Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Subnetz-Routingtabellen
Ihre VPC verfügt über einen impliziten Router und Sie verwenden Routing-Tabellen, um zu steuern, wohin der Netzwerkdatenverkehr geleitet wird. Jedem Subnetz in Ihrer VPC muss eine Routing-Tabelle zugeordnet werden. Diese Tabelle steuert das Routing für das Subnetz. Sie können ein Subnetz einer bestimmten Routing-Tabelle explizit zuordnen. Andernfalls wird das Subnetz implizit der Haupt-Routing-Tabelle zugeordnet. Ein Subnetz kann jeweils nur mit einer Routing-Tabelle verknüpft sein, aber Sie können einer Routing-Tabelle mehrere Subnetze zuordnen.
Inhalt
Routen
Jede Route in einer Tabelle gibt einen Zielbereich und ein Ziel an. Wenn Ihr Subnetz beispielsweise über ein Internet-Gateway auf das Internet zugreifen kann, fügen Sie der Subnetz-Routing-Tabelle die folgende Route hinzu. Das Ziel für die Route ist0.0.0.0/0, was für alle IPv4 Adressen steht. Das Ziel ist das Internet-Gateway, das an Ihre VPC angeschlossen ist.
| Bestimmungsort | Ziel |
|---|---|
| 0.0.0.0/0 | igw-id |
CIDR-Blöcke für IPv4 und IPv6 werden getrennt behandelt. Beispielsweise enthält eine Route mit einem Ziel-CIDR von 0.0.0.0/0 nicht automatisch alle IPv6 Adressen. Sie müssen eine Route mit einem Ziel-CIDR von ::/0 für alle IPv6 Adressen erstellen.
Wenn Sie in Ihren AWS Ressourcen häufig auf denselben Satz von CIDR-Blöcken verweisen, können Sie eine vom Kunden verwaltete Präfixliste erstellen, um sie zu gruppieren. Anschließend können Sie die Präfixliste als Ziel in Ihrem Routing-Tabelleneintrag angeben.
Jede Routing-Tabelle enthält eine lokale Route für die Kommunikation innerhalb der VPC. Diese Route wird standardmäßig allen Routing-Tabellen hinzugefügt. Wenn Ihre VPC über mehr als einen IPv4 CIDR-Block verfügt, enthalten Ihre Routing-Tabellen eine lokale Route für jeden IPv4 CIDR-Block. Wenn Sie Ihrer VPC einen IPv6 CIDR-Block zugeordnet haben, enthalten Ihre Routing-Tabellen eine lokale Route für den IPv6 CIDR-Block. Sie können das Ziel jeder lokalen Route nach Bedarf ersetzen oder wiederherstellen.
Regeln und Überlegungen
-
Sie können Ihren Routing-Tabellen eine Route hinzufügen, die spezifischer als die lokale Route ist. Das Ziel muss mit dem gesamten IPv4 oder dem IPv6 CIDR-Block eines Subnetzes in Ihrer VPC übereinstimmen. Das Ziel muss ein NAT-Gateway, eine Netzwerkschnittstelle oder ein Gateway Load Balancer-Endpunkt sein.
-
Wenn Ihre Routing-Tabelle mehrere Routen enthält, verwenden wir die spezifischste mit dem Datenverkehr übereinstimmende Route in der Routing-Tabelle, um Datenverkehr weiterzuleiten (Übereinstimmung mit dem längsten Präfix).
-
Sie können keine Routen zu IPv4 Adressen hinzufügen, die exakt dem folgenden Bereich entsprechen oder eine Teilmenge davon sind: 169.254.168.0/22. Dieser Bereich liegt im Link-Local-Adressraum und ist für Dienste reserviert. AWS Amazon EC2 verwendet Adressen in diesem Bereich beispielsweise für Dienste, auf die nur von EC2 Instances aus zugegriffen werden kann, wie den Instance Metadata Service (IMDS) und den Amazon DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich 169.254.168.0/22 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich 169.254.168.0/22 bestimmt sind, nicht weitergeleitet.
-
Sie können keine Routen zu IPv6 Adressen hinzufügen, die exakt übereinstimmen oder eine Teilmenge des folgenden Bereichs sind: fd00:ec2: :/32. Dieser Bereich liegt innerhalb des ULA (Unique Local Address) -Bereichs und ist für Dienste reserviert. AWS Amazon EC2 verwendet Adressen in diesem Bereich beispielsweise für Dienste, auf die nur von EC2 Instances aus zugegriffen werden kann, wie den Instance Metadata Service (IMDS) und den Amazon DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich fd00:ec2::/32 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich fd00:ec2::/32 bestimmt sind, nicht weitergeleitet.
