Configurar tabelas de rotas - Amazon Virtual Private Cloud

Configurar tabelas de rotas

Uma tabela de rotas contém um conjunto de regras, chamado de rotas, que determinam para onde o tráfego de rede de sua sub-rede ou gateway é direcionado.

Conceitos da tabela de rotas

Os conceitos principais das tabelas de rotas são os seguintes.

  • Tabela de rotas principal: a tabela de rotas que vem automaticamente com a VPC. Ela controla o roteamento de todas as sub-redes que não estejam explicitamente associadas com outra tabela de rotas.

  • Tabela de rotas personalizada: uma tabela de rotas criada para a VPC.

  • Destination (Destino): o intervalo de endereços IP para onde você deseja que o tráfego vá (CIDR de destino). Por exemplo, uma rede corporativa externa com um CIDR 172.16.0.0/12.

  • Target (Destino): o gateway, a interface de rede ou a conexão por meio da qual enviar o tráfego de destino, por exemplo, um gateway da Internet.

  • Route table association (Associação de tabelas de rotas): a associação entre uma tabela de rotas e uma sub-rede, gateway da Internet ou gateway privado virtual.

  • Subnet route table (Tabela de rotas de sub-rede): uma tabela de rotas associada a uma sub-rede.

  • Local route (Rota local): uma rota padrão para comunicação dentro da VPC.

  • Propagation (Propagação): a propagação das rotas permite que um gateway privado virtual propague automaticamente rotas para as tabelas de rotas. Isso significa que não é necessário inserir manualmente rotas VPN para suas tabelas de rotas. Para mais informações sobre as opções de roteamento VPN, consulte Opções de roteamento do Site-to-Site VPN no Manual do usuário do Site-to-Site VPN.

  • Tabela de rotas de gateway: uma tabela de rotas associada a um gateway da Internet ou gateway privado virtual.

  • Associação de borda : uma tabela de rotas usada para encaminhar o tráfego de entrada da VPC para um dispositivo. Associe uma tabela de rotas ao gateway da Internet ou ao gateway privado virtual e especifique a interface de rede do seu equipamento como destino do tráfego da VPC.

  • Tabela de rotas de gateway de trânsito: uma tabela de rotas associada a um gateway de trânsito. Para obter mais informações, consulte Tabelas de rota de Transit gateway em Amazon VPC Transit Gateway.

  • Tabela de rotas de gateway local: uma tabela de rotas associada a um gateway local do Outposts. Para obter mais informações, consulte Gateways locais no Guia do usuário do AWS Outposts.

Tabelas de rotas de sub-rede

Sua VPC tem um roteador implícito e você usa tabelas de rotas para controlar para onde o tráfego de rede é direcionado. Toda sub-rede em sua VPC deve ser associada a uma tabela de rotas, que controla o roteamento para a sub-rede (tabela de rotas de sub-rede). Você pode associar explicitamente uma sub-rede a uma tabela de rotas específica. Caso contrário, a sub-rede é implicitamente associada à tabela de rotas principal. Uma sub-rede só pode ser associada a uma única tabela de rotas por vez, mas é possível associar várias sub-redes a uma mesma tabela de rotas de sub-rede.

Rotas

Cada rota em uma tabela especifica um destino e um alvo. Por exemplo, para permitir que a sub-rede acesse a Internet por meio de um gateway da Internet, adicione a seguinte rota à tabela de rotas de sub-rede. O destino da rota é 0.0.0.0/0, que representa todos os endereços IPv4. O alvo é o gateway da Internet que está conectado à sua VPC.

Destination (Destino) Destino
0.0.0.0/0 igw-id

Os blocos CIDR para IPv4 e IPv6 são tratados separadamente. Por exemplo, uma rota com um CIDR de destino de 0.0.0.0/0 não inclui automaticamente todos os endereços IPv6. Você precisa criar uma rota com um CIDR de destino de ::/0 para todos os endereços IPv6.

Se você faz com frequência referência ao mesmo conjunto de blocos CIDR nos recursos da AWS, poderá criar uma lista de prefixos gerenciados pelo cliente para agrupá-los. Depois, você pode especificar a lista de prefixos como destino na entrada da tabela de rotas.

