT (送信元ネットワーク アドレス変換) を有効にすることによって明示的に定義されます。
SNAT を内部バックエンド プールに対して有効にするには、別のパブリック ロード バランサー、ネットワーク ルーティング、または仮想マシンに定義されているパブリック IP を使用します。
NAT ゲートウェイの統合により、バックエンド プールにパブリック ロード バランサー、ネットワーク ルーティング、または仮想マシンに定義されているパブリック IP をデプロイする必要がなくなります。
このチュートリアルでは、次の作業を行う方法について説明します。
- Azure Load Balancer を作成する
- Azure Load Balancer のバックエンド プール用に 2 つの仮想マシンを作成する
- NAT ゲートウェイを作成する
- ロード バランサーのバックエンド プール内にある仮想マシンのアウトバウンド接続を検証する
前提条件
アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。
Azure アカウントで Azure Portal にサインインします。
NAT ゲートウェイを作成する
NAT ゲートウェイ リソースやその他のリソースをデプロイするには、まずデプロイするリソースを含むリソース グループが必要です。 次の手順では、リソース グループ、NAT ゲートウェイ リソース、およびパブリック IP アドレスを作成します。 1 つまたは複数のパブリック IP アドレス リソース、パブリック IP プレフィックス、またはその両方を使用できます。
パブリック IP プレフィックスと NAT ゲートウェイの詳細については、NAT ゲートウェイの管理に関するページを参照してください。
ポータルの上部にある検索ボックスに、「NAT ゲートウェイ」と入力します。 検索結果から [NAT ゲートウェイ] を選択します。
[+ 作成] を選択します。
[ネットワーク アドレス変換 (NAT) ゲートウェイを作成します] の [基本] タブにこの情報を入力または選択します。
設定 Value プロジェクトの詳細 サブスクリプション Azure サブスクリプションを選択します。 リソース グループ [新規作成] を選択します。
「test-rg」と入力します。
[OK] を選択します。インスタンスの詳細 NAT ゲートウェイ名 「nat-gateway」と入力します リージョン [米国東部 2] を選択します 可用性ゾーン [ゾーンなし] を選択します。 TCP アイドル タイムアウト (分) 既定値の [4] のままにします。 可用性ゾーンと NAT ゲートウェイの詳細については、「NAT ゲートウェイと可用性ゾーン」を参照してください。
[Outbound IP](アウトバウンド IP) タブを選択するか、ページの下部にある [Next: Outbound IP](次へ: アウトバウンド IP) を選択します。
[Outbound IP](アウトバウンド IP) タブで、次の情報を入力または選択します。
設定 Value パブリック IP アドレス [Create a new public IP address](新しいパブリック IP アドレスを作成する) を選択します。
[名前] に「public-ip-nat」と入力します。
[OK] を選択します。[Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。
[作成] を選択します
仮想ネットワークと bastion ホストの作成
次の手順では、リソース サブネット、Azure Bastion サブネット、Azure Bastion ホストのある仮想ネットワークを作成します。
ポータルで、[仮想ネットワーク] を検索して選択します。
[仮想ネットワーク] ページで、[+ 作成] を選択します。
[仮想ネットワークの作成] の [基本] タブで、次の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 Name 「vnet-1」と入力します。 リージョン [(米国) 米国東部 2] を選択します。 [次へ] を選択して、[セキュリティ] タブに進みます。
[セキュリティ] タブの [Azure Bastion] セクションで [Azure Bastion を有効にする] を選択します。
Azure Bastion では、プライベート IP アドレスを使用して Secure Shell (SSH) またはリモート デスクトップ プロトコル (RDP) を介して、仮想ネットワーク内の VM にブラウザーで接続します。 VM には、パブリック IP アドレス、クライアント ソフトウェア、または特別な構成は必要ありません。 Azure Bastion の詳細については、Azure Bastion に関するページをご覧ください。
[Azure Bastion] で、次の情報を入力または選択します。
