Amazon Virtual Private Cloud
VPC ピアリング接続

特定のルートを使用する設定

VPC ピア接続を設定して、CIDR ブロックの一部、特定の CIDR ブロック (VPC に複数の CIDR ブロックがある場合)、またはピア VPC 内の特定のインスタンスへのアクセスを許可できます。この例では、中央 VPC は CIDR ブロックが重複する複数の VPC にピアリング接続されます。特定の VPC ピアリング接続設定が必要になる可能性があるシナリオの例については、「VPC ピア機能のシナリオ」を参照してください。VPC ピアリング接続を作成して作業する方法の詳細については、「VPC ピア接続の操作」を参照してください。ルートテーブルの更新の詳細については、「VPC ピアリング接続のルートテーブルを更新する」を参照してください。

2 つの VPC が 1 つの VPC の 2 つのサブネットにピアリング接続

中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC A は、サブネットを VPC ピアリング接続ごとに 1 つ、計 2 つ持ちます。


                    2 つの VPC が 2 つのサブネットにピアリング接続

サブネットが異なりリソースセットも異なる中央 VPC がある場合に、このような設定を使用することがあります。その他の VPC はリソースの一部にアクセスする必要がありますが、すべてのリソースにアクセスする必要はありません。

サブネット X のルートテーブルは、VPC B の CIDR ブロック全体にアクセスする VPC ピアリング接続 pcx-aaaabbbb を指します。VPC B のルートテーブルは、VPC A のサブネット X のみの CIDR ブロックにアクセスする pcx-aaaabbbb を指します。同様に、サブネット Y のルートテーブルは、VPC C の CIDR ブロック全体にアクセスする VPC ピアリング接続 pcx-aaaacccc を指します。VPC C のルートテーブルは、VPC A のサブネット Y のみの CIDR ブロックにアクセスする pcx-aaaacccc を指します。

ルートテーブル 送信先 Target
VPC A のサブネット X 172.16.0.0/16 ローカル
10.0.0.0/16 pcx-aaaabbbb
VPC A のサブネット Y 172.16.0.0/16 ローカル
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
172.16.0.0/24 pcx-aaaabbbb
VPC C 10.0.0.0/16 ローカル
172.16.1.0/24 pcx-aaaacccc

同様に、中央の VPC (VPC A) は複数の CIDR ブロックを持つことができ、VPC B および VPC C は各 CIDR ブロックのサブネットへの VPC ピアリング接続を持つことができます。


    			1 つの CIDR ブロックにピアリング接続された 2 つの VPC
ルートテーブル 送信先 Target
VPC A のサブネット X 10.2.0.0/16 ローカル
10.3.0.0/16 ローカル
10.0.0.0/16 pcx-aaaabbbb
VPC A のサブネット Y 10.2.0.0/16 ローカル
10.3.0.0/16 ローカル
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
10.2.0.0/24 pcx-aaaabbbb
VPC C 10.0.0.0/16 ローカル
10.3.0.0/24 pcx-aaaacccc

詳細については、Amazon VPC ユーザーガイドの「IPv4 CIDR ブロックの VPC への追加」を参照してください。

2 つの VPC が 1 つの IPv6 用 VPC の 2 つのサブネットにピアリング接続

上記と同じ VPC ピア設定があります。VPC A と VPC B は IPv6 に対して有効になっているため、VPC にはいずれも、IPv6 CIDR ブロックが関連付けられています。VPC のサブネット X には、IPv6 CIDR ブロックが関連付けられています。VPC は同じリージョンにあります。リージョン間の VPC ピア接続では、IPv6 経由の通信はサポートされません。


                        2 つの VPC が 2 つのサブネットにピアリング接続

VPC ピアリング接続を使用して、IPv6 を介して VPC A のサブネット X と VPC B との通信を有効にできます。これを行うには、VPC A のルートテーブルに VPC B の IPv6 CIDR ブロックの宛先ルートを追加し、VPC B のルートテーブルに VPC A のサブネット X の IPv6 CIDR の宛先ルートを追加します。

