Exemples d'options de routage

Les rubriques ci-après décrivent le routage pour des passerelles ou des connexions spécifiques au sein de votre VPC.

Routage vers une passerelle Internet

Vous pouvez faire d'un sous-réseau un sous-réseau public en ajoutant une route dans votre table de routage de sous-réseau vers une passerelle Internet. Pour ce faire, créez et attachez une passerelle Internet à votre VPC, puis ajoutez une route avec comme destination l'adresse 0.0.0.0/0 pour le trafic IPv4 ou l'adresse ::/0 pour le trafic IPv6, et comme cible l'ID de la passerelle Internet (igw-xxxxxxxxxxxxxxxxx).

Destination	Cible
0.0.0.0/0	igw-id
::/0	igw-id

Pour plus d'informations, consultez Connecter à l'Internet à l'aide d'une passerelle Internet.

Routage vers un périphérique NAT

Pour permettre aux instances d'un sous-réseau privé de se connecter à Internet, vous pouvez créer une passerelle NAT ou lancer une instance NAT dans un sous-réseau public. Ensuite, ajoutez une route pour la table de routage du sous-réseau privé afin de router le trafic Internet IPv4 (0.0.0.0/0) vers le périphérique NAT.

Destination	Cible
0.0.0.0/0	nat-gateway-id

Vous pouvez également créer des routes plus spécifiques vers d'autres cibles pour éviter des frais inutiles de traitement de données liés à l'utilisation d'une passerelle NAT ou pour router un certain trafic de manière privée. Dans l'exemple suivant, le trafic Amazon S3 (pl-xxxxxxxx, une liste de préfixes qui contient les plages d'adresses IP pour Amazon S3 dans une région spécifique) est acheminé vers un point de terminaison d'un VPC de passerelle et le trafic 10.25.0.0/16 est acheminé vers une connexion d'appairage de VPC. Ces plages d'adresses IP sont plus spécifiques que 0.0.0.0/0. Lorsque des instances envoient du trafic vers Amazon S3 ou le VPC d'appairage, le trafic est envoyé vers le point de terminaison VPC de passerelle ou la connexion d'appairage de VPC. Tout autre trafic est envoyé à la passerelle NAT.

Destination	Cible
0.0.0.0/0	nat-gateway-id
pl-xxxxxxxx	vpce-id
10.25.0.0/16	pcx-id

Pour de plus amples informations, veuillez consulter Périphériques NAT.

Routage vers une passerelle réseau privé virtuel

Vous pouvez utiliser une AWS Site-to-Site VPN connexion pour permettre aux instances de votre VPC de communiquer avec votre propre réseau. Pour ce faire, créez et attachez une passerelle réseau privé virtuel à votre VPC. Ensuite, ajoutez une route dans votre table de routage de sous-réseau avec la destination de votre réseau et une cible correspondant à la passerelle réseau privé virtuel (vgw-xxxxxxxxxxxxxxxxx).

Destination	Cible
10.0.0.0/16	vgw-id

Vous pouvez ensuite créer et configurer votre connexion Site-to-Site VPN. Pour plus d’informations, consultez Qu'est-ce qu' AWS Site-to-Site VPN ? et Tables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN .

Une connexion Site-to-Site VPN sur une passerelle réseau privé virtuel n'est pas compatible avec le trafic IPv6. Toutefois, nous prenons en charge le trafic IPv6 acheminé via une passerelle réseau privé virtuel vers une connexion AWS Direct Connect . Pour de plus amples informations, veuillez consulter le Guide de l'utilisateur AWS Direct Connect.

Routage vers une passerelle AWS Outposts locale

Cette section décrit les configurations des tables de routage pour le routage vers une passerelle AWS Outposts locale.

Table des matières

• Activer le trafic entre les sous-réseaux de l'Outpost et votre réseau sur site
• Permettre le trafic entre les sous-réseaux du même VPC à travers les Outposts

Activer le trafic entre les sous-réseaux de l'Outpost et votre réseau sur site

Les sous-réseaux situés dans des VPC associés à AWS Outposts peuvent avoir un type de cible supplémentaire, à savoir une passerelle locale. Considérez le cas où vous souhaitez que la passerelle locale route le trafic avec une adresse de destination 192.168.10.0/24 vers le réseau client. Pour ce faire, ajoutez la route suivante avec le réseau de destination et une cible de la passerelle locale (lgw-xxxx).

