S4 NAT
Amazon VPC向けコスト最適化NAT
Amazon VPCのプライベートサブネットに、標準EC2上のコスト最適化されたインターネットegress(ソースNAT)を提供。フラットな時間課金 + 選んだEC2料金のみで、GB単位のデータ処理料はゼロ。Amazon Linux 2023 AMIとして提供し、active/standby HA(通常10秒未満のフェイルオーバー)、IPv6専用サブネット向けNAT64、任意のXDP高速パスを内蔵。CloudFormationテンプレートで数分でデプロイできます。
S4 NAT は、標準EC2インスタンス上に構築されたコスト最適化のインターネットegressをVPCのプライベートサブネットへ提供します。ソースNAT(MASQUERADE)を行い、支払いはフラットな時間課金のソフトウェア利用料 + 選んだインスタンス料金のみ。GB単位のデータ処理料が無いため、コストは予測可能でegress量から切り離されます。帯域は選択したインスタンスタイプに比例。HAは標準装備で、active/standbyのCloudFormationを展開するとstandbyが常時ハートビートし、障害時はec2:ReplaceRouteでルートテーブルを自身のENIへ書き換え、共有Elastic IPを移動。通常10秒未満でフェイルオーバーします。
課題
AWS の NAT ゲートウェイは、プライベートサブネットが通すトラフィックに対し、時間課金とは別に 1GB あたり $0.045 のデータ処理料金を課金します。この料金は送信量に比例して増えるため、高スループットなワークロードでは月 10TB で請求の大半を占め、50TB 規模では数千ドルに達することもあり、コストの予測が困難になります。支払額が NAT の実際の処理ではなく転送量に連動してしまう点が課題です。
仕組み
- 1
CloudFormation でデプロイ
single または HA 用の CloudFormation テンプレートが、NAT インスタンス、source/dest チェックを無効化した ENI、最小権限の IAM ロール、VPC スコープのセキュリティグループを自動で作成します。
- 2
プライベートルートを向ける
スタックがプライベートサブネットの 0.0.0.0/0 ルートを NAT インスタンスの ENI に書き換え、natd が nftables MASQUERADE で送信元 NAT を行います。
- 3
スタンバイが監視し切替
HA 構成ではスタンバイが UDP ハートビートでアクティブを監視し、障害時にはルートテーブルを自身の ENI に書き換え(ec2:ReplaceRoute)、共有 Elastic IP を移動して、通常 10 秒未満で引き継ぎます。
特長
GB単位のデータ処理料なし: 時間課金のソフトウェア利用料 + 選んだEC2のみ。NATの請求が予測可能でegress量から独立。
HA標準装備: AZ跨ぎのactive/standbyがルートテーブル書き換え(ec2:ReplaceRoute)と共有Elastic IP移動で通常10秒未満にフェイルオーバー。60回連続ドリルで失敗0。
全部入り・ロックインなし: IPv6専用サブネット向けNAT64(RFC 6146)、任意のXDP高速パス、CloudFormationテンプレート(single + HA) — すべて自分のVPC内の標準Amazon Linux 2023 AMI上。
含まれるもの
- Amazon Linux 2023 ベースの AMI(Graviton arm64 をデフォルト、x86_64 版も提供)
- nftables MASQUERADE のデータプレーン(Linux IPv4 フォワーディング、ENI の source/dest チェック無効、データ処理料金 $0/GB)
- 2 つの AZ にまたがるアクティブ/スタンバイ HA(ec2:ReplaceRoute によるルート書き換え+共有 Elastic IP の再割り当てで送信元パブリック IP を一定に保持)
- NAT64(RFC 6146)— 内蔵 tayga トランスレータで IPv6 専用サブネットから IPv4 インターネットへ到達(実 EC2 で検証済み)
- オプションの XDP ファストパス(v1 のサポート対象はカーネル nftables、XDP は任意の高速化パス)
- CloudFormation テンプレート — single(cfn-single.yaml)と HA ペア(cfn-ha.yaml)のワンクリック構成
- S4/NAT namespace の CloudWatch メトリクス(スループット、conntrack 使用率、フェイルオーバー、ハートビート)+付属のアラームとダッシュボード
こんな用途に
1GB あたりの NAT 課金が請求を圧迫する、送信量の多いプライベートサブネット
トラフィック量に左右されない、予測可能でフラットな NAT コストを求めるチーム
IPv4 インターネットへの到達が必要な IPv6 専用サブネット(NAT64)
プライベートサブネットからの外向き通信で、マネージド NAT ゲートウェイを置き換えたいケース
よくある質問
本当にマネージド NAT ゲートウェイより安いのですか?
1GB あたり $0.045 のデータ処理料金を完全になくし($0/GB)、フラットな時間課金のソフトウェア料金と、選択した EC2 インスタンス代のみになります。アプライアンス側のコストが一定のため転送量が増えるほど削減効果が広がり、試算では単体構成で月約 1TB の NAT トラフィックが損益分岐点、月 10TB では約 84% の削減になります。なお損益分岐点はトラフィック量・インスタンスサイズ・稼働時間によって変わり、AZ 間転送やインターネット送信の転送料は従来どおり課金されます。
フェイルオーバーは無瞬断ですか?
高速ですが無瞬断ではありません。スタンバイがルートテーブルを書き換え、Elastic IP を移動して、通常 10 秒未満(平均約 4 秒、100 回中 100 回成功・失敗ゼロ)で引き継ぎます。切替時に確立済みの接続はリセットされますが、クライアントは再接続でき、新規接続は直ちに成功します。AWS 上のインスタンス NAT で無瞬断の外向きフェイルオーバーは実現できないため、当社はそれを主張しません。
帯域はどれくらい出ますか?
帯域はマネージドの固定上限ではなく、選択した EC2 インスタンスタイプに依存します。c6in.large 上で iperf3 を用い、NAT 経由で約 4.78 Gbps を計測しました。より大きいネットワーク最適化インスタンスではさらにスケールするため、必要なスループットに合わせてインスタンスを選定してください。
IPv6 専用サブネットに対応していますか?
対応しています。内蔵の NAT64(RFC 6146)が、付属の tayga トランスレータで IPv6 専用クライアントのトラフィックを IPv4 インターネット向けに変換します。実 EC2 で外部 IPv4 ホストへ到達し、パケットロス 0% を確認済みです。
セキュリティは安全ですか。どのようにデプロイしますか?
S4 NAT はお客様自身の VPC 内で動作し、トラフィックがアカウント外に出ることはありません。NAT ENI の source/dest チェックは無効化され、最小権限の IAM ロールと VPC スコープのセキュリティグループが付与されます。デプロイは付属の CloudFormation テンプレートで行い、単体構成は cfn-single.yaml、アクティブ/スタンバイの HA ペアは cfn-ha.yaml を使用します。
料金モデル
時間課金のソフトウェア利用料 + EC2(t4g/c6g等のArm/x86)。GBデータ処理料なし。インスタンスタイプ別の従量課金、年額オプションあり。