ルートテーブル 送信先 Target コメント
VPC A のサブネット X 172.16.0.0/16 ローカル
2001:db8:abcd:aa00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
10.0.0.0/16 pcx-aaaabbbb
2001:db8:1234:bb00::/56 pcx-aaaabbbb VPC B の IPv6 CIDR ブロックへのルートです。
VPC A のサブネット Y 172.16.0.0/16 ローカル
2001:db8:abcd:aa00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
2001:db8:1234:bb00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
172.16.0.0/24 pcx-aaaabbbb
2001:db8:abcd:aa00::/64 pcx-aaaabbbb VPC A の IPv6 CIDR ブロックへのルートです。
VPC C 10.0.0.0/16 ローカル
172.16.1.0/24 pcx-aaaacccc

1 個の VPC で特定の CIDR ブロックにピアリング接続された 2 つのVPC

中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC A は、CIDR ブロックを VPC ピアリング接続ごとに 1 つ、計 2 つ持ちます。

ルートテーブル 送信先 Target コメント
VPC A のサブネット X 172.16.0.0/16 ローカル
2001:db8:abcd:aa00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
10.0.0.0/16 pcx-aaaabbbb
2001:db8:1234:bb00::/56 pcx-aaaabbbb VPC B の IPv6 CIDR ブロックへのルートです。
VPC A のサブネット Y 172.16.0.0/16 ローカル
2001:db8:abcd:aa00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
2001:db8:1234:bb00::/56 ローカル VPC 内の IPv6 通信に対して自動的に追加されるローカルルートです。
172.16.0.0/24 pcx-aaaabbbb
2001:db8:abcd:aa00::/64 pcx-aaaabbbb VPC A の IPv6 CIDR ブロックへのルートです。
VPC C 10.0.0.0/16 ローカル
172.16.1.0/24 pcx-aaaacccc

詳細については、Amazon VPC ユーザーガイドの「IPv4 CIDR ブロックの VPC への追加」を参照してください。

1 つの VPC が 2 つの VPC の特定のサブネットにピアリング接続

サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC B と VPC C はそれぞれサブネットを 2 つ持ち、それぞれ 1 つのみが VPC A とのピアリング接続に使用されます。


          1 つの VPC が 2 つのサブネットにピア接続

Active Directory サービスなど、他の VPC がアクセスする必要のある単一のリソースセットを持つ中央 VPC がある場合に、このような設定を使用することがあります。中央 VPC は、ピアリング接続された VPC にフルアクセスする必要はありません。

VPC A のルートテーブルは、VPC B および VPC C の特定のサブネットのみにアクセスする両方の VPC ピアリング接続を指します。VPC B および VPC C のサブネットのルートテーブルは、VPC A のサブネットにアクセスする VPC ピアリング接続を指します。

ルートテーブル 送信先 Target
VPC A 172.16.0.0/16 ローカル
10.0.0.0/24 pcx-aaaabbbb
10.0.1.0/24 pcx-aaaacccc
VPC B のサブネットA 10.0.0.0/16 ローカル
172.16.0.0/24 pcx-aaaabbbb
VPC C のサブネットB 10.0.0.0/16 ローカル
172.16.0.0/24 pcx-aaaacccc

レスポンストラフィックのルーティング

CIDR ブロックが重複または一致する複数の VPC にピアリング接続された VPC がある場合は、自分の VPC から間違った VPC にレスポンストラフィックを送信しないようにルートテーブルが設定されていることを確認します。AWS は現在、パケットのソース IP を確認してリプライパケットをソースにルーティングするユニキャストリバースパス転送 (uRPF) を VPC ピアリング接続でサポートしていません。

たとえば、VPC A は VPC B と VPC C にピアリング接続されます。VPC B と VPC C は CIDR ブロックが一致し、そのサブネットは CIDR ブロックが一致しています。VPC B のサブネット B のルートテーブルは、VPC A のサブネットにアクセスする VPC ピアリング接続 pcx-aaaabbbb を指します。VPC A のルートテーブルは、10.0.0.0/16 トラフィックをピアリング接続 pcx-aaaaccccc に送信するように設定されています。

ルートテーブル 送信先 Target
VPC B のサブネット B 10.0.0.0/16 ローカル
172.16.0.0/24 pcx-aaaabbbb
VPC A 172.16.0.0/24 ローカル
10.0.0.0/16 pcx-aaaacccc

