Configuration des tables de routage - Amazon Virtual Private Cloud
Concepts liés aux tables de routageTables de routage des sous-réseauxTables de routage de passerellePriorité d'acheminementQuotas des tables de routageRésoudre les problèmes d'accessibilité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration des tables de routage

Une table de routage contient un ensemble de règles, appelées acheminements, qui déterminent la direction du trafic réseau à partir de votre sous-réseau ou de votre passerelle.

Table des matières

Concepts liés aux tables de routage

Voici les concepts clés relatifs aux tables de routage :

  • Table de routage principale : il s'agit de la table de routage qui est associée automatiquement à votre VPC. Location : choisissez l'option de location pour ce VPC.

  • Table de routage personnalisée : il s'agit de la table de routage que vous créez pour votre VPC.

  • Destination : il s'agit de la plage d'adresses IP vers laquelle vous souhaitez acheminer le trafic (CIDR de destination). Par exemple, un réseau d'entreprise externe avec le CIDR 172.16.0.0/12.

  • Cible : il s'agit de la passerelle, de l'interface réseau ou de la connexion permettant d'envoyer le trafic de destination ; par exemple, une passerelle Internet.

  • Association de table de routage : il s'agit de l'association entre une table de routage et un sous-réseau, une passerelle Internet ou une passerelle réseau privé virtuel.

  • Table de routage de sous-réseau : il s'agit d'une table de routage associée à un sous-réseau.

  • Route locale : il s'agit de l'acheminement de la communication par défaut dans le VPC.

  • Propagation : si vous avez attaché une passerelle privée virtuelle à votre VPC et activé la propagation du routage, nous ajoutons automatiquement des routes pour votre connexion VPN à vos tables de routage de sous-réseau. Ainsi, vous n'avez pas besoin d'ajouter ou supprimer manuellement des routes VPN. Pour plus d'informations, veuillez consulter la section Options de routage Site-to-Site VPN du Guide de l'utilisateur Site-to-Site VPN.

  • Table de routage de passerelle : il s'agit d'une table de routage associée à une passerelle Internet ou à une passerelle réseau privé virtuel.

  • Association périphérique : il s'agit de la table de routage que vous utilisez pour acheminer le trafic VPC entrant vers une appliance. Vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC.

  • Table de routage de passerelle de transit : il s'agit d'une table de routage associée à une passerelle de transit. Pour plus d'informations, consultez Tables de routage de passerelle de transit dans Passerelle de transit Amazon VPC.

  • Table de routage de passerelle locale : il s'agit d'une table de routage associée à une passerelle locale Outposts. Pour plus d'informations, veuillez consulter la rubrique Passerelles locales dans le Guide de l'utilisateur AWS Outposts .

Tables de routage des sous-réseaux

Votre VPC dispose d'un routeur implicite, et vous utilisez des tables de routage pour contrôler où le trafic réseau est dirigé. Chaque sous-réseau de votre VPC doit être associé à une table de routage, qui contrôle le routage pour ce sous-réseau (table de routage de sous-réseau). Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale. Un sous-réseau peut être associé à une seule table de routage à la fois, mais vous pouvez associer plusieurs sous-réseaux à une même table de routage.

Acheminements

Chaque acheminement d'une table spécifie une destination et une cible. Par exemple, pour permettre à votre sous-réseau d'accéder à Internet via une passerelle Internet, ajoutez l'acheminement suivant dans la table de routage de votre sous-réseau. La destination de l'acheminement est 0.0.0.0/0, qui représente toutes les adresses IPv4. La cible est la passerelle Internet qui est attachée à votre VPC.

Destination Cible
0.0.0.0/0 igw-id

Les blocs d'adresse CIDR IPv4 et IPv6 sont traités séparément. Par exemple, une route dotée du CIDR de destination 0.0.0.0/0 n'inclut pas automatiquement toutes les adresses IPv6. Vous devez créer un acheminement avec le bloc d'adresse CIDR de destination ::/0 pour toutes les adresses IPv6.

