サブネット間のトラフィックを検査する - Amazon Virtual Private Cloud

サブネット間のトラフィックを検査する

VPC に複数のサブネットがあり、ファイアウォールアプライアンスを使用して、サブネット間のトラフィックを検査するシナリオを考えてみます。VPC 内の別のサブネットの EC2 インスタンスに、ファイアウォールアプライアンスを設定してインストールします。

サブネット C の EC2 インスタンスにインストールされたファイアウォールアプライアンスを次の図に示します。このアプライアンスは、サブネット A からサブネット B (「1」を参照) およびサブネット B からサブネット A (「2」を参照) に移動するすべてのトラフィックを検査します。

サブネットのトラフィックの確認

VPC とミドルボックスサブネットのメインルートテーブルを使用します。サブネット A と B には、それぞれカスタムルートテーブルがあります。

ミドルボックスルーティングウィザードは、次の操作を自動的に実行します。

  • ルートテーブルを作成します。

  • 必要なルートを新しいルートテーブルに追加します。

  • サブネットに関連付けられている現在のルートテーブルの関連付けを解除します。

  • ミドルボックスルーティングウィザードが作成したルートテーブルをサブネットに関連付けます。

  • ミドルボックスルーティングウィザードによって作成されたことを示すタグと、作成日を示すタグを作成します。

ミドルボックスルーティングウィザードは、既存のルートテーブルを変更しません。新しいルートテーブルを作成し、ゲートウェイおよびサブネットリソースに関連付けます。リソースが既存のルートテーブルに明示的に関連付けられている場合は、まず既存のルートテーブルの関連付けが解除され、次に新しいルートテーブルがリソースに関連付けられます。既存のルートテーブルは削除されません。

ミドルボックスルーティングウィザードを使用しない場合は、手動で設定し、サブネットとインターネットゲートウェイにルートテーブルを割り当てる必要があります。

サブネット A のカスタムルートテーブル

サブネット A のルートテーブルには、次のルートがあります。

デスティネーション ターゲット 目的
VPC CIDR ローカル ローカルルート
Subnet B CIDR appliance-eni サブネット B を送信先とするトラフィックをミドルボックスにルーティングする

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。

カスタムサブネット B ルートテーブル

サブネット B のルートテーブルには、次のルートがあります。

デスティネーション ターゲット 目的
VPC CIDR ローカル ローカルルート
Subnet A CIDR appliance-eni サブネット A を送信先とするトラフィックをミドルボックスにルーティングする

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。

メインルートテーブル

Subnet C は、メインルートテーブルを使用します。メインルートテーブルには以下のルートがあります。

デスティネーション ターゲット 目的
VPC CIDR ローカル ローカルルート

ミドルボックスルーティングウィザードを使用すると、次のタグがルートテーブルに関連付けられます。

  • キーは「Origin」で、値は「ミドルボックスウィザード」です

  • キーは「date_created」で、値は作成時刻です (「2021-02-18T22:25:49.137Z」など)。