Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzioni di routing di esempio
I seguenti argomenti descrivono il routing per gateway o connessioni specifici in. VPC
Indice
- Routing a un Internet gateway
- Routing verso un dispositivo NAT
- Routing a un gateway virtuale privato
- Instradamento verso un gateway locale AWS Outposts
- Routing verso una connessione peering VPC
- Routing verso un endpoint gateway VPC
- Routing a un Internet gateway egress-only
- Routing per un gateway di transito
- Routing per un'appliance middlebox
- Routing mediante un elenco di prefissi
- Routing a un endpoint Gateway Load Balancer
Routing a un Internet gateway
Puoi rendere pubblica una sottorete aggiungendo una route nella tabella di instradamento della sottorete a un Internet gateway. A tale scopo, create e collegate un gateway Internet al vostroVPC, quindi aggiungete un percorso con una destinazione 0.0.0.0/0 per il IPv4 traffico o ::/0 per il IPv6 traffico e una destinazione dell'ID del gateway Internet ()igw-xxxxxxxxxxxxxxxxx.
| Destinazione | Target |
|---|---|
| 0.0.0.0/0 | igw-id |
| ::/0 | igw-id |
Per ulteriori informazioni, consulta Abilita l'accesso VPC a Internet utilizzando i gateway Internet.
Routing verso un dispositivo NAT
Per consentire alle istanze di una sottorete privata di connettersi a Internet, puoi creare un NAT gateway o avviare un'NATistanza in una sottorete pubblica. Quindi aggiungi una route per la tabella di routing della sottorete privata che indirizza il traffico IPv4 Internet (0.0.0.0/0) verso il dispositivo. NAT
| Destinazione | Target |
|---|---|
| 0.0.0.0/0 | nat-gateway-id |
Puoi anche creare percorsi più specifici verso altre destinazioni per evitare costi di elaborazione dati non necessari per l'utilizzo di un NAT gateway o per instradare un determinato traffico in modo privato. Nell'esempio seguente, il traffico Amazon S3 (pl-xxxxxxxx, un elenco di prefissi che contiene gli intervalli di indirizzi IP per Amazon S3 in una regione specifica) viene instradato a un VPC endpoint gateway e il traffico 10.25.0.0/16 viene instradato a una connessione peering. VPC Questi intervalli di indirizzi IP sono più specifici di 0.0.0.0/0. Quando le istanze inviano traffico ad Amazon S3 o al VPC peer, il traffico viene inviato all'endpoint del VPC gateway o alla connessione peering. VPC Tutto il resto del traffico viene inviato al gateway. NAT
| Destinazione | Target |
|---|---|
| 0.0.0.0/0 | nat-gateway-id |
pl-xxxxxxxx |
vpce-id |
| 10.25.0.0/16 | pcx-id |
Per ulteriori informazioni, consulta Dispositivi NAT.
Routing a un gateway virtuale privato
È possibile utilizzare una AWS Site-to-Site VPN connessione per consentire alle istanze dell'utente VPC di comunicare con la propria rete. Per fare ciò, crea e collega un gateway privato virtuale al tuoVPC. Aggiungi quindi una route alla tabella di instradamento della sottorete specificano la rete come destinazione e il gateway virtuale privato come target (vgw-xxxxxxxxxxxxxxxxx).
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | vgw-id |
È quindi possibile creare e configurare la connessione da sito a sitoVPN. Per ulteriori informazioni, consulta Cos'è? AWS Site-to-Site VPN e le tabelle delle VPN rotte e la priorità delle rotte nella Guida AWS Site-to-Site VPN per l'utente.
Una VPN connessione da sito a sito su un gateway privato virtuale non supporta il traffico. IPv6 Tuttavia, supportiamo il IPv6 traffico indirizzato verso una connessione attraverso un gateway privato virtuale. AWS Direct Connect Per ulteriori informazioni, consulta la Guida per l'utente AWS Direct Connect.
Instradamento verso un gateway locale AWS Outposts
Questa sezione descrive le configurazioni delle tabelle di routing per il routing verso un gateway locale. AWS Outposts
Indice
Abilita il traffico tra le sottoreti Outpost e la rete locale
Le sottoreti VPCs associate a AWS Outposts possono avere un tipo di destinazione aggiuntivo di gateway locale. Considera il caso in cui desideri che il gateway locale instradi il traffico con un indirizzo di destinazione 192.168.10.0/24 alla rete del cliente. Per farlo, aggiungi la route seguente con la rete di destinazione e un target del gateway locale (lgw-xxxx).
| Destinazione | Target |
|---|---|
| 192.168.10.0/24 | lgw-id |
Abilita il traffico tra le sottoreti nella stessa VPC tra Outposts
Puoi stabilire una comunicazione tra sottoreti che si trovano nella stessa VPC tra diversi Outposts utilizzando i gateway locali di Outpost e la tua rete locale.
