Tables de routage des sous-réseaux
Votre VPC dispose d'un routeur implicite, et vous utilisez des tables de routage pour contrôler où le trafic réseau est dirigé. Chaque sous-réseau de votre VPC doit être associé à une table de routage, qui contrôle le routage pour ce sous-réseau (table de routage de sous-réseau). Vous pouvez associer explicitement un sous-réseau à une table de routage particulière. Sinon, le sous-réseau est implicitement associé à la table de routage principale. Un sous-réseau peut être associé à une seule table de routage à la fois, mais vous pouvez associer plusieurs sous-réseaux à une même table de routage.
Table des matières
Acheminements
Chaque acheminement d'une table spécifie une destination et une cible. Par exemple, pour permettre à votre sous-réseau d'accéder à Internet via une passerelle Internet, ajoutez l'acheminement suivant dans la table de routage de votre sous-réseau. La destination de l'acheminement est 0.0.0.0/0, qui représente toutes les adresses IPv4. La cible est la passerelle Internet qui est attachée à votre VPC.
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | igw-id |
Les blocs d'adresse CIDR IPv4 et IPv6 sont traités séparément. Par exemple, une route dotée du CIDR de destination 0.0.0.0/0 n'inclut pas automatiquement toutes les adresses IPv6. Vous devez créer un acheminement avec le bloc d'adresse CIDR de destination ::/0 pour toutes les adresses IPv6.
Si vous référencez fréquemment le même ensemble de blocs d'adresse CIDR dans vos ressources AWS, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage.
Chaque table de routage contient un acheminement local pour la communication au sein du VPC. Cette route est ajoutée par défaut à toutes les tables de routage. Si votre VPC est associé à plusieurs blocs d'adresse CIDR IPv4, les tables de routage contiennent une route locale pour chaque bloc d'adresse CIDR IPv4. Si vous avez associé un bloc d'adresse CIDR IPv6 avec votre VPC, les tables de routage contiennent une route locale pour le bloc d'adresse CIDR IPv6. Vous pouvez remplacer ou restaurer la cible de chaque acheminement local si nécessaire.
Règles et considérations
-
Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. La destination doit correspondre au bloc d'adresse CIDR IPv4 ou IPv6 complet d'un sous-réseau de votre VPC. La cible doit être une passerelle NAT, une interface réseau ou un point de terminaison d'équilibreur de charge de passerelle.
-
Si votre table de routage contient plusieurs acheminements, nous utilisons l'acheminement le plus spécifique correspondant au trafic (correspondance de préfixe le plus long) pour déterminer comment acheminer le trafic.
-
Vous ne pouvez pas ajouter d'acheminements aux adresses IPv4 qui sont une correspondance exacte ou un sous-ensemble de la plage suivante : 169.254.168.0/22. Cette plage se trouve dans l'espace d'adressage local du lien et est réservée à l'utilisation par les services AWS. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur Amazon DNS. Vous pouvez utiliser un bloc d'adresse CIDR qui dépasse, mais chevauche 169.254.168.0/22, mais les paquets destinés aux adresses de 169.254.168.0/22 ne seront pas transférés.
-
Vous ne pouvez pas ajouter d'itinéraires aux adresses IPv6 correspondant exactement ou à un sous-ensemble de la plage suivante : fd00:ec2::/32. Cette plage se trouve dans l'espace d'adressage local unique (ULA) et est réservée à l'utilisation par AWS Services. Par exemple, Amazon EC2 utilise des adresses de cette plage pour les services accessibles uniquement à partir d'instances EC2, tels que le service de métadonnées d'instance (IMDS) et le serveur DNS d’Amazon. Vous pouvez utiliser un bloc d'adresse CIDR qui est plus grand que, mais chevauche fd00:ec2::/32, mais les paquets destinés aux adresses de fd00:ec2::/32 ne seront pas transférés.
-
Vous pouvez ajouter des appliances middlebox dans les chemins de routage de votre VPC. Pour en savoir plus, consultez Routage pour une appliance middlebox.
Exemple
Dans l'exemple suivant, supposez que le VPC comporte à la fois un bloc d'adresse CIDR IPv4 et un bloc d'adresse CIDR IPv6. Les trafics IPv4 et IPv6 sont traités séparément, comme le montre la table de routage suivante.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Local |
| 2001:db8:1234:1a00::/56 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
| ::/0 | eigw-aabbccddee1122334 |
-
Le trafic IPv4 à acheminer au sein du VPC (10.0.0.0/16) est couvert par la route Local.
-
Le trafic IPv6 à acheminer au sein du VPC (2001:db8:1234:1a00::/56) est couvert par la route Local.
-
La route pour 172.31.0.0/16 envoie le trafic vers une connexion d'appairage.
-
La route pour l'ensemble du trafic IPv4 (0.0.0.0/0) envoie le trafic vers une passerelle Internet. Par conséquent, tout le trafic IPv4, à l'exception du trafic à l'intérieur du VPC et de la connexion d'appairage, est acheminé vers la passerelle Internet.
-
La route pour l'ensemble du trafic IPv6 (::/0) envoie le trafic vers une passerelle Internet de sortie uniquement. Par conséquent, tout le trafic IPv6, à l'exception du trafic à l'intérieur du VPC, est acheminé vers la passerelle Internet de sortie uniquement.
