Konfigurieren von Routing-Tabellen - Amazon Virtual Private Cloud
Routing-Tabellen-KonzepteSubnetz-RoutingtabellenGateway-Routing-TabellenRoutenprioritätKontingente für Routing-TabellenBeheben Sie Probleme mit der Erreichbarkeit

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Routing-Tabellen

Eine Routing-Tabelle enthält Regeln, sogenannte Routen, die festlegen, wohin der Netzwerkverkehr von Ihrem Subnetz oder Gateway gelenkt wird.

Inhalt

Routing-Tabellen-Konzepte

Im Folgenden sind die wichtigsten Konzepte für Routing-Tabellen aufgeführt.

  • Haupt-Routing-Tabelle – Die Routing-Tabelle, die automatisch mit Ihrer VPC geliefert wird. Diese steuert das Routing für alle Subnetze, denen nicht ausdrücklich eine andere Routing-Tabelle zugeordnet ist.

  • Benutzerdefinierte Routing-Tabelle – Eine Routing-Tabelle, die Sie für Ihre VPC erstellen.

  • Ziel – Der Bereich von IP-Adressen, zu dem der Datenverkehr gelangen soll (Ziel-CIDR). Zum Beispiel ein externes Unternehmensnetzwerk mit einem 172.16.0.0/12-CIDR.

  • Ziel – Das Gateway, die Netzwerkschnittstelle oder die Verbindung, über die der Zieldatenverkehr gesendet werden soll, z. B. ein Internet-Gateway.

  • Routing-Tabellenzuordnung – Die Zuordnung zwischen einer Routing-Tabelle und einem Subnetz, einem Internet-Gateway oder einem Virtual Private Gateway.

  • Subnetz-Routing-Tabelle – Eine Routing-Tabelle, die einem Subnetz zugeordnet ist.

  • Lokale Route – Eine Standardroute für die Kommunikation innerhalb der VPC.

  • Verteilung – Wenn Sie ein Virtual Private Gateway an Ihre VPC angefügt und die Routing-Verteilung aktiviert haben, fügen wir Ihren Subnetz-Routing-Tabellen automatisch Routen für Ihre VPN-Verbindung hinzu. Das bedeutet, dass Sie VPN-Routen nicht manuell hinzufügen oder entfernen müssen. Weitere Informationen finden Sie unter Site-to-Site-VPN-Routing-Optionen im Site-to-Site-VPN-Benutzerhandbuch.

  • Gateway-Routing-Tabelle – Eine Routing-Tabelle, die einem Internet-Gateway oder einem Virtual Private Gateway zugeordnet ist.

  • Edge-Zuordnung – Eine Routing-Tabelle, mit der Sie eingehenden VPC-Datenverkehr an eine Appliance weiterleiten. Sie ordnen eine Routing-Tabelle dem Internet-Gateway oder dem Virtual Private Gateway zu und geben die Netzwerkschnittstelle Ihrer Appliance als Ziel für den VPC-Datenverkehr an.

  • Transit Gateway-Routing-Tabelle – Eine Routing-Tabelle, die einem Transit Gateway zugeordnet ist. Weitere Informationen finden Sie unter Transit-Gateway-Routing-Tabellen in Amazon-VPC-Transit-Gateways.

  • Lokale Gateway-Routing-Tabelle – Eine Routing-Tabelle, die einem lokalen Gateway von Outposts zugeordnet ist. Weitere Informationen finden Sie unter Lokale Gateways im AWS Outposts -Benutzerhandbuch.

Subnetz-Routingtabellen

Ihre VPC verfügt über einen impliziten Router und Sie verwenden Routing-Tabellen, um zu steuern, wohin der Netzwerkdatenverkehr geleitet wird. Jedem Subnetz in Ihrer VPC muss eine Routing-Tabelle zugeordnet werden. Diese Tabelle steuert das Routing für das Subnetz. Sie können ein Subnetz einer bestimmten Routing-Tabelle explizit zuordnen. Andernfalls wird das Subnetz implizit der Haupt-Routing-Tabelle zugeordnet. Ein Subnetz kann jeweils nur mit einer Routing-Tabelle verknüpft sein, aber Sie können einer Routing-Tabelle mehrere Subnetze zuordnen.