È possibile utilizzare questa funzionalità per creare architetture simili alle architetture Multi-availability Zone (AZ) per le applicazioni locali in esecuzione sui rack Outposts stabilendo la connettività tra rack Outposts ancorati a diversi rack Outposts. AZs
Per abilitare questa funzionalità, aggiungi un percorso alla tabella di routing della sottorete del rack di Outpost che sia più specifico del percorso locale in quella tabella di routing e abbia un tipo di destinazione di gateway locale. La destinazione del percorso deve corrispondere all'intero IPv4 blocco della sottorete del tuo, VPC che si trova in un altro Outpost. Ripeti questa configurazione per tutte le sottoreti Outpost che devono comunicare.
Importante
Per utilizzare questa funzionalità, è necessario utilizzare il routing diretto VPC. Non puoi usare gli indirizzi IP di proprietà del cliente.
La rete locale a cui sono collegati i gateway locali di Outposts deve disporre del routing richiesto in modo che le sottoreti possano accedere l'una all'altra.
Se si desidera utilizzare i gruppi di sicurezza per le risorse nelle sottoreti, è necessario utilizzare regole che includano intervalli di indirizzi IP come origine o destinazione nelle sottoreti Outpost. Non è possibile utilizzare il gruppo IDs di sicurezza.
I rack Outposts esistenti potrebbero richiedere un aggiornamento per abilitare il supporto per la VPC comunicazione intra più Outposts. Se questa funzionalità non funziona nel caso specifico, contatta l'assistenza AWS.
Esempio
Per una sottorete Outpost 1 VPC con 10.0.0.0/16, una sottorete Outpost 1 con 10.0.1.0/24 e una CIDR sottorete Outpost 2 con 10.0.2.0/24, la voce relativa alla tabella di routing CIDR della sottorete Outpost 1 sarebbe la seguente: CIDR
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | Locale |
| 10.0.2.0/24 | lgw-1-id |
La voce per la tabella di routing della sottorete Outpost 2 sarebbe la seguente:
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | Locale |
| 10.0.1.0/24 | lgw-2-id |
Routing verso una connessione peering VPC
Una connessione VPC peering è una connessione di rete tra due VPCs che consente di instradare il traffico tra di esse utilizzando indirizzi privati. IPv4 Le istanze di entrambe VPC possono comunicare tra loro come se facessero parte della stessa rete.
Per abilitare l'instradamento del traffico tra le VPCs connessioni VPC peering, è necessario aggiungere un percorso a una o più tabelle di routing di sottorete che punti alla connessione peering. VPC Ciò consente di accedere a tutto o a parte del CIDR blocco dell'altro blocco VPC nella connessione peering. Allo stesso modo, il proprietario dell'altra VPC deve aggiungere un percorso alla tabella delle rotte della sottorete per reindirizzare il traffico verso la tua. VPC
Ad esempio, hai una connessione VPC peering (pcx-11223344556677889) tra dueVPCs, con le seguenti informazioni:
-
VPCA: il CIDR blocco è 10.0.0.0/16
-
VPCB: il blocco è 172.31.0.0/16 CIDR
Per abilitare il traffico tra i blocchi VPCs e consentire l'accesso all'intero IPv4 CIDR blocco di entrambiVPC, la tabella delle rotte VPC A è configurata come segue.
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | Locale |
| 172.31.0.0/16 | pcx-11223344556677889 |
La tabella delle rotte VPC B è configurata come segue.
| Destinazione | Target |
|---|---|
| 172.31.0.0/16 | Locale |
| 10.0.0.0/16 | pcx-11223344556677889 |
La connessione VPC peering può anche supportare la IPv6 comunicazione tra istanze inVPCs, se le istanze VPCs and sono abilitate per la comunicazione. IPv6 Per abilitare l'instradamento del IPv6 traffico tra di loroVPCs, è necessario aggiungere un percorso alla tabella delle rotte che punti alla connessione VPC peering per accedere a tutto o a parte del blocco del IPv6 CIDR peer. VPC
Ad esempio, utilizzando la stessa connessione VPC peering (pcx-11223344556677889) di cui sopra, supponiamo che VPCs dispongano delle seguenti informazioni:
-
VPCA: il IPv6 CIDR blocco è
2001:db8:1234:1a00::/56 -
VPCB: il IPv6 CIDR blocco è
2001:db8:5678:2b00::/56
Per abilitare la IPv6 comunicazione tramite la connessione VPC peering, aggiungi la seguente route alla tabella delle route di sottorete per A. VPC
| Destinazione | Target |
|---|---|
| 10.0.0.0/16 | Locale |
| 172.31.0.0/16 | pcx-11223344556677889 |
| 2001:db8:5678:2b00::/56 | pcx-11223344556677889 |
Aggiungi la seguente route alla tabella delle rotte per B. VPC
| Destinazione | Target |
|---|---|
| 172.31.0.0/16 | Locale |
| 10.0.0.0/16 | pcx-11223344556677889 |
| 2001:db8:1234:1a00::/56 | pcx-11223344556677889 |
Per ulteriori informazioni sulle connessioni VPC peering, consulta Amazon VPC Peering Guide.
