Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Opsi perutean contoh
Topik berikut menjelaskan perutean untuk gateway atau koneksi tertentu di Anda. VPC
Daftar Isi
- Perutean ke gateway internet
- Routing ke perangkat NAT
- Perutean ke virtual private gateway
- Routing ke gateway AWS Outposts lokal
- Routing ke koneksi VPC peering
- Perutean ke titik akhir gateway VPC
- Perutean ke gateway internet egress-only
- Perutean untuk Transit Gateway
- Perutean untuk perangkat middlebox
- Perutean menggunakan daftar prefiks
- Perutean ke titik akhir Penyeimbang Beban Gateway
Perutean ke gateway internet
Anda dapat membuat sebuah subnet menjadi subnet publik dengan menambahkan sebuah rute di tabel rute subnet Anda ke gateway internet. Untuk melakukan ini, buat dan lampirkan gateway internet ke AndaVPC, lalu tambahkan rute dengan tujuan 0.0.0.0/0
untuk IPv4 lalu lintas atau ::/0
IPv6 lalu lintas, dan target ID gateway internet (igw-xxxxxxxxxxxxxxxxx
).
Tujuan | Target |
---|---|
0.0.0.0/0 | igw-id |
::/0 | igw-id |
Untuk informasi selengkapnya, lihat Aktifkan akses internet VPC menggunakan gateway internet.
Routing ke perangkat NAT
Untuk mengaktifkan instance di subnet pribadi untuk terhubung ke internet, Anda dapat membuat NAT gateway atau meluncurkan NAT instance di subnet publik. Kemudian tambahkan rute untuk tabel rute subnet pribadi yang merutekan lalu lintas IPv4 internet (0.0.0.0/0
) ke NAT perangkat.
Tujuan | Target |
---|---|
0.0.0.0/0 | nat-gateway-id |
Anda juga dapat membuat rute yang lebih spesifik ke target lain untuk menghindari biaya pemrosesan data yang tidak perlu untuk menggunakan NAT gateway, atau untuk merutekan lalu lintas tertentu secara pribadi. Dalam contoh berikut, lalu lintas Amazon S3 (pl-xxxxxxxx, daftar awalan yang berisi rentang alamat IP untuk Amazon S3 di Wilayah tertentu) dirutekan ke titik VPC akhir gateway, dan lalu lintas 10.25.0.0/16 dialihkan ke koneksi peering. VPC Rentang alamat IP ini lebih spesifik dari 0.0.0.0/0. Saat instance mengirim lalu lintas ke Amazon S3 atau VPC peer, lalu lintas dikirim ke titik akhir VPC gateway atau koneksi peering. VPC Semua lalu lintas lainnya dikirim ke NAT gateway.
Tujuan | Target |
---|---|
0.0.0.0/0 | nat-gateway-id |
pl-xxxxxxxx |
vpce-id |
10.25.0.0/16 | pcx-id |
Untuk informasi selengkapnya, lihat Perangkat NAT.
Perutean ke virtual private gateway
Anda dapat menggunakan AWS Site-to-Site VPN koneksi untuk mengaktifkan instance di Anda VPC untuk berkomunikasi dengan jaringan Anda sendiri. Untuk melakukan ini, buat dan lampirkan gateway pribadi virtual ke AndaVPC. Kemudian tambahkan rute di tabel rute subnet Anda dengan tujuan jaringan Anda dan target virtual private gateway (vgw-xxxxxxxxxxxxxxxxx
).
Tujuan | Target |
---|---|
10.0.0.0/16 | vgw-id |
Anda kemudian dapat membuat dan mengkonfigurasi koneksi Site-to-Site VPN Anda. Untuk informasi lebih lanjut, lihat Apa itu AWS Site-to-Site VPN? dan Rute tabel dan prioritas VPN rute dalam Panduan AWS Site-to-Site VPN Pengguna.
VPNKoneksi situs-ke-situs pada gateway pribadi virtual tidak mendukung lalu lintas. IPv6 Namun, kami mendukung IPv6 lalu lintas yang diarahkan melalui gateway pribadi virtual ke AWS Direct Connect koneksi. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS Direct Connect.
