Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples d'options de routage
Les rubriques ci-après décrivent le routage pour des passerelles ou des connexions spécifiques au sein de votre VPC.
Routage vers une passerelle Internet
Vous pouvez faire d'un sous-réseau un sous-réseau public en ajoutant une route dans votre table de routage de sous-réseau vers une passerelle Internet. Pour ce faire, créez et attachez une passerelle Internet à votre VPC, puis ajoutez une route avec une destination pour le IPv4 trafic ou 0.0.0.0/0 ::/0 pour le IPv6 trafic, et une cible pour l'ID de passerelle Internet ()igw-xxxxxxxxxxxxxxxxx.
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | igw-id |
| ::/0 | igw-id |
Pour de plus amples informations, veuillez consulter Activation de l’accès à Internet pour un VPC à l’aide d’une passerelle Internet.
Routage vers un périphérique NAT
Pour permettre aux instances d'un sous-réseau privé de se connecter à Internet, vous pouvez créer une passerelle NAT ou lancer une instance NAT dans un sous-réseau public. Ajoutez ensuite une route pour la table de routage du sous-réseau privé qui achemine le trafic IPv4 Internet (0.0.0.0/0) vers le périphérique NAT.
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | nat-gateway-id |
Vous pouvez également créer des routes plus spécifiques vers d'autres cibles pour éviter des frais inutiles de traitement de données liés à l'utilisation d'une passerelle NAT ou pour router un certain trafic de manière privée. Dans l'exemple suivant, le trafic Amazon S3 (pl-xxxxxxxx, une liste de préfixes qui contient les plages d'adresses IP pour Amazon S3 dans une région spécifique) est acheminé vers un point de terminaison d'un VPC de passerelle et le trafic 10.25.0.0/16 est acheminé vers une connexion d'appairage de VPC. Ces plages d'adresses IP sont plus spécifiques que 0.0.0.0/0. Lorsque des instances envoient du trafic vers Amazon S3 ou le VPC d'appairage, le trafic est envoyé vers le point de terminaison VPC de passerelle ou la connexion d'appairage de VPC. Tout autre trafic est envoyé à la passerelle NAT.
| Destination | Cible |
|---|---|
| 0.0.0.0/0 | nat-gateway-id |
pl- xxxxxxxx |
vpce-id |
| 10.25.0.0/16 | pcx-id |
Pour de plus amples informations, veuillez consulter Périphériques NAT.
Routage vers une passerelle réseau privé virtuel
Vous pouvez utiliser une AWS Site-to-Site VPN connexion pour permettre aux instances de votre VPC de communiquer avec votre propre réseau. Pour ce faire, créez et attachez une passerelle réseau privé virtuel à votre VPC. Ensuite, ajoutez une route dans votre table de routage de sous-réseau avec la destination de votre réseau et une cible correspondant à la passerelle réseau privé virtuel (vgw-xxxxxxxxxxxxxxxxx).
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | vgw-id |
Vous pouvez ensuite créer et configurer votre connexion Site-to-Site VPN. Pour plus d’informations, consultez Qu'est-ce qu' AWS Site-to-Site VPN ? et Tables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN .
Une connexion Site-to-Site VPN sur une passerelle privée virtuelle ne prend pas en charge IPv6 le trafic. Cependant, nous prenons en charge IPv6 le trafic acheminé via une passerelle privée virtuelle vers une Direct Connect connexion. Pour plus d’informations, consultez le Guide de l’utilisateur Direct Connect.
Routage vers une passerelle AWS Outposts locale
Cette section décrit les configurations des tables de routage pour le routage vers une passerelle AWS Outposts locale.
Table des matières
Activer le trafic entre les sous-réseaux de l'Outpost et votre réseau sur site
Les sous-réseaux VPCs associés à AWS Outposts peuvent avoir un type de cible supplémentaire, à savoir une passerelle locale. Considérez le cas où vous souhaitez que la passerelle locale route le trafic avec une adresse de destination 192.168.10.0/24 vers le réseau client. Pour ce faire, ajoutez la route suivante avec le réseau de destination et une cible de la passerelle locale (lgw-xxxx).
| Destination | Cible |
|---|---|
| 192.168.10.0/24 | lgw-id |
Permettre le trafic entre les sous-réseaux du même VPC à travers les Outposts
Vous pouvez établir une communication entre des sous-réseaux qui sont dans le même VPC à travers différents Outposts en utilisant les passerelles locales Outpost et votre réseau sur site.