Routen

Jede Route in einer Tabelle gibt einen Zielbereich und ein Ziel an. Wenn Ihr Subnetz beispielsweise über ein Internet-Gateway auf das Internet zugreifen kann, fügen Sie der Subnetz-Routing-Tabelle die folgende Route hinzu. Der Zielbereich für die Route ist 0.0.0.0/0, das für alle IPv4-Adressen steht. Das Ziel ist das Internet-Gateway, das an Ihre VPC angeschlossen ist.

Bestimmungsort Ziel
0.0.0.0/0 igw-id

CIDR-Blöcke für IPv4 und IPv6 werden separat behandelt. Eine Route mit dem Zielbereich-CIDR 0.0.0.0/0 schließt daher nicht automatisch auch alle IPv6-Adressen ein. Sie müssen für die IPv6-Adressen eine eigene Route mit dem Zielbereich-CIDR ::/0 erstellen.

Wenn Sie in Ihren AWS Ressourcen häufig auf denselben Satz von CIDR-Blöcken verweisen, können Sie eine vom Kunden verwaltete Präfixliste erstellen, um sie zu gruppieren. Anschließend können Sie die Präfixliste als Ziel in Ihrem Routing-Tabelleneintrag angeben.

Jede Routing-Tabelle enthält eine lokale Route für die Kommunikation innerhalb der VPC. Diese Route wird standardmäßig allen Routing-Tabellen hinzugefügt. Wenn Ihr VPC mehrere IPv4-CIDR-Blöcke hat, enthalten Ihre Routing-Tabellen eine lokale Route für jeden IPv4-CIDR-Block. Wenn Sie der VPC einen IPv6-CIDR-Block zugeordnet haben, enthalten Ihre Routing-Tabellen eine lokale Route für den IPv6 CIDR-Block. Sie können das Ziel jeder lokalen Route nach Bedarf ersetzen oder wiederherstellen.

Regeln und Überlegungen

  • Sie können Ihren Routing-Tabellen eine Route hinzufügen, die spezifischer als die lokale Route ist. Das Ziel muss mit dem gesamten IPv4- oder IPv6-CIDR-Block eines Subnetzes in Ihrer VPC übereinstimmen. Das Ziel muss ein NAT-Gateway, eine Netzwerkschnittstelle oder ein Gateway Load Balancer-Endpunkt sein.

  • Wenn Ihre Routing-Tabelle mehrere Routen enthält, verwenden wir die spezifischste mit dem Datenverkehr übereinstimmende Route in der Routing-Tabelle, um Datenverkehr weiterzuleiten (Übereinstimmung mit dem längsten Präfix).

  • Sie können keine Routen zu IPv4-Adressen hinzufügen, die dem folgenden Bereich genau entsprechen oder eine Teilmenge davon darstellen: 169.254.168.0/22. Dieser Bereich befindet sich innerhalb des Link-Local-Adressraums und ist für Dienste reserviert. AWS Amazon EC2 nutzt Adressen in diesem Bereich beispielsweise für Services, die nur über EC2-Instances zugänglich sind, z. B. den Instance Metadata Service (IMDS) und den Amazon-DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich 169.254.168.0/22 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich 169.254.168.0/22 bestimmt sind, nicht weitergeleitet.

  • Sie können keine Routen zu IPv6-Adressen hinzufügen, die dem folgenden Bereich genau entsprechen oder eine Teilmenge davon darstellen: fd00:ec2::/32. Dieser Bereich liegt innerhalb des ULA (Unique Local Address) -Bereichs und ist für die Nutzung durch AWS Dienste reserviert. Amazon EC2 nutzt Adressen in diesem Bereich beispielsweise für Services, die nur über EC2-Instances zugänglich sind, z. B. den Instance Metadata Service (IMDS) und den Amazon-DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich fd00:ec2::/32 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich fd00:ec2::/32 bestimmt sind, nicht weitergeleitet.

  • Sie können Middlebox-Appliances zu den Routing-Pfaden für Ihre VPC hinzufügen. Weitere Informationen finden Sie unter Routing für eine Middlebox-Appliance.