Si vous référencez fréquemment le même ensemble de blocs CIDR dans toutes vos AWS ressources, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage.

Chaque table de routage contient un acheminement local pour la communication au sein du VPC. Cette route est ajoutée par défaut à toutes les tables de routage. Si votre VPC est associé à plusieurs blocs d'adresse CIDR IPv4, les tables de routage contiennent une route locale pour chaque bloc d'adresse CIDR IPv4. Si vous avez associé un bloc d'adresse CIDR IPv6 avec votre VPC, les tables de routage contiennent une route locale pour le bloc d'adresse CIDR IPv6. Vous pouvez remplacer ou restaurer la cible de chaque acheminement local si nécessaire.

Règles et considérations

  • Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. La destination doit correspondre au bloc d'adresse CIDR IPv4 ou IPv6 complet d'un sous-réseau de votre VPC. La cible doit être une passerelle NAT, une interface réseau ou un point de terminaison d'équilibreur de charge de passerelle.

  • Si votre table de routage contient plusieurs acheminements, nous utilisons l'acheminement le plus spécifique correspondant au trafic (correspondance de préfixe le plus long) pour déterminer comment acheminer le trafic.

  • Vous ne pouvez pas ajouter d'acheminements aux adresses IPv4 qui sont une correspondance exacte ou un sous-ensemble de la plage suivante : 169.254.168.0/22. Cette plage se trouve dans l'espace d'adressage lien-local et est réservée à l'usage des AWS services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur Amazon DNS. Vous pouvez utiliser un bloc d'adresse CIDR qui dépasse, mais chevauche 169.254.168.0/22, mais les paquets destinés aux adresses de 169.254.168.0/22 ne seront pas transférés.

  • Vous ne pouvez pas ajouter d'itinéraires aux adresses IPv6 correspondant exactement ou à un sous-ensemble de la plage suivante : fd00:ec2::/32. Cette plage se situe dans l'espace d'adresse locale unique (ULA) et est réservée à l'usage des AWS services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur DNS d’Amazon. Vous pouvez utiliser un bloc d'adresse CIDR qui est plus grand que, mais chevauche fd00:ec2::/32, mais les paquets destinés aux adresses de fd00:ec2::/32 ne seront pas transférés.

  • Vous pouvez ajouter des appliances middlebox dans les chemins de routage de votre VPC. Pour en savoir plus, consultez Routage pour une appliance middlebox.

Exemple

Dans l'exemple suivant, supposez que le VPC comporte à la fois un bloc d'adresse CIDR IPv4 et un bloc d'adresse CIDR IPv6. Les trafics IPv4 et IPv6 sont traités séparément, comme le montre la table de routage suivante.

Destination Cible
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

  • Le trafic IPv4 à acheminer au sein du VPC (10.0.0.0/16) est couvert par la route Local.

  • Le trafic IPv6 à acheminer au sein du VPC (2001:db8:1234:1a00::/56) est couvert par la route Local.

  • La route pour 172.31.0.0/16 envoie le trafic vers une connexion d'appairage.

  • La route pour l'ensemble du trafic IPv4 (0.0.0.0/0) envoie le trafic vers une passerelle Internet. Par conséquent, tout le trafic IPv4, à l'exception du trafic à l'intérieur du VPC et de la connexion d'appairage, est acheminé vers la passerelle Internet.

  • La route pour l'ensemble du trafic IPv6 (::/0) envoie le trafic vers une passerelle Internet de sortie uniquement. Par conséquent, tout le trafic IPv6, à l'exception du trafic à l'intérieur du VPC, est acheminé vers la passerelle Internet de sortie uniquement.

Table de routage principale

Lorsque vous créez un VPC, il est automatiquement associé à une table de routage principale. Si un sous-réseau n'est pas associé explicitement à une table de routage, la table de routage principale est utilisée par défaut. Sur la page Route Tables (Tables de routage) de la console Amazon VPC, vous pouvez afficher la table de routage principale d'un VPC en recherchant Oui dans la colonne Principale.