            ピアリング接続の正しくないレスポンスルーティング

プライベート IP アドレスが 10.0.1.66/32 の VPC B のサブネット B のインスタンスが、VPC ピアリング接続 pcx-aaaabbbb を使用して VPC A の Active Directory サーバーにトラフィックを送信します。VPC A はレスポンストラフィックを 10.0.1.66/32 に送信します。ただし、VPC A ルートテーブルは、IP アドレスの 10.0.0.0/16 範囲内のすべてのトラフィックを、VPC ピアリング接続 pcx-aaaacccc に送信するよう設定されています。VPC C のサブネット B に 10.0.1.66/32 の IP アドレスを持つインスタンスがある場合、VPC A からレスポンストラフィックを受信します。VPC B のサブネット B は、VPC A へのリクエストに対するレスポンスを受信しません。

これを防ぐには、送信先を 10.0.1.0/24、ターゲットを pcx-aaaabbbb として特定のルートを VPC A のルートテーブルに追加できます。10.0.1.0/24 トラフィックのルートはより固有のため、10.0.1.0/24 IP アドレス範囲宛てのトラフィックは VPC ピアリング接続を経由します。pcx-aaaabbbb

または、次の例で、VPC A のルートテーブルには、各 VPC ピアリング接続の各サブネット用のルートがあります。VPC A は VPC B のサブネット B および VPC C のサブネット A と通信できます。このシナリオは、10.0.0.0/16 IP アドレス範囲内の別のサブネットとの別の VPC ピアリング接続を追加する必要があるときに便利です。その特定のサブネット用に別のルートを追加するだけです。

送信先 Target
172.16.0.0/16 ローカル
10.0.1.0/24 pcx-aaaabbbb
10.0.0.0/24 pcx-aaaacccc

または、ユースケースに応じて、VPC B の特定の IP アドレスへのルートを作成して、トラフィックが正しいサーバーに戻されるようにします (ルートテーブルでは、プレフィックス最長一致を使用して、ルートの優先順位が決定されます)。

送信先 Target
172.16.0.0/16 ローカル
10.0.1.66/32 pcx-aaaabbbb
10.0.0.0/16 pcx-aaaacccc

1 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続

サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピア接続を行います。VPC A にはサブネットが 1 つあり、ピアリング接続された VPC それぞれに 1 つのインスタンスがあります。特定のインスタンスに対するピアトラフィックを制限する場合に、このような設定を使用することがあります。


                    1 つの VPC のインスタンスが 2 つの VPC のインスタンスにピアリング接続

各 VPC のルートテーブルは、ピア VPC の単一の IP アドレス (つまり特定のインスタンス) にアクセスする該当する VPC ピアリング接続を指します。

ルートテーブル 送信先 Target
VPC A 172.16.0.0/16 ローカル
10.0.0.44/32 pcx-aaaabbbb
10.0.0.55/32 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
172.16.0.88/32 pcx-aaaabbbb
VPC C 10.0.0.0/16 ローカル
172.16.0.99/32 pcx-aaaacccc

1 つの VPC がプレフィックス最長一致を使用して 2 つの VPC とピアリング接続

サブネットを 1 つ持つ中央 VPC (VPC A) があり、VPC A と VPC B の間 (pcx-aaaabbbb)、VPC A と VPC C の間 (pcx-aaaacccc) で VPC ピアリング接続を行います。VPC B および VPC C の CIDR ブロックが一致しています。VPC ピア接続 pcx-aaaabbbb を使用して VPC B の特定のインスタンスと VPC A とのトラフィックをルーティングしようとしています。IP アドレスの範囲 10.0.0.0/16 が宛先であるその他のトラフィックはすべて、VPC A と VPC C の間の pcx-aaaacccc を経由してルーティングされます。


                    プレフィックス最長一致を使用したピアリング接続

VPC のルートテーブルは、プレフィックス最長一致を使用して、目的の VPC ピアリング接続で最も具体的なルートを選択します。その他のすべてのトラフィックは、次に一致するルート、今回の場合は VPC ピアリング接続 pcx-aaaacccc を経由してルーティングします。

ルートテーブル 送信先 Target
VPC A 172.16.0.0/16 ローカル
10.0.0.77/32 pcx-aaaabbbb
10.0.0.0/16 pcx-aaaacccc
VPC B 10.0.0.0/16 ローカル
172.16.0.0/16 pcx-aaaabbbb
VPC C 10.0.0.0/16 ローカル
172.16.0.0/16 pcx-aaaacccc