Destination	Cible
192.168.10.0/24	lgw-id

Permettre le trafic entre les sous-réseaux du même VPC à travers les Outposts

Vous pouvez établir une communication entre des sous-réseaux qui sont dans le même VPC à travers différents Outposts en utilisant les passerelles locales Outpost et votre réseau sur site.

Vous pouvez utiliser cette fonctionnalité pour créer des architectures similaires aux architectures de zones de disponibilité (AZ) multiples pour vos applications sur site exécutées sur des racks d'Outposts en établissant une connectivité entre les racks d'Outposts qui sont ancrés à différentes AZ.

Pour activer cette fonctionnalité, ajoutez un routage à la table de routage du sous-réseau de votre rack Outpost qui soit plus spécifique que le routage local dans cette table de routage et qui ait un type de cible de passerelle locale. La destination du routage doit correspondre à l'intégralité du bloc IPv4 du sous-réseau de votre VPC qui se trouve dans un autre Outpost. Répétez cette configuration pour tous les sous-réseaux de l'Outpost qui doivent communiquer.

Important

• Pour utiliser cette fonctionnalité, vous devez utiliser le routage direct VPC. Vous ne pouvez pas utiliser vos propres adresses IP appartenant au client.

• Votre réseau sur site auquel les passerelles locales des Outposts sont connectées doit disposer du routage nécessaire pour que les sous-réseaux puissent accéder l'un à l'autre.

• Si vous voulez utiliser des groupes de sécurité pour les ressources des sous-réseaux, vous devez utiliser des règles qui incluent des plages d'adresses IP comme source ou destination dans les sous-réseaux des Outposts. Vous ne pouvez pas utiliser d'ID de groupe de sécurité.

• Les racks Outposts existants peuvent nécessiter une mise à jour pour permettre la prise en charge de la communication intra-VPC entre plusieurs Outposts. Si cette fonctionnalité ne vous convient pas, contactez AWS Support.

Exemple

Pour un VPC avec un CIDR de 10.0.0.0/16, un sous-réseau Outpost 1 avec un CIDR de 10.0.1.0/24, et un sous-réseau Outpost 2 avec un CIDR de 10.0.2.0/24, l'entrée de la table de routage du sous-réseau Outpost 1 serait la suivante :

Destination	Cible
10.0.0.0/16	Locale
10.0.2.0/24	lgw-1-id

L'entrée de la table de routage du sous-réseau Outpost 2 serait la suivante :

Destination	Cible
10.0.0.0/16	Locale
10.0.1.0/24	lgw-2-id

Routage vers une connexion d'appairage de VPC

Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet d'acheminer le trafic entre ces derniers à l'aide d'adresses IPv4 privées. Les instances des deux VPC peuvent communiquer entre elles comme si elles faisaient partie du même réseau.

Pour activer le routage du trafic entre des VPC dans une connexion d'appairage de VPC, vous devez ajouter une route dans une ou plusieurs tables de routage de sous-réseau qui pointe vers la connexion d'appairage de VPC. Cela vous permet d'accéder à tout ou partie du bloc d'adresse CIDR de l'autre VPC dans la connexion d'appairage. De même, le propriétaire de l'autre VPC doit ajouter une route dans sa table de routage de sous-réseau afin de router le trafic en retour vers votre VPC.

Par exemple, vous disposez d'une connexion d'appairage VPC (pcx-11223344556677889) entre deux VPC, avec les informations suivantes :

• VPC A : le bloc d'adresse CIDR est 10.0.0.0/16

• VPC B : le bloc d'adresse CIDR est 172.31.0.0/16

Pour permettre le trafic entre les VPC et autoriser l'accès à l'intégralité du bloc d'adresse CIDR IPv4 de chaque VPC, la table de routage VPC A est configurée comme suit.

Destination	Cible
10.0.0.0/16	Local
172.31.0.0/16	pcx-11223344556677889

La table de routage VPC B est configurée comme suit.

Destination	Cible
172.31.0.0/16	Local
10.0.0.0/16	pcx-11223344556677889

Votre connexion d'appairage de VPC peut également prendre en charge la communication IPv6 entre les instances dans les VPC, si les VPC et les instances sont activés pour la communication IPv6. Pour activer le routage du trafic IPv6 entre les VPC, vous devez ajouter une route vers votre table de routage qui pointe vers la connexion d'appairage de VPC pour accéder à tout ou partie du bloc d'adresse CIDR IPv6 du VPC pair.