Vous pouvez utiliser cette fonctionnalité pour créer des architectures similaires aux architectures de zones de disponibilité multiple (AZ) pour vos applications sur site exécutées sur des racks Outposts en établissant une connectivité entre des racks Outposts ancrés à différents. AZs
Pour activer cette fonctionnalité, ajoutez un routage à la table de routage du sous-réseau de votre rack Outpost qui soit plus spécifique que le routage local dans cette table de routage et qui ait un type de cible de passerelle locale. La destination de l'itinéraire doit correspondre à l'ensemble du IPv4 bloc du sous-réseau de votre VPC qui se trouve dans un autre Outpost. Répétez cette configuration pour tous les sous-réseaux de l'Outpost qui doivent communiquer.
Important
Pour utiliser cette fonctionnalité, vous devez utiliser le routage direct VPC. Vous ne pouvez pas utiliser vos propres adresses IP appartenant au client.
Votre réseau sur site auquel les passerelles locales des Outposts sont connectées doit disposer du routage nécessaire pour que les sous-réseaux puissent accéder l'un à l'autre.
Si vous voulez utiliser des groupes de sécurité pour les ressources des sous-réseaux, vous devez utiliser des règles qui incluent des plages d'adresses IP comme source ou destination dans les sous-réseaux des Outposts. Vous ne pouvez pas utiliser le groupe de sécurité IDs.
Les racks Outposts existants peuvent nécessiter une mise à jour pour permettre la prise en charge de la communication intra-VPC entre plusieurs Outposts. Si cette fonctionnalité ne vous convient pas, contactez AWS Support.
Exemple Exemple
Pour un VPC avec un CIDR de 10.0.0.0/16, un sous-réseau Outpost 1 avec un CIDR de 10.0.1.0/24, et un sous-réseau Outpost 2 avec un CIDR de 10.0.2.0/24, l'entrée de la table de routage du sous-réseau Outpost 1 serait la suivante :
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Locale |
| 10.0.2.0/24 | lgw-1-id |
L'entrée de la table de routage du sous-réseau Outpost 2 serait la suivante :
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Locale |
| 10.0.1.0/24 | lgw-2-id |
Routage vers une connexion d'appairage de VPC
Une connexion d'appairage VPC est une connexion réseau entre deux personnes VPCs qui vous permet d'acheminer le trafic entre elles à l'aide d'adresses privées. IPv4 Les instances des deux VPC peuvent communiquer entre elles comme si elles faisaient partie du même réseau.
Pour activer le routage du trafic entre les VPCs connexions d'appairage VPC, vous devez ajouter une route vers une ou plusieurs tables de routage de sous-réseau pointant vers la connexion d'appairage VPC. Cela vous permet d'accéder à tout ou partie du bloc d'adresse CIDR de l'autre VPC dans la connexion d'appairage. De même, le propriétaire de l'autre VPC doit ajouter une route dans sa table de routage de sous-réseau afin de router le trafic en retour vers votre VPC.
Par exemple, vous avez une connexion d'appairage VPC (pcx-11223344556677889) entre deux VPCs, avec les informations suivantes :
-
VPC A : le bloc d'adresse CIDR est 10.0.0.0/16
-
VPC B : le bloc d'adresse CIDR est 172.31.0.0/16
Pour activer le trafic entre VPCs et autoriser l'accès à l'ensemble du bloc IPv4 CIDR de l'un ou l'autre VPC, la table de routage du VPC A est configurée comme suit.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
La table de routage VPC B est configurée comme suit.
| Destination | Cible |
|---|---|
| 172.31.0.0/16 | Local |
| 10.0.0.0/16 | pcx-11223344556677889 |
Votre connexion d'appairage VPC peut également prendre en charge IPv6 la communication entre les instances du VPCs, si les instances VPCs et sont activées pour la communication. IPv6 Pour activer le routage du IPv6 trafic entre les deux VPCs, vous devez ajouter une route à votre table de routage qui pointe vers la connexion d'appairage du VPC pour accéder à tout ou partie du bloc IPv6 CIDR du VPC homologue.