設定 値 Azure Bastion ホスト名 「bastion」と入力します。 Azure Bastion のパブリック IP アドレス [Create a public IP address] (パブリック IP アドレスを作成する) を選びます。
[名前] に「public-ip-bastion」と入力します。
を選択します。[次へ] を選択して、[IP アドレス] タブに進みます。
[サブネット] のアドレス空間ボックスで、既定のサブネットを選択します。
[サブネットの編集] で次の情報を入力または選択します。
設定 Value サブネットの目的 既定値の [既定] のままにします。 名前 「subnet-1」と入力します。 IPv4 IPv4 アドレス範囲 既定値である 10.0.0.0/16 のままにします。 開始アドレス 既定値の 10.0.0.0 のままにします。 サイズ 既定値の /24(256 アドレス) のままにします。 Security NAT Gateway [nat-gateway] を選択します。 [保存] を選択します。
画面の下部にある [確認と作成] を選択し、検証に合格したら [作成] を選択します。
ロード バランサーの作成
このセクションでは、仮想マシンの負荷分散を行う内部ロード バランサーを作成します。 内部ロード バランサーは、仮想ネットワーク内のトラフィックをプライベート IP アドレスで負荷分散させるために使用されます。
ロード バランサーの作成中に、次の構成を行います。
- フロントエンド IP アドレス
- バックエンド プール
- インバウンドの負荷分散規則
ポータルの上部にある検索ボックスに、「ロード バランサー」と入力します。 検索結果で [ロード バランサー] を選択します。
[ロード バランサー] ページで、 [作成] を選択します。
[ロード バランサーの作成] ページの [基本] タブで、次の情報を入力または選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 名前 「load-balancer」と入力します リージョン [(米国) 米国東部 2] を選択します。 SKU 既定値 [標準] のままにします。 Type [内部] を選択します。 レベル [地域] は既定値のままにします。 ページ下部にある [次へ: フロントエンド IP の構成] を選択します。
[フロントエンド IP 構成] で、[+ フロントエンド IP 構成の追加] を選択します。
[名前] に「frontend」と入力します。
[サブネット] で [subnet-1 (10.0.0.0/24)] を選択 します。
残りのオプションは既定値のままにします。
[追加] を選択します。
ページ下部で [次へ: バックエンド プール] を選択します。
[バックエンド プール] タブで、 [+ バックエンド プールの追加] を選択します。
[バックエンド プールの追加] の [名前] に「backend-pool」と入力します。
[バックエンド プールの構成] には [NIC] または [IP アドレス] を選択します。
[保存] を選択します。
ページ下部にある [次へ: 受信規則] ボタンを選択します。
[受信規則] タブの [負荷分散規則] で、 [+ 負荷分散規則の追加] を選択します。
[負荷分散規則の追加] で、次の情報を入力または選択します。
設定 値 名前 「http-rule」と入力します IP バージョン [IPv4] を選択します。 フロントエンド IP アドレス [front-end] を選択します。 バックエンド プール [backend-pool] を選択します。 Protocol [TCP] を選択します。 Port 「80」と入力します。 バックエンド ポート 「80」と入力します。 正常性プローブ [新規作成] を選択します。
[名前] に「health-probe」と入力します。
[プロトコル] で [TCP] を選択します。
残りの部分は既定値のままにし、[OK] を選択します。セッション永続化 [なし] を選択します。 アイドル タイムアウト (分) 「15」を入力または選択します。 TCP リセット [Enabled] を選択します。 フローティング IP [無効] をクリックします。 [保存] を選択します。
ページ下部にある青色の [確認と作成] ボタンを選択します。
[作成] を選択します
仮想マシンを作成する
このセクションでは、2 つの異なるゾーン (ゾーン 1 とゾーン 2) に 2 つの VM (vm-1 と vm-2) を作成します。
これらの VM を、前に作成したロード バランサーのバックエンド プールに追加します。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
[+ 作成] を選択し、[Azure 仮想マシン] を選択します。
