Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Routing-Optionen
In den folgenden Themen wird das Routing für bestimmte Gateways oder Verbindungen in Ihrem beschrieben. VPC
Inhalt
- Routing zu einem Internet-Gateway
- Routing zu einem NAT Gerät
- Routing zu einem Virtual Private Gateway
- Routing zu einem AWS Outposts lokalen Gateway
- Routing zu einer Peering-Verbindung VPC
- Routing zu einem Gateway-Endpunkt VPC
- Routing zu einem Egress-Only-Internet-Gateway
- Routing für ein Transit-Gateway
- Routing für eine Middlebox-Appliance
- Routing unter Verwendung einer Präfixliste
- Routing zu einem Gateway Load Balancer-Endpunkt
Routing zu einem Internet-Gateway
Sie können ein Subnetz zu einem öffentlichen Subnetz machen, indem Sie eine Route in der Subnetz-Routing-Tabelle zu einem Internet-Gateway hinzufügen. Erstellen Sie dazu ein Internet-Gateway und fügen Sie es Ihrem VPC hinzu. Fügen Sie dann eine Route mit dem Ziel 0.0.0.0/0
für IPv4 Verkehr oder ::/0
für IPv6 Verkehr und einem Ziel mit der Internet-Gateway-ID (igw-xxxxxxxxxxxxxxxxx
) hinzu.
Bestimmungsort | Ziel |
---|---|
0.0.0.0/0 | igw-id |
::/0 | igw-id |
Weitere Informationen finden Sie unter Aktivieren Sie den VPC Internetzugang mithilfe von Internet-Gateways.
Routing zu einem NAT Gerät
Damit Instances in einem privaten Subnetz eine Verbindung zum Internet herstellen können, können Sie ein NAT Gateway erstellen oder eine NAT Instance in einem öffentlichen Subnetz starten. Fügen Sie dann eine Route für die Routing-Tabelle des privaten Subnetzes hinzu, die den IPv4 Internetverkehr (0.0.0.0/0
) an das Gerät weiterleitet. NAT
Bestimmungsort | Ziel |
---|---|
0.0.0.0/0 | nat-gateway-id |
Sie können auch spezifischere Routen zu anderen Zielen erstellen, um unnötige Datenverarbeitungsgebühren für die Nutzung eines NAT Gateways zu vermeiden oder um bestimmten Datenverkehr privat weiterzuleiten. Im folgenden Beispiel wird Amazon S3-Verkehr (pl-xxxxxxxx, eine Präfixliste, die die IP-Adressbereiche für Amazon S3 in einer bestimmten Region enthält) an einen VPC Gateway-Endpunkt weitergeleitet, und 10.25.0.0/16-Verkehr wird an eine Peering-Verbindung weitergeleitet. VPC Diese IP-Adressbereiche sind spezifischer als 0.0.0.0/0. Wenn Instances Datenverkehr an Amazon S3 oder den Peer sendenVPC, wird der Datenverkehr an den VPC Gateway-Endpunkt oder die VPC Peering-Verbindung gesendet. Der gesamte andere Verkehr wird an das NAT Gateway gesendet.
Bestimmungsort | Ziel |
---|---|
0.0.0.0/0 | nat-gateway-id |
pl-xxxxxxxx |
vpce-id |
10.25.0.0/16 | pcx-id |
Weitere Informationen finden Sie unter NAT-Geräte.
Routing zu einem Virtual Private Gateway
Sie können eine AWS Site-to-Site VPN Verbindung verwenden, um Instances in Ihrem Netzwerk VPC die Kommunikation mit Ihrem eigenen Netzwerk zu ermöglichen. Erstellen Sie dazu ein virtuelles privates Gateway und fügen Sie es Ihrem hinzuVPC. Fügen Sie dann eine Route in der Subnetz-Routing-Tabelle mit dem Zielbereich Ihres Netzwerks und einem Ziel des Virtual Private Gateways () hi (vgw-xxxxxxxxxxxxxxxxx
).