Par défaut, lorsque vous créez un VPC personnalisé, la table de routage principale contient seulement une route locale. Si vous Création d'un VPC et choisissez une passerelle NAT, Amazon VPC ajoute automatiquement des acheminements à la table de routage principale pour les passerelles.

Les règles suivantes s'appliquent à la table de routage principale :

  • Vous pouvez ajouter, supprimer et modifier des acheminements dans la table de routage principale.

  • Vous ne pouvez pas supprimer la table de routage principale.

  • Vous ne pouvez pas définir une table de routage de passerelle comme table de routage principale.

  • Vous pouvez remplacer la table de routage principale en associant une table de routage personnalisée à un sous-réseau.

  • Vous pouvez associer explicitement un sous-réseau à la table de routage principale, même s'il est déjà associé implicitement.

    Vous pouvez procéder ainsi si vous changez la table faisant office de table de routage principale. Lorsque vous changez la table faisant office de table de routage principale, cela change également la table par défaut des nouveaux sous-réseaux ajoutés et des réseaux qui ne sont associés explicitement à aucune autre table de routage. Pour plus d'informations, consultez Remplacer la table de routage principale.

Tables de routage personnalisées

Par défaut, une table de routage contient une route locale pour la communication au sein du VPC. Si vous Création d'un VPC et choisissez un sous-réseau public, Amazon VPC crée une table de routage personnalisée et ajoute un acheminement qui pointe vers la passerelle Internet. Une façon de protéger votre VPC consiste à laisser la table de routage principale dans son état par défaut d'origine. Ensuite, associez explicitement chaque nouveau sous-réseau que vous créez à l'une des tables de routage personnalisées que vous avez créées. Vous vous assurez ainsi de contrôler explicitement la façon dont chaque sous-réseau route le trafic.

Vous pouvez ajouter, supprimer et modifier des acheminements dans une table de routage personnalisée. Vous pouvez supprimer une table de routage personnalisée seulement si elle n'a aucune association.

Association de la table de routage du sous-réseau

Chaque sous-réseau de votre VPC doit être associé à une table de routage. Un sous-réseau peut être associé explicitement à une table de routage personnalisée, ou associé implicitement ou explicitement à la table de routage principale. Pour de plus amples informations sur l'affichage de vos associations entre sous-réseaux et table de routage, veuillez consulter Déterminer quels sous-réseaux et/ou les passerelles sont explicitement associés.

Les sous-réseaux qui se trouvent dans des VPC associés à Outposts peuvent avoir un type de cible supplémentaire d'une passerelle locale. Il s'agit de la seule différence de routage par rapport aux sous-réseaux autres qu'Outposts.

Exemple 1 : Associations implicite et explicite de sous-réseau

Le schéma ci-après illustre le routage pour un VPC comportant une passerelle Internet, une passerelle réseau privé virtuel, un sous-réseau public et un sous-réseau VPN unique.

La table de routage principale est implicitement associée au sous-réseau privé et la table de routage personnalisée est explicitement associée au sous-réseau public.

La table de routage A est une table de routage personnalisée qui est associée explicitement au sous-réseau public. Elle dispose d'une route qui envoie tout le trafic vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau public.

Destination Cible
Bloc d'adresse du VPC Local
0.0.0.0/0 igw-id

La table de routage B est la table de routage principale. Elle est implicitement associée au sous-réseau privé. Elle dispose d'une route qui envoie tout le trafic vers la passerelle privée virtuelle, mais aucune route vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau VPN uniquement. Si vous créez un autre sous-réseau dans ce VPC et que vous n'y associez pas de table de routage personnalisée, le sous-réseau sera également associé implicitement à cette table de routage, car il s'agit de la table de routage principale.

