このトピックでは、DNAT IP マッピングが設定された ECS インスタンスに ENI をアタッチする方法を説明します。 DNAT IP マッピングが設定された ECS インスタンスに ENI をアタッチした場合、VPC 内の ECS インスタンスのパブリック IP アドレスを一元管理できます。

前提条件

DNAT IP マッピングが設定された ECS インスタンスの属する VPC には、SNAT 機能が設定されている必要があります。 詳細は、「SNAT エントリの作成」をご参照ください。

背景情報

NAT Gateway は SNAT をサポートしています。SNAT は、パブリック IP アドレスを持たない VPC 内の ECS インスタンスがインターネットにアクセスできるようにする機能です。 VPC 内の ECS インスタンスに DNAT IP マッピング (フルポートマッピング) が設定されている場合、この ECS インスタンスは DNAT エントリ内のパブリック IP アドレスを介してインターネットにアクセスします。これに対し、VPC 内の他の ECS インスタンスは NAT Gateway の SNAT 機能を介してインターネットにアクセスします。 したがって、VPC 内の ECS インスタンスは、それぞれ異なる IP アドレスを使用してインターネットにアクセスします。

ECS インスタンスに ENI をアタッチすると、VPC 内の ECS インスタンスのパブリック IP アドレスを一元管理できます。

次の図に示すように、ECS インスタンスに ENI をアタッチし、NAT Gateway 内の DNAT エントリを削除し、新しい DNAT エントリを作成し、NAT Gateway 上のパブリック IP アドレスを ENI にマッピングすると、インターネットから ECS インスタンスへのアクセスは ENI 経由で、ECS インスタンスからインターネットへのアクセスは NAT Gateway 経由で行われます。

手順 1: ENI の作成

ECS インスタンスに ENI を作成するには、次の手順に従います。

  1. ECS コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[ネットワーク & セキュリティ] > [ネットワークインタフェース] をクリックします。
  3. ターゲットリージョンを選択します。
    ENI と ECS インスタンスは、同じリージョンになければなりません。
  4. [ネットワークインタフェース] ページで、[ENI 作成] をクリックします。
  5. 次の情報に従って、[ENI 作成] ページで ENI を設定し、[OK] をクリックします。
    • ネットワークインターフェイス名:ENI の名前を入力します。
    • VPC:ECS インスタンスが属する VPC を選択します。
    • VSwitch:ECS インスタンスが属するゾーンの VSwitch を選択します。
    • IP (オプション):ENI のプライマリプライベート IPv4 アドレスを入力します。 IPv4 アドレスは、指定した VSwitch の CIDR ブロック内の未使用アドレスでなければなりません。 指定しなかった場合、ENI の作成後、未使用のプライベート IPv4 アドレスが自動的に割り当てられます。
    • セキュリティグループ:VPC のセキュリティグループを選択します。
    • 説明 (オプション):ENI の説明を入力します。

手順 2:ECS インスタンスへの ENI のアタッチ

ENI を ECS インスタンスにアタッチするには、次の手順に従います。

  1. ECS コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[ネットワーク & セキュリティ] > [ネットワークインタフェース] をクリックします。
  3. ターゲットリージョンを選択します。
  4. [ネットワークインタフェース] ページでターゲットENI を見つけ、[オペレーション] 列で [アタッチ] をクリックします。
  5. 表示されたダイアログボックスで、アタッチする ECS インスタンスを選択し、[OK] をクリックします。

手順 3:DNAT エントリの削除

NAT Gateway 内の DNAT エントリを削除するには、次の手順に従います。

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[NAT Gateways] をクリックします。
  3. ターゲットリージョンを選択します。
  4. [NAT Gateways] ページでターゲット NAT Gateway を見つけ、[アクション] 列で [DNAT の設定] をクリックします。
  5. [DNAT エントリリスト] ページでターゲット DNAT エントリを見つけ、[アクション] 列で [削除] をクリックします。
  6. 表示されたダイアログボックスで、[OK] をクリックします。

手順 4:DNAT エントリの作成

DNAT エントリを作成し、NAT Gateway のパブリック IP アドレスを ENI にマッピングするには、次の手順に従います。

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[NAT Gateways] をクリックします。
  3. [NAT Gateways] ページでターゲット NAT Gateway インスタンスを見つけ、[アクション] 列で [DNAT の設定] をクリックします。
  4. [DNAT エントリリスト] ページで、[DNAT エントリの作成] をクリックします。
  5. 次の情報に従って、[DNAT エントリの作成] ページで DNAT エントリを設定し、[OK] をクリックします。
    • パブリック IP:利用可能なパブリック IP アドレスを選択します。 SNAT エントリで既に使用されている IP アドレスは選択できません。
    • プライベート IP アドレス:ENI インスタンスを選択します。
    • ポートの設定:[すべてのポート] を選択します。
    • エントリ名:DNAT エントリの名前を入力します。

手順 5:ネットワーク接続のテスト

次の手順に従って、ENI にバインドされた EIP を介してインターネットから ECS インスタンスにアクセスできるかどうかをテストします。 このチュートリアルでは、リモート Linux クライアントから Linux インスタンスにアクセスします。
Linux インスタンスのセキュリティグループルールで、SSH (22) ポートからのアクセスを許可する必要があります。 詳細は、「セキュリティグループルールを追加」をご参照ください。
  1. Linux クライアントにログインします。
  2. ssh root@ public IP address コマンドを実行し、Linux インスタンスのログインパスワードを入力して、リモートアクセスが成功するかどうかを確認します。

    Welcome to Alibaba Cl oud Elastic Compute Service! が表示された場合、接続が確立されたことを示します。



次の手順を実行して、NAT Gateway の SNAT 機能を介して ECS インスタンスからインターネットにアクセスできるかどうかをテストします。 このチュートリアルでは、使用されているパブリック IP アドレスを確認します。
  1. ECS インスタンスにログインします。
  2. curl https://myip.ipip.net を実行して、パブリック IP アドレスを表示します。

    パブリック IP アドレスが、NAT Gateway の SNAT エントリの IP アドレスと同じ場合、ECS インスタンスは NAT Gateway の SNAT 機能を介してインターネットにアクセスしていることを示します。