Configuration des tables de routage - Amazon Virtual Private Cloud

Configuration des tables de routage

Une table de routage contient un ensemble de règles, appelées acheminements, qui déterminent la direction du trafic réseau à partir de votre sous-réseau ou de votre passerelle.

Concepts liés aux tables de routage

Voici les concepts clés relatifs aux tables de routage :

  • Table de routage principale : il s'agit de la table de routage qui est associée automatiquement à votre VPC. Location : choisissez l'option de location pour ce VPC.

  • Table de routage personnalisée—Ilil s'agit de la table de routage que vous créez pour votre VPC.

  • Destination—Ilil s'agit de la plage d'adresses IP vers laquelle vous souhaitez acheminer le trafic (CIDR de destination). Par exemple, un réseau d'entreprise externe avec le CIDR 172.16.0.0/12.

  • Cible—Ilil s'agit de la passerelle, de l'interface réseau ou de la connexion paràlaquelleutiliser pour envoyer le trafic de destination est à envoyer destination ; par exemple, une passerelle Internet.

  • Association de table de routage—Ilil s'agit de l'association entre une table de routage et un sous-réseau, une passerelle Internet ou une passerelle réseau privé virtuel.

  • Table de routage de sous-réseau—il s'agit d'une table de routage associée à un sous-réseau.

  • Route locale—il s'agit de l'acheminement de la communication par défaut dans le VPC.

  • Propagation—la propagation de routage permet à une passerelle réseau privé virtuel de propager automatiquement des acheminements vers les tables de routage. Cela signifie que vous n'avez pas besoin d'entrer manuellement des routesacheminements VPN dans vos tables de routage. Pour de plus amples informations sur les options de routage VPN, veuillez consulter Options de routage Site-to-Site VPN dans leGuide de l'utilisateur Site-to-Site VPN.

  • Table de routage de passerelle—Ilil s'agit d'une table de routage associée à une passerelle Internet ou à une passerelle réseau privé virtuel.

  • Association périphérique—Ilil s'agit de la table de routage que vous utilisez pour acheminer le trafic VPC entrant vers une appliance. Vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC.

  • Table de routage de passerelle de transit—il s'agit d'une table de routage associée à une passerelle de transit. Pour plus d'informations, consultez Tables de routage de passerelle de transit dans Passerelle de transit Amazon VPC.

  • Table de routage de passerelle locale—Ilil s'agit d'une table de routage associée à une passerelle locale Outposts. Pour plus d'informations, veuillez consulter la rubrique Passerelles locales dans le Guide de l'utilisateur AWS Outposts.

Tables de routage des sous-réseaux

Votre VPC dispose d'un routeur implicite, et vous utilisez des tables de routage pour contrôler où le trafic réseau est dirigé. Chaque sous-réseau de votre VPC doit être associé à une table de routage, qui contrôle le routage pour ce sous-réseau (table de routage de sous-réseau). Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale. Un sous-réseau peut être associé à une seule table de routage à la fois, mais vous pouvez associer plusieurs sous-réseaux à une même table de routage.

Acheminements

Chaque acheminement d'une table spécifie une destination et une cible. Par exemple, pour permettre à votre sous-réseau d'accéder à Internet via une passerelle Internet, ajoutez l'acheminement suivant dans la table de routage de votre sous-réseau. La destination de l'acheminement est 0.0.0.0/0, qui représente toutes les adresses IPv4. La cible est la passerelle Internet qui est attachée à votre VPC.

Destination Cible
0.0.0.0/0 igw-id

Les blocs d'adresse CIDR IPv4 et IPv6 sont traités séparément. Par exemple, une route dotée du CIDR de destination 0.0.0.0/0 n'inclut pas automatiquement toutes les adresses IPv6. Vous devez créer un acheminement avec le bloc d'adresse CIDR de destination ::/0 pour toutes les adresses IPv6.

Si vous référencez fréquemment le même ensemble de blocs d'adresse CIDR dans vos ressources AWS, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage.

Chaque table de routage contient un acheminement local pour la communication au sein du VPC. Cette route est ajoutée par défaut à toutes les tables de routage. Si votre VPC est associé à plusieurs blocs d'adresse CIDR IPv4, les tables de routage contiennent une route locale pour chaque bloc d'adresse CIDR IPv4. Si vous avez associé un bloc d'adresse CIDR IPv6 avec votre VPC, les tables de routage contiennent une route locale pour le bloc d'adresse CIDR IPv6. Vous ne pouvez pas modifier ni supprimer ces acheminements dans une table de routage de sous-réseau ou dans la table de routage principale.