Beispiel

Nehmen Sie im folgenden Beispiel an, dass die VPC sowohl einen IPv4-CIDR-Block als auch einen IPv6-CIDR-Block hat. IPv4- und IPv6-Datenverkehr wird getrennt behandelt, wie in der folgenden Routing-Tabelle dargestellt.

Bestimmungsort Ziel
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

  • IPv4-Datenverkehr, der innerhalb der VPC (10.0.0.0/16) geroutet werden soll, wird von der Route Local abgedeckt.

  • IPv6-Datenverkehr, der innerhalb der VPC (2001:db8:1234:1a00::/56) geroutet werden soll, wird von der Route Local abgedeckt.

  • Die Route für 172.31.0.0/16 sendet Datenverkehr an eine Peering-Verbindung.

  • Die Route für den gesamten IPv4-Datenverkehr (0.0.0.0/0) sendet Datenverkehr an ein Internet-Gateway. Daher wird der gesamte IPv4-Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC und der Peering-Verbindung, an das Internet-Gateway weitergeleitet.

  • Die Route für den gesamten IPv6-Verkehr (::/0) sendet nur ausgehenden Datenverkehr an ein Internet-Gateway. Daher wird der gesamte IPv6-Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC, an das Internet-Gateway mit ausgehendem Datenverkehr weitergeleitet.

Haupt-Routing-Tabelle

Nachdem Sie eine VPC erstellt haben, besitzt diese automatisch eine Haupt-Routing-Tabelle. Wenn einem Subnetz keine explizite Routing-Tabelle zugeordnet ist, wird standardmäßig die Haupt-Routing-Tabelle verwendet. Auf der Seite Route Tables (Routing-Tabellen) der Amazon-VPC-Konsole sehen Sie anhand des Eintrags Yes (Ja) in der Spalte Main (Haupttabelle), welche Tabelle die Haupt-Routing-Tabelle der VPC ist.

Wenn Sie eine nicht standardmäßige VPC erstellen, enthält die Haupt-Routing-Tabelle standardmäßig nur eine lokale Route. Wenn Sie Erstellen einer VPC und ein NAT-Gateway auswählen, fügt Amazon VPC automatisch Routen zur Haupt-Routing-Tabelle für die Gateways hinzu.

Die folgenden Regeln gelten für die Haupt-Routingtabelle:

  • Sie können Routen in der Haupt-Routing-Tabelle hinzufügen, verändern oder daraus entfernen.

  • Die Haupt-Routing-Tabelle kann nicht gelöscht werden.

  • Sie können keine Gateway-Routing-Tabelle als Haupt-Routing-Tabelle festlegen.

  • Sie können die Haupt-Routing-Tabelle ersetzen, indem Sie eine benutzerdefinierte Routing-Tabelle einem Subnetz zuordnen.

  • Sie können einem Subnetz explizit die Haupt-Routing-Tabelle zuordnen, auch wenn diese bereits implizit zugeordnet ist.

    Möglicherweise möchten Sie dies tun, wenn Sie ändern, welche Tabelle die Haupt-Routing-Tabelle ist. Wenn Sie die Haupt-Routing-Tabelle ändern, wird auch die Standardtabelle für neu hinzugefügte Subnetze sowie Subnetze ohne explizit zugeordnete Routing-Tabelle geändert. Weitere Informationen finden Sie unter So ersetzen Sie die Routing-Haupttabelle.

Benutzerdefinierte Routing-Tabellen

Jede Routing-Tabelle enthält standardmäßig eine lokale Route für die Kommunikation innerhalb der VPC. Wenn Sie Erstellen einer VPC und ein öffentliches Subnetz wählen, erstellt Amazon VPC eine benutzerdefinierte Routing-Tabelle und fügt eine Route hinzu, die auf das Internet-Gateway verweist. Eine Möglichkeit, Ihre VPC zu schützen, besteht darin, die Haupt-Routing-Tabelle in ihrem ursprünglichen Standardzustand zu belassen. Ordnen Sie dann jedes neue Subnetz, das Sie erstellen, explizit einer der von Ihnen erstellten benutzerdefinierten Routing-Tabellen zu. So wird sichergestellt, dass Sie die Weiterleitung des Datenverkehrs der einzelnen Subnetze explizit steuern können.