Destination Cible
Bloc d'adresse du VPC Local
0.0.0.0/0 vgw-id
Exemple 2 : Remplacement de la table de routage principale

Vous pouvez apporter des modifications à la table de routage principale. Pour éviter toute interruption de trafic, nous vous recommandons de commencer par tester les changements de route à l'aide d'une table de routage personnalisée. Une fois satisfait des résultats du test, vous pouvez remplacer la table de routage principale par la nouvelle table personnalisée.

Le schéma suivant montre deux sous-réseaux et deux tables de routage. Le sous-réseau A est implicitement associé à la table de routage A, la table de routage principale. Le sous-réseau B est implicitement associé à la table de routage A. La table de routage B, une table de routage personnalisée, n'est associée à aucun des deux sous-réseaux.

Deux sous-réseaux associés implicitement à la table de routage A, la table de routage principale.

Pour remplacer la table de routage principale, commencez par créer une association explicite entre le sous-réseau B et la table de routage B. Testez la table de routage B.

Le sous-réseau B est maintenant explicitement associé à la table de routage B, une table de routage personnalisée.

Après avoir testé la table de routage B, définissez-la en tant que table de routage principale. Le sous-réseau B comporte toujours une association explicite à la table de routage B. Cependant, le sous-réseau A comporte une association implicite à la table de routage B, car il s'agit de la nouvelle table de routage principale. La table de routage A n'est plus associée à aucun des deux sous-réseaux.

Le sous-réseau A est désormais implicitement associé à la table de routage B, la table de routage principale, tandis que le sous-réseau B est toujours explicitement associé à la table de routage B.

(Facultatif) Si vous dissociez le sous-réseau B de la table de routage B, il y a toujours une association implicite entre le sous-réseau B et la table de routage B. Si vous n'avez plus besoin de la table de routage A, vous pouvez la supprimer.

Les deux sous-réseaux sont implicitement associés à la table de routage B.

Tables de routage de passerelle

Vous pouvez associer une table de routage à une passerelle Internet ou à une passerelle réseau privé virtuel. Lorsqu'une table de routage est associée à une passerelle, elle est appelée table de routage de passerelle. Vous pouvez créer une table de routage de passerelle pour bénéficier d'un contrôle précis du chemin de routage du trafic entrant dans votre VPC. Par exemple, vous pouvez intercepter le trafic qui entre dans votre VPC par une passerelle Internet en redirigeant ce trafic vers une appliance middlebox (telle qu'une appliance de sécurité) dans votre VPC.

Acheminements des tables de routage de passerelle

Une table de routage de passerelle associée à une passerelle Internet prend en charge les acheminements ayant les cibles suivantes :

Une table de routage de passerelle associée à une passerelle privée virtuelle prend en charge les acheminements ayant les cibles suivantes :

Lorsque la cible est un point de terminaison d'équilibreur de charge de passerelle ou une interface réseau, les destinations suivantes sont autorisées :

  • L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 de votre VPC. Dans ce cas, vous remplacez la cible de la route locale par défaut.

  • L'ensemble du bloc d'adresse CIDR IPv4 ou IPv6 d'un sous-réseau dans votre VPC. Il s'agit d'une route plus spécifique que la route locale par défaut.

Si vous remplacez la cible de la route locale dans une table de routage de passerelle par une interface réseau dans votre VPC, vous pourrez restaurer ultérieurement la cible local par défaut. Pour de plus amples informations, veuillez consulter Remplacer ou restaurer la cible d'un acheminement local.

Exemple

Dans la table de routage de passerelle suivante, le trafic destiné à un sous-réseau contenant le bloc d'adresse CIDR 172.31.0.0/20 est routé vers une interface réseau spécifique. Le trafic destiné à tout autre sous-réseau du VPC utilise la route locale.

Destination Cible
172.31.0.0/16 Locale
172.31.0.0/20 eni-id
Exemple

Dans la table de routage de passerelle suivante, la cible de la route locale est remplacée par un ID d'interface réseau. Le trafic destiné à tous les sous-réseaux du VPC est routé vers cette interface réseau.

