Regional NAT Gateway + TGW アウトバウンド集約のコストを試算して採用基準を整理してみた
2026年5月のアップデートで TGW 直接指定が可能になり、Regional NAT GW による集約構成の課題が解消されました。東京 3AZ での損益分岐点、Gateway/Interface Endpoint の配置方針、運用設計のポイントをコスト試算とともに整理しています。
2026年5月、リージョナル NAT Gateway(リージョン NAT ゲートウェイ)のエッジルートテーブルで Transit Gateway の直接指定がサポートされました。
これにより Regional NAT GW リリース当初に残っていた課題が解消され、複数 VPC のアウトバウンド通信を実用的に集約できるようになりました。本記事では東京リージョン 3AZ を前提に、コスト試算・設計判断フローチャート・運用上の注意点をまとめます。
結論(Executive Summary)
開発・本番で VPC を分離し、今後の増設が見込まれるなら、初期から集約 VPC + Regional NAT GW + TGW を構築するとトータルで有利です。
判断の要点:
✅ VPC 3個以上(将来含む)→ 集約が有利
✅ Gateway Endpoint (S3/DynamoDB) → 全 VPC に無条件設置
✅ Interface VPCE → 集約 VPC に段階的追加
⚠️ 例外: NAT インスタンス自前管理 / 数十TB超の大規模通信
以下でコスト計算を交えて根拠を解説します。
はじめに — なぜ今アウトバウンド集約を推奨するか
2026年5月、AWS 公式ドキュメントに以下の記載が追加されました。
リージョン NAT ゲートウェイは、リージョン NAT ゲートウェイルートテーブルで有効なルートとして AWS Transit Gateway をサポートします
のんピさんの記事(2025/11/22)で「エッジルートテーブルのルートのターゲットとして Transit Gateway を指定できるようになるのを待ちましょう」と結論づけられていた制限が解消されました。
GA 時の問題と現在の比較
| 項目 | GA 時(2025/11) | 現在(2026/05) |
|---|---|---|
| エッジ RT に TGW 指定 | ❌ GA 後2日で削除 | ✅ サポート |
| ワークアラウンド | ENI 直接指定(SPOF) | 不要 |
| 片 AZ 障害時 | ❌ 全 AZ 通信不能 | ✅ 残存 AZ にフォールバック |
| クロス AZ 料金 | ⚠️ 常時発生 | ✅ 正常時は発生しない |
のんピさんによる同アップデートの検証記事も参照ください。
推奨構成の概要
複数の Spoke VPC(開発・本番・将来追加分)のインターネット出口を、1 つの Egress VPC に集約する構成です。
[Spoke VPC A] ──┐
├── TGW ──→ [Egress VPC] ──→ Regional NAT GW ──→ IGW ──→ Internet
[Spoke VPC B] ──┘
トラフィックフロー
往路:
EC2 (AZ-a) → Spoke TGW Subnet (AZ-a) → TGW → Egress TGW Subnet (AZ-a)
→ Regional NAT GW (AZ-a EIP) → IGW → Internet
復路:
Internet → IGW → Regional NAT GW (DNAT: EIP → Private IP)
→ エッジ RT: Spoke CIDR → TGW ← 今回サポートされたルート
→ TGW → Spoke VPC → EC2
Regional NAT GW + TGW 直接指定(Appliance Mode: disable)では、正常時は各 AZ 内で処理が完結し、片 AZ 障害時は残存 AZ にフォールバックします。AZ アフィニティの詳細は後述の「AZ 数の選択」で解説します。
コスト試算(東京リージョン, 3AZ)
料金表
以下は 2026年5月時点の東京リージョン料金です。最新料金は各公式料金ページを確認してください。
| 項目 | 単価 | 月額換算 (730h) |
|---|---|---|
| Zonal NAT GW 時間 | $0.062/h | $45.26/月 |
| Regional NAT GW 時間 | $0.062/h/AZ | $45.26/月/AZ |
| NAT GW データ処理 | $0.062/GB | — |
| TGW Attachment 時間 | $0.07/h | $51.10/月 |
| TGW データ処理 | $0.02/GB | — |
| Interface VPCE 時間 | $0.014/h/AZ | $10.22/月/AZ |