[仮想マシンの作成] の [Basic] タブに、値を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group test-rg を選択します。 インスタンスの詳細 仮想マシン名 「vm-1」と入力します。 リージョン [米国東部 2] を選択します。 可用性のオプション [ゾーン 1] を選びます。 セキュリティの種類 [Standard] を選択します。 Image [Ubuntu Server 22.04 LTS - x64 Gen2] を選びます。 VMアーキテクチャ 既定値の [x64] のままにします。 サイズ サイズを選択します。 管理者アカウント 認証の種類 [パスワード] を選択します。 ユーザー名 「azureuser」と入力します。 Password パスワードを入力します。 パスワードの確認 パスワードを再入力します。 受信ポートの規則 パブリック受信ポート [なし] を選択します。 [ネットワーク] タブまたは [次へ: ディスク] を選択してから [次へ: ネットワーク] を選択します。
[ネットワーク] タブで、次の情報を入力または選択します。
設定 値 ネットワーク インターフェイス 仮想ネットワーク [vnet-1] を選択します。 Subnet [subnet-1 (10.0.0.0/24)] を選択します。 パブリック IP [なし] を選択します。 NIC ネットワーク セキュリティ グループ [Advanced] \(詳細設定) を選択します ネットワーク セキュリティ グループを構成する [新規作成] を選択します。
[ネットワーク セキュリティ グループの作成] で、[名前] に「nsg-1」と入力します。
で、[+ 受信規則の追加] を選択します。
[サービス] で、[HTTP] を選択します。
[追加] を選択します
[OK] を選択します負荷分散 この仮想マシンを既存の負荷分散ソリューションの後ろに配置しますか? チェック ボックスをオンにします。 ロード バランサーの設定 負荷分散のオプション [Azure ロード バランサー] を選択する ロード バランサーを選択する [load-balancer] を選択します バックエンド プールを選択する [backend-pool] を選択します [Review + create](レビュー + 作成) を選択します。
設定を確認し、 [作成] を選択します。
前の手順に従って VM を作成します。次の値を使用し、他の設定はすべて vm-1 と同じにします。
設定 VM 2 名前 vm-2 可用性ゾーン 2 ネットワーク セキュリティ グループ 既存の [nsg-1] を選択します 負荷分散のオプション [Azure ロード バランサー] を選択する ロード バランサーを選択する [load-balancer] を選択します バックエンド プールを選択する [backend-pool] を選択します
NAT ゲートウェイをテストする
このセクションで、NAT ゲートウェイをテストします。 まず、NAT ゲートウェイのパブリック IP を検出します。 次に、テスト仮想マシンに接続し、NAT ゲートウェイ経由のアウトバウンド接続を確認します。
ポータルの上部にある検索ボックスに、「パブリック IP」と入力します。 検索結果から [パブリック IP アドレス] を選択します。
public-ip-nat を選択します。
パブリック IP アドレスを書き留めておきます。
ポータルの上部にある検索ボックスに、「仮想マシン」と入力します。 検索結果から [仮想マシン] を選択します。
vm-1 を選択します。
[概要] ページで、[接続] を選択し、[Bastion] タブを選択します。
[Bastion を使用する] を選択します。
仮想マシンの作成時に入力したユーザー名とパスワードを入力します。 [接続] を選択します。
bash プロンプトで、次のコマンドを入力します。
curl ifconfig.me
コマンドが返す IP アドレスが NAT ゲートウェイのパブリック IP アドレスと一致することを確認します。
azureuser@vm-1:~$ curl ifconfig.me 203.0.113.0.25
vm-1 への Bastion 接続を閉じます。
作成したリソースの使用が終了したら、リソース グループとそのすべてのリソースを削除して構いません。
Azure portal で、「リソース グループ」を検索して選択します。
[リソース グループ] ページで、test-rg リソース グループを選択します。
[test-rg] ページで、[リソース グループの削除] を選択します。
[削除を確認するために、リソース グループの名前を入力してください] に「test-rg」と入力して、[削除] を選びます。
次のステップ
Azure NAT Gateway について詳しくは、以下を参照してください。