Sie können Routen in der benutzerdefinierten Routing-Tabelle hinzufügen, ändern oder daraus entfernen. Sie können eine benutzerdefinierte Routing-Tabelle nur löschen, wenn sie keine Zuordnungen hat.

Zuordnung der Subnetz-Routing-Tabelle

Jedes Subnetz in Ihrer VPC muss mit einer Routing-Tabelle verknüpft sein. Ein Subnetz kann explizit mit einer benutzerdefinierten Routing-Tabelle oder implizit oder explizit mit der Haupt-Routing-Tabelle verknüpft werden. Weitere Hinweise zum Anzeigen der Subnetz- und Routing-Tabellenzuordnungen finden Sie unter Bestimmen, welche Subnetze und/oder Gateways explizit zugeordnet sind.

Subnetze, die sich in VPCs befinden, die mit Outposts verknüpft sind, können einen zusätzlichen Zieltyp eines lokalen Gateways haben. Dies ist der einzige Routing-Unterschied zu Nicht-Outposts-Subnetzen.

Beispiel 1: Implizite und explizite Subnetzzuordnung

Die folgende Abbildung zeigt das Routing für eine VPC mit einem Internet-Gateway und einem Virtual Private Gateway sowie einem öffentlichen Subnetz und einem reinen VPN-Subnetz.

Die Haupt-Routing-Tabelle ist implizit dem privaten Subnetz zugeordnet und die benutzerdefinierte Routing-Tabelle ist explizit dem öffentlichen Subnetz zugeordnet.

Routing-Tabelle A ist eine benutzerdefinierte Routing-Tabelle, die dem öffentlichen Subnetz explizit zugeordnet ist. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das Internet-Gateway sendet, was das Subnetz zu einem öffentlichen Subnetz macht.

Bestimmungsort Ziel
VPC-CIDR Local
0.0.0.0/0 igw-id

Routing-Tabelle B ist die Haupt-Routing-Tabelle. Es besteht implizit eine Zuordnung zum dem privaten Subnetz. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das virtuelle private Gateway sendet, aber keine Route zum Internet-Gateway, was das Subnetz zu einem reinen VPN-Subnetz macht. Wenn Sie in dieser VPC ein weiteres Subnetz erstellen und keine benutzerdefinierte Routing-Tabelle zuordnen, wird das Subnetz auch implizit dieser Routing-Tabelle zugeordnet, da es sich um die Haupt-Routing-Tabelle handelt.

Bestimmungsort Ziel
VPC-CIDR Local
0.0.0.0/0 vgw-id
Beispiel 2: Ersetzen der Haupt-Routing-Tabelle

Möglicherweise möchten Sie Änderungen an der Haupt-Routing-Tabelle vornehmen. Um Störungen des Datenverkehrs zu vermeiden, empfehlen wir, zuerst die Routenänderungen mithilfe einer benutzerdefinierten Routing-Tabelle zu testen. Wenn Sie mit dem Ergebnis des Tests zufrieden sind, können Sie die Haupt-Routing-Tabelle durch die neue benutzerdefinierte Tabelle ersetzen.

Das folgende Diagramm zeigt zwei Subnetze und zwei Routing-Tabellen. Subnetz A ist implizit der Routing-Tabelle A, der Haupt-Routing-Tabelle, zugeordnet. Subnetz B ist implizit der Routing-Tabelle A zugeordnet. Die Routing-Tabelle B, eine benutzerdefinierte Routing-Tabelle, ist keinem der Subnetze zugeordnet.

Zwei Subnetze mit impliziten Zuordnungen zur Routing-Tabelle A, der Haupt-Routing-Tabelle.

Um die Haupt-Routing-Tabelle zu ersetzen, erstellen Sie zunächst eine explizite Zuordnung zwischen Subnetz B und Routing-Tabelle B. Testen Sie die Routing-Tabelle B.

Subnetz B ist jetzt explizit der Routing-Tabelle B zugeordnet, einer benutzerdefinierten Routing-Tabelle.