| VPCE データ処理 | $0.01/GB | — |
| EIP | $0.005/h | $3.65/月 |
変数の定義
- N: Spoke VPC の数
- D_nat: NAT GW を通過する月間データ処理量(往路・復路の合計 GB)
- D_vpce: Interface VPCE で処理される月間データ量(往路・復路の合計 GB)
- E: 集約する Interface VPCE の種類数
NAT GW 分散 vs 集約
分散構成(VPC 毎に Zonal NAT GW × 3AZ)
月額 = N × $146.73 + D_nat × $0.062
集約構成(Regional NAT GW + TGW)
月額 = $197.83 + $51.10N + D_nat × $0.082
損益分岐点
N > (197.83 + 0.02 × D_nat) / 95.63
データ量が 0 の場合: N > 2.07 → VPC 3個以上で集約が有利です。 ただし D_nat が大きくなると閾値は上がります(下表の「逆転データ量」参照)。
具体例
| VPC数 | データ量/月 | 分散月額 | 集約月額 | 差額 | 判定 |
|---|---|---|---|---|---|
| 3 | 100 GB | $446 | $359 | -$87 | 集約が安い |
| 5 | 1 TB | $796 | $535 | -$260 | 集約が安い |
| 10 | 1 TB | $1,529 | $791 | -$738 | 集約が安い |
| 10 | 10 TB | $2,087 | $1,529 | -$558 | 集約が安い |
| 5 | 100 TB | $6,934 | $8,653 | +$1,720 | 分散が安い |
TGW データ処理 $0.02/GB で逆転するデータ量の目安:
| VPC数 | 逆転データ量 |
|---|---|
| 3 | 4.5 TB/月 |
| 5 | 14.0 TB/月 |
| 10 | 37.9 TB/月 |
Interface VPCE 分散 vs 集約
分散(各 VPC に VPCE)
月額 = N × E × $30.66 + D_vpce × $0.01
集約(集約 VPC に VPCE、TGW 経由)
月額 = E × $30.66 + D_vpce × $0.03
※ TGW Attachment は NAT GW 集約のために既に存在する前提です。
損益分岐点
D_vpce < (N-1) × E × 1,533 GB
| VPC数 | VPCE種別数 | 固定費差額/月 | 逆転データ量 |
|---|---|---|---|
| 5 | 5 | $613.20 | 30.7 TB |
| 10 | 5 | $1,379.70 | 69.0 TB |
| 10 | 10 | $2,759.40 | 138.0 TB |
通常のワークロード(数TB/月程度)であれば、VPCE は集約一択です。
総合比較(5VPC, VPCE 5種別)
NAT GW + VPCE の固定費を合算した月額です(データ処理費は通信量・経路により変動するため固定費のみで比較)。
| 構成 | 固定費/月 |
|---|---|
| 全分散(NAT GW×5VPC + VPCE×5VPC) | $1,500 |
| 全集約(Regional NAT + VPCE 集約) | $607 |
| NAT集約 + VPCE分散 | $1,220 |
全集約は全分散に対して月 $893 の固定費削減になります。この差額を TGW データ処理の追加コスト($0.02/GB)で割ると、約 45TB/月 で逆転します。通常のワークロードでは全集約が有利です。
AZ アフィニティが維持されるため、クロス AZ データ転送料金(往復 $0.02/GB)が正常時は発生しない点も、試算に含めていない隠れたメリットです。
Gateway 型 Endpoint は全 VPC に無条件設置
S3 と DynamoDB の Gateway 型 VPC Endpoint は無料です。設置しない場合、NAT GW 経由で $0.062/GB が発生します。
- 全 Spoke VPC + 集約 VPC の両方に個別設置する(Gateway Endpoint は同一 VPC 内からのみ利用可能。TGW 越しでは機能しません)
- 集約 VPC への設置は、集約 VPC 自身の S3 通信用です(ECR イメージレイヤーの取得先は S3)
- DynamoDB も無料のため、利用予定がある、または将来利用する可能性がある VPC では標準設置を推奨します
Interface VPCE は集約 VPC に段階的追加
無条件に追加するのではなく、NAT GW のデータ処理費を見ながら段階的に追加します。