Par exemple, à l'aide de la même connexion d'appairage de VPC (pcx-11223344556677889) ci-dessus, supposez que les VPC disposent des informations suivantes :

• VPC A : le bloc d'adresse CIDR IPv6 est 2001:db8:1234:1a00::/56

• VPC B : le bloc d'adresse CIDR IPv6 est 2001:db8:5678:2b00::/56

Pour activer la communication IPv6 via la connexion d'appairage de VPC, ajoutez la route suivante dans la table de routage de sous-réseau pour VPC A.

Destination	Cible
10.0.0.0/16	Local
172.31.0.0/16	pcx-11223344556677889
2001:db8:5678:2b00::/56	pcx-11223344556677889

Ajoutez la route suivante dans la table de routage pour VPC B.

Destination	Cible
172.31.0.0/16	Local
10.0.0.0/16	pcx-11223344556677889
2001:db8:1234:1a00::/56	pcx-11223344556677889

Pour de plus amples informations sur les connexions d'appairage de VPC, veuillez consulter le Guide de l’appairage Amazon VPC.

Routage vers un point de terminaison d'un VPC de passerelle

Un point de terminaison VPC de passerelle vous permet de créer une connexion privée entre votre VPC et un autre service. AWS Lorsque vous créez un point de terminaison de passerelle, vous spécifiez les tables de routage de sous-réseau dans votre VPC qui sont utilisées par le point de terminaison de passerelle. Une route est automatiquement ajoutée pour chacune des tables de routage avec une destination qui spécifie l'ID de liste des préfixes du service (pl-xxxxxxxx) et une cible avec l'ID point de terminaison (vpce-xxxxxxxxxxxxxxxxx). Vous ne pouvez pas supprimer ou modifier explicitement la route du point de terminaison, mais vous pouvez modifier les tables de routage qui sont utilisées par le point de terminaison.

Pour plus d'informations sur le routage pour les points de terminaison et les implications pour les routes vers les services AWS , veuillez consulter Routage des points de terminaison de passerelle.

Routage vers une passerelle Internet de sortie uniquement

Vous pouvez créer une passerelle Internet de sortie uniquement pour votre VPC afin de permettre aux instances figurant dans un sous-réseau privé d'initier une communication sortante vers Internet, mais d'empêcher Internet d'établir des connexions avec les instances. Une passerelle Internet de sortie uniquement est utilisée pour le trafic IPv6 uniquement. Pour configurer le routage pour une passerelle Internet de sortie uniquement, ajoutez une route dans la table de routage du sous-réseau privé afin de router le trafic Internet IPv6 (::/0) vers la passerelle Internet de sortie uniquement.

Destination	Target
::/0	eigw-id

Pour plus d'informations, consultez Activer le trafic sortant IPv6 à l'aide de passerelles Internet de sortie uniquement.

Routage pour une passerelle de transit

Lorsque vous associez un VPC à une passerelle de transit, vous devez ajouter une route à votre table de routage de sous-réseau pour que le trafic passe par la passerelle de transit.

Examinez le scénario suivant où nous disposons de trois VPC associés à une passerelle de transit. Dans ce scénario, tous les attachements sont associés à la table de routage de la passerelle de transit et propage vers elle. Par conséquent, tous les attachements peuvent s'acheminer des paquets respectivement, la passerelle de transit servant de simple hub d'IP de couche 3.

Par exemple, vous disposez de deux VPC avec les informations suivantes :

• VPC A : 10.1.0.0/16, ID d'attachement tgw-attach-11111111111111111

• VPC B : 10.2.0.0/16, ID d'attachement tgw-attach-22222222222222222

Pour permettre le trafic entre les VPC et autoriser l'accès à la passerelle de transit, la table de routage VPC A est configurée comme suit.

Destination	Cible
10.1.0.0/16	Local
10.0.0.0/8	tgw-id

Voici un exemple des entrées de table de routage de la passerelle de transit pour les attachements de VPC.

Destination	Cible
10.1.0.0/16	tgw-attach-11111111111111111
10.2.0.0/16	tgw-attach-22222222222222222

Pour de plus amples informations sur les tables de routage de passerelle de transit, veuillez consulter Routage dans Passerelle de transit Amazon VPC

Routage pour une appliance middlebox

Vous pouvez ajouter des appliances middlebox dans les chemins de routage de votre VPC. Voici des cas d'utilisation possibles :

• Interception du trafic qui entre dans votre VPC via une passerelle Internet ou une passerelle réseau privé virtuel en le dirigeant vers une appliance middlebox dans votre VPC. Vous pouvez utiliser l'assistant de routage du boîtier intermédiaire pour configurer AWS automatiquement les tables de routage appropriées pour votre passerelle, votre boîtier intermédiaire et votre sous-réseau de destination. Pour de plus amples informations, veuillez consulter Assistant de routage middlebox.