Routing verso un endpoint gateway VPC
Un VPC endpoint gateway consente di creare una connessione privata tra l'utente VPC e un altro servizio. AWS Quando si crea un endpoint gateway, si specificano le tabelle di routing della sottorete VPC utilizzate dall'endpoint gateway. Una route viene aggiunta automaticamente a ciascuna delle tabelle di routing con una destinazione che specifica l'ID di elenco di prefissi del servizio (pl-) e un target con l'ID di endpoint (xxxxxxxxvpce-). Non puoi eliminare o modificare Esplicitamente la route dell'endpoint, ma puoi modificare le tabelle di routing utilizzate dall'endpoint.xxxxxxxxxxxxxxxxx
Per ulteriori informazioni sul routing degli endpoint e sulle implicazioni per i routing ai servizi AWS , consulta Routing per endpoint gateway.
Routing a un Internet gateway egress-only
È possibile creare un gateway Internet solo in uscita per consentire VPC alle istanze di una sottorete privata di avviare la comunicazione in uscita verso Internet, ma impedire a Internet di avviare connessioni con le istanze. Un gateway Internet di sola uscita viene utilizzato solo per il traffico. IPv6 Per configurare il routing per un gateway Internet solo in uscita, aggiungi una route nella tabella di routing della sottorete privata che indirizza il traffico IPv6 Internet () verso il gateway Internet solo in uscita. ::/0
| Destinazione | Target |
|---|---|
| ::/0 | eigw-id |
Per ulteriori informazioni, consulta Abilita il IPv6 traffico in uscita utilizzando un gateway Internet solo in uscita.
Routing per un gateway di transito
Quando colleghi un gateway di transito, devi aggiungere un percorso VPC alla tabella di routing della sottorete affinché il traffico possa instradare attraverso il gateway di transito.
Considerate lo scenario seguente in cui ne avete tre VPCs collegati a un gateway di transito. In questo scenario, tutti gli allegati sono associati alla tabella di routing predefinita del gateway di transito e si propagano alla tabella di routing del gateway di transito. Pertanto, tutti gli allegati possono instradare i pacchetti tra di essi, con il gateway di transito che assume il ruolo di un semplice hub IP di livello 3.
Ad esempio, ne avete dueVPCs, con le seguenti informazioni:
-
VPCA: 10.1.0.0/16, ID allegato tgw-attach-111111111
-
VPCB: 10.2.0.0/16, ID allegato tgw-attach-22222222222222222
Per abilitare il traffico tra VPCs e consentire l'accesso al gateway di transito, la tabella delle rotte A è configurata come segue. VPC
| Destinazione | Target |
|---|---|
| 10.1.0.0/16 | locale |
| 10.0.0.0/8 | tgw-id |
Di seguito è riportato un esempio delle voci della tabella di routing del gateway di transito relative agli VPC allegati.
| Destinazione | Target |
|---|---|
| 10.1.0.0/16 | tgw-attach-11111111111111111 |
| 10.2.0.0/16 | tgw-attach-22222222222222222 |
Per ulteriori informazioni sulle tabelle di routing dei gateway di transito, consulta Routing in Amazon VPC Transit Gateways.
Routing per un'appliance middlebox
Puoi aggiungere dispositivi middlebox ai percorsi di routing dei tuoi. VPC Di seguito sono riportati alcuni casi d'uso:
-
Intercetta il traffico che entra in te VPC attraverso un gateway Internet o un gateway privato virtuale indirizzandolo verso un dispositivo middlebox del tuo. VPC È possibile utilizzare la procedura guidata di routing middlebox per configurare AWS automaticamente le tabelle di routing appropriate per il gateway, il middlebox e la sottorete di destinazione. Per ulteriori informazioni, consulta Procedura guidata di instradamento middlebox.