Règles et considérations

  • Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. La destination doit correspondre au bloc d'adresse CIDR IPv4 ou IPv6 complet d'un sous-réseau de votre VPC. La cible doit être une passerelle NAT, une interface réseau ou un point de terminaison d'équilibreur de charge de passerelle.

  • Si votre table de routage contient plusieurs acheminements, nous utilisons l'acheminement le plus spécifique correspondant au trafic (correspondance de préfixe le plus long) pour déterminer comment acheminer le trafic.

  • Vous ne pouvez pas ajouter d'acheminements aux adresses IPv4 qui sont une correspondance exacte ou un sous-ensemble de la plage suivante : 169.254.169.0/22. Cette plage se trouve dans l'espace d'adressage local du lien et est réservée à l'utilisation par les services AWS. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur Amazon DNS. Vous pouvez utiliser un bloc d'adresse CIDR qui dépasse, mais chevauche 169.254.169.0/22, mais les paquets destinés aux adresses de 169.254.169.0/22 ne seront pas transférés.

  • Vous ne pouvez pas ajouter d'itinéraires aux adresses IPv6 correspondant exactement ou à un sous-ensemble de la plage suivante : fd00:ec2::/32. Cette plage se trouve dans l'espace d'adressage local unique (ULA) et est réservée à l'utilisation par AWS Services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur DNS d’Amazon. Vous pouvez utiliser un bloc d'adresse CIDR qui est plus grand que, mais chevauche fd00:ec2::/32, mais les paquets destinés aux adresses de fd00:ec2::/32 ne seront pas transférés.

  • Vous pouvez ajouter des appliances middlebox dans les chemins de routage de votre VPC. Pour plus d'informations, consultez Routage pour une appliance middlebox.

Exemple

Dans l'exemple suivant, supposez que le VPC comporte à la fois un bloc d'adresse CIDR IPv4 et un bloc d'adresse CIDR IPv6. Dans la table de routage :

  • Le trafic IPv6 destiné qui doit rester dans le VPC (2001:db8:1234:1a00::/56) est couvert par l'acheminement Local et acheminé dans le VPC.

  • Les trafics IPv4 et IPv6 sont traités séparément. Par conséquent, tout le trafic IPv6 (à l'exception du trafic au sein du VPC) est routé vers la passerelle Internet de sortie uniquement.

  • Une route destinée au trafic IPv4 172.31.0.0/16 pointe vers une connexion d'appairage.

  • Une route destinée à tout le trafic IPv4 (0.0.0.0/0) pointe vers une passerelle Internet.

  • Une route destinée à tout le trafic IPv6 (::/0) pointe vers une passerelle Internet de sortie uniquement.

Destination Cible
10.0.0.0/16 Locale
2001:db8:1234:1a00::/56 Locale
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

Table de routage principale

Lorsque vous créez un VPC, il est automatiquement associé à une table de routage principale. Si un sous-réseau n'est pas associé explicitement à une table de routage, la table de routage principale est utilisée par défaut. Sur la page Route Tables (Tables de routage) de la console Amazon VPC, vous pouvez afficher la table de routage principale d'un VPC en recherchant Oui dans la colonne Principale.

Par défaut, lorsque vous créez un VPC personnalisé, la table de routage principale contient seulement une route locale. Si vous Créer un VPC, des sous-réseaux et d'autres ressources VPC et choisissez une passerelle NAT, Amazon VPC ajoute automatiquement des acheminements à la table de routage principale pour les passerelles.

Les règles suivantes s'appliquent à la table de routage principale :

  • Vous ne pouvez pas supprimer la table de routage principale.

  • Vous ne pouvez pas définir une table de routage de passerelle comme table de routage principale.

  • Vous pouvez remplacer la table de routage principale par une table de routage de sous-réseau personnalisée.

  • Vous pouvez ajouter, supprimer et modifier des acheminements dans la table de routage principale.

  • Vous pouvez associer explicitement un sous-réseau à la table de routage principale, même s'il est déjà associé implicitement.

    Vous pouvez procéder ainsi si vous changez la table faisant office de table de routage principale. Lorsque vous changez la table faisant office de table de routage principale, cela change également la table par défaut des nouveaux sous-réseaux ajoutés et des réseaux qui ne sont associés explicitement à aucune autre table de routage. Pour plus d'informations, consultez Remplacer la table de routage principale.