Destination Cible
172.31.0.0/16 eni-id

Règles et considérations

Vous ne pouvez pas associer une table de routage à une passerelle si l'une des situations suivantes s'applique :

  • La table de routage contient les acheminements existants avec des cibles autres qu'une interface réseau, un point de terminaison de l'équilibreur de charge de passerelle ou l’acheminement local par défaut.

  • La table de routage contient des routes existantes vers des blocs d'adresse CIDR en dehors des plages de votre VPC.

  • La propagation du routage est activée pour la table de routage.

En outre, les règles et considérations suivantes s'appliquent :

  • Vous ne pouvez pas ajouter de routes vers des blocs d'adresse CIDR en dehors des plages incluses dans votre VPC, y compris vers des plages plus grandes que les blocs d'adresse CIDR individuels du VPC.

  • Vous pouvez uniquement spécifier local, un point de terminaison de l’équilibreur de charge de passerelle ou une interface réseau en tant que cible. Vous ne pouvez pas spécifier d'autres types de cibles, y compris des adresses IP d'hôtes individuels. Pour de plus amples informations, veuillez consulter Exemples d'options de routage.

  • Vous ne pouvez pas spécifier de liste de préfixes comme destination.

  • Vous ne pouvez pas utiliser une table de routage de passerelle pour contrôler ni intercepter le trafic en dehors de votre VPC, tel que le trafic via une passerelle de transit attachée. Vous pouvez intercepter le trafic qui entre dans votre VPC et le rediriger vers une autre cible dans le même VPC uniquement.

  • Pour vous assurer que le trafic atteint votre appliance middlebox, l'interface réseau cible doit être connectée à une instance en cours d'exécution. Pour le trafic qui passe par une passerelle Internet, l'interface réseau cible doit également avoir une adresse IP publique.

  • Lors de la configuration de votre appliance middlebox, prenez note des considérations relatives à l'appliance.

  • Lorsque vous acheminez le trafic via une appliance middlebox, le trafic de retour du sous-réseau de destination doit être acheminé via la même appliance. Le routage asymétrique n'est pas pris en charge.

  • Les règles de table de routage s'appliquent à l'ensemble du trafic qui quitte un sous-réseau. Le trafic qui quitte un sous-réseau est défini comme étant destiné à l'adresse MAC du routeur de passerelle de ce sous-réseau. Le trafic destiné à l'adresse MAC d'une autre interface réseau du sous-réseau utilise un routage (de couche 2) de liaison de données et non de réseau (couche 3), si bien que les règles ne s'appliquent pas à ce trafic.

  • Les zones locales ne prennent pas toutes en charge l'association périphérique avec des passerelles privées virtuelles. Pour plus d'informations sur les zones disponibles, consultez la section Considérations dans le Guide de l'utilisateur des zones locales AWS .

Priorité d'acheminement

En général, nous dirigeons le trafic en utilisant l'acheminement le plus spécifique qui correspond au trafic. C'est ce qu'on appelle la correspondance du préfixe le plus long. Si votre table de routage comporte des acheminements qui se chevauchent ou correspondent, les règles suivantes s'appliquent :

Correspondance du préfixe le plus long

Les acheminements vers des adresses IPv4 et IPv6 ou des blocs d'adresse CIDR sont indépendantes les unes des autres. Nous utilisons l'acheminement le plus spécifique correspondant au trafic IPv4 ou au trafic IPv6 pour déterminer comment acheminer le trafic.