-
Traffico diretto tra due sottoreti a un'appliance middlebox. È possibile farlo creando una route per una tabella di routing di sottorete che corrisponda alla sottorete CIDR dell'altra sottorete e specifichi un endpoint Gateway Load Balancer, un gatewayNAT, un endpoint Network Firewall o l'interfaccia di rete per un dispositivo come destinazione. In alternativa, per reindirizzare tutto il traffico dalla sottorete a qualsiasi altra sottorete, sostituite la destinazione della route locale con un endpoint, NAT gateway o interfaccia di rete Gateway Load Balancer.
Puoi configurare l'appliance in base alle tue esigenze. Ad esempio, è possibile configurare un dispositivo di sicurezza che controlla tutto il traffico o un dispositivo di accelerazione. WAN L'appliance viene distribuita come EC2 istanza Amazon in una sottorete dell'utente VPC ed è rappresentata da un'interfaccia di rete elastica (interfaccia di rete) nella sottorete.
Se la propagazione della route è stata abilitata per la tabella di instradamento della sottorete di destinazione, è necessario tenere conto della priorità della route. Diamo priorità alla route più specifica e se le route corrispondono, diamo priorità alle route statiche rispetto alle route propagate. Esamina i tuoi percorsi per assicurarti che il traffico venga instradato correttamente e che non ci siano conseguenze indesiderate se abiliti o disabiliti la propagazione delle rotte (ad esempio, la propagazione delle rotte è necessaria per una connessione che supporta i jumbo frame). AWS Direct Connect
Per indirizzare il VPC traffico in entrata verso un'appliance, è necessario associare una tabella di routing al gateway Internet o al gateway privato virtuale e specificare l'interfaccia di rete dell'appliance come destinazione del traffico. VPC Per ulteriori informazioni, consulta Tabelle di routing del gateway. Puoi anche instradare il traffico in uscita dalla sottorete a un'appliance middlebox in un'altra sottorete.
Per esempi di routing middlebox, consultare Scenari middlebox.
Indice
Considerazioni sull'appliance
Puoi scegliere un'appliance di terze parti da Marketplace AWS
-
L'appliance deve essere configurata in una sottorete separata per il traffico di origine o di destinazione.
-
Devi disabilitare i controlli dell'origine/della destinazione sull'appliance. Per ulteriori informazioni, consulta Changing the Source or Destination Checking nella Amazon EC2 User Guide.
-
Non puoi instradare il traffico tra host nella stessa sottorete tramite un'appliance.
-
L'appliance non deve eseguire la traduzione degli indirizzi di rete (NAT).
-
È possibile aggiungere alle tabelle di routing una route che sia più specifica della route locale. È possibile utilizzare percorsi più specifici per reindirizzare il traffico tra sottoreti all'interno di un VPC (traffico est-ovest) verso un dispositivo middlebox. La destinazione del percorso deve corrispondere all'intera o al blocco di una sottorete del tuoIPv4. IPv6 CIDR VPC
-
Per intercettare il IPv6 traffico, assicurati che la tua sottorete VPC e il dispositivo siano supportati. IPv6 I gateway privati virtuali non supportano il traffico. IPv6
Routing del traffico tra un gateway e un'appliance
Per indirizzare il VPC traffico in entrata verso un'appliance, è necessario associare una tabella di routing al gateway Internet o al gateway privato virtuale e specificare l'interfaccia di rete dell'appliance come destinazione del traffico. VPC Nell'esempio seguente, VPC dispone di un gateway Internet, un'appliance e una sottorete con istanze. Il traffico proveniente da Internet viene instradato attraverso un'appliance.
Associa questa tabella di instradamento all'Internet gateway o al gateway virtuale privato. La prima voce è la route locale. La seconda voce invia il IPv4 traffico destinato alla sottorete all'interfaccia di rete dell'appliance. Questa è una route più specifica rispetto alla route locale.
| Destinazione | Target |
|---|---|
VPC CIDR |
Locale |
Subnet CIDR |
Appliance network interface ID |
In alternativa, è possibile sostituire il target per la route locale con l'interfaccia di rete dell'appliance. È possibile eseguire questa operazione per garantire che tutto il traffico venga indirizzato automaticamente all'appliance, incluso il traffico destinato alle sottoreti che verranno aggiunte in futuro. VPC
| Destinazione | Target |
|---|---|
VPC CIDR |
Appliance network interface ID |
Per instradare il traffico dalla sottorete a un'appliance in un'altra sottorete, aggiungi una route alla tabella di instradamento della sottorete che indirizza il traffico all'interfaccia di rete dell'appliance. La destinazione deve essere meno specifica rispetto a quella per la route locale. Ad esempio, per il traffico destinato a Internet, specificate 0.0.0.0/0 (tutti gli IPv4 indirizzi) per la destinazione.
