サブネット宛てのトラフィックを検査する - Amazon Virtual Private Cloud
インターネットゲートウェイルートテーブル宛先サブネットのルートテーブルミドルボックスサブネットルートテーブル

サブネット宛てのトラフィックを検査する

インターネットゲートウェイを介して VPC にトラフィックが着信しており、EC2 インスタンスにインストールされたファイアウォールアプライアンスを使用して、サブネットを送信先(サブネット B など)とするすべてのトラフィックを検査するシナリオを考えてみます。ファイアウォールアプライアンスは、VPC のサブネット B (サブネット C) とは別のサブネットにある EC2 インスタンスにインストールおよび設定する必要があります。その後、ミドルボックスルーティングウィザードを使用して、サブネット B とインターネットゲートウェイ間のトラフィックのルートを設定できます。

ミドルボックスルーティングウィザードは、次の操作を自動的に実行します。

  • 次のルートテーブルを作成します。

    • インターネットゲートウェイのルートテーブル

    • 宛先サブネットのルートテーブル

    • ミドルボックスサブネットのルートテーブル

  • 次のセクションで説明しますが、必要なルートを新しいルートテーブルに追加してください。

  • インターネットゲートウェイ、サブネット B、サブネット C に関連付けられている現在のルートテーブルの関連付けを解除します。

  • ルートテーブル A をインターネットゲートウェイ (ミドルボックスルーティングウィザードの [Source] (送信元))、ルートテーブル C をサブネット C (ミドルボックスルーティングウィザードの[Middlebox] (ミドルボックス))、ルートテーブル B をサブネット B (ミドルボックスルーティングウィザードの[Destination] (宛先)) に関連付けます。

  • ミドルボックスルーティングウィザードによって作成されたことを示すタグと、作成日を示すタグを作成します。

ミドルボックスルーティングウィザードは、既存のルートテーブルを変更しません。新しいルートテーブルを作成し、ゲートウェイおよびサブネットリソースに関連付けます。リソースが既存のルートテーブルに明示的に関連付けられている場合は、まず既存のルートテーブルの関連付けが解除され、次に新しいルートテーブルがリソースに関連付けられます。既存のルートテーブルは削除されません。

ミドルボックスルーティングウィザードを使用しない場合は、手動で設定し、サブネットとインターネットゲートウェイにルートテーブルを割り当てる必要があります。

VPC へのインバウンドルーティング

インターネットゲートウェイルートテーブル

インターネットゲートウェイのルートテーブルに次のルートを追加します。

デスティネーション ターゲット 目的
10.0.0.0/16 ローカル IPv4 のローカルルート
10.0.1.0/24 appliance-eni サブネット B 宛の IPv4 トラフィックをミドルボックスにルーティングする
2001:db8:1234:1a00::/56 ローカル IPv6 のローカルルート
2001:db8:1234:1a00::/64 appliance-eni サブネット B 宛の IPv6 トラフィックをミドルボックスにルーティングする

インターネットゲートウェイと VPC の間にエッジ関連付けがあります。

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。

宛先サブネットのルートテーブル

宛先サブネット (図のサブネット B) のルートテーブルに次のルートを追加します。

デスティネーション ターゲット 目的
10.0.0.0/16 ローカル IPv4 のローカルルート
0.0.0.0/0 appliance-eni インターネット宛ての IPv4 トラフィックをミドルボックスにルーティングする
2001:db8:1234:1a00::/56 ローカル IPv6 のローカルルート
::/0 appliance-eni インターネット宛ての IPv6 トラフィックをミドルボックスにルーティングする

ミドルボックスサブネットとサブネットの関連付けがあります。

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。

ミドルボックスサブネットルートテーブル

ミドルボックスサブネット (例のサブネット C) のルートテーブルに次のルートを追加します。

デスティネーション ターゲット 目的
10.0.0.0/16 ローカル IPv4 のローカルルート
0.0.0.0/0 igw-id IPv4 トラフィックをインターネットゲートウェイにルーティングする
2001:db8:1234:1a00::/56 ローカル IPv6 のローカルルート
::/0 eigw-id IPv6 トラフィックを Egress-only インターネットゲートウェイにルーティングする

宛先サブネットとサブネットの関連付けがあります。

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。