Par exemple, en utilisant la même connexion d'appairage VPC (pcx-11223344556677889) ci-dessus, supposons qu' VPCs ils disposent des informations suivantes :
-
VPC A : le bloc IPv6 CIDR est
2001:db8:1234:1a00::/56 -
VPC B : le bloc IPv6 CIDR est
2001:db8:5678:2b00::/56
Pour activer IPv6 la communication via la connexion d'appairage VPC, ajoutez la route suivante à la table de routage du sous-réseau pour le VPC A.
| Destination | Cible |
|---|---|
| 10.0.0.0/16 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 2001:db8:5678:2b00::/56 | pcx-11223344556677889 |
Ajoutez la route suivante dans la table de routage pour VPC B.
| Destination | Cible |
|---|---|
| 172.31.0.0/16 | Local |
| 10.0.0.0/16 | pcx-11223344556677889 |
| 2001:db8:1234:1a00::/56 | pcx-11223344556677889 |
Pour de plus amples informations sur les connexions d'appairage de VPC, veuillez consulter le Guide de l’appairage Amazon VPC.
Routage vers un point de terminaison d'un VPC de passerelle
Un point de terminaison VPC de passerelle vous permet de créer une connexion privée entre votre VPC et un autre service. AWS Lorsque vous créez un point de terminaison de passerelle, vous spécifiez les tables de routage de sous-réseau dans votre VPC qui sont utilisées par le point de terminaison de passerelle. Une route est automatiquement ajoutée pour chacune des tables de routage avec une destination qui spécifie l'ID de liste des préfixes du service (pl-) et une cible avec l'ID point de terminaison (xxxxxxxxvpce-). Vous ne pouvez pas supprimer ou modifier explicitement la route du point de terminaison, mais vous pouvez modifier les tables de routage qui sont utilisées par le point de terminaison.xxxxxxxxxxxxxxxxx
Pour plus d'informations sur le routage pour les points de terminaison et les implications pour les routes vers les services AWS , veuillez consulter Routage des points de terminaison de passerelle.
Routage vers une passerelle Internet de sortie uniquement
Vous pouvez créer une passerelle Internet de sortie uniquement pour votre VPC afin de permettre aux instances figurant dans un sous-réseau privé d'initier une communication sortante vers Internet, mais d'empêcher Internet d'établir des connexions avec les instances. Une passerelle Internet de sortie uniquement est utilisée pour IPv6 le trafic uniquement. Pour configurer le routage d'une passerelle Internet de sortie uniquement, ajoutez une route dans la table de routage du sous-réseau privé qui achemine le trafic IPv6 Internet (::/0) vers la passerelle Internet de sortie uniquement.
| Destination | Target |
|---|---|
| ::/0 | eigw-id |
Pour de plus amples informations, veuillez consulter Activez le IPv6 trafic sortant à l'aide d'une passerelle Internet de sortie uniquement.
Routage pour une passerelle de transit
Lorsque vous associez un VPC à une passerelle de transit, vous devez ajouter une route à votre table de routage de sous-réseau pour que le trafic passe par la passerelle de transit.
Imaginons le scénario suivant dans lequel vous en avez trois VPCs qui sont rattachés à une passerelle de transit. Dans ce scénario, tous les attachements sont associés à la table de routage de la passerelle de transit et propage vers elle. Par conséquent, tous les attachements peuvent s'acheminer des paquets respectivement, la passerelle de transit servant de simple hub d'IP de couche 3.
Par exemple, vous en avez deux VPCs, avec les informations suivantes :
-
VPC A : 10.1.0.0/16, ID d'attachement tgw-attach-11111111111111111
-
VPC B : 10.2.0.0/16, ID d'attachement tgw-attach-22222222222222222
Pour activer le trafic entre la passerelle de transit VPCs et autoriser l'accès à celle-ci, la table de routage du VPC A est configurée comme suit.
| Destination | Cible |
|---|---|
| 10.1.0.0/16 | Local |
| 10.0.0.0/8 | tgw-id |
Voici un exemple des entrées de table de routage de la passerelle de transit pour les attachements de VPC.
| Destination | Cible |
|---|---|
| 10.1.0.0/16 | tgw-attach-11111111111111111 |
| 10.2.0.0/16 | tgw-attach-22222222222222222 |
Pour de plus amples informations sur les tables de routage de passerelle de transit, veuillez consulter Routage dans Passerelle de transit Amazon VPC
Routage pour un dispositif middlebox
Vous pouvez ajouter des dispositifs middlebox dans les chemins de routage de votre VPC. Voici des cas d'utilisation possibles :
-
Interception du trafic qui entre dans votre VPC via une passerelle Internet ou une passerelle réseau privé virtuel en le dirigeant vers un dispositif middlebox dans votre VPC. Vous pouvez utiliser l'assistant de routage du boîtier intermédiaire pour configurer AWS automatiquement les tables de routage appropriées pour votre passerelle, votre boîtier intermédiaire et votre sous-réseau de destination. Pour de plus amples informations, veuillez consulter Assistant de routage middlebox.