| Destinazione | Target |
|---|---|
VPC CIDR |
Locale |
| 0.0.0.0/0 | Appliance network interface ID |
Quindi, nella tabella di instradamento associata alla sottorete dell'appliance, aggiungere una route che restituisce il traffico al gateway Internet o al gateway virtuale privato.
| Destinazione | Target |
|---|---|
VPC CIDR |
Locale |
| 0.0.0.0/0 | igw-id |
Routing del traffico tra sottoreti a un'appliance
È possibile instradare il traffico destinato a una sottorete specifica all'interfaccia di rete di un'appliance. Nell'esempio seguente, VPC contiene due sottoreti e un dispositivo. Il traffico tra sottoreti viene instradato tramite un'appliance.
Gruppi di sicurezza
Quando si instrada il traffico tra istanze in sottoreti diverse attraverso un'appliance middlebox, i gruppi di sicurezza per entrambe le istanze devono consentire il flusso del traffico tra le istanze. Il gruppo di sicurezza di ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'CIDRintervallo della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.
Routing
Di seguito è riportato un esempio di tabella di routing per la sottorete A. La prima voce consente VPC alle istanze di comunicare tra loro. La seconda voce indirizza tutto il traffico dalla sottorete A alla sottorete B all'interfaccia di rete dell'appliance.
| Destinazione | Target |
|---|---|
VPC CIDR |
Locale |
Subnet B CIDR |
Appliance network interface ID |
Di seguito è riportato un esempio di tabella di routing per la sottorete B. La prima voce consente alle istanze di comunicare tra loro. VPC La seconda voce indirizza tutto il traffico dalla sottorete B alla sottorete A all'interfaccia di rete dell'appliance.
| Destinazione | Target |
|---|---|
VPC CIDR |
Locale |
Subnet A CIDR |
Appliance network interface ID |
In alternativa, è possibile sostituire il target per la route locale con l'interfaccia di rete dell'appliance. È possibile eseguire questa operazione per garantire che tutto il traffico venga indirizzato automaticamente all'appliance, incluso il traffico destinato alle sottoreti che verranno aggiunte in futuro. VPC
| Destinazione | Target |
|---|---|
VPC CIDR |
Appliance network interface ID |
Routing mediante un elenco di prefissi
Se fai spesso riferimento allo stesso set di CIDR blocchi tra AWS le tue risorse, puoi creare un elenco di prefissi gestito dal cliente per raggrupparli. È quindi possibile specificare l'elenco di prefissi come destinazione nella voce della tabella di instradamento. In seguito è possibile aggiungere o rimuovere voci per l'elenco dei prefissi senza dover aggiornare le tabelle di routing.
Ad esempio, disponi di un gateway di transito con più allegati. VPC VPCsDevono essere in grado di comunicare con due VPC allegati specifici che hanno i seguenti blocchi: CIDR
-
10.0.0.0/16
-
10.2.0.0/16
È possibile creare un elenco di prefissi con entrambe le voci. Nelle tabelle di routing della sottorete è possibile creare una route e specificare l'elenco di prefissi come destinazione e il gateway di transito come target.
| Destinazione | Target |
|---|---|
| 172.31.0.0/16 | Locale |
| pl-123abc123abc123ab | tgw-id |
Il numero massimo di voci per gli elenchi di prefissi è uguale allo stesso numero di voci nella tabella di routing.
Routing a un endpoint Gateway Load Balancer
Un Gateway Load Balancer consente di distribuire il traffico a una flotta di appliance virtuali, ad esempio i firewall. È possibile configurare il load balancer come servizio creando una configurazione del servizio VPCendpoint. Quindi crei un endpoint Gateway Load Balancer nel tuo VPC per connetterti al servizio. VPC
Per indirizzare il traffico al Gateway Load Balancer (ad esempio, per una analisi della sicurezza), specifica l'endpoint Gateway Load Balancer come destinazione nelle tabelle di routing.
Per un esempio di appliance di sicurezza dietro un load balancer del gateway, consultare Configura il routing e l'ispezione del traffico middlebox in un VPC.
Per specificare l'endpoint Gateway Load Balancer nella tabella delle rotte, utilizzare l'ID dell'endpoint. VPC Ad esempio, per instradare il traffico per 10.0.1.0/24 a un endpoint del load balancer del gateway, aggiungere la seguente route.
| Destinazione | Target |
|---|---|
| 10.0.1.0/24 | vpc-endpoint-id |
Per ulteriori informazioni, consultare Bilanciatori del carico del gateway.
