Rotas Tabela de rotas principal Tabelas de rotas personalizadas Associação da tabela de rotas da sub-rede

Tabelas de rotas de sub-rede

Sua VPC tem um roteador implícito e você usa tabelas de rotas para controlar para onde o tráfego de rede é direcionado. Toda sub-rede em sua VPC deve ser associada a uma tabela de rotas, que controla o roteamento para a sub-rede (tabela de rotas de sub-rede). Você pode associar explicitamente uma sub-rede a uma tabela de rotas específica. Caso contrário, a sub-rede é implicitamente associada à tabela de rotas principal. Uma sub-rede só pode ser associada a uma única tabela de rotas por vez, mas é possível associar várias sub-redes a uma mesma tabela de rotas de sub-rede.

Conteúdo

Rotas
Tabela de rotas principal
Tabelas de rotas personalizadas
Associação da tabela de rotas da sub-rede

Rotas

Cada rota em uma tabela especifica um destino e um alvo. Por exemplo, para permitir que a sub-rede acesse a Internet por meio de um gateway da Internet, adicione a seguinte rota à tabela de rotas de sub-rede. O destino da rota é 0.0.0.0/0, que representa todos os endereços IPv4. O alvo é o gateway da Internet que está conectado à sua VPC.

Destino	Destino
0.0.0.0/0	`igw-id`

Os blocos CIDR para IPv4 e IPv6 são tratados separadamente. Por exemplo, uma rota com um CIDR de destino de 0.0.0.0/0 não inclui automaticamente todos os endereços IPv6. Você precisa criar uma rota com um CIDR de destino de ::/0 para todos os endereços IPv6.

Se você faz com frequência referência ao mesmo conjunto de blocos CIDR nos recursos da AWS, poderá criar uma lista de prefixos gerenciados pelo cliente para agrupá-los. Depois, você pode especificar a lista de prefixos como destino na entrada da tabela de rotas.

Toda tabela de rotas contém uma rota local para comunicação dentro da VPC. Esta rota é adicionada por padrão a todas as tabelas de rotas. Se a VPC tiver mais de um bloco CIDR IPv4, as tabelas de rotas conterão um rota local para cada bloco CIDR IPv4. Se tiver associado um bloco CIDR IPv6 à VPC, as tabelas de rotas conterão uma rota local para o bloco CIDR IPv6. É possível substituir ou restaurar o destino de cada uma das rotas locais conforme necessário.

Regras e considerações

Você pode adicionar uma rota às suas tabelas de rotas que seja mais específica do que a rota local. O desino deve corresponder a todo o bloco CIDR IPv4 ou IPv6 de uma sub-rede em sua VPC. O destino deve ser um gateway NAT, uma interface de rede ou um endpoint de balanceador de carga de gateway.
Se sua tabela de rotas tiver várias rotas, usamos a rota mais específica que corresponde ao tráfego (correspondência de prefixo mais longa) para determinar como rotear o tráfego.
Não é possível adicionar rotas a endereços IPv4 que sejam uma correspondência exata ou um subconjunto do seguinte intervalo: 169.254.168.0/22. Esse intervalo está no espaço de endereço local do link e é reservado para uso por serviços da AWS. Por exemplo, o Amazon EC2 usa endereços nesse intervalo para serviços que são acessíveis exclusivamente de instâncias do EC2, como o Instance Metadata Service (IMDS) e o servidor de DNS da Amazon. Você pode usar um bloco CIDR que seja maior que, mas se sobreponha a 169.254.168.0/22, mas os pacotes destinados a endereços no intervalo 169.254.168.0/22 não serão encaminhados.
Não é possível adicionar rotas a endereços IPv6 que sejam uma correspondência exata ou um subconjunto do seguinte intervalo: fd00:ec2::/32. Esse intervalo está no espaço de Unique Local Address (ULA – Endereço local exclusivo) e é reservado para uso por serviços da AWS. Por exemplo, o Amazon EC2 usa endereços nesse intervalo para serviços que são acessíveis exclusivamente de instâncias do EC2, como o Instance Metadata Service (IMDS) e o servidor de DNS da Amazon. Você pode usar um bloco CIDR que seja maior que, mas se sobreponha a fd00:ec2::/32, mas os pacotes destinados a endereços no intervalo fd00:ec2::/32 não serão encaminhados.
Você pode adicionar dispositivos middlebox aos caminhos de roteamento para a sua VPC. Para ter mais informações, consulte Roteamento para um dispositivo Middlebox.

Exemplo

No exemplo a seguir, suponha que uma VPC tem um bloco CIDR IPv4 e um bloco CIDR IPv6. Os tráfegos IPv4 e IPv6 são tratados separadamente, conforme mostrado na tabela de rotas a seguir.

Destino	Destino
10.0.0.0/16	Local
2001:db8:1234:1a00::/56	Local
172.31.0.0/16	pcx-11223344556677889
0.0.0.0/0	igw-12345678901234567
::/0	eigw-aabbccddee1122334

O tráfego IPv4 a ser roteado dentro da VPC (10.0.0.0/16) é abrangido pela rota Local.
O tráfego IPv6 a ser roteado dentro da VPC (2001:db8:1234:1a00::/56) é abrangido pela rota Local.
A rota para 172.31.0.0/16 envia o tráfego para uma conexão de emparelhamento.
A rota para todo o tráfego IPv4 (0.0.0.0/0) envia o tráfego para um gateway da Internet. Portanto, todo o tráfego IPv4, exceto o tráfego dentro da VPC e para a conexão de emparelhamento, é roteado para o gateway da Internet.
A rota para todo o tráfego IPv6 (::/0) envia o tráfego para um gateway da Internet somente de saída. Portanto, todo o tráfego IPv6, exceto o tráfego dentro da VPC, é roteado para o gateway da Internet somente de saída.

