Alibaba Cloud NAT Gateway、フォワードプロキシ構成の構築方法を紹介します

NATとは

NATとは「Network Address Translation」の略で、それぞれの頭文字を取って「NAT」と呼ばれています。NATにはさまざまな種類がありますが、その中でも特に「SNAT」と「DNAT」がよく使われています。

<SNAT>
「Source Network Address Translation」の略で、送信元IPアドレスを別のIPアドレスに変換する技術です。

<DNAT>
「Destination Network Address Translation」の略で、指定のIPアドレスから来た通信を指定のプライベートネットワークに転送する技術です。

また、NATを利用することによって主に以下、メリットがあります。

① グローバルIP数の節約
プライベートIPをもつ複数のサーバを1つのグローバルIPからインターネットにアクセスさせることができます。このため、グローバルIPの数を節約することができます。

② セキュリティレベルの向上
サーバのプライベートIPアドレスを外部に公開しなくて済むため、プライベートネットワークのセキュリティレベルを向上させることができます。

Alibaba CloudのNAT Gateway

Alibaba Cloudは「NAT Gateway」というプロダクト名でNAT機能が提供されています。

NAT Gatewayでは、2種類のNAT Gatewayが提供されており、それぞれSNATとDNATを利用することができます。

・Internet NAT Gateway
Internet NATGatewayは、SNAT、DNATを提供するエンタープライズ クラスのゲートウェイです。Internet NAT Gatewayは、最大 100 ギガビット/秒の転送容量を提供し、クロスゾーンの災害復旧がサポートされています。また、高性能、自動弾力性、柔軟な請求、きめ細かい O&Mがサポートされており、インターネットを介したデータ転送をより効率的に管理できます。

・VPC NAT Gateway
Virtual Private Cloud (VPC) NAT Gatewayは、VPC 内の Elastic Compute Service (ECS) インスタンスにプライベート NAT サービスを提供します。ECS インスタンスは、NAT IP アドレスを使用してデータセンターや他の VPC にアクセスしたり、外部のプライベート ネットワークにサービスを提供できます。
 

次にこの2種類の代表的な機能、制限の比較について紹介します。一部、制限については、Alibaba Cloudコンソールでチケットを起票し、申請することによって上限数を変更できます。

※ チケットで上限の変更申請が必要です

◆使い分け
プライベートNATを利用する場合は、VPC NAT Gatewayを、一般的なNATを利用する場合は、Internet NAT Gatewayをご利用ください。Internet NAT GatewayとVPC NAT GatewayのSNAT、DNATのエントリ数や作成できるNAT Gateway数、スループット、最大接続数は同じです。

NAT Gatewayの料金について

Internet NAT GatewayとVPC NAT Gatewayの課金方式は、従量課金方式で、課金項目はインスタンス料金とCPU料金が課金されます。

ご利用料金の概算については、料金分析ツールでご確認いただけます。
※NAT Gatewayの料金詳細については、Billing overviewよりご確認ください。

NAT Gatewayを用いたフォワードプロキシ構成のご紹介

以下にフォワードプロキシ構成の構築方法について紹介します。

■構成について

●構成利用場面

一部SaaS製品や、F/W等などでは、セキュリティ向上のため、接続元IPアドレスで制限できます。動的IP(DHCP)を利用している場合、接続元IPでの制限できますが、IPが変動するため、定期的に許可している接続元IPを見直す必要が出てきます。

静的IPアドレスであれば、IPが変動しないため、定期的に見直す必要がありません。Alibaba Cloudを使って接続元IPを固定したい場合、ご紹介させていただく構成を参考にしてください。

●構成について
クライアントPCからAlibaba Cloud VPN gatewayに対して、SSL-VPN接続を行い、ECS(Proxy)を経由して、NAT GatewayでプライベートIPアドレスをグローバルIPに変換(NAT)させます。NATさせたIPについては、EIPをバインドしているため、固定グローバルIPとなります。

●プロダクト
・Elastic Compute Service (ECS) / 東京リージョン
・NAT Gateway / 東京リージョン
・VPN Gateway / 東京リージョン
・Virtual Private Cloud (VPC) / 東京リージョン
・Elastic IP Address (EIP) / 東京リージョン

■構築手順
●VPCの作成

① Alibaba Cloudコンソールにログインし、プロダクト一覧より、「Virtual Private Cloud」を選択します。
② 左ペイン「VPCs」をクリックし、「Create VPC」をクリックします。

③ 以下の通り、VPCのパラメータを入力します。
※下記の記載がないパラメータについては、任意 / 任意の値でご設定ください。

Region : Japan / (Tokyo)
IPv4 CIDR Block : 172.16.0.0/16

<vSwitch>
Zone : Tokyo Zone A
IPv4 CIDR Block : 172.16.1.0/24

④ 設定値の入力が完了したら画面下部にある「OK」をクリックし、VPCの作成を完了させます。

●SSL-VPN(VPN Gateway)の作成と設定

① プロダクト一覧より、「VPN Gateway」を選択します。

② 表示された画面で「Create VPN Gateway」をクリックします。

③以下の通り、VPN Gatewayのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

Region : Japan (Tokyo)
VPC : 作成したVPCを選択
Specify VSwitch : No
IPsec-VPN : Disable
SSL-VPN : Enable

④ 設定値の入力が完了したら画面下部にある「Buy Now」をクリックし、VPN Gatewayの作成を完了させます。

⑤ 左ペイン「Interconnections」のタブをクリックし、「SSL Servers」→ 「Create SSL Server」をクリックします。

⑥ 以下の通り、SSL Serverのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

VPN Gateway : <3-3>で作成したVPN Gatewayを選択
Local Network : 172.16.1.0 /24
Client Subnet : 接続PCのサブネットを入力します