追加判断の手順
- CloudWatch メトリクスで NAT GW の
BytesOutToDestination+BytesOutToSourceを監視(無料) - 費用が想定を超えたら VPC Flow Logs を 1〜2 週間取得(S3 保存)
- Athena で宛先 IP を集計し、AWS IP アドレスの範囲 と突合してサービスを特定
- 差額 $0.052/GB(NAT $0.062 − VPCE $0.01。TGW データ処理は両経路で同額のため相殺)× 通信量 > VPCE 固定費 なら追加
追加優先順位
| 優先度 | サービス | 理由 |
|---|---|---|
| 1 | S3 (Gateway型) | 無料。ECR レイヤー含む大容量通信の本体 |
| 2 | CloudWatch Logs | ログ量次第で大容量 |
| 3 | ECR (dkr + api) | 通信量が小さくコスト削減効果は限定的。大容量通信の実体は S3(後述) |
ECR の通信構造
ECR で NAT GW 経由を完全排除するには 3点セット が必要です:
com.amazonaws.ap-northeast-1.ecr.api(Interface VPCE)— 認証・メタデータ操作com.amazonaws.ap-northeast-1.ecr.dkr(Interface VPCE)— Docker Registry 通信用- S3 Gateway Endpoint(各 VPC に設置)— イメージレイヤーの実データ
ECR API/DKR 自体のデータ量は小さく(認証・マニフェストのみ)、イメージ取得時の通信の大半は S3 で発生します。S3 Gateway Endpoint が全 VPC に設置済みであれば、ECR イメージ取得の大半の通信は既に NAT GW を経由していません。
運用負荷の削減
コスト以外の大きな利点として、運用負荷が大幅に下がります。
| 項目 | 従来(Zonal NAT GW) | 集約構成 |
|---|---|---|
| Spoke VPC の RT 数 | AZ 毎に分離(3AZ なら 3つ/VPC) | 1つ(0.0.0.0/0 → TGW) |
| NAT GW 数 | AZ × VPC 数 | 1つ(Regional) |
| VPC 追加時 | NAT GW×3 + RT×3 + 関連付け | TGW Attach + RT 1行 |
| AZ 追加時 | NAT GW + RT + 関連付け追加 | サブネット追加のみ |
| 事故リスク | RT と NAT GW の AZ 不一致 | 構造的に防止 |
VPN 接続等で TGW が既に導入済みの場合、Egress VPC を追加して TGW ルートテーブルを更新するだけで移行できます。
運用上の設計ポイント
必須事項
TGW Attachment は全 3AZ に関連付け:
課金は Attachment 単位で AZ 数に依存しません。不足すると復路全断、または出口 EIP がラウンドロビンで不定になり IP 許可リスト管理が破綻します。
TGW ルートテーブルの分離:
| ルートテーブル | ルート | 用途 |
|---|---|---|
| Spoke 用 RT | 0.0.0.0/0 → Egress Attachment | インターネット向け |
| Egress 用 RT | Spoke CIDR → 各 Spoke Attachment | 戻り通信 |
Appliance Mode は disable:
Spoke → Egress の一方向通信であり、AZ アフィニティは TGW が自然に維持します。
VPC CIDR 設計:
Spoke VPC 同士・集約 VPC との CIDR 重複回避が前提です。エッジ RT のルートはスーパーネットで集約すると Spoke 追加時の変更が最小限で済みます。
SNAT ポート上限:
集約構成では全 VPC が同じ NAT GW の EIP を共有します。1 EIP あたり同一の宛先 IP・ポートの組み合わせに対する同時接続は 55,000 が上限です。特定 API への大量接続が想定される場合は事前に負荷テストを実施し、CloudWatch の ErrorPortAllocation を監視、必要に応じて EIP の追加(最大 8 個)を検討してください。
VPCE 集約時の DNS 設計
集約 VPC の Interface VPCE を Spoke VPC から名前解決するには、Route 53 Private Hosted Zone のクロスアカウント VPC 関連付けが必要になります。VPCE 集約を検討する際は留意してください。
セキュリティ監視