Routing ke gateway AWS Outposts lokal
Bagian ini menjelaskan konfigurasi tabel routing untuk routing ke gateway lokal. AWS Outposts
Daftar Isi
Aktifkan lalu lintas antara subnet Outpost dan jaringan lokal Anda
Subnet yang VPCs terkait dengan AWS Outposts dapat memiliki jenis target tambahan dari gateway lokal. Pertimbangkan kasus di mana Anda ingin memiliki lalu lintas rute gateway lokal dengan alamat tujuan 192.168.10.0/24 ke jaringan pelanggan. Untuk melakukannya, tambahkan rute berikut dengan jaringan tujuan dan target gateway lokal (lgw-xxxx
).
Tujuan | Target |
---|---|
192.168.10.0/24 | lgw-id |
Aktifkan lalu lintas antar subnet yang sama VPC di Outposts
Anda dapat membangun komunikasi antara subnet yang sama VPC di Outposts yang berbeda menggunakan gateway lokal Outpost dan jaringan on-premise Anda.
Anda dapat menggunakan fitur ini untuk membangun arsitektur yang mirip dengan arsitektur Multi-availability Zone (AZ) untuk aplikasi on-premise Anda yang berjalan di rak Outposts dengan membangun konektivitas antara rak Outposts yang ditambatkan ke yang berbeda. AZs
Untuk mengaktifkan fitur ini, tambahkan rute ke tabel rute subnet rak Outpost Anda yang lebih spesifik daripada rute lokal di tabel rute tersebut dan memiliki tipe target gateway lokal. Tujuan rute harus cocok dengan seluruh IPv4 blok subnet di Anda VPC yang ada di Pos Luar lain. Ulangi konfigurasi ini untuk semua subnet Outpost yang perlu berkomunikasi.
penting
Untuk menggunakan fitur ini, Anda harus menggunakan VPCrouting langsung. Anda tidak dapat menggunakan alamat IP milik pelanggan Anda sendiri.
Jaringan on-premise Anda yang terhubung dengan gateway lokal Outposts harus memiliki routing yang diperlukan sehingga subnet dapat mengakses satu sama lain.
Jika Anda ingin menggunakan grup keamanan untuk sumber daya di subnet, Anda harus menggunakan aturan yang menyertakan rentang alamat IP sebagai sumber atau tujuan dalam subnet Outpost. Anda tidak dapat menggunakan grup keamananIDs.
Rak Outposts yang ada mungkin memerlukan pembaruan untuk mengaktifkan dukungan intra- komunikasi VPC di beberapa Outposts. Jika fitur ini tidak berfungsi untuk Anda, hubungi AWS Support.
contoh Contoh
Untuk a VPC CIDR dengan 10.0.0.0/16, subnet Outpost 1 dengan 10.0.1.0/24, dan subnet Outpost 2 dengan 10.0.2.0/24, entri untuk tabel rute subnet Outpost 1 adalah sebagai CIDR berikut: CIDR
Tujuan | Target |
---|---|
10.0.0.0/16 | Lokal |
10.0.2.0/24 | lgw-1-id |
Entri untuk tabel rute subnet Outpost 2 adalah sebagai berikut:
Tujuan | Target |
---|---|
10.0.0.0/16 | Lokal |
10.0.1.0/24 | lgw-2-id |
Routing ke koneksi VPC peering
Koneksi VPC peering adalah koneksi jaringan antara dua VPCs yang memungkinkan Anda untuk merutekan lalu lintas di antara mereka menggunakan IPv4 alamat pribadi. Contoh di keduanya VPC dapat berkomunikasi satu sama lain seolah-olah mereka adalah bagian dari jaringan yang sama.
Untuk mengaktifkan perutean lalu lintas antara VPCs koneksi VPC peering, Anda harus menambahkan rute ke satu atau lebih tabel rute subnet Anda yang menunjuk ke koneksi peering. VPC Ini memungkinkan Anda untuk mengakses semua atau sebagian dari CIDR blok yang lain VPC dalam koneksi peering. Demikian pula, pemilik yang lain VPC harus menambahkan rute ke tabel rute subnet mereka untuk mengarahkan lalu lintas kembali ke AndaVPC.