• Direction du trafic entre deux sous-réseaux vers une appliance middlebox. Pour ce faire, vous pouvez créer un acheminement pour une table de routage de sous-réseau qui correspond au CIDR de sous-réseau de l'autre sous-réseau et spécifie un point de terminaison Gateway Load Balancer, une passerelle NAT, un point de terminaison Network Firewall ou l'interface réseau d'une appliance en tant que cible. Sinon, pour rediriger l'ensemble du trafic du sous-réseau vers un autre sous-réseau, remplacez la cible de l'acheminement local par un point de terminaison Gateway Load Balancer, une passerelle NAT ou une interface réseau.

Vous pouvez configurer l'appliance en fonction de vos besoins. Par exemple, vous pouvez configurer une appliance de sécurité pour filtrer tout le trafic, ou une appliance d'accélération WAN. L'appliance est déployée en tant qu'instance Amazon EC2 dans un sous-réseau de votre VPC et est représentée par une interface réseau Elastic (interface réseau) dans votre sous-réseau.

Si vous activez la propagation du routage pour la table de routage du sous-réseau de destination, vous devez tenir compte de la priorité de routage. Nous donnons la priorité à l'acheminement le plus spécifique, et, en cas de correspondance des acheminements, nous donnons la priorité aux acheminements statiques plutôt qu'aux acheminements propagés. Vérifiez vos itinéraires pour vous assurer que le trafic est correctement acheminé et qu'il n'y a aucune conséquence imprévue si vous activez ou désactivez la propagation des itinéraires (par exemple, la propagation des itinéraires est requise pour une AWS Direct Connect connexion qui prend en charge les trames jumbo).

Pour acheminer le trafic VPC entrant vers une appliance, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC. Pour de plus amples informations, veuillez consulter Tables de routage de passerelle. Vous pouvez également acheminer le trafic sortant de votre sous-réseau vers une appliance middlebox figurant dans un autre sous-réseau.

Pour obtenir des exemples de routage middlebox, consultez Scénarios middlebox.

Table des matières

• Considérations relatives aux appliances
• Acheminement du trafic entre une passerelle et une appliance
• Acheminement du trafic inter-sous-réseaux vers une appliance

Considérations relatives aux appliances

Vous pouvez choisir une appliance tierce provenant de AWS Marketplace ou configurer votre propre appliance. Lorsque vous créez ou configurez une appliance, prenez en compte les éléments suivants :

• L'appliance doit être configurée dans un sous-réseau distinct du trafic source ou de destination.

• Vous devez désactiver la vérification origine/destination sur l'appliance. Pour de plus amples d'informations, veuillez consulter Changement de la vérification de source ou de destination dans le Guide utilisateur Amazon EC2 pour les instances Linux.

• Vous ne pouvez pas acheminer le trafic entre les hôtes du même sous-réseau via une appliance.

• L'appliance n'est pas tenue d'effectuer la traduction d'adresses réseau (NAT).

• Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. Vous pouvez utiliser des acheminements plus spécifiques pour rediriger le trafic entre les sous-réseaux d'un VPC (trafic Est-Ouest) vers une appliance middlebox. La destination de l'acheminement doit correspondre au bloc d'adresse CIDR IPv4 ou IPv6 complet d'un sous-réseau de votre VPC.

• Pour intercepter le trafic IPv6, vérifiez que votre VPC, votre sous-réseau et l'appliance prennent en charge IPv6. Les passerelles réseau privé virtuel ne prennent pas en charge le trafic IPv6.

Acheminement du trafic entre une passerelle et une appliance

Pour acheminer le trafic VPC entrant vers une appliance, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC. Dans l'exemple suivant, le VPC dispose d'une passerelle Internet, d'une appliance et d'un sous-réseau avec des instances. Le trafic en provenance d'Internet est acheminé via une appliance.

Associez cette table de routage à votre passerelle Internet ou passerelle réseau privé virtuel. La première entrée est l'acheminement local. La deuxième entrée envoie le trafic IPv4 destiné au sous-réseau vers l'interface réseau de l'appliance. Cet acheminement est plus spécifique que l'acheminement local.

Destination	Cible
Bloc d'adresse du VPC	Local
Bloc d'adresse CIDR du sous-réseau	ID d'interface réseau de l'appliance

Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau de l'appliance. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers l'appliance, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.