-
Direction du trafic entre deux sous-réseaux vers un dispositif middlebox. Pour ce faire, vous pouvez créer un acheminement pour une table de routage de sous-réseau qui correspond au CIDR de sous-réseau de l'autre sous-réseau et spécifie un point de terminaison Gateway Load Balancer, une passerelle NAT, un point de terminaison Network Firewall ou l'interface réseau d'un dispositif en tant que cible. Sinon, pour rediriger l'ensemble du trafic du sous-réseau vers un autre sous-réseau, remplacez la cible de l'acheminement local par un point de terminaison Gateway Load Balancer, une passerelle NAT ou une interface réseau.
Vous pouvez configurer le dispositif en fonction de vos besoins. Par exemple, vous pouvez configurer un dispositif de sécurité pour filtrer tout le trafic, ou un dispositif d'accélération WAN. Le dispositif est déployé en tant qu'instance Amazon EC2 dans un sous-réseau de votre VPC et est représenté par une interface réseau Elastic (interface réseau) dans votre sous-réseau.
Si vous activez la propagation du routage pour la table de routage du sous-réseau de destination, vous devez tenir compte de la priorité de routage. Nous donnons la priorité à l'acheminement le plus spécifique, et, en cas de correspondance des acheminements, nous donnons la priorité aux acheminements statiques plutôt qu'aux acheminements propagés. Vérifiez vos itinéraires pour vous assurer que le trafic est correctement acheminé et qu'il n'y a aucune conséquence imprévue si vous activez ou désactivez la propagation des itinéraires (par exemple, la propagation des itinéraires est requise pour une Direct Connect connexion qui prend en charge les trames jumbo).
Pour router le trafic VPC entrant vers une appliance, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC. Pour de plus amples informations, veuillez consulter Tables de routage de passerelle. Vous pouvez également acheminer le trafic sortant de votre sous-réseau vers un dispositif middlebox figurant dans un autre sous-réseau.
Pour obtenir des exemples de routage middlebox, consultez Scénarios middlebox.
Table des matières
Considérations relatives aux dispositifs
Vous pouvez choisir un dispositif tiers provenant de AWS Marketplace
-
Le dispositif doit être configuré dans un sous-réseau distinct du trafic source ou de destination.
-
Vous devez désactiver le source/destination contrôle de l'appliance. Pour plus d’informations, consultez Changement de la vérification de source ou de destination dans le Guide utilisateur Amazon EC2.
-
Vous ne pouvez pas acheminer le trafic entre les hôtes du même sous-réseau via un dispositif.
-
Le dispositif n'est pas tenu d'effectuer la traduction d'adresses réseau (NAT).
-
Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. Vous pouvez utiliser des acheminements plus spécifiques pour rediriger le trafic entre les sous-réseaux d'un VPC (trafic Est-Ouest) vers un dispositif middlebox. La destination de l'itinéraire doit correspondre à l'intégralité IPv4 ou au bloc IPv6 CIDR d'un sous-réseau de votre VPC.
-
Pour intercepter le IPv6 trafic, assurez-vous que votre VPC, votre sous-réseau et votre appliance sont compatibles. IPv6
Acheminement du trafic entre une passerelle et un dispositif
Pour acheminer le trafic VPC entrant vers un dispositif, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre dispositif comme cible pour le trafic VPC. Dans l'exemple suivant, le VPC dispose d'une passerelle Internet, d'un dispositif et d'un sous-réseau avec des instances. Le trafic en provenance d'Internet est acheminé via un dispositif.
Associez cette table de routage à votre passerelle Internet ou passerelle réseau privé virtuel. La première entrée est l'acheminement local. La deuxième entrée envoie le IPv4 trafic destiné au sous-réseau à l'interface réseau de l'appliance. Cet acheminement est plus spécifique que l'acheminement local.
| Destination | Target |
|---|---|
VPC CIDR |
Local |
Subnet CIDR |
Appliance network interface ID |
Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau du dispositif. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers le dispositif, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.
| Destination | Cible |
|---|---|
VPC CIDR |
Appliance network interface ID |
Pour acheminer le trafic de votre sous-réseau vers un dispositif figurant dans un autre sous-réseau, ajoutez un acheminement dans votre table de routage de sous-réseau, afin d'acheminer le trafic vers l'interface réseau du dispositif. La destination doit être moins spécifique que la destination de la route locale. Par exemple, pour le trafic destiné à Internet, spécifiez 0.0.0.0/0 (toutes les IPv4 adresses) pour la destination.