Table de routage principale
Lorsque vous créez un VPC, il est automatiquement associé à une table de routage principale. Si un sous-réseau n'est pas associé explicitement à une table de routage, la table de routage principale est utilisée par défaut. Sur la page Route Tables (Tables de routage) de la console Amazon VPC, vous pouvez afficher la table de routage principale d'un VPC en recherchant Oui dans la colonne Principale.
Par défaut, lorsque vous créez un VPC personnalisé, la table de routage principale contient seulement une route locale. Si vous Création d'un VPC et choisissez une passerelle NAT, Amazon VPC ajoute automatiquement des acheminements à la table de routage principale pour les passerelles.
Les règles suivantes s'appliquent à la table de routage principale :
-
Vous pouvez ajouter, supprimer et modifier des acheminements dans la table de routage principale.
-
Vous ne pouvez pas supprimer la table de routage principale.
-
Vous ne pouvez pas définir une table de routage de passerelle comme table de routage principale.
-
Vous pouvez remplacer la table de routage principale en associant une table de routage personnalisée à un sous-réseau.
-
Vous pouvez associer explicitement un sous-réseau à la table de routage principale, même s'il est déjà associé implicitement.
Vous pouvez procéder ainsi si vous changez la table faisant office de table de routage principale. Lorsque vous changez la table faisant office de table de routage principale, cela change également la table par défaut des nouveaux sous-réseaux ajoutés et des réseaux qui ne sont associés explicitement à aucune autre table de routage. Pour plus d'informations, consultez Remplacer la table de routage principale.
Tables de routage personnalisées
Par défaut, une table de routage contient une route locale pour la communication au sein du VPC. Si vous Création d'un VPC et choisissez un sous-réseau public, Amazon VPC crée une table de routage personnalisée et ajoute un acheminement qui pointe vers la passerelle Internet. Une façon de protéger votre VPC consiste à laisser la table de routage principale dans son état par défaut d'origine. Ensuite, associez explicitement chaque nouveau sous-réseau que vous créez à l'une des tables de routage personnalisées que vous avez créées. Vous vous assurez ainsi de contrôler explicitement la façon dont chaque sous-réseau route le trafic.
Vous pouvez ajouter, supprimer et modifier des acheminements dans une table de routage personnalisée. Vous pouvez supprimer une table de routage personnalisée seulement si elle n'a aucune association.
Association de la table de routage du sous-réseau
Chaque sous-réseau de votre VPC doit être associé à une table de routage. Un sous-réseau peut être associé explicitement à une table de routage personnalisée, ou associé implicitement ou explicitement à la table de routage principale. Pour de plus amples informations sur l'affichage de vos associations entre sous-réseaux et table de routage, veuillez consulter Déterminer quels sous-réseaux et/ou les passerelles sont explicitement associés.
Les sous-réseaux qui se trouvent dans des VPC associés à Outposts peuvent avoir un type de cible supplémentaire d'une passerelle locale. Il s'agit de la seule différence de routage par rapport aux sous-réseaux autres qu'Outposts.
Exemple 1 : Associations implicite et explicite de sous-réseau
Le schéma ci-après illustre le routage pour un VPC comportant une passerelle Internet, une passerelle réseau privé virtuel, un sous-réseau public et un sous-réseau VPN unique.
La table de routage A est une table de routage personnalisée qui est associée explicitement au sous-réseau public. Elle dispose d'une route qui envoie tout le trafic vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau public.
| Destination | Cible |
|---|---|
Bloc d'adresse du VPC |
Local |
| 0.0.0.0/0 | igw-id |
La table de routage B est la table de routage principale. Elle est implicitement associée au sous-réseau privé. Elle dispose d'une route qui envoie tout le trafic vers la passerelle privée virtuelle, mais aucune route vers la passerelle Internet, ce qui fait du sous-réseau un sous-réseau VPN uniquement. Si vous créez un autre sous-réseau dans ce VPC et que vous n'y associez pas de table de routage personnalisée, le sous-réseau sera également associé implicitement à cette table de routage, car il s'agit de la table de routage principale.
| Destination | Cible |
|---|---|
Bloc d'adresse du VPC |
Local |
| 0.0.0.0/0 | vgw-id |
Exemple 2 : Remplacement de la table de routage principale
Vous pouvez apporter des modifications à la table de routage principale. Pour éviter toute interruption de trafic, nous vous recommandons de commencer par tester les changements de route à l'aide d'une table de routage personnalisée. Une fois satisfait des résultats du test, vous pouvez remplacer la table de routage principale par la nouvelle table personnalisée.
Le schéma suivant montre deux sous-réseaux et deux tables de routage. Le sous-réseau A est implicitement associé à la table de routage A, la table de routage principale. Le sous-réseau B est implicitement associé à la table de routage A. La table de routage B, une table de routage personnalisée, n'est associée à aucun des deux sous-réseaux.
Pour remplacer la table de routage principale, commencez par créer une association explicite entre le sous-réseau B et la table de routage B. Testez la table de routage B.
Après avoir testé la table de routage B, définissez-la en tant que table de routage principale. Le sous-réseau B comporte toujours une association explicite à la table de routage B. Cependant, le sous-réseau A comporte une association implicite à la table de routage B, car il s'agit de la nouvelle table de routage principale. La table de routage A n'est plus associée à aucun des deux sous-réseaux.
(Facultatif) Si vous dissociez le sous-réseau B de la table de routage B, il y a toujours une association implicite entre le sous-réseau B et la table de routage B. Si vous n'avez plus besoin de la table de routage A, vous pouvez la supprimer.