Ziel | Ziel |
---|---|
10.0.0.0/16 | vgw-id |
Anschließend können Sie Ihre VPN Site-to-Site-Verbindung erstellen und konfigurieren. Weitere Informationen finden Sie unter Was ist? AWS Site-to-Site VPN und Routentabellen und VPN Routenpriorität im AWS Site-to-Site VPN Benutzerhandbuch.
Eine VPN Site-to-Site-Verbindung auf einem Virtual Private Gateway unterstützt keinen Datenverkehr. IPv6 Wir unterstützen jedoch IPv6 Datenverkehr, der über ein virtuelles privates Gateway zu einer Verbindung geleitet wird. AWS Direct Connect Weitere Informationen finden Sie im AWS Direct Connect -Benutzerhandbuch.
Routing zu einem AWS Outposts lokalen Gateway
In diesem Abschnitt werden Routingtabellenkonfigurationen für das Routing zu einem AWS Outposts lokalen Gateway beschrieben.
Inhalt
Datenverkehr zwischen Outpost-Subnetzen und Ihrem On-Premises-Netzwerk ermöglichen
Subnetze, die mit VPCs verknüpft sind, AWS Outposts können den zusätzlichen Zieltyp eines lokalen Gateways haben. Betrachten Sie den Fall, in dem der lokale Gateway-Routenverkehr mit der Zieladresse 192.168.10.0/24 an das Kundennetzwerk gesendet werden soll. Fügen Sie dazu die folgende Route mit dem Zielnetzwerk und einem Ziel des lokalen Gateways () hi (lgw-xxxx
).
Ziel | Ziel |
---|---|
192.168.10.0/24 | lgw-id |
Aktivieren Sie den Verkehr zwischen Subnetzen in denselben VPC Outposts
Sie können die Kommunikation zwischen Subnetzen, die sich in VPC verschiedenen Outposts befinden, mithilfe der lokalen Outpost-Gateways und Ihres lokalen Netzwerks herstellen.
Sie können diese Funktion verwenden, um Architekturen zu erstellen, die Multi-Availability Zone (AZ) -Architekturen für Ihre lokalen Anwendungen, die auf Outposts-Racks ausgeführt werden, ähneln, indem Sie Konnektivität zwischen Outposts-Racks herstellen, die an unterschiedlichen Racks verankert sind. AZs
Um dieses Feature zu aktivieren, fügen Sie Ihrer Routing-Tabelle des Outpost-Rack-Subnetzes eine Route hinzu, die spezifischer ist als die lokale Route in dieser Routing-Tabelle und den Zieltyp eines lokalen Gateways aufweist. Das Ziel der Route muss mit dem gesamten IPv4 Block des Subnetzes in Ihrem Subnetz übereinstimmen, das sich in einem anderen VPC Outpost befindet. Wiederholen Sie diese Konfiguration für alle Outpost-Subnetze, die kommunizieren müssen.
Wichtig
Um diese Funktion nutzen zu können, müssen Sie direktes VPC Routing verwenden. Sie können Ihre eigenen kundeneigenen IP-Adressen nicht verwenden.
Ihr On-Premises-Netzwerk, an das die lokalen Gateways der Outposts angeschlossen sind, muss über das erforderliche Routing verfügen, damit die Subnetze aufeinander zugreifen können.
Wenn Sie Sicherheitsgruppen für Ressourcen in den Subnetzen verwenden möchten, müssen Sie Regeln verwenden, die IP-Adressbereiche als Quelle oder Ziel in den Outpost-Subnetzen enthalten. Sie können die Sicherheitsgruppe nicht verwendenIDs.
Bestehende Outposts-Racks müssen möglicherweise aktualisiert werden, um die Unterstützung der internen VPC Kommunikation zwischen mehreren Outposts zu ermöglichen. Wenn dieses Feature bei Ihnen nicht funktioniert, wenden Sie sich an den AWS -Support.