Misalnya, Anda memiliki koneksi VPC peering (pcx-11223344556677889
) antara duaVPCs, dengan informasi berikut:
-
VPCA: CIDR blok adalah 10.0.0.0/16
-
VPCB: CIDR blok adalah 172.31.0.0/16
Untuk mengaktifkan lalu lintas antara VPCs dan mengizinkan akses ke seluruh IPv4 CIDR blok keduanyaVPC, tabel rute VPC A dikonfigurasi sebagai berikut.
Tujuan | Target |
---|---|
10.0.0.0/16 | Lokal |
172.31.0.0/16 | pcx-11223344556677889 |
Tabel rute VPC B dikonfigurasi sebagai berikut.
Tujuan | Target |
---|---|
172.31.0.0/16 | Lokal |
10.0.0.0/16 | pcx-11223344556677889 |
Koneksi VPC peering Anda juga dapat mendukung IPv6 komunikasi antar instance diVPCs, jika VPCs dan instance diaktifkan untuk komunikasi. IPv6 Untuk mengaktifkan perutean IPv6 lalu lintas antaraVPCs, Anda harus menambahkan rute ke tabel rute Anda yang menunjuk ke koneksi VPC peering untuk mengakses semua atau sebagian IPv6 CIDR blok rekan. VPC
Misalnya, menggunakan koneksi VPC peering yang sama (pcx-11223344556677889
) di atas, asumsikan VPCs memiliki informasi berikut:
-
VPCA: IPv6 CIDR blok adalah
2001:db8:1234:1a00::/56
-
VPCB: IPv6 CIDR blok adalah
2001:db8:5678:2b00::/56
Untuk mengaktifkan IPv6 komunikasi melalui koneksi VPC peering, tambahkan rute berikut ke tabel rute subnet untuk A. VPC
Tujuan | Target |
---|---|
10.0.0.0/16 | Lokal |
172.31.0.0/16 | pcx-11223344556677889 |
2001:db8:5678:2b00::/56 | pcx-11223344556677889 |
Tambahkan rute berikut ke tabel rute untuk VPC B.
Tujuan | Target |
---|---|
172.31.0.0/16 | Lokal |
10.0.0.0/16 | pcx-11223344556677889 |
2001:db8:1234:1a00::/56 | pcx-11223344556677889 |
Untuk informasi selengkapnya tentang koneksi VPC peering, lihat Panduan VPCPeering Amazon.
Perutean ke titik akhir gateway VPC
VPCEndpoint gateway memungkinkan Anda membuat koneksi pribadi antara layanan Anda VPC dan AWS layanan lain. Saat Anda membuat titik akhir gateway, Anda menentukan tabel rute subnet di tabel VPC yang digunakan oleh titik akhir gateway. Sebuah rute secara otomatis ditambahkan ke masing-masing tabel rute dengan tujuan yang menentukan ID layanan daftar prefiks (pl-
), dan target dengan ID titik akhir (xxxxxxxx
vpce-
). Anda tidak dapat secara eksplisit menghapus atau memodifikasi rute titik akhir, tetapi Anda dapat mengubah tabel rute yang digunakan oleh titik akhir.xxxxxxxxxxxxxxxxx
Untuk informasi lebih lanjut tentang perutean untuk titik akhir, dan implikasi untuk rute ke layanan AWS , lihat Perutean untuk titik akhir gateway.
Perutean ke gateway internet egress-only
Anda dapat membuat gateway internet khusus VPC egress-agar Anda dapat mengaktifkan instance di subnet pribadi untuk memulai komunikasi keluar ke internet, tetapi mencegah internet memulai koneksi dengan instance. Sebuah gateway internet egress-only digunakan untuk IPv6 lalu lintas saja. Untuk mengonfigurasi perutean untuk gateway internet khusus egress, tambahkan rute di tabel rute subnet pribadi yang merutekan lalu lintas IPv6 internet (::/0
) ke gateway internet khusus egres.
Tujuan | Target |
---|---|
::/0 | eigw-id |
Untuk informasi selengkapnya, lihat Aktifkan lalu lintas IPv6 keluar menggunakan gateway internet khusus egres.