Toda tabela de rotas contém uma rota local para comunicação dentro da VPC. Esta rota é adicionada por padrão a todas as tabelas de rotas. Se a VPC tiver mais de um bloco CIDR IPv4, as tabelas de rotas conterão um rota local para cada bloco CIDR IPv4. Se tiver associado um bloco CIDR IPv6 à VPC, as tabelas de rotas conterão uma rota local para o bloco CIDR IPv6. Você não pode modificar ou excluir essas rotas em uma tabela de rotas de sub-rede ou na tabela de rotas principal.

Regras e considerações

  • Você pode adicionar uma rota às suas tabelas de rotas que seja mais específica do que a rota local. O desino deve corresponder a todo o bloco CIDR IPv4 ou IPv6 de uma sub-rede em sua VPC. O destino deve ser um gateway NAT, uma interface de rede ou um endpoint de balanceador de carga de gateway.

  • Se sua tabela de rotas tiver várias rotas, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa) para determinar como rotear o tráfego.

  • Não é possível adicionar rotas a endereços IPv4 que sejam uma correspondência exata ou um subconjunto do seguinte intervalo: 169.254.169.0/22. Esse intervalo está no espaço de endereço local do link e é reservado para uso por serviços da AWS. Por exemplo, o Amazon EC2 usa endereços nesse intervalo para serviços que são acessíveis exclusivamente de instâncias do EC2, como o Instance Metadata Service (IMDS) e o servidor de DNS da Amazon. Você pode usar um bloco CIDR que seja maior que, mas se sobreponha a 169.254.169.0/22, mas os pacotes destinados a endereços no intervalo 169.254.169.0/22 não serão encaminhados.

  • Não é possível adicionar rotas a endereços IPv6 que sejam uma correspondência exata ou um subconjunto do seguinte intervalo: fd00:ec2::/32. Esse intervalo está no espaço de Unique Local Address (ULA – Endereço local exclusivo) e é reservado para uso por serviços da AWS. Por exemplo, o Amazon EC2 usa endereços nesse intervalo para serviços que são acessíveis exclusivamente de instâncias do EC2, como o Instance Metadata Service (IMDS) e o servidor de DNS da Amazon. Você pode usar um bloco CIDR que seja maior que, mas se sobreponha a fd00:ec2::/32, mas os pacotes destinados a endereços no intervalo fd00:ec2::/32 não serão encaminhados.

  • Você pode adicionar dispositivos middlebox aos caminhos de roteamento para a sua VPC. Para mais informações, consulte Roteamento para um dispositivo Middlebox.

Exemplo

No exemplo a seguir, suponha que uma VPC tem um bloco CIDR IPv4 e um bloco CIDR IPv6. Na tabela de rotas:

  • O tráfego IPv6 destinado a permanecer dentro da VPC (2001:db8:1234:1a00::/56) é coberto pela rota Local e é roteado dentro da VPC.

  • Os tráfegos IPv4 e IPv6 são tratados separadamente; por isso, todo tráfego IPv6 (exceto pelo tráfego dentro da VPC) é roteado para o gateway da Internet apenas de saída.

  • Há uma rota para tráfego IPv4 172.31.0.0/16 que direciona para uma conexão emparelhada.

  • Existe uma rota para todo o tráfego IPv4 (0.0.0.0/0) que direciona para um gateway da Internet.

  • Há uma rota para todo o tráfego IPv6 (::/0) que direciona para um gateway da Internet apenas de saída.

Destino Destino
10.0.0.0/16 Local
2001:db8:1234:1a00::/56 Local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567
::/0 eigw-aabbccddee1122334

Tabela de rotas principal

Quando você cria uma VPC, a tabela de rotas principal é criada automaticamente. Quando uma sub-rede não tem uma tabela de roteamento explicitamente associada, ela usará a tabela de roteamento principal por padrão. Para visualizar a tabela de rotas principal de uma VPC, na página Route Tables (Tabelas de rotas), no console da Amazon VPC, procure por Yes (Sim) na coluna Main (Principal).

Por padrão, quando você cria uma VPC não padrão, a tabela de rotas principal contém apenas uma rota local. Se você Criar uma VPC e escolher um gateway NAT, a Amazon VPC adicionará rotas automaticamente à tabela de rotas principal para os gateways.

As seguintes regras se aplicam à tabela de rotas principal:

  • Você não pode excluir a tabela de rotas principal.

  • Você não pode definir uma tabela de rotas de gateway como a tabela de rotas principal.

  • Você pode substituir a tabela de rotas principal por uma tabela de rotas de sub-rede personalizada.

  • Você pode adicionar, remover e modificar rotas na tabela de rotas principal.