-
Sie können Middlebox-Appliances zu den Routing-Pfaden für Ihre VPC hinzufügen. Weitere Informationen finden Sie unter Routing für eine Middlebox-Appliance.
Beispiel
Nehmen wir im folgenden Beispiel an, dass die VPC sowohl über einen CIDR-Block als auch über einen IPv4 CIDR-Block verfügt. IPv6 IPv4 und der IPv6 Verkehr wird separat behandelt, wie in der folgenden Routentabelle dargestellt.
| Bestimmungsort | Ziel |
|---|---|
| 10.0.0.0/16 | Local |
| 2001:db8:1234:1a00::/56 | Local |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 0.0.0.0/0 | igw-12345678901234567 |
| ::/0 | eigw-aabbccddee1122334 |
-
IPv4 Der Verkehr, der innerhalb der VPC (10.0.0.0/16) weitergeleitet werden soll, wird abgedeckt von Local Route.
-
IPv6 Der Verkehr, der innerhalb der VPC (2001:db 8:1234:1 a00: :/56) weitergeleitet werden soll, wird abgedeckt von Local Route.
-
Die Route für 172.31.0.0/16 sendet Datenverkehr an eine Peering-Verbindung.
-
Die Route für den gesamten IPv4 Verkehr (0.0.0.0/0) sendet den Verkehr an ein Internet-Gateway. Daher wird der gesamte IPv4 Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC und der Peering-Verbindung, an das Internet-Gateway weitergeleitet.
-
Die Route für den gesamten IPv6 Verkehr (:: /0) sendet den Verkehr an ein Internet-Gateway, das nur für ausgehenden Datenverkehr bestimmt ist. Daher wird der gesamte IPv6 Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC, an das Internet-Gateway weitergeleitet, das nur für ausgehenden Verkehr bestimmt ist.
Haupt-Routing-Tabelle
Nachdem Sie eine VPC erstellt haben, besitzt diese automatisch eine Haupt-Routing-Tabelle. Wenn einem Subnetz keine explizite Routing-Tabelle zugeordnet ist, wird standardmäßig die Haupt-Routing-Tabelle verwendet. Auf der Seite Route Tables (Routing-Tabellen) der Amazon-VPC-Konsole sehen Sie anhand des Eintrags Yes (Ja) in der Spalte Main (Haupttabelle), welche Tabelle die Haupt-Routing-Tabelle der VPC ist.
Wenn Sie eine nicht standardmäßige VPC erstellen, enthält die Haupt-Routing-Tabelle standardmäßig nur eine lokale Route. Wenn Sie Erstellen einer VPC und ein NAT-Gateway auswählen, fügt Amazon VPC automatisch Routen zur Haupt-Routing-Tabelle für die Gateways hinzu.
Die folgenden Regeln gelten für die Haupt-Routingtabelle:
-
Sie können Routen in der Haupt-Routing-Tabelle hinzufügen, verändern oder daraus entfernen.
-
Die Haupt-Routing-Tabelle kann nicht gelöscht werden.
-
Sie können keine Gateway-Routing-Tabelle als Haupt-Routing-Tabelle festlegen.
-
Sie können die Haupt-Routing-Tabelle ersetzen, indem Sie eine benutzerdefinierte Routing-Tabelle einem Subnetz zuordnen.
-
Sie können einem Subnetz explizit die Haupt-Routing-Tabelle zuordnen, auch wenn diese bereits implizit zugeordnet ist.
Möglicherweise möchten Sie dies tun, wenn Sie ändern, welche Tabelle die Haupt-Routing-Tabelle ist. Wenn Sie die Haupt-Routing-Tabelle ändern, wird auch die Standardtabelle für neu hinzugefügte Subnetze sowie Subnetze ohne explizit zugeordnete Routing-Tabelle geändert. Weitere Informationen finden Sie unter So ersetzen Sie die Routing-Haupttabelle.
Benutzerdefinierte Routing-Tabellen
Jede Routing-Tabelle enthält standardmäßig eine lokale Route für die Kommunikation innerhalb der VPC. Wenn Sie Erstellen einer VPC und ein öffentliches Subnetz wählen, erstellt Amazon VPC eine benutzerdefinierte Routing-Tabelle und fügt eine Route hinzu, die auf das Internet-Gateway verweist. Eine Möglichkeit, Ihre VPC zu schützen, besteht darin, die Haupt-Routing-Tabelle in ihrem ursprünglichen Standardzustand zu belassen. Ordnen Sie dann jedes neue Subnetz, das Sie erstellen, explizit einer der von Ihnen erstellten benutzerdefinierten Routing-Tabellen zu. So wird sichergestellt, dass Sie die Weiterleitung des Datenverkehrs der einzelnen Subnetze explizit steuern können.