Perutean untuk Transit Gateway
Ketika Anda melampirkan VPC ke gateway transit, Anda perlu menambahkan rute ke tabel rute subnet Anda untuk lalu lintas ke rute melalui gateway transit.
Pertimbangkan skenario berikut di mana Anda memiliki tiga VPCs yang melekat pada gateway transit. Dalam skenario ini, semua lampiran dikaitkan dengan tabel rute transit gateway dan mempropagasi tabel rute transit gateway. Oleh karena itu, semua lampiran dapat mengarahkan paket satu sama lain, dengan Transit Gateway yang berfungsi sebagai pusat IP 3 lapis sederhana.
Misalnya, Anda memiliki duaVPCs, dengan informasi berikut:
-
VPCA: 10.1.0.0/16, ID lampiran tgw-attach-11111111111111111
-
VPCB: 10.2.0.0/16, ID lampiran tgw-attach-2222222222222222222
Untuk mengaktifkan lalu lintas antara VPCs dan mengizinkan akses ke gateway transit, tabel rute VPC A dikonfigurasi sebagai berikut.
Tujuan | Target |
---|---|
10.1.0.0/16 | Lokal |
10.0.0.0/8 | tgw-id |
Berikut ini adalah contoh entri tabel rute gateway transit untuk VPC lampiran.
Tujuan | Target |
---|---|
10.1.0.0/16 | tgw-attach-11111111111111111 |
10.2.0.0/16 | tgw-attach-22222222222222222 |
Untuk informasi selengkapnya tentang tabel rute gateway transit, lihat Perutean di Gateway VPC Transit Amazon.
Perutean untuk perangkat middlebox
Anda dapat menambahkan peralatan middlebox ke jalur perutean untuk Anda. VPC Berikut ini adalah kemungkinan kasus penggunaan:
-
Mencegat lalu lintas yang memasuki Anda VPC melalui gateway internet atau gateway pribadi virtual dengan mengarahkannya ke alat middlebox di Anda. VPC Anda dapat menggunakan wizard perutean middlebox untuk AWS secara otomatis mengonfigurasi tabel rute yang sesuai untuk gateway, middlebox, dan subnet tujuan Anda. Untuk informasi selengkapnya, lihat Wisaya perutean Middlebox.
-
Lalu lintas langsung antara dua subnet ke alat middlebox. Anda dapat melakukannya dengan membuat rute untuk satu tabel rute subnet yang cocok dengan subnet subnet CIDR lainnya dan menentukan titik akhir Gateway Load Balancer, gateway, titik akhir Network FirewallNAT, atau antarmuka jaringan untuk alat sebagai target. Atau, untuk mengarahkan semua lalu lintas dari subnet ke subnet lainnya, ganti target rute lokal dengan titik akhir, gateway, NAT atau antarmuka jaringan Gateway Load Balancer.
Anda dapat mengonfigurasi perangkat menyesuaikan kebutuhan Anda. Misalnya, Anda dapat mengonfigurasi alat keamanan yang menyaring semua lalu lintas, atau alat WAN akselerasi. Alat ini digunakan sebagai EC2 instans Amazon di subnet di AndaVPC, dan diwakili oleh elastic network interface (network interface) di subnet Anda.
Jika Anda mengaktifkan propagasi rute untuk tabel rute subnet tujuan, perhatikan prioritas rute. Kami memprioritaskan rute yang paling spesifik, dan jika rute cocok, kami memprioritaskan rute statis atas rute yang disebarkan. Tinjau rute Anda untuk memastikan bahwa lalu lintas dirutekan dengan benar dan tidak ada konsekuensi yang tidak diinginkan jika Anda mengaktifkan atau menonaktifkan propagasi rute (misalnya, propagasi rute diperlukan untuk AWS Direct Connect koneksi yang mendukung bingkai jumbo).
Untuk merutekan VPC lalu lintas masuk ke alat, Anda mengaitkan tabel rute dengan gateway internet atau gateway pribadi virtual, dan menentukan antarmuka jaringan alat Anda sebagai target VPC lalu lintas. Untuk informasi selengkapnya, lihat Tabel rute gateway. Anda juga dapat mengarahkan lalu lintas outbound dari subnet Anda ke sebuah perangkat middlebox di subnet lain.