Destination	Cible
Bloc d'adresse CIDR du VPC	ID d'interface réseau de l'appliance

Pour acheminer le trafic de votre sous-réseau vers une appliance figurant dans un autre sous-réseau, ajoutez un acheminement dans votre table de routage de sous-réseau, afin d'acheminer le trafic vers l'interface réseau de l'appliance. La destination doit être moins spécifique que la destination de la route locale. Par exemple, pour du trafic destiné à Internet, spécifiez 0.0.0.0/0 (toutes les adresses IPv4) comme destination.

Destination	Cible
Bloc d'adresse du VPC	Local
0.0.0.0/0	ID d'interface réseau de l'appliance

Ensuite, dans la table de routage associée au sous-réseau de l'appliance, ajoutez un acheminement qui renvoie le trafic à la passerelle Internet ou à la passerelle réseau privé virtuel.

Destination	Cible
Bloc d'adresse du VPC	Local
0.0.0.0/0	igw-id

Acheminement du trafic inter-sous-réseaux vers une appliance

Vous pouvez acheminer le trafic destiné à un sous-réseau spécifique vers l'interface réseau d'une appliance. Dans l'exemple suivant, le VPC contient deux sous-réseaux et une appliance. Le trafic entre les sous-réseaux est acheminé via une appliance.

Groupes de sécurité

Lorsque vous acheminez le trafic entre les instances de différents sous-réseaux via une appliance middlebox, les groupes de sécurité des deux instances doivent autoriser le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

Routage

Voici un exemple de table de routage pour le sous-réseau A. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau A au sous-réseau B vers l'interface réseau de l'appliance.

Destination	Cible
Bloc d'adresse du VPC	Local
CIDR du sous-réseau B	ID d'interface réseau de l'appliance

Voici un exemple de table de routage pour le sous-réseau B. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau B au sous-réseau A vers l'interface réseau de l'appliance.

Destination	Cible
Bloc d'adresse du VPC	Local
CIDR du sous-réseau A	ID d'interface réseau de l'appliance

Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau de l'appliance. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers l'appliance, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.

Destination	Cible
Bloc d'adresse CIDR du VPC	ID d'interface réseau de l'appliance

Routage à l'aide d'une liste de préfixes

Si vous référencez fréquemment le même ensemble de blocs CIDR dans toutes vos AWS ressources, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage. Vous pouvez ajouter ou supprimer ultérieurement des entrées pour la liste de préfixes sans avoir à mettre à jour vos tables de routage.

Par exemple, vous disposez d'une passerelle de transit avec plusieurs pièces jointes VPC. Les VPC doivent pouvoir communiquer avec deux pièces jointes VPC spécifiques qui ont les blocs CIDR suivants :

• 10.0.0.0/16

• 10.2.0.0/16

Vous créez une liste de préfixes avec les deux entrées. Dans vos tables de routage de sous-réseau, vous créez un itinéraire et spécifiez la liste de préfixes comme destination, et la passerelle de transit comme cible.

Destination	Cible
172.31.0.0/16	Local
pl-123abc123abc123ab	tgw-id

Le nombre maximal d'entrées pour les listes de préfixes est égal au même nombre d'entrées dans la table de routage.

Routage vers un point de terminaison d'équilibreur de charge de passerelle

Un équilibreur de charge de passerelle vous permet de distribuer le trafic vers un parc d'appliances virtuelles, tels que des pare-feu. Vous pouvez configurer l'équilibreur de charge en tant que service en créant une configuration de service de point de terminaison d'un VPC. Créez ensuite un point de terminaison d'équilibreur de charge de passerelle dans votre VPC pour connecter votre VPC au service.

Pour acheminer votre trafic vers l'équilibreur de charge de passerelle (par exemple, pour une inspection de sécurité), spécifiez le point de terminaison de l'équilibreur de charge de passerelle comme cible dans vos tables de routage.

Pour obtenir un exemple d'appliances de sécurité derrière un Gateway Load Balancer, consultez Inspectez le trafic à l'aide d'appliances dans un VPC de sécurité.

Pour spécifier le point de terminaison de l'équilibreur de charge de passerelle dans la table de routage, utilisez l'ID du point de terminaison d'un VPC. Par exemple, pour acheminer le trafic destiné à 10.0.1.0/24 vers un point de terminaison Gateway Load Balancer, ajoutez l'acheminement suivant.

Destination	Cible
10.0.1.0/24	vpc-endpoint-id

Pour plus d'informations, consultez Gateway Load Balancers.