⑦ 設定値の入力が完了したら画面下部にある「OK」をクリックし、SSL Serverの作成を完了させます。

⑧ 左ペイン「Interconnections」のタブをクリックし、「SSL Clients」→ 「Create Client Certifite」をクリックします。

⑨ 以下の通り、Create Client Certificateのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

SSL Server : 作成したSSL Serverを指定します

⑩ 作成されたClient Certificateの「Action」で「Download」をクリックし、クライアント証明書をダウンロードします。「Download」をクリックするとca / crt / key / ovpnの4ファイルが入ったフォルダがダウンロードされます。

⑪ ダウンロードしたフォルダを解凍し、PEM形式の証明書にするため、ca / crt / key / ovpnファイルをそれぞれテキストで開き、ovpnファイルに書き込みます。書き込みが完了したらファイルの内容を保存します。

ovpnファイルの書き込み方の例は以下をご参照ください。

▼記載例

⑫ VPNソフトに作成したOVPNファイルをアップロードし、接続の追加を行います。
※今回は「OpenVPN Connect」を使います。VPNソフトのダウンロードをされていない場合、VPNソフトをダウンロードし、ご準備ください。

OpenVPN Connectの場合、作成したovpnファイルをドラッグ&ドロップで接続の追加ができます。

⑬ 接続の追加が完了したら、VPN接続をします。接続した状態で以降の手順を実施ください

●ECSの作成と設定

① プロダクト一覧より、「Elastic Compute Service」を選択します。

② 左ペイン「Instance & Images」のタブをクリックし、「Instances」→ 「Create Instance」の順にクリックします。

③ 以下の通り、ECSのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

OS : CentOS 7.7 64-bit
Region : Japan / (Tokyo)
Zone : Zone A
VPC : 作成したVPCを選択
VSwitch :で作成したVPCを選択
Security Group : 新たに作成 (SSH/22とsquid/3128 で 192.168.0.0/24を許可してください)
 

<設定不要のパラメータ>
・Public IP Address
・IPv6

④ パラメータの入力が完了したら、画面下部にある「Create Instance」をクリックし、ECSの作成を完了させます。

⑤ 作成したECS(プライベートIP)に対してSSH接続を行い、以下コマンドを順に実行します。

# yum -y install squid
#systemctl enable squid
#systemctl restart squid

●EIPの作成、設定

① プロダクト一覧より、「Elastic IP Address」を選択します。

② 表示された画面で「Create EIP」をクリックします。

③ 以下の通り、EIPのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

Region : Japan (Tokyo)

④ パラメータの入力が完了したら、画面下部にある「Buy now」をクリックし、EIPの作成を完了させます。

●NAT Gatewayの作成、設定

① プロダクト一覧より、「NAT Gateway」を選択します。

② 表示された画面で「Create NAT Gateway」をクリックします。

③ 以下の通り、NAT Gatewayのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

Region : Japan (Tokyo)
VPC : 作成したVPC
Associate vSwitch : 作成したvSwitch
Access Mode : SNAT for All VPC Resources
EIP : Select EIP
EIP : 作成したEIPを選択

④ パラメータの入力が完了したら、画面下部にある「Buy now」をクリックし、NAT Gatewayの作成を完了させます。

⑤ NAT Gatewayの作成完了後、SNATの設定を行います。「Configure SNAT」をクリックし、SNATの設定画面を開きます。

⑥ 「Create SNAT Entry」をクリックし、SNATのエントリを追加します

⑦ 以下の通り、SNATのパラメータを入力します。
※下記、記載がないパラメータについては、任意でご設定ください。

SNAT Entry : Specify ECS
Select ECS Instance : 作成したECS
Select Public IP Address : 作成したEIP

⑧ パラメータの入力が完了したら、画面下部にある「Confirm」をクリックし、SNATエントリの追加を完了させます。

●PC側のProxy設定

【 Mac OSの場合 】

①「システム環境設定」を開き、「ネットワーク」をクリックします。

② 「詳細」をクリックし、「プロキシ」のタブをクリックし以下の通り設定をします。

・チェックを入れる
Web プロキシ(HTTP)
保護された Web プロキシ (HTTPS)

・プロキシサーバを指定

squidを設定したECSのプライベートIPを入力
squidのポート番号を入力(デフォルトでは3128)

③設定を保存し、適用します。
 

【 Windows OSの場合 】

① Windowsキーを押下し、「プロキシの設定を変更する」と入力し、開きます。

② 手動セットアップで「プロキシ サーバーを使う」を有効化し以下の通り、設定します。

アドレス : squidを設定したECSのプライベートIPを入力
ポート : squidのポート番号を入力(デフォルトでは3128)

●動作確認

接続元確認ページにアクセスします。
※ブラウザで「接続元IP 確認」と検索いただければ、接続元IPのWebページが表示されます。

表示されたIPがNAT GatewayにバインドされたEIPであることを確認します。
※ EIPのIPが表示されない場合、VPN接続をしているか確認ください。

さいごに

Alibaba CloudのNAT Gatewayは、設定方法がシンプルなので使いやすいです。

他のプロダクトと併せて利用することによって、セキュリティレベルを高めることが可能です。自社でグローバルIPを持っていない場合でも、今回ご紹介させていただいたVPN Gateway + ECS + NAT Gatewayの構成をご利用いただくことによって、接続PCの接続元IPを固定させることができます。もし、PCの接続元IPを固定させたい場合、ご紹介させていただいた構成をご利用いただけますと幸いです。

今回もご覧いただき、ありがとうございました。
他にも様々な記事を公開していますので、ぜひご覧ください。

関連サービス