重要

VPC B の 10.0.0.77/32 以外のインスタンスが VPC A にトラフィックを送信すると、レスポンストラフィックが VPC B の代わりに VPC C にルーティングされる可能性があります。詳細については、「レスポンストラフィックのルーティング」を参照してください。

多重 VPC 設定

この例の場合、中央 VPC (VPC A) はスポーク設定で多数の VPC とピアリング接続されています。この種の設定の詳細については、「1 つの VPC が複数の VPC とピアリング接続」を参照してください。また、3 つの VPC (VPC M、N、P) がフルメッシュ設定で相互にピアリング接続されています。この種の設定の詳細については、「3 つの VPC が相互にピアリング接続」を参照してください。

VPC C には、VPC M との VPC ピアリング接続も設定されています (pcx-ccccmmmm)。VPC A と VPC M は CIDR ブロックが重複しています。これは、VPC A と VPC C の間のピアリングトラフィックが VPC C の特定のサブネット (サブネット A) に制限されることを意味します。このため、VPC C が VPC A または VPC M からリクエストを受け取った場合、正しい VPC にレスポンストラフィックが返されます。AWS は現在、パケットのソース IP を確認してリプライパケットをソースにルーティングするユニキャストリバースパス転送 (uRPF) を VPC ピアリング接続でサポートしていません。詳細については、「レスポンストラフィックのルーティング」を参照してください。

同様に、VPC C と VPC P は CIDR ブロックが重複しています。VPC M と VPC C の間のピアトラフィックは VPC C のサブネット B に制限され、VPC M と VPC P の間のピアトラフィックは VPC P のサブネット A に制限されます。これは、VPC M が VPC C または VPC P からピアトラフィックを受け取った場合に、正しい VPC にレスポンストラフィックを送り返すようにするためです。


                    多重ピア設定

VPC B、D、E、F、G のルートテーブルは、VPC A の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC A のルートテーブルは、VPC B、D、E、F、G それぞれの CIDR ブロック全体にアクセスする該当するピアリング接続を指します。ピアリング接続 pcx-aaaacccc の場合、VPC A のルートテーブルは VPC C のサブネット A (192.168.0.0/24) に対するトラフィックのみをルーティングし、VPC C のサブネット A のルートテーブルは VPC A の CIDR ブロック全体を指します。

VPC N のルートテーブルは VPC M と VPC P の CIDR ブロック全体にアクセスする該当するピアリング接続を指し、VPC P のルートテーブルは VPC N の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC P のサブネット A のルートテーブルは VPC M の CIDR ブロック全体にアクセスする該当するピアリング接続を指します。VPC M のルートテーブルは VPC C のサブネット B と VPC P のサブネット A にアクセスする該当するピアリング接続を指します。

ルートテーブル 送信先 Target
VPC A 172.16.0.0/16 ローカル
10.0.0.0/16 pcx-aaaabbbb
192.168.0.0/24 pcx-aaaacccc
10.2.0.0/16 pcx-aaaadddd
10.3.0.0/16 pcx-aaaaeeee
172.17.0.0/16 pcx-aaaaffff
10.4.0.0/16 pcx-aaaagggg
VPC B 10.0.0.0/16 ローカル
172.16.0.0/16 pcx-aaaabbbb
サブネット Ain VPC C 192.168.0.0/16 ローカル
172.16.0.0/16 pcx-aaaacccc
VPC C のサブネットB 192.168.0.0/16 ローカル
172.16.0.0/16 pcx-ccccmmmm
VPC D 10.2.0.0/16 ローカル
172.16.0.0/16 pcx-aaaadddd
VPC E 10.3.0.0/16 ローカル
172.16.0.0/16 pcx-aaaaeeee
VPC F 172.17.0.0/16 ローカル
172.16.0.0/16 pcx-aaaaffff
VPC G 10.4.0.0/16 ローカル
172.16.0.0/16 pcx-aaaagggg
VPC M 172.16.0.0/16 ローカル
192.168.1.0/24 pcx-ccccmmmm
10.0.0.0/16 pcx-mmmmnnnn
192.168.0.0/24 pcx-mmmmpppp
VPC N 10.0.0.0/16 ローカル
172.16.0.0/16 pcx-mmmmnnnn
192.168.0.0/16 pcx-nnnnpppp
VPC P 192.168.0.0/16 ローカル
10.0.0.0/16 pcx-nnnnpppp
172.16.0.0/16 pcx-mmmmpppp