Beispiel
Für ein Subnetz VPC mit 10.0.0.0/16, ein Outpost 1-Subnetz mit CIDR der Nummer 10.0.1.0/24 und ein Outpost 2-Subnetz mit CIDR der Nummer 10.0.2.0/24 würde der Eintrag für die Routing-Tabelle CIDR des Outpost 1-Subnetzes wie folgt lauten:
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 | Local |
10.0.2.0/24 | lgw-1-id |
Der Eintrag für die Routing-Tabelle des Subnetzes Outpost 2 würde wie folgt lauten:
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 | Local |
10.0.1.0/24 | lgw-2-id |
Routing zu einer Peering-Verbindung VPC
Eine VPC Peering-Verbindung ist eine Netzwerkverbindung zwischen zwei PersonenVPCs, die es Ihnen ermöglicht, den Verkehr zwischen ihnen mithilfe privater IPv4 Adressen weiterzuleiten. Instanzen in beiden VPC können miteinander kommunizieren, als ob sie Teil desselben Netzwerks wären.
Um das Routing des Datenverkehrs innerhalb einer VPC Peering-Verbindung zu ermöglichen, müssen Sie einer oder mehreren Ihrer Subnetz-Routing-Tabellen eine Route hinzufügen, die auf die VPC Peering-Verbindung verweist. VPCs Auf diese Weise können Sie in der Peering-Verbindung auf den gesamten CIDR Block des anderen VPC Blocks oder auf einen Teil davon zugreifen. In ähnlicher Weise VPC muss der Besitzer der anderen Person eine Route zu seiner Subnetz-Routentabelle hinzufügen, um den Verkehr zurück zu Ihrer weiterzuleiten. VPC
Sie haben beispielsweise eine VPC Peering-Verbindung (pcx-11223344556677889
) zwischen zwei VPCs Personen mit den folgenden Informationen:
-
VPCA: Der CIDR Block ist 10.0.0.0/16
-
VPCB: CIDR Block ist 172.31.0.0/16
Um den Verkehr zwischen den beiden zu ermöglichen VPCs und den Zugriff auf den gesamten IPv4 CIDR Block zu ermöglichenVPC, ist die VPC A-Routing-Tabelle wie folgt konfiguriert.
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 | Local |
172.31.0.0/16 | pcx-11223344556677889 |
Die VPC B-Routentabelle ist wie folgt konfiguriert.
Bestimmungsort | Ziel |
---|---|
172.31.0.0/16 | Local |
10.0.0.0/16 | pcx-11223344556677889 |
Ihre VPC Peering-Verbindung kann auch die IPv6 Kommunikation zwischen Instances in der unterstützenVPCs, sofern die Instances VPCs und für die IPv6 Kommunikation aktiviert sind. Um das Routing des IPv6 Datenverkehrs zwischen diesen zu ermöglichenVPCs, müssen Sie Ihrer Routing-Tabelle eine Route hinzufügen, die auf die VPC Peering-Verbindung verweist, um auf den gesamten IPv6 CIDR Block des Peers oder einen Teil davon zuzugreifen. VPC
Wenn Sie beispielsweise dieselbe VPC Peering-Verbindung (pcx-11223344556677889
) wie oben verwenden, gehen Sie davon aus, dass sie über die folgenden Informationen VPCs verfügen:
-
VPCA: IPv6 CIDR Block ist
2001:db8:1234:1a00::/56
-
VPCB: IPv6 CIDR Block ist
2001:db8:5678:2b00::/56
Um die IPv6 Kommunikation über die VPC Peering-Verbindung zu ermöglichen, fügen Sie der Subnetz-Routentabelle für A die folgende Route hinzu. VPC
Bestimmungsort | Ziel |
---|---|
10.0.0.0/16 | Local |
172.31.0.0/16 | pcx-11223344556677889 |
2001:db8:5678:2b00::/56 | pcx-11223344556677889 |
Fügen Sie der Routentabelle für B die folgende Route hinzu. VPC
Bestimmungsort | Ziel |
---|---|
172.31.0.0/16 | Local |
10.0.0.0/16 | pcx-11223344556677889 |
2001:db8:1234:1a00::/56 | pcx-11223344556677889 |
Weitere Informationen zu VPC Peering-Verbindungen finden Sie im Amazon VPC Peering Guide.