Tables de routage personnalisées

Par défaut, une table de routage personnalisée est vide et vous pouvez y ajouter les acheminements dont vous avez besoin. Si vous Créer un VPC, des sous-réseaux et d'autres ressources VPC et choisissez un sous-réseau public, Amazon VPC crée une table de routage personnalisée et ajoute un acheminement qui pointe vers la passerelle Internet. Une façon de protéger votre VPC consiste à laisser la table de routage principale dans son état par défaut d'origine. Ensuite, associez explicitement chaque nouveau sous-réseau que vous créez à l'une des tables de routage personnalisées que vous avez créées. Vous vous assurez ainsi de contrôler explicitement la façon dont chaque sous-réseau route le trafic.

Vous pouvez ajouter, supprimer et modifier des acheminements dans une table de routage personnalisée. Vous pouvez supprimer une table de routage personnalisée seulement si elle n'a aucune association.

Association de la table de routage du sous-réseau

Chaque sous-réseau de votre VPC doit être associé à une table de routage. Un sous-réseau peut être associé explicitement à une table de routage personnalisée, ou associé implicitement ou explicitement à la table de routage principale. Pour de plus amples informations sur l'affichage de vos associations entre sous-réseaux et table de routage, veuillez consulter Déterminer les sous-réseaux et/ou les passerelles explicitement associés à une table.

Les sous-réseaux qui se trouvent dans des VPC associés à Outposts peuvent avoir un type de cible supplémentaire d'une passerelle locale. Il s'agit de la seule différence de routage par rapport aux sous-réseaux autres qu'Outposts.

Exemple 1 : Associations implicite et explicite de sous-réseau

Le schéma ci-après illustre le routage pour un VPC comportant une passerelle Internet, une passerelle réseau privé virtuel, un sous-réseau public et un sous-réseau VPN unique. La table de routage principale contient une route vers la passerelle réseau privé virtuel. Une table de routage personnalisée est associée explicitement au sous-réseau public. La table de routage personnalisée contient une route vers Internet (0.0.0.0/0) via la passerelle Internet.


                    Table de routage principale et table personnalisée

Si vous créez un sous-réseau dans ce VPC, il est automatiquement associé implicitement à la table de routage principale, qui route le trafic vers la passerelle réseau privé virtuel. Si vous définissez la configuration inverse (à savoir la table de routage principale avec la route vers la passerelle Internet et la table de routage personnalisée avec la route vers la passerelle réseau privé virtuel), un nouveau sous-réseau a automatiquement une route vers la passerelle Internet.

Exemple 2 : Remplacement de la table de routage principale

Vous pouvez apporter des modifications à la table de routage principale. Pour éviter toute interruption de trafic, nous vous recommandons de commencer par tester les changements de route à l'aide d'une table de routage personnalisée. Une fois satisfait des résultats du test, vous pouvez remplacer la table de routage principale par la nouvelle table personnalisée.

Le schéma ci-après représente un VPC avec deux sous-réseaux qui sont implicitement associés à la table de routage principale (Table de routage A) et une table de routage personnalisée (Table de routage B) qui n'est associée à aucun sous-réseau.


                    Remplacement d'une table principale : Début

Vous pouvez créer une association explicite entre le Sous-réseau 2 et la Table de routage B.


                    Remplacement d'une table principale : Nouvelle table

Après avoir testé la Table de routage B, vous pouvez la définir en tant que table de routage principale. Notez que le Sous-réseau 2 comporte toujours une association explicite à la Table de routage B, et le Sous-réseau 1 comporte une association implicite à la Table de routage B, car il s'agit de la nouvelle table de routage principale. La Table de routage A n'est plus utilisée.


                    Remplacement d'une table principale : Remplacement

Si vous dissociez le Sous-réseau 2 de la Table de routage B, il y a toujours une association implicite entre le Sous-réseau 2 et la Table de routage B. Si vous n'avez plus besoin de la Table de routage A, vous pouvez la supprimer.


                    Remplacement d'une table principale : Dissociation

Tables de routage de passerelle

Vous pouvez associer une table de routage à une passerelle Internet ou à une passerelle réseau privé virtuel. Lorsqu'une table de routage est associée à une passerelle, elle est appelée table de routage de passerelle. Vous pouvez créer une table de routage de passerelle pour bénéficier d'un contrôle précis du chemin de routage du trafic entrant dans votre VPC. Par exemple, vous pouvez intercepter le trafic qui entre dans votre VPC par une passerelle Internet en redirigeant ce trafic vers une appliance middlebox (telle qu'une appliance de sécurité) dans votre VPC.