Untuk contoh perutean middlebox, lihat. Skenario Middlebox
Daftar Isi
Pertimbangan perangkat
Anda dapat memilih perangkat pihak ketiga dari AWS Marketplace
-
Perangkat harus dikonfigurasi di subnet terpisah ke lalu lintas sumber atau tujuan.
-
Anda harus menonaktifkan pemeriksaan sumber/tujuan pada perangkat. Untuk informasi selengkapnya, lihat Mengubah Pemeriksaan Sumber atau Tujuan di Panduan EC2 Pengguna Amazon.
-
Anda tidak dapat mengarahkan lalu lintas antar host di subnet yang sama melalui sebuah perangkat.
-
Alat tidak harus melakukan terjemahan alamat jaringan (NAT).
-
Anda dapat menambahkan rute ke tabel rute Anda yang lebih spesifik daripada rute lokal. Anda dapat menggunakan rute yang lebih spesifik untuk mengarahkan lalu lintas antar subnet dalam VPC (lalu lintas Timur-Barat) ke alat middlebox. Tujuan rute harus cocok dengan seluruh IPv4 atau IPv6 CIDR blok subnet di AndaVPC.
-
Untuk mencegat IPv6 lalu lintas, pastikan bahwa AndaVPC, subnet, dan alat mendukung. IPv6 Gateway pribadi virtual tidak mendukung IPv6 lalu lintas.
Merutekan lalu lintas antara gateway dan alat
Untuk merutekan VPC lalu lintas masuk ke alat, Anda mengaitkan tabel rute dengan gateway internet atau gateway pribadi virtual, dan menentukan antarmuka jaringan alat Anda sebagai target VPC lalu lintas. Dalam contoh berikut, VPC memiliki gateway internet, alat, dan subnet dengan instance. Lalu lintas dari internet dialihkan melalui alat.
Kaitkan tabel rute ini dengan gateway internet atau virtual private gateway Anda. Entri pertama adalah rute lokal. Entri kedua mengirimkan IPv4 lalu lintas yang ditujukan untuk subnet ke antarmuka jaringan untuk alat. Rute ini lebih spesifik daripada rute lokal.
Tujuan | Target |
---|---|
VPC CIDR |
Lokal: |
Subnet CIDR |
Appliance network interface ID |
Atau, Anda dapat mengganti target untuk rute lokal dengan antarmuka jaringan alat. Anda dapat melakukan ini untuk memastikan bahwa semua lalu lintas secara otomatis diarahkan ke alat, termasuk lalu lintas yang ditujukan untuk subnet yang Anda tambahkan di masa depanVPC.
Tujuan | Target |
---|---|
VPC CIDR |
Appliance network interface ID |
Untuk mengarahkan lalu lintas dari subnet Anda ke perangkat di subnet lain, tambahkan rute ke tabel rute subnet Anda yang mengarahkan lalu lintas ke antarmuka jaringan perangkat. Tujuan seharusnya tidak lebih spesifik dibandingkan tujuan untuk rute lokal. Misalnya, untuk lalu lintas yang ditujukan untuk internet, tentukan 0.0.0.0/0
(semua IPv4 alamat) untuk tujuan.
Tujuan | Target |
---|---|
VPC CIDR |
Lokal: |
0.0.0.0/0 | Appliance network interface ID |
Kemudian, dalam tabel rute yang terkait dengan subnet alat, tambahkan rute yang mengirim lalu lintas kembali ke gateway internet atau gateway pribadi virtual.
Tujuan | Target |
---|---|
VPC CIDR |
Lokal: |
0.0.0.0/0 | igw-id |
Merutekan lalu lintas antar-subnet ke alat
Anda dapat merutekan lalu lintas yang ditujukan untuk subnet tertentu ke antarmuka jaringan alat. Dalam contoh berikut, VPC berisi dua subnet dan alat. Lalu lintas antar subnet dialihkan melalui alat.