Sie können Routen in der benutzerdefinierten Routing-Tabelle hinzufügen, ändern oder daraus entfernen. Sie können eine benutzerdefinierte Routing-Tabelle nur löschen, wenn sie keine Zuordnungen hat.
Zuordnung der Subnetz-Routing-Tabelle
Jedes Subnetz in Ihrer VPC muss mit einer Routing-Tabelle verknüpft sein. Ein Subnetz kann explizit mit einer benutzerdefinierten Routing-Tabelle oder implizit oder explizit mit der Haupt-Routing-Tabelle verknüpft werden. Weitere Hinweise zum Anzeigen der Subnetz- und Routing-Tabellenzuordnungen finden Sie unter Bestimmen, welche Subnetze und/oder Gateways explizit zugeordnet sind.
Subnetze, die Outposts VPCs zugeordnet sind, können den zusätzlichen Zieltyp eines lokalen Gateways haben. Dies ist der einzige Routing-Unterschied zu Nicht-Outposts-Subnetzen.
Beispiel 1: Implizite und explizite Subnetzzuordnung
Die folgende Abbildung zeigt das Routing für eine VPC mit einem Internet-Gateway und einem Virtual Private Gateway sowie einem öffentlichen Subnetz und einem reinen VPN-Subnetz.
Routing-Tabelle A ist eine benutzerdefinierte Routing-Tabelle, die dem öffentlichen Subnetz explizit zugeordnet ist. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das Internet-Gateway sendet, was das Subnetz zu einem öffentlichen Subnetz macht.
| Bestimmungsort | Ziel |
|---|---|
VPC CIDR |
Local |
| 0.0.0.0/0 | igw-id |
Routing-Tabelle B ist die Haupt-Routing-Tabelle. Es besteht implizit eine Zuordnung zum dem privaten Subnetz. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das virtuelle private Gateway sendet, aber keine Route zum Internet-Gateway, was das Subnetz zu einem reinen VPN-Subnetz macht. Wenn Sie in dieser VPC ein weiteres Subnetz erstellen und keine benutzerdefinierte Routing-Tabelle zuordnen, wird das Subnetz auch implizit dieser Routing-Tabelle zugeordnet, da es sich um die Haupt-Routing-Tabelle handelt.
| Bestimmungsort | Ziel |
|---|---|
VPC CIDR |
Local |
| 0.0.0.0/0 | vgw-id |
Beispiel 2: Ersetzen der Haupt-Routing-Tabelle
Möglicherweise möchten Sie Änderungen an der Haupt-Routing-Tabelle vornehmen. Um Störungen des Datenverkehrs zu vermeiden, empfehlen wir, zuerst die Routenänderungen mithilfe einer benutzerdefinierten Routing-Tabelle zu testen. Wenn Sie mit dem Ergebnis des Tests zufrieden sind, können Sie die Haupt-Routing-Tabelle durch die neue benutzerdefinierte Tabelle ersetzen.
Das folgende Diagramm zeigt zwei Subnetze und zwei Routing-Tabellen. Subnetz A ist implizit der Routing-Tabelle A, der Haupt-Routing-Tabelle, zugeordnet. Subnetz B ist implizit der Routing-Tabelle A zugeordnet. Die Routing-Tabelle B, eine benutzerdefinierte Routing-Tabelle, ist keinem der Subnetze zugeordnet.
Um die Haupt-Routing-Tabelle zu ersetzen, erstellen Sie zunächst eine explizite Zuordnung zwischen Subnetz B und Routing-Tabelle B. Testen Sie die Routing-Tabelle B.
Nachdem Sie die Routing-Tabelle B getestet haben, machen Sie sie zur Haupt-Routing-Tabelle. Subnetz B hat immer noch eine explizite Zuordnung zur Routing-Tabelle B. Subnetz A hat jedoch jetzt eine implizite Zuordnung zur Routing-Tabelle B, da die Routing-Tabelle B die neue Haupt-Routing-Tabelle ist. Die Routing-Tabelle A ist keinem der Subnetze mehr zugeordnet.
(Optional) Wenn Sie das Subnetz B von der Routing-Tabelle B trennen, besteht weiterhin eine implizite Verbindung zwischen Subnetz B und Routing-Tabelle B. Wenn Sie die Routing-Tabelle A nicht mehr benötigen, können Sie sie löschen.