Par exemple, la table de routage de sous-réseau ci-après comporte un acheminement pour le trafic Internet IPv4 (0.0.0.0/0) qui pointe vers une passerelle Internet, et un acheminement pour le trafic IPv4 (172.31.0.0/16) qui pointe vers une connexion d'appairage (pcx-11223344556677889). Tout le trafic en provenance du sous-réseau qui est destiné à la plage d'adresses IP 172.31.0.0/16 utilise la connexion d'appairage, car cet acheminement est plus spécifique que l'acheminement vers la passerelle Internet. Tout trafic destiné à une cible au sein du VPC (10.0.0.0/16) est couvert par la route local et, par conséquent, routé au sein du VPC. Tout autre trafic en provenance du sous-réseau utilise la passerelle Internet.

Destination Cible
10.0.0.0/16 local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Priorité des acheminements et acheminements propagés

Si vous avez attaché une passerelle réseau privé virtuel à votre VPC et activé la propagation d'acheminement sur votre table de routage de sous-réseau, les acheminements représentant votre connexion Site-to-Site VPN apparaissent automatiquement comme des acheminements propagés dans votre table de routage.

Si la destination d'un acheminement propagé chevauche un acheminement statique, l'acheminement statique est prioritaire.

Si la destination d'un acheminement propagé est identique à la destination d'un acheminement statique, l'acheminement statique est prioritaire si la cible est l'une des cibles suivantes :

  • Passerelle Internet

  • Passerelle NAT

  • Interface réseau

  • ID d'instance

  • Point de terminaison d'un VPC de passerelle

  • Passerelle de transit

  • Connexion d'appairage de VPC

  • Point de terminaison d'équilibreur de charge de passerelle

Pour de plus amples informations, consultez Tables de routage et priorité d'acheminement VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN .

L'exemple de table de routage suivant a un acheminement statique vers une passerelle Internet et un acheminement propagé vers une passerelle réseau privé virtuel. Les deux acheminements ont pour destination : 172.31.0.0/24. Étant donné qu'un acheminement statique vers une passerelle Internet est prioritaire, tout le trafic destiné à 172.31.0.0/24 est acheminé vers la passerelle Internet.

Destination Cible Propagé
10.0.0.0/16 local Non
172.31.0.0/24 vgw-11223344556677889 Oui
172.31.0.0/24 igw-12345678901234567 Non

Listes des priorités et des préfixes d'acheminement

Si votre table de routage fait référence à une liste de préfixes, les règles suivantes s'appliquent :

  • Si votre table de routage contient un acheminement statique qui chevauche un autre acheminement faisant référence à une liste de préfixes, l'acheminement statique avec le bloc d'adresse CIDR de destination est prioritaire.

  • Si votre table de routage contient un acheminement propagé qui correspond à un acheminement qui fait référence à une liste de préfixes, l'acheminement qui fait référence à la liste de préfixes est prioritaire. Veuillez noter que pour les acheminements qui se chevauchent, les acheminements plus spécifiques sont toujours prioritaires, qu'il s'agisse d'acheminements propagés, d'acheminements statiques ou d'acheminements faisant référence à des listes de préfixes.

  • Si votre table de routage fait référence à plusieurs listes de préfixes dont les blocs d'adresse CIDR se chevauchent vers des cibles différentes, nous choisissons aléatoirement le chevauchement prioritaire. Par la suite, le même acheminement est toujours prioritaire.

Quotas des tables de routage

Le nombre de tables de routage que vous pouvez créer par VPC est limité. Il existe également un quota pour le nombre de routes que vous pouvez ajouter par table de routage. Pour de plus amples informations, veuillez consulter Quotas Amazon VPC.

Résoudre les problèmes d'accessibilité

Reachability Analyzer est un outil d'analyse de configuration statique. Utilisez Reachability Analyzer pour analyser et déboguer l'accessibilité réseau entre deux ressources de votre VPC. Reachability Analyzer hop-by-hop fournit des détails sur le chemin virtuel entre ces ressources lorsqu'elles sont accessibles, et identifie le composant bloquant dans le cas contraire. Par exemple, il peut identifier les itinéraires de table de routage manquants ou mal configurés.

Pour plus d'informations, reportez-vous au Guide de l'Analyseur d'accessibilité.