| Destination | Target |
|---|---|
VPC CIDR |
Local |
| 0.0.0.0/0 | Appliance network interface ID |
Ensuite, dans la table de routage associée au sous-réseau du dispositif, ajoutez un acheminement qui renvoie le trafic à la passerelle Internet ou à la passerelle réseau privé virtuel.
| Destination | Target |
|---|---|
VPC CIDR |
Local |
| 0.0.0.0/0 | igw-id |
Acheminement du trafic inter-sous-réseaux vers un dispositif
Vous pouvez acheminer le trafic destiné à un sous-réseau spécifique vers l'interface réseau d'un dispositif. Dans l'exemple suivant, le VPC contient deux sous-réseaux et un dispositif. Le trafic entre les sous-réseaux est acheminé via un dispositif.
Groupes de sécurité
Lorsque vous acheminez le trafic entre les instances de différents sous-réseaux via un dispositif middlebox, les groupes de sécurité des deux instances doivent autoriser le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.
Routage
Voici un exemple de table de routage pour le sous-réseau A. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau A au sous-réseau B vers l'interface réseau du dispositif.
| Destination | Target |
|---|---|
VPC CIDR |
Local |
Subnet B CIDR |
Appliance network interface ID |
Voici un exemple de table de routage pour le sous-réseau B. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau B au sous-réseau A vers l'interface réseau du dispositif.
| Destination | Target |
|---|---|
VPC CIDR |
Local |
Subnet A CIDR |
Appliance network interface ID |
Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau du dispositif. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers le dispositif, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.
| Destination | Cible |
|---|---|
VPC CIDR |
Appliance network interface ID |
Routage à l'aide d'une liste de préfixes
Si vous référencez fréquemment le même ensemble de blocs CIDR dans toutes vos AWS ressources, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage. Vous pouvez ajouter ou supprimer ultérieurement des entrées pour la liste de préfixes sans avoir à mettre à jour vos tables de routage.
Par exemple, vous disposez d'une passerelle de transit avec plusieurs pièces jointes VPC. Ils VPCs doivent être en mesure de communiquer avec deux pièces jointes VPC spécifiques dotées des blocs CIDR suivants :
-
10.0.0.0/16
-
10.2.0.0/16
Vous créez une liste de préfixes avec les deux entrées. Dans vos tables de routage de sous-réseau, vous créez un itinéraire et spécifiez la liste de préfixes comme destination, et la passerelle de transit comme cible.
| Destination | Cible |
|---|---|
| 172.31.0.0/16 | Local |
| pl-123abc123abc123ab | tgw-id |
Le nombre maximal d'entrées pour les listes de préfixes est égal au même nombre d'entrées dans la table de routage.
Routage vers un point de terminaison d'équilibreur de charge de passerelle
Un équilibreur de charge de passerelle vous permet de distribuer le trafic vers un parc de dispositifs virtuels, tels que des pare-feu. Vous pouvez créer un équilibreur de charge Gateway Load Balancer (GWLB), configurer un service de point de terminaison GWLB, puis créer un point de terminaison GWLB dans votre VPC pour connecter celui-ci au service.
Pour acheminer votre trafic vers l'équilibreur de charge de passerelle (par exemple, pour une inspection de sécurité), spécifiez le point de terminaison de l'équilibreur de charge de passerelle comme cible dans vos tables de routage.
Pour obtenir un exemple de dispositifs de sécurité derrière un Gateway Load Balancer, consultez Configurer le routage et l’inspection du trafic middlebox dans un VPC.
Pour spécifier le point de terminaison de l'équilibreur de charge de passerelle dans la table de routage, utilisez l'ID du point de terminaison d'un VPC. Par exemple, pour acheminer le trafic destiné à 10.0.1.0/24 vers un point de terminaison Gateway Load Balancer, ajoutez l'acheminement suivant.
| Destination | Cible |
|---|---|
| 10.0.1.0/24 | vpc-endpoint-id |
Lorsque votre cible est un point de terminaison GWLB, vous ne pouvez pas spécifier de liste de préfixes comme destination. Si vous tentez de créer ou de remplacer une route de liste de préfixes ciblant un point de terminaison de VPC, vous recevrez le message d’erreur « Cannot create or replace a prefix list route targeting a VPC Endpoint ».
Pour plus d'informations, consultez Gateway Load Balancers.
