NAT Gateway は、VPC 内の private subnet に置いたEC2やコンテナなどが、インターネットや外部ネットワークへ外向き通信するときに使うAWSのマネージドサービスです。AWS公式では、private subnet 内のインスタンスは VPC 外のサービスへ接続できるが、外部サービスはそれらのインスタンスとの接続を開始できない という役割で説明されています。
ポイントは、NAT Gateway は 入口 ではなく 出口 だということです。
private subnet のリソースは、プライベートIPしか持たず、通常はそのままインターネットへ直接出る設計ではありません。そこで NAT Gateway が送信元アドレスを変換し、外向き通信だけを成立させます。戻りの通信は NAT Gateway 経由で元のリソースへ返りますが、外から新しく始まる接続は受けません。
実務では、OSアップデート、パッケージ取得、外部API呼び出しなどでよく使われます。
一方で、SSH や RDP の入口にはならないので、管理接続は Session Manager や踏み台など別の手段で考えます。
また、NAT Gateway は public subnet に作り、private subnet 側のデフォルトルートを NAT Gateway に向ける構成が基本です。さらに、特定の Availability Zone に依存するので、本番ではAZごとの配置やクロスAZ通信コストも見ます。AWS公式でも、利用リソースと同じAZに置く、またはAZごとに用意する考え方が案内されています。
費用面でも注意が必要です。NAT Gateway は稼働時間と処理データ量の両方で課金されるため、小規模環境でも相対的に重く見えることがあります。AWSサービス向け通信では、VPC Endpoint を使って NAT Gateway を通さないほうが効率的な場合もあります。
ひとことで言うと、NAT Gateway は private subnet を public にせず、外向き通信だけ許可するための送信用出口 です。詳しくは NAT Gatewayとは?private subnet がそのままでは外へ出られない理由をAWSで整理 でまとめています。