Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Tables de routage des sous-réseaux
Vous avez VPC un routeur implicite et vous utilisez des tables de routage pour contrôler la direction du trafic réseau. Chaque sous-réseau de votre réseau VPC doit être associé à une table de routage, qui contrôle le routage du sous-réseau (table de routage de sous-réseau). Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale. Un sous-réseau peut être associé à une seule table de routage à la fois, mais vous pouvez associer plusieurs sous-réseaux à une même table de routage.
Table des matières
Acheminements
Chaque acheminement d'une table spécifie une destination et une cible. Par exemple, pour permettre à votre sous-réseau d'accéder à Internet via une passerelle Internet, ajoutez l'acheminement suivant dans la table de routage de votre sous-réseau. La destination de l'itinéraire est0.0.0.0/0, qui représente toutes les IPv4 adresses. La cible est la passerelle Internet connectée à votreVPC.
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | igw-id |
CIDRles blocs pour IPv4 et IPv6 sont traités séparément. Par exemple, un itinéraire dont CIDR la destination est 0.0.0.0/0 n'inclut pas automatiquement toutes les IPv6 adresses. Vous devez créer un itinéraire dont la destination CIDR est ::/0 pour toutes les IPv6 adresses.
Si vous référencez fréquemment le même ensemble de CIDR blocs dans vos AWS ressources, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage.
Chaque table de routage contient une route locale pour la communication au sein duVPC. Cette route est ajoutée par défaut à toutes les tables de routage. Si vous avez VPC plusieurs IPv4 CIDR blocs, vos tables de routage contiennent un itinéraire local pour chaque IPv4 CIDR bloc. Si vous avez associé un IPv6 CIDR bloc à votreVPC, vos tables de routage contiennent un itinéraire local pour le IPv6 CIDR bloc. Vous pouvez remplacer ou restaurer la cible de chaque acheminement local si nécessaire.
Règles et considérations
-
Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. La destination doit correspondre à la totalité IPv4 ou au IPv6 CIDR bloc d'un sous-réseau de votreVPC. La cible doit être une NAT passerelle, une interface réseau ou un point de terminaison Gateway Load Balancer.
-
Si votre table de routage contient plusieurs acheminements, nous utilisons l'acheminement le plus spécifique correspondant au trafic (correspondance de préfixe le plus long) pour déterminer comment acheminer le trafic.
-
Vous ne pouvez pas ajouter d'itinéraires vers IPv4 des adresses correspondant exactement ou constituant un sous-ensemble de la plage suivante : 169.254.168.0/22. Cette plage se trouve dans l'espace d'adressage lien-local et est réservée à l'usage des AWS services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour des services accessibles uniquement depuis des EC2 instances, tels que le service de métadonnées d'instance (IMDS) et le DNS serveur Amazon. Vous pouvez utiliser un CIDR bloc plus grand que 169.254.168.0/22, mais qui le chevauche, mais les paquets destinés aux adresses situées dans le 169.254.168.0/22 ne seront pas transférés.
-
Vous ne pouvez pas ajouter d'itinéraires vers IPv6 des adresses correspondant exactement ou constituant un sous-ensemble de la plage suivante : fd00:ec2 : :/32. Cette plage se trouve dans l'espace d'adresse locale unique (ULA) et est réservée à l'usage des AWS services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour des services accessibles uniquement depuis des EC2 instances, tels que le service de métadonnées d'instance (IMDS) et le DNS serveur Amazon. Vous pouvez utiliser un CIDR bloc plus grand que fd00:ec2 : :/32 mais qui le chevauche, mais les paquets destinés aux adresses figurant dans fd00:ec2 : :/32 ne seront pas transférés.
-
Vous pouvez ajouter des appareils middlebox aux chemins de routage de votre. VPC Pour de plus amples informations, veuillez consulter Routage pour une appliance middlebox.
Exemple
Dans l'exemple suivant, supposons qu'il VPC possède à la fois un IPv4 CIDR bloc et un IPv6 CIDR bloc. IPv4et IPv6 le trafic sont traités séparément, comme indiqué dans le tableau d'itinéraires suivant.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Local |
| 2001:db8:1234:1a00::/56 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
| ::/0 | eigw-aabbccddee1122334 |
-
IPv4le trafic à acheminer dans le VPC (10.0.0.0/16) est couvert par l'itinéraire. Local
-
IPv6le trafic à acheminer dans le VPC (2001:db 8:1234:1 a00 : :/56) est couvert par l'itinéraire. Local
-
La route pour 172.31.0.0/16 envoie le trafic vers une connexion d'appairage.
-
L'itinéraire pour l'ensemble IPv4 du trafic (0.0.0.0/0) envoie le trafic vers une passerelle Internet. Par conséquent, tout IPv4 le trafic, à l'exception du trafic à l'intérieur VPC et à destination de la connexion d'appairage, est acheminé vers la passerelle Internet.
-
L'itinéraire pour l'ensemble IPv6 du trafic (: : /0) envoie le trafic vers une passerelle Internet de sortie uniquement. Par conséquent, tout IPv6 le trafic, à l'exception du trafic intérieurVPC, est acheminé vers la passerelle Internet de sortie uniquement.