Routing zu einem Gateway-Endpunkt VPC
Ein VPC Gateway-Endpunkt ermöglicht es Ihnen, eine private Verbindung zwischen Ihrem VPC und einem anderen AWS Dienst herzustellen. Wenn Sie einen Gateway-Endpunkt erstellen, geben Sie die Subnetz-Routing-Tabellen in Ihrem anVPC, die vom Gateway-Endpunkt verwendet werden. Den Routing-Tabellen wird automatisch eine Route mit der Präfixlisten-ID des Services (pl-
) als Zielbereich und der Endpunkt-ID (xxxxxxxx
vpce-
) als Ziel hinzugefügt. Sie können die Endpunktroute nicht explizit löschen oder ändern. Es ist jedoch möglich, die von dem Endpunkt verwendeten Routing-Tabellen zu ändern.xxxxxxxxxxxxxxxxx
Weitere Informationen zur Weiterleitung für Endpunkte sowie zu den Auswirkungen auf Routen zu AWS -Services finden Sie unter Routing für Gateway-Endpunkte.
Routing zu einem Egress-Only-Internet-Gateway
Sie können ein Internet-Gateway nur für ausgehenden Datenverkehr einrichten, damit Instances in einem privaten Subnetz die ausgehende Kommunikation mit dem Internet initiieren können, aber verhindern, dass das Internet Verbindungen mit den Instances initiiert. VPC Ein Internet-Gateway nur für ausgehenden Datenverkehr wird nur für den Datenverkehr verwendet. IPv6 Um das Routing für ein Internet-Gateway nur für ausgehenden Datenverkehr zu konfigurieren, fügen Sie in der Routing-Tabelle des privaten Subnetzes eine Route hinzu, die den IPv6 Internetverkehr () ::/0
an das Internet-Gateway weiterleitet, das nur für ausgehenden Datenverkehr bestimmt ist.
Bestimmungsort | Ziel |
---|---|
::/0 | eigw-id |
Weitere Informationen finden Sie unter Aktivieren Sie ausgehenden IPv6 Datenverkehr über ein Internet-Gateway nur für ausgehenden Datenverkehr.
Routing für ein Transit-Gateway
Wenn Sie eine Verbindung VPC zu einem Transit-Gateway herstellen, müssen Sie Ihrer Subnetz-Routentabelle eine Route hinzufügen, damit der Verkehr über das Transit-Gateway geleitet werden kann.
Stellen Sie sich das folgende Szenario vorVPCs, in dem drei an ein Transit-Gateway angeschlossen sind. In diesem Szenario sind alle Anfügungen der standardmäßigen Transit Gateway-Routing-Tabelle zugeordnet und werden auf die standardmäßige Transit Gateway-Routing-Tabelle übertragen. Daher können alle Anfügungen Pakete untereinander weiterleiten und das Transit-Gateway dient als einfacher Layer 3-IP-Hub.
Sie haben beispielsweise zwei VPCs mit den folgenden Informationen:
-
VPCA: 10.1.0.0/16, Anhangs-ID tgw-attach-111111111111111
-
VPCB: 10.2.0.0/16, Anhangs-ID tgw-attach-222222222222222
Um den Verkehr zwischen dem und den Zugriff auf das Transit-Gateway zu ermöglichen, ist die VPCs A-Routing-Tabelle wie folgt konfiguriert. VPC
Bestimmungsort | Ziel |
---|---|
10.1.0.0/16 | Lokal |
10.0.0.0/8 | tgw-id |
Im Folgenden finden Sie ein Beispiel für die Routentabelleneinträge des Transit-Gateways für die VPC Anlagen.
Bestimmungsort | Ziel |
---|---|
10.1.0.0/16 | tgw-attach-11111111111111111 |
10.2.0.0/16 | tgw-attach-22222222222222222 |
Weitere Informationen zu Routentabellen für Transit-Gateways finden Sie unter Routing in Amazon VPC Transit Gateways.
