ルートテーブルと AWS Site-to-Site VPN ルーティングの優先度 - AWS Site-to-Site VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ルートテーブルと AWS Site-to-Site VPN ルーティングの優先度

ルートテーブルは、VPC からのネットワークトラフィックの転送先を指定します。VPC ルートテーブルで、リモートネットワークのルートを追加し、仮想プライベートゲートウェイをターゲットとして指定する必要があります。これにより、リモートネットワーク向けの VPC からのトラフィックが、仮想プライベートゲートウェイおよび、いずれかの VPN トンネルを経由してルーティングされます。ルートテーブルのルート伝播を有効にすると、ネットワークルートは自動的にテーブルに伝播されます。

トラフィックと一致する最も具体的なルートをルートテーブルで使用して、トラフィックをルーティングする方法を決定します (最長プレフィックス一致)。ルートテーブルに重複または一致するルートがある場合は、次のルールが適用されます。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されたルートが VPC のローカルルートと重複する場合は、伝播されたルートがより具体的であっても、ローカルルートが最適です。

  • Site-to-Site VPN 接続または AWS Direct Connect 接続から伝播されたルートが、他の既存の静的ルートと同じ送信先 CIDR ブロックを持つ場合 (プレフィックスの最長一致は適用できません)、ターゲットがインターネットゲートウェイ、仮想プライベートゲートウェイ、ネットワークインターフェイス、インスタンス ID、VPC ピアリング接続、NAT ゲートウェイ、トランジットゲートウェイ、またはゲートウェイ VPC エンドポイントである静的ルートが優先されます。

たとえば、次のルートテーブルにはインターネットゲートウェイへの静的ルート、および仮想プライベートゲートウェイへの伝播されたルートがあります。両方のルートとも、送信先は 172.31.0.0/24 です。この場合、172.31.0.0/24 を送信先とするすべてのトラフィックはインターネットゲートウェイにルーティングされます。これは静的ルートであるため、伝達されたルートよりも優先順位が高くなります。

送信先 ターゲット
10.0.0.0/16 ローカル
172.31.0.0/24 vgw-11223344556677889(伝達済み)
172.31.0.0/24 igw-12345678901234567(静的)

BGP アドバタイズ経由または静的ルートエントリ経由かを問わず、VPC からのトラフィックを受信できるのは、仮想プライベートゲートウェイに対して既知の IP プレフィックスのみです。仮想プライベートゲートウェイでは、受信した BGP アドバタイズ、静的なルートエントリ、またはアタッチされた VPC CIDR の外部向けの他のトラフィックはルーティングされません。仮想プライベートゲートウェイは IPv6 トラフィックをサポートしません。

仮想プライベートゲートウェイはルーティング情報を受け取ると、パスを選択してトラフィックをルーティングする方法を指定します。すべてのエンドポイントが正常であれば、最も長いプレフィックス一致が適用されます。トンネルエンドポイントの状態は、他のルーティング属性よりも優先されます。この優先は、仮想プライベートゲートウェイとトランジットゲートウェイ上の VPN に適用されます。プレフィックスが同じである場合、仮想プライベートゲートウェイは、次のようにルートに優先順位を付けます (優先度の高い順)。

  • AWS Direct Connect 接続からの BGP 伝達ルート

    ブラックホールルートは、BGP 経由で Site-to-Site VPN カスタマーゲートウェイに伝播されません。

  • Site-to-Site VPN 接続用に手動で追加された静的ルート

  • Site-to-Site VPN 接続から BGP で伝播されたルート

  • 各 Site-to-Site VPN 接続が BGP を使用しているプレフィックスのマッチングでは、AS PATH が比較され、最短の AS PATH を持っているプレフィックスが優先されます。

    注記

    AWS では、非対称ルーティングをサポートするカスタマーゲートウェイデバイスを使用することを強くお勧めします。

    非対称ルーティングをサポートするカスタマーゲートウェイデバイスを使用する場合、両方のトンネルの AS PATH を等しくするために、AS PATH の付加をお勧めしません。これにより、VPN トンネルエンドポイントの更新中にトンネルに設定した multi-exit discriminator (MED) 値を使用して、トンネルの優先度を決定できます。

    非対称ルーティングをサポートしていないカスタマーゲートウェイデバイスを使用する場合は、AS PATH プリペンドとローカル設定を使用して、一方のトンネルを他のトンネルよりも優先できます。ただし、出力パスが変更されると、これによりトラフィックがドロップする可能性があります。

  • AS PATH が同じ長さで、AS_SEQUENCE 内の最初の AS が複数のパスで同じである場合、multi-exit discriminators (MED) が比較されます。最小の MED 値を持つパスが優先されます。

ルーティングの優先度は、VPN トンネルエンドポイントの更新中に影響を受けます。

Site-to-Site VPN 接続では、2 つの冗長トンネルのいずれかをプライマリ出力パスとして AWS 選択します。この選択は、ときどき変更される場合があるため、両方のトンネルの可用性を高めるよう設定し、非対称ルーティングを許可することを強くお勧めします。トンネルエンドポイントの状態は、他のルーティング属性よりも優先されます。この優先は、仮想プライベートゲートウェイとトランジットゲートウェイ上の VPN に適用されます。

仮想プライベートゲートウェイの場合、ゲートウェイ上のすべての Site-to-Site VPN 接続にまたがる 1 つのトンネルが選択されます。複数のトンネルを使用するには、トランジットゲートウェイ上の Site-to-Site VPN 接続でサポートされる Equal Cost Multipath (ECMP) について検討することをお勧めします。詳細については、「Amazon VPC Transit Gateway」の「Transit Gateway」を参照してください。ECMP は、仮想プライベートゲートウェイの Site-to-Site VPN 接続ではサポートされません。

BGP を使用する Site-to-Site VPN 接続の場合、プライマリトンネルは multi-exit discriminator (MED) 値で識別できます。ルーティングの決定に影響を与えるために、より具体的な BGP ルートをアドバタイズすることをお勧めします。

静的ルーティングを使用する Site-to-Site VPN 接続の場合、プライマリトンネルはトラフィック統計情報またはメトリクスによって識別できます。