本ドキュメントでは、自己構築型 SNAT ゲートウェイを NAT ゲートウェイに移行する方法を説明します。

このタスクについて

ECS インスタンス上の自己構築型 SNAT ゲートウェイから NAT ゲートウェイベースの SNAT 機能に切り替える場合は、自己構築型 SNAT ゲートウェイを削除し、 NAT ゲートウェイを作成、構成することができます。 ただし、その場合 SNAT 機能が一定期間中断します。

次の手順に従って、ルートテーブルの最長一致法で Alibaba Cloud の NAT ゲートウェイにシームレスに切り替えることをお勧めします。 切り替え処理中、SNAT 機能は使用可能です。 既存の TCP 接続の中断は切り替えの瞬間にだけ発生し、アプリケーションを再接続するだけで済みます。

本ドキュメントで使用されている VPC と ECS の構成は次のとおりです。
  • VPC に 2 つの ECS インスタンスが必要です。

    • ECS (i-9410jxxxx)が自己構築型 SNAT ゲートウェイで構成され、EIP でバインドされている。 さらに転送サービスを有効にし、Iptables ルールを構成して SNAT 転送を実現する。
    • ECS(i-94kjwxxxx)が SNAT 機能でインターネットにアクセスする。
  • カスタムルートエントリ(宛先 CIDR ブロック: 0.0.0.0/0、ネクストホップ:ECS(i-9410jxxxx)が VPC の VRouter に追加されます。

手順

  1. 既存のルートエントリを上書きするには、VPC に次の 8 つのルートエントリを追加します。

    宛先 CIDR ブロックはそれぞれ 1.0.0.0/8、2.0.0.0/7、4.0.0.0/6、8.0.0.0/5、16.0.0.0/4、32.0.0.0/3、64.0.0.0/2、128.0.0.0/1 であり、ネクストホップは ECS i-9410jxxxx です。

    最長一致法に従って、最長サブネットマスクを持つルートエントリが常に最初に一致します。 ただし、IP アドレスに関係なく、すべてのデータパケットは 8 つのエントリのいずれかに一致します。 そのため、宛先 CIDR ブロックが 0.0.0.0/0 であるルートエントリは、これ以上適用されません。

  2. 宛先 CIDR ブロックが 0.0.0.0/0 であるルートエントリを削除します。
  3. NAT ゲートウェイを作成します。

    NATゲートウェイ向きのルートエントリは、宛先 CIDR ブロックが 0.0.0.0/0 で、NAT ゲートウェイを作成するときに自動的に追加されます。

  4. EIP を NATゲートウェイにバインドします。
    重要 NAT ゲートウェイにバインドされている EIP の帯域幅が、自己構築 NAT ゲートウェイの帯域幅と同じであることを確認します。 NAT ゲートウェイに SNAT エントリを追加した場合、SNAT エントリで指定された ECS インスタンスからの発信トラフィックは、NAT ゲートウェイの帯域幅によって制限されます。
  5. SNAT エントリを追加します。
  6. ステップ 1 で追加した 8 つのルートエントリを削除して、VRouter がインターネットからのリクエストを自己構築型 SNAT ではなく NAT ゲートウェイに転送するようにします。

    これで Alibaba Cloud 上の自己構築 SNAT ゲートウェイから NAT ゲートウェイの SNAT 機能への移行は完了しました。