Nachdem Sie die Routing-Tabelle B getestet haben, machen Sie sie zur Haupt-Routing-Tabelle. Subnetz B hat immer noch eine explizite Zuordnung zur Routing-Tabelle B. Subnetz A hat jedoch jetzt eine implizite Zuordnung zur Routing-Tabelle B, da die Routing-Tabelle B die neue Haupt-Routing-Tabelle ist. Die Routing-Tabelle A ist keinem der Subnetze mehr zugeordnet.

Subnetz A ist jetzt implizit der Routing-Tabelle B, der Haupt-Routing-Tabelle, zugeordnet, während Subnetz B immer noch explizit der Routing-Tabelle B zugeordnet ist.

(Optional) Wenn Sie das Subnetz B von der Routing-Tabelle B trennen, besteht weiterhin eine implizite Verbindung zwischen Subnetz B und Routing-Tabelle B. Wenn Sie die Routing-Tabelle A nicht mehr benötigen, können Sie sie löschen.

Beide Subnetze sind implizit der Routing-Tabelle B zugeordnet.

Gateway-Routing-Tabellen

Sie können eine Routing-Tabelle einem Internet-Gateway oder einem Virtual Private Gateway zuordnen. Wenn eine Routing-Tabelle einem Gateway zugeordnet ist, wird sie als Gateway-Routing-Tabellebezeichnet. Sie können eine Gateway-Routing-Tabelle erstellen, um den Routing-Pfad des Datenverkehrs in Ihre VPC genau zu steuern. Beispielsweise können Sie den Datenverkehr, der über ein Internet-Gateway in Ihre VPC gelangt, abfangen, indem Sie diesen Datenverkehr an eine Middlebox-Appliance (wie etwa eine Sicherheitseinheit) in Ihrer VPC umleiten.

Route von Gateway-Routing-Tabellen

Eine Gateway-Routing-Tabelle, die einem Internet-Gateway zugeordnet ist, unterstützt Routen mit den folgenden Zielen:

Eine einem Virtual Private Gateway zugeordnete Gateway-Routing-Tabelle unterstützt Routen mit den folgenden Zielen:

Wenn das Ziel ein Gateway Load Balancer-Endpunkt oder eine Netzwerkschnittstelle ist, sind folgende Ziele zulässig:

  • Der gesamte IPv4- oder IPv6-CIDR-Block Ihrer VPC. In diesem Fall ersetzen Sie das Ziel der lokalen Standardroute.

  • Der gesamte IPv4- oder IPv6-CIDR-Block eines Subnetzes in Ihrer VPC. Dies ist eine spezifischere Route als die lokale Standardroute.

Wenn Sie das Ziel der lokalen Route in einer Gateway-Routing-Tabelle zu einer Netzwerkschnittstelle in Ihrer VPC ändern, können Sie es später auf das local-Standardziel wiederherstellen. Weitere Informationen finden Sie unter Ersetzen oder Wiederherstellen des Ziels für eine lokale Route.

Beispiel

In der folgenden Gateway-Routing-Tabelle wird der für ein Subnetz mit dem 172.31.0.0/20-CIDR-Block bestimmte Datenverkehr an eine bestimmte Netzwerkschnittstelle weitergeleitet. Datenverkehr, der für alle anderen Subnetze in der VPC bestimmt ist, verwendet die lokale Route.

Ziel Ziel
172.31.0.0/16 Local
172.31.0.0/20 eni-id
Beispiel

In der folgenden Gateway-Routing-Tabelle wird das Ziel für die lokale Route durch eine Netzwerkschnittstellen-ID ersetzt. Datenverkehr, der für alle Subnetze innerhalb der VPC bestimmt ist, wird an die Netzwerkschnittstelle weitergeleitet.

Ziel Ziel
172.31.0.0/16 eni-id

Regeln und Überlegungen

Sie können eine Routing-Tabelle einem Gateway nicht zuordnen, wenn eine der folgenden Punkte zutrifft:

  • Die Routingtabelle enthält vorhandene Routen mit anderen Zielen als einer Netzwerkschnittstelle, einem Gateway Load Balancer-Endpunkt oder der lokalen Standardroute.

  • Die Routing-Tabelle enthält vorhandene Routen zu CIDR-Blöcken außerhalb der Bereiche in Ihrer VPC.