Acheminements des tables de routage de passerelle

Une table de routage de passerelle associée à une passerelle Internet prend en charge les acheminements ayant les cibles suivantes :

Une table de routage de passerelle associée à une passerelle privée virtuelle prend en charge les acheminements ayant les cibles suivantes :

  • L'acheminement local par défaut

  • Une interface réseau pour une appliance middlebox

Lorsque la cible est un point de terminaison d'équilibreur de charge de passerelle ou une interface réseau, les destinations suivantes sont autorisées :

  • L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 de votre VPC. Dans ce cas, vous remplacez la cible de la route locale par défaut.

  • L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 d'un sous-réseau dans votre VPC. Il s'agit d'une route plus spécifique que la route locale par défaut.

Si vous remplacez la cible de la route locale dans une table de routage de passerelle par une interface réseau dans votre VPC, vous pourrez restaurer ultérieurement la cible local par défaut. Pour plus d'informations, consultez Remplacer ou restaurer la cible d'un acheminement local.

Exemple

Dans la table de routage de passerelle suivante, le trafic destiné à un sous-réseau contenant le bloc d'adresse CIDR 172.31.0.0/20 est routé vers une interface réseau spécifique. Le trafic destiné à tout autre sous-réseau du VPC utilise la route locale.

Destination Cible
172.31.0.0/16 Locale
172.31.0.0/20 eni-id

Exemple

Dans la table de routage de passerelle suivante, la cible de la route locale est remplacée par un ID d'interface réseau. Le trafic destiné à tous les sous-réseaux du VPC est routé vers cette interface réseau.

Destination Cible
172.31.0.0/16 eni-id

Règles et considérations

Vous ne pouvez pas associer une table de routage à une passerelle si l'une des situations suivantes s'applique :

  • La table de routage contient les acheminements existants avec des cibles autres qu'une interface réseau, un point de terminaison de l'équilibreur de charge de passerelle ou l’acheminement local par défaut.

  • La table de routage contient des routes existantes vers des blocs d'adresse CIDR en dehors des plages de votre VPC.

  • La propagation du routage est activée pour la table de routage.

En outre, les règles et considérations suivantes s'appliquent :

  • Vous ne pouvez pas ajouter de routes vers des blocs d'adresse CIDR en dehors des plages incluses dans votre VPC, y compris vers des plages plus grandes que les blocs d'adresse CIDR individuels du VPC.

  • Vous pouvez uniquement spécifier local, un point de terminaison de l’équilibreur de charge de passerelle ou une interface réseau en tant que cible. Vous ne pouvez pas spécifier d'autres types de cibles, y compris des adresses IP d'hôtes individuels. Pour de plus amples informations, veuillez consulter Exemples d'options de routage.

  • Vous ne pouvez pas acheminer le trafic depuis une passerelle réseau privé virtuel vers un point de terminaison d'équilibreur de charge de passerelle. Si vous associez votre table de routage à une passerelle réseau privé virtuel et que vous ajoutez une route avec un point de terminaison d'équilibreur de charge de passerelle comme cible, le trafic destiné au point de terminaison est supprimé.

  • Vous ne pouvez pas spécifier de liste de préfixes comme destination.

  • Vous ne pouvez pas utiliser une table de routage de passerelle pour contrôler ni intercepter le trafic en dehors de votre VPC, tel que le trafic via une passerelle de transit attachée. Vous pouvez intercepter le trafic qui entre dans votre VPC et le rediriger vers une autre cible dans le même VPC uniquement.

  • Pour vous assurer que le trafic atteint votre appliance middlebox, l'interface réseau cible doit être connectée à une instance en cours d'exécution. Pour le trafic qui passe par une passerelle Internet, l'interface réseau cible doit également avoir une adresse IP publique.

  • Lors de la configuration de votre appliance middlebox, prenez note des considérations relatives à l'appliance.

  • Lorsque vous acheminez le trafic via une appliance middlebox, le trafic de retour du sous-réseau de destination doit être acheminé via la même appliance. Le routage asymétrique n'est pas pris en charge.

  • Les règles de table de routage s'appliquent à l'ensemble du trafic qui quitte un sous-réseau. Le trafic qui quitte un sous-réseau est défini comme étant destiné à l'adresse MAC du routeur de passerelle de ce sous-réseau. Le trafic destiné à l'adresse MAC d'une autre interface réseau du sous-réseau utilise un routage (de couche 2) de liaison de données et non de réseau (couche 3), si bien que les règles ne s'appliquent pas à ce trafic.