Table de routage principale
Lorsque vous créez unVPC, il possède automatiquement une table de routage principale. Si un sous-réseau n'est pas associé explicitement à une table de routage, la table de routage principale est utilisée par défaut. Sur la page des tables de routage de la VPC console Amazon, vous pouvez consulter la table de routage principale d'un en VPC recherchant Oui dans la colonne principale.
Par défaut, lorsque vous créez un itinéraire autre que celui par défautVPC, la table de routage principale contient uniquement un itinéraire local. Si vous Création d'un VPC choisissez une NAT passerelle, Amazon ajoute VPC automatiquement des itinéraires à la table de routage principale pour les passerelles.
Les règles suivantes s'appliquent à la table de routage principale :
-
Vous pouvez ajouter, supprimer et modifier des acheminements dans la table de routage principale.
-
Vous ne pouvez pas supprimer la table de routage principale.
-
Vous ne pouvez pas définir une table de routage de passerelle comme table de routage principale.
-
Vous pouvez remplacer la table de routage principale en associant une table de routage personnalisée à un sous-réseau.
-
Vous pouvez associer explicitement un sous-réseau à la table de routage principale, même s'il est déjà associé implicitement.
Vous pouvez procéder ainsi si vous changez la table faisant office de table de routage principale. Lorsque vous changez la table faisant office de table de routage principale, cela change également la table par défaut des nouveaux sous-réseaux ajoutés et des réseaux qui ne sont associés explicitement à aucune autre table de routage. Pour plus d'informations, consultez Remplacer la table de routage principale.
Tables de routage personnalisées
Par défaut, une table de routage contient une route locale pour la communication au sein duVPC. Si vous Création d'un VPC choisissez un sous-réseau public, Amazon VPC crée une table de routage personnalisée et ajoute une route pointant vers la passerelle Internet. Une façon de vous protéger VPC est de laisser la table de routage principale dans son état par défaut d'origine. Ensuite, associez explicitement chaque nouveau sous-réseau que vous créez à l'une des tables de routage personnalisées que vous avez créées. Vous vous assurez ainsi de contrôler explicitement la façon dont chaque sous-réseau route le trafic.
Vous pouvez ajouter, supprimer et modifier des acheminements dans une table de routage personnalisée. Vous pouvez supprimer une table de routage personnalisée seulement si elle n'a aucune association.
Association de la table de routage du sous-réseau
Chaque sous-réseau de votre réseau VPC doit être associé à une table de routage. Un sous-réseau peut être associé explicitement à une table de routage personnalisée, ou associé implicitement ou explicitement à la table de routage principale. Pour de plus amples informations sur l'affichage de vos associations entre sous-réseaux et table de routage, veuillez consulter Déterminer quels sous-réseaux et/ou les passerelles sont explicitement associés.
Les sous-réseaux VPCs associés aux Outposts peuvent avoir un type de cible supplémentaire, à savoir une passerelle locale. Il s'agit de la seule différence de routage par rapport aux sous-réseaux autres qu'Outposts.
Exemple 1 : Associations implicite et explicite de sous-réseau
Le schéma suivant montre le routage d'un réseau VPC doté d'une passerelle Internet, d'une passerelle privée virtuelle, d'un sous-réseau public et d'un sous-réseau réservé aux utilisateurs VPN uniquement.
La table de routage A est une table de routage personnalisée qui est associée explicitement au sous-réseau public. Elle dispose d'une route qui envoie tout le trafic vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau public.
| Destination | Target |
|---|---|
VPC CIDR |
Locale |
| 0.0.0.0/0 | igw-id |
La table de routage B est la table de routage principale. Elle est implicitement associée au sous-réseau privé. Il possède une route qui envoie tout le trafic vers la passerelle privée virtuelle, mais aucune route vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau réservé aux VPN utilisateurs. Si vous créez un autre sous-réseau dans ce sous-réseau VPC et que vous n'associez pas de table de routage personnalisée, le sous-réseau sera également implicitement associé à cette table de routage car il s'agit de la table de routage principale.
| Destination | Target |
|---|---|
VPC CIDR |
Locale |
| 0.0.0.0/0 | vgw-id |
Exemple 2 : Remplacement de la table de routage principale
Vous pouvez apporter des modifications à la table de routage principale. Pour éviter toute interruption de trafic, nous vous recommandons de commencer par tester les changements de route à l'aide d'une table de routage personnalisée. Une fois satisfait des résultats du test, vous pouvez remplacer la table de routage principale par la nouvelle table personnalisée.
Le schéma suivant montre deux sous-réseaux et deux tables de routage. Le sous-réseau A est implicitement associé à la table de routage A, la table de routage principale. Le sous-réseau B est implicitement associé à la table de routage A. La table de routage B, une table de routage personnalisée, n'est associée à aucun des deux sous-réseaux.
Pour remplacer la table de routage principale, commencez par créer une association explicite entre le sous-réseau B et la table de routage B. Testez la table de routage B.
Après avoir testé la table de routage B, définissez-la en tant que table de routage principale. Le sous-réseau B comporte toujours une association explicite à la table de routage B. Cependant, le sous-réseau A comporte une association implicite à la table de routage B, car il s'agit de la nouvelle table de routage principale. La table de routage A n'est plus associée à aucun des deux sous-réseaux.
(Facultatif) Si vous dissociez le sous-réseau B de la table de routage B, il y a toujours une association implicite entre le sous-réseau B et la table de routage B. Si vous n'avez plus besoin de la table de routage A, vous pouvez la supprimer.