  • Você pode associar explicitamente uma sub-rede à tabela de rotas principal, mesmo que ela já esteja implicitamente associada.

    Você pode querer fazer isso se alterar qual tabela é a tabela de rotas principal. Quando você altera a tabela que constitui a tabela de rotas principal, isso também altera o padrão para novas sub-redes ou para sub-redes que não estejam explicitamente associadas a outra tabela de rotas. Para obter mais informações, consulte Substituir a tabela de rotas principal.

Tabelas de rotas personalizadas

Por padrão, uma tabela de rotas personalizada fica vazia e você adiciona rotas conforme necessário. Se você Criar uma VPC e escolher uma sub-rede pública, a Amazon VPC criará uma tabela de rotas personalizada e adicionará uma rota que aponte para o gateway da Internet. Uma maneira de proteger sua VPC é deixar a tabela de rotas principal em seu estado padrão original. Depois, associe explicitamente cada nova sub-rede criada a uma das tabelas de rotas personalizadas criadas. Desse modo, você pode controlar explicitamente como cada sub-rede roteia o tráfego.

Você pode adicionar, remover e modificar rotas em uma tabela de rotas personalizada. Você poderá excluir uma tabela de rotas personalizada somente se ela não tiver associações.

Associação da tabela de rotas da sub-rede

Toda sub-rede em sua VPC deve ser associada a uma tabela de rotas. Uma sub-rede pode ser explicitamente associada à tabela de rotas personalizada, ou implicitamente ou explicitamente associada à tabela de rotas principal. Para obter mais informações sobre como visualizar suas associações de sub-rede e tabela de rotas, consulte Determinar as sub-redes e/ou os gateways explicitamente associadas.

As sub-redes que estão em VPCs associadas ao Outposts podem ter um tipo de destino adicional de um gateway local. Essa é a única diferença de roteamento das sub-redes que não são de Outposts.

Exemplo 1: Associação de sub-rede implícita e explícita

O diagrama a seguir mostra o roteamento para uma VPC com um gateway da Internet, um gateway privado virtual, uma sub-rede pública e uma sub-rede somente VPN. A tabela de rotas principal tem uma rota para o gateway privado virtual. Uma tabela de rotas personalizada é explicitamente associada à sub-rede pública. A tabela de rotas personalizada tem uma rota para a Internet (0.0.0.0/0) por meio do gateway da Internet.


                    Tabela de rotas principal e tabela personalizada

Se criar uma nova sub-rede nessa VPC, ela será automaticamente e implicitamente associada à tabela de rotas principal, que roteia o tráfego para o gateway privado virtual. Se definir uma configuração inversa (em que a tabela de rotas principal tem a rota para o gateway da Internet e a tabela de rotas personalizada tem a rota para o gateway privado virtual), uma nova sub-rede automaticamente terá uma rota para o gateway da Internet.

Exemplo 2: Substituir a tabela de rotas principal

Você pode querer fazer alterações na tabela de rotas principal. Para evitar qualquer interrupção no tráfego, recomendamos que você primeiro teste as alterações de rota usando uma tabela de rotas personalizada. Quando estiver satisfeito com o teste, você pode substituir a tabela de rotas principal pela nova tabela personalizada.

O diagrama a seguir mostra uma VPC com duas sub-redes que estão implicitamente associadas à tabela de rotas principal (Tabela de rotas A) e uma tabela de rotas personalizada (Tabela de rotas B), que não está associada a nenhuma sub-rede.


                    Substituir a tabela principal: iniciar

Você pode criar uma associação explícita entre a Sub-rede 2 e a Tabela de rotas B.


                    Substituir a tabela principal: nova tabela

Depois que testar a Tabela de rotas B, poderá torná-la a tabela de rotas principal. Observe que a Sub-rede 2 ainda tem uma associação explícita com a Tabela de rotas B e a Sub-rede 1 tem uma associação implícita com a Tabela de rotas B porque é a nova tabela de rotas principal. A Tabela de rotas A não está mais sendo usada.


                    Substituir a tabela principal: substituir

Se dissociar a Sub-rede 2 da Tabela de rotas B, ainda assim haverá uma associação implícita entre a Sub-rede 2 e a Tabela de rotas B. Se não precisar mais da Tabela de rotas A, poderá excluí-la.