Routing für eine Middlebox-Appliance
Sie können Middlebox-Appliances zu den Routing-Pfaden für Ihre hinzufügen. VPC Folgende Anwendungsfälle sind möglich:
-
Fangen Sie den Datenverkehr ab, der VPC über ein Internet-Gateway oder ein Virtual Private Gateway in Ihnen eingeht, indem Sie ihn an eine Middlebox-Appliance in Ihrem weiterleiten. VPC Sie können den Middlebox-Routing-Assistenten verwenden, um AWS automatisch die entsprechenden Routing-Tabellen für Ihr Gateway, Ihre Middlebox und Ihr Zielsubnetz konfigurieren zu lassen. Weitere Informationen finden Sie unter Middlebox-Routing-Assistent.
-
Direkte Datenverkehr zwischen zwei Subnetzen zu einer Middlebox-Appliance. Sie können dies tun, indem Sie eine Route für eine Subnetz-Routentabelle erstellen, die dem Subnetz CIDR des anderen Subnetzes entspricht und einen Gateway Load Balancer-Endpunkt, ein NAT Gateway, einen Netzwerkfirewall-Endpunkt oder die Netzwerkschnittstelle für eine Appliance als Ziel angibt. Um den gesamten Verkehr vom Subnetz in ein anderes Subnetz umzuleiten, ersetzen Sie alternativ das Ziel der lokalen Route durch einen Gateway Load Balancer-Endpunkt, ein NAT Gateway oder eine Netzwerkschnittstelle.
Sie können die Appliance entsprechend Ihren Anforderungen konfigurieren. Sie können beispielsweise eine Sicherheits-Appliance konfigurieren, die den gesamten Datenverkehr überprüft, oder eine WAN Beschleunigungs-Appliance. Die Appliance wird als EC2 Amazon-Instance in einem Subnetz in Ihrem VPC bereitgestellt und durch eine elastic network interface (Netzwerkschnittstelle) in Ihrem Subnetz repräsentiert.
Wenn Sie die Routing-Weitergabe für die Routing-Tabelle des Ziel-Subnetzes aktivieren, beachten Sie die Routing-Priorität. Wir priorisieren die spezifischste Route. Wenn die Routen übereinstimmen, geben wir statischen Routen den Vorrang vor verbreiteten Routen. Überprüfen Sie Ihre Routen, um sicherzustellen, dass der Verkehr korrekt weitergeleitet wird und dass es keine unbeabsichtigten Folgen hat, wenn Sie die Route-Propagierung aktivieren oder deaktivieren (Route Propagation ist beispielsweise für eine AWS Direct Connect Verbindung erforderlich, die Jumbo Frames unterstützt).
Um eingehenden VPC Datenverkehr an eine Appliance weiterzuleiten, ordnen Sie dem Internet-Gateway oder Virtual Private Gateway eine Routing-Tabelle zu und geben die Netzwerkschnittstelle Ihrer Appliance als Ziel für den Datenverkehr an. VPC Weitere Informationen finden Sie unter Gateway-Routing-Tabellen. Sie können auch ausgehenden Datenverkehr aus dem Subnetz an eine Middlebox-Appliance in einem anderen Subnetz weiterleiten.
Beispiele für Middlebox-Routing finden Sie unter Middlebox-Szenarien.
Inhalt
Überlegungen zu Appliances
Sie können eine Drittanbieter-Appliance aus AWS Marketplace
-
Die Appliance muss in einem separaten Subnetz für den Quell- oder Zielbereichsdatenverkehr konfiguriert sein.
-
Sie müssen die Quell-/Zielprüfung in der Appliance deaktivieren. Weitere Informationen finden Sie unter Ändern der Quell- oder Zielüberprüfung im EC2Amazon-Benutzerhandbuch.
-
Sie können keinen Datenverkehr zwischen Hosts im selben Subnetz über eine Appliance weiterleiten.
-
Die Appliance muss keine Netzwerkadressübersetzung durchführen (NAT).