  • Die Routenverbreitung ist für die Routing-Tabelle aktiviert.

Darüber hinaus gelten die folgenden Regeln und Überlegungen:

  • Sie können keine Routen zu CIDR-Blocks außerhalb der Bereiche in Ihrer VPC hinzufügen, einschließlich Bereiche, die größer sind als die einzelnen VPC-CIDR-Blöcke.

  • Sie können nur local, einen Gateway Load Balancer-Endpunkt oder eine Netzwerkschnittstelle als Ziel angeben. Sie können keine anderen Zieltypen angeben, auch keine einzelnen Host-IP-Adressen. Weitere Informationen finden Sie unter Beispiele für Routing-Optionen.

  • Sie können keine Präfixliste als Ziel angeben.

  • Sie können keine Gateway-Routing-Tabelle verwenden, um Datenverkehr außerhalb Ihrer VPC zu steuern oder abzufangen, z. B. den Datenverkehr über ein angeschlossenes Transit-Gateway. Sie können Datenverkehr, der in Ihre VPC eintritt, abfangen und nur an ein anderes Ziel in derselben VPC umleiten.

  • Damit der Datenverkehr Ihre Middlebox-Appliance erreicht, muss die Zielnetzwerkschnittstelle an eine ausgeführte Instance angeschlossen sein. Für Datenverkehr, der durch ein Internet-Gateway fließt, muss die Zielnetzwerkschnittstelle auch über eine öffentliche IP-Adresse verfügen.

  • Beachten Sie bei der Konfiguration der Middlebox-Appliance die Überlegungen zu Appliances.

  • Wenn Sie Datenverkehr über eine Middlebox-Appliance weiterleiten, muss der Rückdatenverkehr aus dem Zielsubnetz über dieselbe Appliance geleitet werden. Asymmetrisches Routing wird nicht unterstützt.

  • Routing-Tabellenregeln gelten für den gesamten Datenverkehr, der ein Subnetz verlässt. Datenverkehr, der ein Subnetz verlässt, wird als Datenverkehr definiert, der an die MAC-Adresse des Gatewayrouters dieses Subnetzes bestimmt ist. Der Datenverkehr, der für die MAC-Adresse einer anderen Netzwerkschnittstelle im Subnetz bestimmt ist, verwendet anstelle von Netzwerk (Schicht 3) das Datenlink-Routing (Ebene 2), sodass die Regeln nicht für diesen Datenverkehr gelten.

  • Nicht alle Local Zones unterstützen die Edge-Verknüpfung mit virtuellen privaten Gateways. Weitere Informationen zu verfügbaren Zonen finden Sie unter Überlegungen im AWS -Benutzerhandbuch für Local Zones.

Routenpriorität

Im Allgemeinen leiten wir Datenverkehr über die spezifischste, mit dem Datenverkehr übereinstimmende, Route weiter. Dies wird als die längste Präfix-Übereinstimmung bezeichnet. Wenn Ihre Routing-Tabelle sich überschneidende oder übereinstimmende Routen enthält, gelten weitere Regeln.

Übereinstimmung mit längstem Präfix

Routen zu IPv4- und IPv6-Adressen oder CIDR-Blöcken sind voneinander unabhängig. Wir verwenden die spezifischste Route, die entweder dem IPv4-Datenverkehr oder dem IPv6-Datenverkehr entspricht, um zu bestimmen, wie der Datenverkehr weitergeleitet wird.

Die folgende Beispiel-Subnetz-Routing-Tabelle enthält eine Route für IPv4-Internetdatenverkehr (0.0.0.0/0), die diesen an ein Internet-Gateway leitet, sowie eine Route für IPv4-Datenverkehr (172.31.0.0/16), die auf eine Peering-Verbindung verweist (pcx-11223344556677889). Sämtlicher Datenverkehr aus dem Subnetz zum IP-Adressbereich 172.31.0.0/16 wird über die Peering-Verbindung geleitet, da diese Route spezifischer ist als die Route für das Internet-Gateway. Sämtlicher Datenverkehr für Ziele innerhalb der VPC (10.0.0.0/16) wird durch die Route local abgedeckt und somit innerhalb der VPC weitergeleitet. Jeder andere Datenverkehr aus dem Subnetz wird über das Internet-Gateway geleitet.

