翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EC2 インスタンスでの NAT ゲートウェイと Gateway Load Balancer を使用した一元的な IPv4 出力
<a name="using-nat-gateway-and-gwlb-with-ec2"></a>

 AWS Marketplace と からのソフトウェアベースの仮想アプライアンス (Amazon EC2 上) を出口ポイント AWS Partner Network として使用する方法は、NAT ゲートウェイのセットアップと似ています。このオプションは、さまざまなベンダーが提供する高度なレイヤー 7 ファイアウォール/侵入防止/検出システム (IPS/IDS) およびディープパケットインスペクション機能を使用する場合に使用できます。

次の図では、NAT ゲートウェイに加えて、Gateway Load Balancer (GWLB) の背後にある EC2 インスタンスを使用して仮想アプライアンスをデプロイします。この設定では、GWLB、Gateway Load Balancer Endpoint (GWLBE)、仮想アプライアンス、NAT ゲートウェイが、VPC アタッチメントを使用して Transit Gateway に接続されている一元化された VPC にデプロイされます。スポーク VPCsは、VPC アタッチメントを使用して Transit Gateway にも接続されます。GWLBEs はルーティング可能なターゲットであるため、Transit Gateway との間で送受信されるトラフィックを、GWLB の背後にあるターゲットとして設定された仮想アプライアンスのフリートにルーティングできます。GWLB bump-in-the-wireとして機能し、すべての Layer 3 トラフィックをサードパーティーの仮想アプライアンスに透過的に渡すため、トラフィックの送信元と送信先には表示されません。したがって、このアーキテクチャにより、Transit Gateway を通過するすべての出力トラフィックを一元的に検査できます。

VPCs[「AWS Gateway Load Balancer を使用した一元化された検査アーキテクチャ AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/)」および「」を参照してください。

Transit Gateway でアプライアンスモードを有効にして、仮想アプライアンスを介してフロー対称性を維持できます。つまり、双方向トラフィックは、フローの存続期間中、同じアプライアンスとアベイラビリティーゾーンを介してルーティングされます。この設定は、ディープパケットインスペクションを実行するステートフルファイアウォールにとって特に重要です。アプライアンスモードを有効にすると、ソースネットワークアドレス変換 (SNAT) などの複雑な回避策が不要になり、トラフィックを適切なアプライアンスに強制的に戻して対称性を維持します。詳細については、「[Gateway Load Balancer をデプロイするためのベストプラクティス](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)」を参照してください。

Transit Gateway を使用せずに GWLB エンドポイントを分散的にデプロイして、出力検査を有効にすることもできます。このアーキテクチャパターンの詳細については、ブログ記事[「AWS Gateway Load Balancer の紹介: サポートされているアーキテクチャパターン](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-gateway-load-balancer-supported-architecture-patterns/)」を参照してください。

![\[Gateway Load Balancer と EC2 インスタンスによる集中出力を示す図 (ルートテーブル設計)\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/centralized-egress-gwlb-and-ec2.png)


## 高可用性
<a name="high-availabilty-2"></a>

AWS では、可用性を高めるために、Gateway Load Balancer と仮想アプライアンスを複数のアベイラビリティーゾーンにデプロイすることをお勧めします。

Gateway Load Balancer は、ヘルスチェックを実行して仮想アプライアンスの障害を検出できます。アプライアンスに異常がある場合、GWLB は新しいフローを正常なアプライアンスに再ルーティングします。既存のフローは、ターゲットのヘルスステータスに関係なく、常に同じターゲットに送信されます。これにより、接続ドレインが可能になり、アプライアンスの CPU スパイクによるヘルスチェックの失敗に対応できます。詳細については、ブログ記事[「Gateway Load Balancer をデプロイするためのベストプラクティス](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)」の「セクション 4: アプライアンスとアベイラビリティーゾーンの障害シナリオを理解する」を参照してください。Gateway Load Balancer は、Auto Scaling グループをターゲットとして使用できます。この利点により、アプライアンスフリートの可用性とスケーラビリティの管理に手間がかかります。

## 利点
<a name="advantages"></a>

Gateway Load Balancer と Gateway Load Balancer エンドポイントは を利用しているため AWS PrivateLink、パブリックインターネットを経由することなく、VPC 境界間でトラフィックを安全に交換できます。

Gateway Load Balancer は、仮想セキュリティアプライアンスの管理、デプロイ、スケーリングの差別化されていない負担を軽減し、重要なことに集中できるようにするマネージドサービスです。Gateway Load Balancer は、お客様が を使用してサブスクライブできるように、ファイアウォールのスタックをエンドポイントサービスとして公開できます[AWS Marketplace](https://aws.amazon.com/marketplace)。これは Firewall as a Service (FWaaS) と呼ばれます。シンプルなデプロイを導入し、BGP と ECMP に依存して複数の Amazon EC2 インスタンスにトラフィックを分散する必要がなくなります。

## 主な考慮事項
<a name="key-considerations-2"></a>
+ アプライアンスは、GWLB と統合するために [Geneve](https://datatracker.ietf.org/doc/html/rfc8926) カプセル化プロトコルをサポートする必要があります。
+ 一部のサードパーティーアプライアンスは SNAT およびオーバーレイルーティング ([2 アームモード](https://networkgeekstuff.com/networking/basic-load-balancer-scenarios-explained/)) をサポートできるため、コストを削減するために NAT ゲートウェイを作成する必要がなくなります。ただし、このモードを使用する前に、任意の AWS パートナーに相談してください。これはベンダーのサポートと実装に依存します。
+  [GWLB アイドルタイムアウト](https://docs.aws.amazon.com/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#idle-timeout)を書き留めます。これにより、クライアントで接続がタイムアウトする可能性があります。クライアント、サーバー、ファイアウォール、OS レベルでタイムアウトを調整して、これを回避できます。詳細については、[「Gateway Load Balancer をデプロイするためのベストプラクティス](https://aws.amazon.com/blogs/networking-and-content-delivery/best-practices-for-deploying-gateway-load-balancer/)」ブログ記事の*「セクション 1: TCP キープアライブ値またはタイムアウト値をチューニングして、存続期間の長い TCP フローをサポートする*」を参照してください。
+ GWLBE は を利用しているため AWS PrivateLink、 AWS PrivateLink 料金が適用されます。詳細については、 の[AWS PrivateLink 料金表ページ](https://aws.amazon.com/privatelink/pricing/)を参照してください。Transit Gateway で一元化されたモデルを使用している場合は、TGW データ処理料金が適用されます。
+ Transit Gateway と Egress VPC を別の Network Services アカウントにデプロイして、ネットワーク管理者のみが Network Services アカウントにアクセスできるなど、職務の委任に基づいてアクセスを分離することを検討してください。