-
Sie können Ihren Routing-Tabellen eine Route hinzufügen, die spezifischer als die lokale Route ist. Sie können spezifischere Routen verwenden, um den Verkehr zwischen Subnetzen innerhalb eines VPC (Ost-West-Verkehrs) zu einer Middlebox-Appliance umzuleiten. Das Ziel der Route muss dem gesamten IPv4 oder einem IPv6 CIDR Block eines Subnetzes in Ihrem entsprechen. VPC
-
Um den IPv6 Datenverkehr abzufangen, stellen Sie sicher, dass Ihr VPC Subnetz und Ihre Appliance dies unterstützen. IPv6 Virtuelle private Gateways unterstützen keinen Datenverkehr. IPv6
Routing des Datenverkehrs zwischen einem Gateway und einer Appliance
Um eingehenden VPC Datenverkehr an eine Appliance weiterzuleiten, ordnen Sie dem Internet-Gateway oder dem Virtual Private Gateway eine Routing-Tabelle zu und geben die Netzwerkschnittstelle Ihrer Appliance als Ziel für VPC den Datenverkehr an. Im folgenden Beispiel VPC verfügt der über ein Internet-Gateway, eine Appliance und ein Subnetz mit Instanzen. Der Datenverkehr aus dem Internet wird über eine Appliance geleitet.
Ordnen Sie diese Routing-Tabelle Ihrem Internet-Gateway oder Ihrem Virtual Private Gateway zu. Der erste Eintrag ist die lokale Route. Der zweite Eintrag sendet den für das Subnetz bestimmten IPv4 Datenverkehr an die Netzwerkschnittstelle der Appliance. Diese Route ist spezifischer als die lokale Route.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Local |
Subnet CIDR |
Appliance network interface ID |
Alternativ können Sie das Ziel für die lokale Route durch die Netzwerkschnittstelle der Appliance ersetzen. Auf diese Weise können Sie sicherstellen, dass der gesamte Datenverkehr automatisch an die Appliance weitergeleitet wird, einschließlich des Datenverkehrs, der für Subnetze bestimmt ist, die Sie VPC in future hinzufügen.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Appliance network interface ID |
Um Datenverkehr von Ihrem Subnetz an eine Appliance in einem anderen Subnetz weiterzuleiten, fügen Sie der Subnetz-Routing-Tabelle eine Route hinzu, die Datenverkehr an die Netzwerkschnittstelle der Appliance weiterleitet. Der Zielbereich muss weniger spezifisch sein als der Zielbereich für die lokale Route. Geben Sie beispielsweise für Datenverkehr, der für das Internet bestimmt ist, 0.0.0.0/0
(alle IPv4 Adressen) für das Ziel an.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Local |
0.0.0.0/0 | Appliance network interface ID |
Fügen Sie dann in der Routing-Tabelle, die dem Subnetz der Appliance zugeordnet ist, eine Route hinzu, die den Datenverkehr zurück an das Internet-Gateway oder Virtual Private Gateway sendet.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Local |
0.0.0.0/0 | igw-id |
Routing-Intersubnetzdatenverkehr an eine Appliance
Sie können Datenverkehr, der für ein bestimmtes Subnetz bestimmt ist, an die Netzwerkschnittstelle einer Appliance weiterleiten. Im folgenden Beispiel VPC enthält der zwei Subnetze und eine Appliance. Der Verkehr zwischen den Subnetzen wird über eine Appliance geleitet.
Sicherheitsgruppen
Wenn Sie Datenverkehr zwischen Instances in verschiedenen Subnetzen über eine Middlebox-Appliance leiten, müssen die Sicherheitsgruppen für beide Instances den Datenverkehr zwischen den Instances zulassen. Die Sicherheitsgruppe für jede Instanz muss die private IP-Adresse der anderen Instanz oder den CIDR Bereich des Subnetzes, das die andere Instanz enthält, als Quelle referenzieren. Wenn Sie die Sicherheitsgruppe der anderen Instance als Quelle referenzieren, wird dadurch kein Datenverkehr zwischen den Instances möglich.