Priorité d'acheminement

En général, nous dirigeons le trafic en utilisant l'acheminement le plus spécifique qui correspond au trafic. C'est ce qu'on appelle la correspondance du préfixe le plus long. Si votre table de routage comporte des acheminements qui se chevauchent ou correspondent, les règles suivantes s'appliquent :

Correspondance du préfixe le plus long

Les acheminements vers des adresses IPv4 et IPv6 ou des blocs d'adresse CIDR sont indépendantes les unes des autres. Nous utilisons l'acheminement le plus spécifique correspondant au trafic IPv4 ou au trafic IPv6 pour déterminer comment acheminer le trafic.

Par exemple, la table de routage de sous-réseau ci-après comporte un acheminement pour le trafic Internet IPv4 (0.0.0.0/0) qui pointe vers une passerelle Internet, et un acheminement pour le trafic IPv4 (172.31.0.0/16) qui pointe vers une connexion d'appairage (pcx-11223344556677889). Tout le trafic en provenance du sous-réseau qui est destiné à la plage d'adresses IP 172.31.0.0/16 utilise la connexion d'appairage, car cet acheminement est plus spécifique que l'acheminement vers la passerelle Internet. Tout trafic destiné à une cible au sein du VPC (10.0.0.0/16) est couvert par la route local et, par conséquent, routé au sein du VPC. Tout autre trafic en provenance du sous-réseau utilise la passerelle Internet.

Destination Cible
10.0.0.0/16 local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Priorité des acheminements et acheminements propagés

Si vous avez attaché une passerelle réseau privé virtuel à votre VPC et activé la propagation d'acheminement sur votre table de routage de sous-réseau, les acheminements représentant votre connexion Site-to-Site VPN apparaissent automatiquement comme des acheminements propagés dans votre table de routage.

Si la destination d'un acheminement propagé chevauche un acheminement statique, l'acheminement statique est prioritaire.

Si la destination d'un acheminement propagé est identique à la destination d'un acheminement statique, l'acheminement statique est prioritaire si la cible est l'une des cibles suivantes :

  • Passerelle Internet

  • Passerelle NAT

  • Interface réseau

  • ID d'instance

  • Point de terminaison d'un VPC de passerelle

  • Passerelle de transit

  • Connexion d'appairage de VPC

  • Point de terminaison d'équilibreur de charge de passerelle

Pour de plus amples informations, consultez Tables de routage et priorité d'acheminement VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN.

L'exemple de table de routage suivant a un acheminement statique vers une passerelle Internet et un acheminement propagé vers une passerelle réseau privé virtuel. Les deux acheminements ont pour destination : 172.31.0.0/24. Étant donné qu'un acheminement statique vers une passerelle Internet est prioritaire, tout le trafic destiné à 172.31.0.0/24 est acheminé vers la passerelle Internet.

Destination Cible Propagé
10.0.0.0/16 local Non
172.31.0.0/24 vgw-11223344556677889 Oui
172.31.0.0/24 igw-12345678901234567 Non

Listes des priorités et des préfixes d'acheminement

Si votre table de routage fait référence à une liste de préfixes, les règles suivantes s'appliquent :

  • Si votre table de routage contient un acheminement statique qui chevauche un autre acheminement faisant référence à une liste de préfixes, l'acheminement statique avec le bloc d'adresse CIDR de destination est prioritaire.

  • Si votre table de routage contient un acheminement propagé qui correspond à un acheminement qui fait référence à une liste de préfixes, l'acheminement qui fait référence à la liste de préfixes est prioritaire. Veuillez noter que pour les acheminements qui se chevauchent, les acheminements plus spécifiques sont toujours prioritaires, qu'il s'agisse d'acheminements propagés, d'acheminements statiques ou d'acheminements faisant référence à des listes de préfixes.

  • Si votre table de routage fait référence à plusieurs listes de préfixes dont les blocs d'adresse CIDR se chevauchent vers des cibles différentes, nous choisissons aléatoirement le chevauchement prioritaire. Par la suite, le même acheminement est toujours prioritaire.

  • Si le bloc d'adresse CIDR dans une entrée de liste de préfixes n'est pas valide pour la table de routage, ce bloc d'adresse CIDR est ignoré.

Quotas des tables de routage

Le nombre de tables de routage que vous pouvez créer par VPC est limité. Il existe également un quota pour le nombre de routes que vous pouvez ajouter par table de routage. Pour plus d'informations, consultez Quotas Amazon VPC.