                    Substituir a tabela principal: dissociar

Tabelas de rotas do gateway

Você pode associar uma tabela de rotas a um gateway da Internet ou a um gateway privado virtual. Quando uma tabela de rotas é associada a um gateway, ela é chamada de tabela de rotas de gateway. Você pode criar uma tabela de rotas de gateway para controle detalhado do caminho de roteamento do tráfego que entra na VPC. Por exemplo, é possível interceptar o tráfego que entra na VPC por meio de um gateway da Internet redirecionando esse tráfego para um dispositivo Middlebox (por exemplo, um dispositivo de segurança) na VPC.

Rotas da tabelas de rotas do gateway

Uma tabela de rotas de gateway associada a um gateway da Internet oferece suporte a rotas com os seguintes destinos:

Uma tabela de rotas de gateway associada a um gateway privado virtual oferece suporte a rotas com os seguintes destinos:

  • A rota local padrão

  • Uma interface de rede para um dispositivo middlebox

Quando o destino for um endpoint do Gateway Load Balancer ou uma interface de rede, os seguintes destinos são permitidos:

  • Todo o bloco CIDR IPv4 ou IPv6 da sua VPC. Nesse caso, você substitui o alvo da rota local padrão.

  • Todo o bloco CIDR IPv4 ou IPv6 de uma sub-rede em sua VPC. Esta é uma rota mais específica do que a rota local padrão.

Se você alterar o alvo da rota local em uma tabela de rotas de gateway para uma interface de rede em sua VPC, poderá restaurá-la posteriormente para o alvo padrão local. Para mais informações, consulte Substituir ou restaurar o destino de uma rota local.

Exemplo

Na tabela de rotas de gateway a seguir, o tráfego destinado a uma sub-rede com o bloco CIDR 172.31.0.0/20 é roteado para uma interface de rede específica. O tráfego destinado a todas as outras sub-redes na VPC usa a rota local.

Destino Destino
172.31.0.0/16 Local
172.31.0.0/20 eni-id

Exemplo

Na tabela de rotas de gateway a seguir, o alvo da rota local é substituído por um ID de interface de rede. O tráfego destinado a todas as sub-redes dentro da VPC é roteado para a interface de rede.

Destino Destino
172.31.0.0/16 eni-id

Regras e considerações

Não será possível associar uma tabela de rotas a um gateway se qualquer uma das seguintes afirmações se aplicar:

  • A tabela de rotas contém rotas existentes com destinos diferentes de uma interface de rede, endpoint do Gateway Load Balancer ou da rota local padrão.

  • A tabela de rotas contém rotas existentes para blocos CIDR fora dos intervalos em sua VPC.

  • A propagação de rota está ativada para a tabela de rotas.

Além disso, as seguintes regras e considerações são aplicáveis:

  • Não é possível adicionar rotas a nenhum bloco CIDR fora dos intervalos em sua VPC, incluindo intervalos maiores que os blocos CIDR individuais da VPC.

  • Você só pode especificar local, um endpoint do Gateway Load Balancer ou uma interface de rede como destino. Não é possível especificar outros tipos de destinos, incluindo endereços IP de host individuais. Para mais informações, consulte Exemplo de opções de roteamento.

  • Não é possível rotear o tráfego de um gateway privado virtual para um endpoint do Gateway Load Balancer . Se você associar sua tabela de rotas a um gateway privado virtual e adicionar uma rota com um endpoint do Gateway Load Balancer como destino, o tráfego destinado ao endpoint será descartado.

  • Não é possível especificar uma lista de prefixos como destino.

  • Não é possível usar uma tabela de rotas de gateway para controlar ou interceptar tráfego fora da VPC, como o tráfego por meio de um gateway de trânsito conectado, por exemplo. Você pode interceptar o tráfego que entra na VPC e redirecioná-lo para outro alvo somente na mesma VPC.

  • Para garantir que o tráfego atinja o dispositivo Middlebox, a interface de rede de destino deve ser associada a uma instância em execução. Para tráfego que flui por um gateway da Internet, a interface de rede de destino também deve ter um endereço IP público.

  • Ao configurar seu dispositivo Middlebox, tome nota das considerações sobre o dispositivo.

  • Quando você roteia o tráfego por meio de um dispositivo Middlebox, o tráfego de retorno da sub-rede de destino deve ser roteado pelo mesmo dispositivo. Não há suporte ao roteamento assimétrico.

  • As regras da tabela de rotas aplicam-se a todo o tráfego que sai de uma sub-rede. O tráfego que sai de uma sub-rede é definido como tráfego destinado ao endereço MAC do roteador de gateway dessa sub-rede. O tráfego destinado ao endereço MAC de outra interface de rede nessa sub-rede faz uso do roteamento de enlace de dados (camada 2) em vez de rede (camada 3). Por isso, as regras não se aplicam a esse tráfego.