Ziel Ziel
10.0.0.0/16 Lokal
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Routenpriorität und propagierte Routen

Wenn Sie ein Virtual Private Gateway an Ihre VPC angefügt und die Routing-Verteilung in der Subnetz-Routing-Tabelle aktiviert haben, werden Routen, die die Site-to-Site VPN-Verbindung repräsentieren, in der Routing-Tabelle als automatisch propagierte Routen angezeigt.

Wenn sich das Ziel einer propagierte Route mit einer statische Route überlappt, hat die statische Route Priorität.

Wenn das Ziel einer propagierten Route identisch mit dem Ziel einer statischen Route ist, hat die statische Route Priorität, wenn das Ziel eines der folgenden ist:

  • Internet-Gateway

  • NAT-Gateway

  • Netzwerkschnittstelle

  • Instance-ID

  • Gateway-VPC-Endpunkt

  • Transit-Gateway

  • VPC-Peering-Verbindung

  • Gateway Load Balancer-Endpunkt

Weitere Informationen finden Sie unter Routing-Tabellen und VPN-Routenpriorität im AWS Site-to-Site VPN Benutzerhandbuch.

Die folgende Beispiel-Routing-Tabelle enthält eine statische Route zu einem Internet-Gateway und eine propagierte Route zu einem Virtual Private Gateway. Beide Routen haben den Zielbereich 172.31.0.0/24. Da eine statische Route zu einem Internet-Gateway Vorrang hat, wird der gesamte Datenverkehr, der für 172.31.0.0/24 bestimmt ist, an das Internet-Gateway weitergeleitet.

Bestimmungsort Ziel Propagiert
10.0.0.0/16 Lokal Nein
172.31.0.0/24 vgw-11223344556677889 Ja
172.31.0.0/24 igw-12345678901234567 Nein

Routenpriorität und Präfixlisten

Wenn Ihre Routing-Tabelle auf eine Präfixliste verweist, gelten die folgenden Regeln:

  • Wenn Ihre Routing-Tabelle eine statische Route mit einem Ziel-CIDR-Block enthält, die eine statische Route mit einer Präfixliste überlappt, hat die statische Route mit dem CIDR-Block Priorität.

  • Wenn Ihre Routing-Tabelle eine verbreitete Route enthält, die sich mit einer Route übereinstimmt, die auf eine Präfixliste verweist, hat die Route, die auf die Präfixliste verweist, Priorität. Bitte beachten Sie, dass bei sich überschneidenden Routen die spezifischeren Routen immer Vorrang haben, unabhängig davon, ob es sich um verbreitete Routen, statische Routen oder Routen handelt, die auf Präfixlisten verweisen.

  • Wenn Ihre Routing-Tabelle auf mehrere Präfixlisten verweist, die sich überlappende CIDR-Blöcke zu verschiedenen Zielen haben, wählen wir zufällig aus, welche Route Priorität hat. Danach hat dieselbe Route immer Priorität.

Kontingente für Routing-Tabellen

Die Anzahl der Routing-Tabellen, die Sie pro VPC erstellen können, unterliegt einem Kontingent. Es gibt auch ein Kontingent für die Anzahl der Routen, die Sie pro Routing-Tabelle hinzufügen können. Weitere Informationen finden Sie unter Amazon VPC-Kontingente.

Beheben Sie Probleme mit der Erreichbarkeit

Reachability Analyzer ist ein Tool zur statischen Konfigurationsanalyse. Verwenden Sie Reachability Analyzer, um die Netzwerkerreichbarkeit zwischen zwei Ressourcen in Ihrer VPC zu analysieren und zu debuggen. Reachability Analyzer erzeugt hop-by-hop Details zum virtuellen Pfad zwischen diesen Ressourcen, wenn sie erreichbar sind, und identifiziert andernfalls die blockierende Komponente. Es kann beispielsweise fehlende oder falsch konfigurierte Routentabellenrouten identifizieren.

Weitere Informationen finden Sie im Leitfaden Reachability Analyzer.