网关路由表
您可以将路由表与互联网网关或虚拟私有网关相关联。当路由表关联到某个网关时,它称为网关路由表。您可以创建网关路由表,以精细控制进入 VPC 的流量的路由路径。例如,对于通过互联网网关进入 VPC 的流量,您可以将流量重定向到 VPC 中的中间盒设备(例如安全设备)来进行拦截。
网关路由表路由
与互联网网关关联的网关路由表支持具有以下目标的路由:
-
默认本地路由
-
中间盒设备的网络接口
与虚拟私有网关关联的网关路由表支持具有以下目标的路由:
-
默认本地路由
-
中间盒设备的网络接口
当目标是网关负载均衡器终端节点或网络接口时,允许使用以下目标:
-
您的 VPC 的整个 IPv4 或 IPv6 CIDR 块。在这种情况下,您将替换默认本地路由的目标。
-
VPC 中子网的整个 IPv4 或 IPv6 CIDR 块。这是比默认本地路由更明确的路由。
如果您将网关路由表中本地路由的目标更改为 VPC 中的网络接口,则以后可以将其还原为默认 local 目标。有关更多信息,请参阅 替换或还原本地路由的目标。
示例
在下面的网关路由表中,流向具有 172.31.0.0/20 CIDR 块的子网的流量将路由到特定网络接口。流向 VPC 中所有其他子网的流量使用本地路由。
| 目的地 | 目标 |
|---|---|
| 172.31.0.0/16 | 本地 |
| 172.31.0.0/20 | eni-id |
示例
在以下网关路由表中,本地路由的目标替换为网络接口 ID。流向 VPC 中所有子网的流量将路由到网络接口。
| 目的地 | 目标 |
|---|---|
| 172.31.0.0/16 | eni-id |
规则和注意事项
如果以下任何情况适用,则无法将路由表与网关相关联:
-
路由表包含的现有路由具有网络接口、网关负载均衡器终端节点或默认本地路由以外的其他目标。
-
路由表包含的路由指向 VPC 范围之外的 CIDR 块。
-
为路由表启用了路由传播。
此外,还适用以下规则和注意事项:
-
您不能将路由添加到 VPC 范围之外的任何 CIDR 块,包括超出单个 VPC CIDR 块的范围。
-
您只能将
local、网关负载均衡器终端节点或网络接口指定为目标。不能指定任何其他类型的目标,包括单个主机 IP 地址。有关更多信息,请参阅 示例路由选项。 -
不能将前缀列表指定为目的地。
-
您不能使用网关路由表来控制或拦截 VPC 外部的流量,例如,流经所连接传输网关的流量。您可以拦截进入您 VPC 的流量,并仅能将其重定向到相同 VPC 中的另一个目标。
-
要确保流量到达您的中间盒设备,必须将目标网络接口连接到正在运行的实例。对于流经互联网网关的流量,目标网络接口还必须具有公有 IP 地址。
-
配置中间盒设备时,请注意设备注意事项。
-
通过中间盒设备路由流量时,来自目标子网的返回流量必须通过同一设备路由。不支持非对称路由。
-
路由表规则适用于离开子网的所有流量。离开子网的流量定义为发往该子网网关路由器 MAC 地址的流量。发往子网中另一个网络接口 MAC 地址的流量使用数据链路(第 2 层)路由而不是网络(第 3 层)路由,因此这些规则不适用于此流量。
-
并非所有 Local Zones 都支持与虚拟私有网关的边缘关联。有关可用区域的更多信息,请参阅《AWS Local Zones 用户指南》中的注意事项。