GuardDuty は Organizations 連携で全アカウントへの有効化を推奨します。集約アカウントでは全 Spoke の通信が通過するため脅威検知の要所になります。
Network Firewall / GWLB
トラフィック検査を追加する場合は、Appliance Mode やルーティング設計に別途検討が必要です。本記事では扱いません。
Regional NAT GW の AZ 数の選択
原則 3AZ を推奨します。
| 理由 | 効果 |
|---|---|
| 可用性 | 片 AZ 障害時にフォールバック |
| レイテンシ | 同一 AZ 内で処理完結 |
| コスト | クロス AZ 転送料金 $0.02/GB(往復)が発生しない |
| AZ マッピング差異が無関係 | アカウント毎に AZ 名(1a, 1c, 1d)と物理 AZ-ID の対応が異なる場合があるが、全 3AZ を使えば意識不要 |
AZ 数を減らす場合:
| 構成 | 節約額 | トレードオフ |
|---|---|---|
| 3AZ | — | なし(推奨) |
| 2AZ | $48.91/月 | 3つ目の AZ からクロス AZ 転送 |
| 1AZ | $97.82/月 | 全 AZ からクロス AZ 転送 + フォールバックなし |
VPC・サブネット・TGW Attachment は常に 3AZ 維持してください(コスト影響なし)。節約対象は NAT GW の AZ 展開数と EIP のみです。Regional NAT GW で作っておけば associate-nat-gateway-address で AZ 追加が容易です。
設計判断フローチャート
VPC 数 ≥ 3(将来含む)?
├─ NO → 分散で様子見 / VPC 増えたタイミングで移行検討
└─ YES → 初期から集約 VPC + TGW を構築 ★推奨
│
├─ Gateway Endpoint (S3/DynamoDB)
│ → 全 VPC に無条件設置(TGW 越し不可のため各 VPC に)
│
├─ Interface VPCE
│ → 集約 VPC に段階的追加(差額 $0.052/GB で判断)
│
├─ セキュリティ
│ → GuardDuty 全アカウント有効化
│
└─ 例外に該当する VPC は集約対象外(↓)
例外: 集約しない方が良いケース
開発環境を NAT インスタンスで割り切る場合
可用性不要 + 自前管理できるなら月 $10 程度で済みます(t4g.nano 24/7 + EIP + EBS)。TGW Attachment 費用も不要です。
- 開発環境のNAT Gatewayをfck-natに変えたら月額$45が$4になった話 — fck-nat(OSS 実装)
NAT GW の通信量が非常に多い VPC(月 10TB 超が目安)
TGW データ処理 $0.02/GB が支配的になります。損益分岐点は VPC 数によって変わりますが(3VPC なら 4.5TB、5VPC なら 14TB)、月 10TB で TGW データ処理 $200/月、TGW Attachment $51.10 の節約を大きく上回ります。自前 NAT GW 3AZ 冗長($146.73)が必要になる点も考慮し、特定 VPC だけ通信量が突出している場合はその VPC のみローカル NAT GW を持たせる構成も検討してください。
VPC 間通信が一切不要で将来も増設予定なし
TGW の存在意義がないため、集約構成は過剰投資です。
まとめ
Regional NAT GW のエッジ RT で TGW 直接指定がサポートされたことで、アウトバウンド通信の集約が実用的になりました。開発・本番の 2 Spoke VPC に加えて将来 1 VPC 以上の増設が見込まれる環境では、初期から集約構成が合理的です。
NAT GW や IPv4 パブリックアドレスのコスト最適化が課題となっている場合は、集約構成の検討をおすすめします。
参考リンク
- リージョン NAT ゲートウェイ - Amazon VPC
- リージョナル NAT Gateway がトランジットゲートウェイ(TGW)をサポートしたのでアウトバウンド通信の集約構成を試してみた
- [アップデート] Regional NAT GatewayがAWS Transit Gatewayとの連携をサポートしたのでインターネットへのアウトバウンド通信集約をやってみた
- リージョナルNAT Gatewayを複数VPCのインターネットアウトバウンド集約に使用することは現状オススメしない件
- AWS PrivateLink Pricing
- AWS Transit Gateway Pricing
- Amazon VPC Pricing
- AZ ID を使用したリソースのマッピング
- 開発環境のNAT Gatewayをfck-natに変えたら月額$45が$4になった話