Grup keamanan
Saat Anda merutekan lalu lintas antar instance di subnet yang berbeda melalui perangkat middlebox, grup keamanan untuk kedua instance harus mengizinkan lalu lintas mengalir di antara instance. Grup keamanan untuk setiap instance harus mereferensikan alamat IP pribadi dari instance lain, atau CIDR rentang subnet yang berisi instance lain, sebagai sumbernya. Jika Anda mereferensikan grup keamanan instans lain sebagai sumbernya, hal ini tidak akan mengizinkan lalu lintas mengalir di antara instans.
Perutean
Berikut ini adalah contoh tabel rute untuk subnet A. Entri pertama memungkinkan instance dalam VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas dari subnet A ke subnet B ke antarmuka jaringan alat.
Tujuan | Target |
---|---|
VPC CIDR |
Lokal: |
Subnet B CIDR |
Appliance network interface ID |
Berikut ini adalah contoh tabel rute untuk subnet B. Entri pertama memungkinkan instance dalam VPC untuk berkomunikasi satu sama lain. Entri kedua merutekan semua lalu lintas dari subnet B ke subnet A ke antarmuka jaringan alat.
Tujuan | Target |
---|---|
VPC CIDR |
Lokal: |
Subnet A CIDR |
Appliance network interface ID |
Atau, Anda dapat mengganti target untuk rute lokal dengan antarmuka jaringan alat. Anda dapat melakukan ini untuk memastikan bahwa semua lalu lintas secara otomatis diarahkan ke alat, termasuk lalu lintas yang ditujukan untuk subnet yang Anda tambahkan di masa depanVPC.
Tujuan | Target |
---|---|
VPC CIDR |
Appliance network interface ID |
Perutean menggunakan daftar prefiks
Jika Anda sering mereferensikan kumpulan CIDR blok yang sama di seluruh AWS sumber daya Anda, Anda dapat membuat daftar awalan yang dikelola pelanggan untuk mengelompokkannya bersama-sama. Anda kemudian dapat menentukan daftar prefiks sebagai tujuan dalam entri tabel rute Anda. Anda kemudian dapat menambah atau menghapus entri di daftar prefiks tanpa perlu memperbarui tabel rute Anda.
Misalnya, Anda memiliki gateway transit dengan beberapa VPC lampiran. VPCsHarus dapat berkomunikasi dengan dua VPC lampiran spesifik yang memiliki CIDR blok berikut:
-
10.0.0.0/16
-
10.2.0.0/16
Anda buat daftar prefiks dengan kedua entri. Dalam tabel rute subnet Anda, Anda membuat rute dan menentukan daftar prefiks sebagai tujuan, dan Transit Gateway sebagai target.
Tujuan | Target |
---|---|
172.31.0.0/16 | Lokal |
pl-123abc123abc123ab | tgw-id |
Jumlah entri maksimal untuk daftar prefiks sama dengan jumlah entri dalam tabel rute.
Perutean ke titik akhir Penyeimbang Beban Gateway
Sebuah Penyeimbang Beban Gateway memungkinkan Anda untuk mendistribusikan lalu lintas ke sebuah armada perangkat virtual, seperti firewall. Anda dapat mengonfigurasi penyeimbang beban sebagai layanan dengan membuat konfigurasi layanan VPC titik akhir. Anda kemudian membuat titik akhir Load Balancer Gateway di Anda VPC untuk menghubungkan Anda VPC ke layanan.
Untuk mengarahkan lalu lintas Anda ke Penyeimbang Beban Gateway (misalnya, untuk pemeriksaan keamanan), tentukan titik akhir Penyeimbang Beban Gateway sebagai target di tabel rute Anda.
Untuk contoh peralatan keamanan di belakang Load Balancer Gateway, lihat. Konfigurasikan perutean dan inspeksi lalu lintas middlebox di VPC
Untuk menentukan titik akhir Load Balancer Gateway di tabel rute, gunakan ID titik akhir. VPC Misalnya untuk merutekan lalu lintas untuk 10.0.1.0/24 ke titik akhir Load Balancer Gateway, tambahkan rute berikut.
Tujuan | Target |
---|---|
10.0.1.0/24 | vpc-endpoint-id |
Untuk informasi selengkapnya, lihat Gateway Load Balancers.