Routing
Im Folgenden finden Sie ein Beispiel für eine Routing-Tabelle für Subnetz A. Der erste Eintrag ermöglicht es den Instanzen in derVPC, miteinander zu kommunizieren. Der zweite Eintrag leitet den gesamten Datenverkehr vom Subnetz A zum Subnetz B an die Netzwerkschnittstelle der Appliance weiter.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Local |
Subnet B CIDR |
Appliance network interface ID |
Im Folgenden finden Sie ein Beispiel für eine Routingtabelle für Subnetz B. Der erste Eintrag ermöglicht es den Instanzen in derVPC, miteinander zu kommunizieren. Der zweite Eintrag leitet den gesamten Datenverkehr vom Subnetz B zum Subnetz A an die Netzwerkschnittstelle der Appliance weiter.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Local |
Subnet A CIDR |
Appliance network interface ID |
Alternativ können Sie das Ziel für die lokale Route durch die Netzwerkschnittstelle der Appliance ersetzen. Auf diese Weise können Sie sicherstellen, dass der gesamte Datenverkehr automatisch an die Appliance weitergeleitet wird, einschließlich des Datenverkehrs, der für Subnetze bestimmt ist, die Sie VPC in future hinzufügen.
Bestimmungsort | Ziel |
---|---|
VPC CIDR |
Appliance network interface ID |
Routing unter Verwendung einer Präfixliste
Wenn Sie in Ihren AWS Ressourcen häufig auf denselben Satz von CIDR Blöcken verweisen, können Sie eine vom Kunden verwaltete Präfixliste erstellen, um sie zu gruppieren. Anschließend können Sie die Präfixliste als Ziel in Ihrem Routing-Tabelleneintrag angeben. Sie können später Einträge für die Präfixliste hinzufügen oder entfernen, ohne die Routing-Tabellen aktualisieren zu müssen.
Sie haben beispielsweise ein Transit-Gateway mit mehreren VPC Anhängen. Sie VPCs müssen in der Lage sein, mit zwei spezifischen VPC Anhängen zu kommunizieren, die die folgenden CIDR Blöcke haben:
-
10.0.0.0/16
-
10.2.0.0/16
Sie erstellen eine Präfixliste mit beiden Einträgen. In den Subnetz-Routing-Tabellen erstellen Sie eine Route und geben die Präfixliste als Destination und das Transit-Gateway als Ziel an.
Ziel | Ziel |
---|---|
172.31.0.0/16 | Local |
pl-123abc123abc123ab | tgw-id |
Die maximale Anzahl von Einträgen für die Präfixlisten entspricht der Anzahl von Einträgen in der Routing-Tabelle.
Routing zu einem Gateway Load Balancer-Endpunkt
Ein Gateway Load Balancer ermöglicht es Ihnen, den Datenverkehr an eine Flotte virtueller Appliances wie Firewalls zu verteilen. Sie können den Load Balancer als Dienst konfigurieren, indem Sie eine VPCEndpunkt-Servicekonfiguration erstellen. Anschließend erstellen Sie in Ihrem einen Gateway Load Balancer-EndpunktVPC, VPC um Ihre Verbindung mit dem Dienst herzustellen.
Um Ihren Datenverkehr an den Gateway Load Balancer weiterzuleiten (z. B. zur Sicherheitsinspektion), geben Sie den Gateway Load Balancer-Endpunkt als Ziel in Ihren Routingtabellen an.
Ein Beispiel für Sicherheitsgeräte hinter einem Gateway Load Balancer finden Sie unter Konfigurieren Sie das Routing und die Inspektion des Middlebox-Datenverkehrs in einer VPC.
Um den Gateway Load Balancer-Endpunkt in der Routentabelle anzugeben, verwenden Sie die ID des VPC Endpunkts. Um beispielsweise Datenverkehr für 10.0.1.0/24 an einen Gateway-Load-Balancer-Endpunkt weiterzuleiten, fügen Sie die folgende Route hinzu.
Bestimmungsort | Ziel |
---|---|
10.0.1.0/24 | vpc-endpoint-id |
Weitere Informationen finden Sie unter Gateway Load Balancer.