Prioridade de rota

Em geral, direcionamos o tráfego usando a rota mais específica correspondente ao tráfego. Isso é conhecido como a correspondência de prefixo mais longa. Se a tabela de rotas tiver rotas sobrepostas ou correspondentes, serão aplicadas regras adicionais.

A correspondência de prefixo mais longa

As rotas para endereços IPv4 e IPv6 ou blocos CIDR são independentes umas das outras. Usamos a rota mais específica que corresponde ao tráfego IPv4 ou ao tráfego IPv6 para determinar como rotear o tráfego.

O exemplo de tabela de rotas de sub-rede a seguir tem uma rota para o tráfego de Internet IPv4 (0.0.0.0/0) direcionada para um gateway da Internet e uma rota para o tráfego IPv4 172.31.0.0/16 direcionada para uma conexão de emparelhamento (pcx-11223344556677889). Qualquer tráfego da sub-rede destinado ao intervalo de endereços IP 172.31.0.0/16 usa a conexão de emparelhamento, porque essa rota é mais específica do que a rota para o gateway da Internet. Qualquer tráfego que vá para um alvo dentro da VPC (10.0.0.0/16) é coberto pela rota local e, portanto, roteado dentro da VPC. Todos os outros tráfegos da sub-rede usam o gateway da Internet.

Destino Destino
10.0.0.0/16 local
172.31.0.0/16 pcx-11223344556677889
0.0.0.0/0 igw-12345678901234567

Prioridade de rota e rotas propagadas

Se você tiver anexado um gateway privado virtual à sua VPC e habilitado a propagação de rotas em sua tabela de rotas de sub-rede, as rotas que representam a conexão do Site-to-Site VPN aparecerão automaticamente na tabela de rotas como rotas propagadas.

Se o destino de uma rota propagada se sobrepuser a uma rota estática, a rota estática terá prioridade.

Se o destino de uma rota propagada for idêntico ao destino de uma rota estática, a rota estática terá prioridade se o destino for um dos seguintes:

  • gateway de Internet

  • gateway NAT

  • Interface de rede

  • ID da instância

  • VPC endpoint de gateway

  • Transit gateway

  • Conexão de emparelhamento de VPC

  • Endpoint do Gateway Load Balancer

Para obter mais informações, consulte Tabelas de rotas e prioridade de rotas da VPN no Manual do usuário da AWS Site-to-Site VPN.

O exemplo de tabela de rotas a seguir tem uma rota estática para um gateway da Internet e uma rota propagada para um gateway privado virtual. O destino de ambas as rotas é 172.31.0.0/24. Como uma rota estática para um gateway da Internet tem prioridade, todo o tráfego destinado para 172.31.0.0/24 é roteado para o gateway da internet.

Destination (Destino) Destino Com propagação
10.0.0.0/16 local Não
172.31.0.0/24 vgw-11223344556677889 Sim
172.31.0.0/24 igw-12345678901234567 Não

Listas de prioridades de rotas e prefixos

Se a tabela de rotas fizer referência a uma lista de prefixos, as seguintes regras serão aplicadas:

  • Se a tabela de rotas contiver uma rota estática com um bloco CIDR de destino que se sobreponha a uma rota estática com uma lista de prefixos, a rota estática com o bloco CIDR terá prioridade.

  • Se a tabela de rotas contiver uma rota propagada que corresponde a uma rota que faz referência a uma lista de prefixos, a rota que faz referência à lista de prefixos terá prioridade. No caso de rotas que se sobrepõem, rotas mais específicas sempre têm prioridade, independentemente do fato de serem propagadas, estáticas ou que fazem referência a listas de prefixos.

  • Se sua tabela de rotas fizer referência a várias listas de prefixos que têm blocos CIDR sobrepostos para destinos diferentes, escolheremos aleatoriamente qual rota terá prioridade. Depois disso, a mesma rota terá prioridade sempre.

  • Se o bloco CIDR em uma entrada de lista de prefixos não for válido para a tabela de rotas, esse bloco CIDR será ignorado.

Cotas da tabela de rotas

Existe uma cota em relação ao número de tabelas de rotas que podem ser criadas por VPC. Também existe uma cota em relação ao número de rotas que pode ser adicionadas por tabela de rotas. Para mais informações, consulte Cotas da Amazon VPC.