Tabela de rotas principal

Quando você cria uma VPC, a tabela de rotas principal é criada automaticamente. Quando uma sub-rede não tem uma tabela de roteamento explicitamente associada, ela usará a tabela de roteamento principal por padrão. Para visualizar a tabela de rotas principal de uma VPC, na página Route Tables (Tabelas de rotas), no console da Amazon VPC, procure por Yes (Sim) na coluna Main (Principal).

Por padrão, quando você cria uma VPC não padrão, a tabela de rotas principal contém apenas uma rota local. Se você Crie uma VPC e escolher um gateway NAT, a Amazon VPC adicionará rotas automaticamente à tabela de rotas principal para os gateways.

As seguintes regras se aplicam à tabela de rotas principal:

Você pode adicionar, remover e modificar rotas na tabela de rotas principal.
Você não pode excluir a tabela de rotas principal.
Você não pode definir uma tabela de rotas de gateway como a tabela de rotas principal.
Você pode substituir a tabela de rotas principal ao associar uma tabela de rotas personalizada a uma sub-rede.
Você pode associar explicitamente uma sub-rede à tabela de rotas principal, mesmo que ela já esteja implicitamente associada.

Você pode querer fazer isso se alterar qual tabela é a tabela de rotas principal. Quando você altera a tabela que constitui a tabela de rotas principal, isso também altera o padrão para novas sub-redes ou para sub-redes que não estejam explicitamente associadas a outra tabela de rotas. Para obter mais informações, consulte Substituir a tabela de rotas principal.

Tabelas de rotas personalizadas

Por padrão, uma tabela de rotas contém uma rota local para comunicação na VPC. Se você Crie uma VPC e escolher uma sub-rede pública, a Amazon VPC criará uma tabela de rotas personalizada e adicionará uma rota que aponte para o gateway da Internet. Uma maneira de proteger sua VPC é deixar a tabela de rotas principal em seu estado padrão original. Depois, associe explicitamente cada nova sub-rede criada a uma das tabelas de rotas personalizadas criadas. Desse modo, você pode controlar explicitamente como cada sub-rede roteia o tráfego.

Você pode adicionar, remover e modificar rotas em uma tabela de rotas personalizada. Você poderá excluir uma tabela de rotas personalizada somente se ela não tiver associações.

Associação da tabela de rotas da sub-rede

Toda sub-rede em sua VPC deve ser associada a uma tabela de rotas. Uma sub-rede pode ser explicitamente associada à tabela de rotas personalizada, ou implicitamente ou explicitamente associada à tabela de rotas principal. Para obter mais informações sobre como visualizar suas associações de sub-rede e tabela de rotas, consulte Determinar as sub-redes e/ou os gateways explicitamente associadas.

As sub-redes que estão em VPCs associadas ao Outposts podem ter um tipo de destino adicional de um gateway local. Essa é a única diferença de roteamento das sub-redes que não são de Outposts.

Exemplo 1: Associação de sub-rede implícita e explícita

O diagrama a seguir mostra o roteamento para uma VPC com um gateway da Internet, um gateway privado virtual, uma sub-rede pública e uma sub-rede somente VPN.

Diagrama de sub-rede privada associada à tabela de rotas principal e sub-rede pública com tabela de rotas personalizada

A tabela de rotas A é uma tabela de rotas personalizada que está explicitamente associada à sub-rede pública. Ela tem uma rota que envia todo o tráfego para o gateway da Internet, que é o que torna a sub-rede uma sub-rede pública.

Destino	Alvo
`CIDR DA VPC`	Local
0.0.0.0/0	`igw-id`

A tabela de rotas B é a tabela de rotas principal. Ela está implicitamente associada à sub-rede privada. Ela tem uma rota que envia todo o tráfego para o gateway privado virtual, mas nenhuma rota para o gateway da Internet, que é o que torna a sub-rede uma sub-rede somente para VPN. Se você criar outra sub-rede nesta VPC e não associar uma tabela de rotas personalizada, a sub-rede também será associada implicitamente a esta tabela de rotas porque é a tabela de rotas principal.

Destino	Alvo
`CIDR DA VPC`	Local
0.0.0.0/0	`vgw-id`

Exemplo 2: Substituir a tabela de rotas principal

Você pode querer fazer alterações na tabela de rotas principal. Para evitar qualquer interrupção no tráfego, recomendamos que você primeiro teste as alterações de rota usando uma tabela de rotas personalizada. Quando estiver satisfeito com o teste, você pode substituir a tabela de rotas principal pela nova tabela personalizada.

O diagrama a seguir mostra duas sub-redes e duas tabelas de rotas. A sub-rede A está implicitamente associada à tabela de rotas A, a tabela de rotas principal. A sub-rede B está implicitamente associada à tabela de rotas A. A tabela de rotas B, uma tabela de rotas personalizada, não está associada a nenhuma sub-rede.

Duas sub-redes com associações implícitas com a tabela de rotas A, a tabela de rotas principal.

Para substituir a tabela de rotas principal, comece criando uma associação explícita entre a sub-rede B e a tabela de rotas B. Teste a tabela de rotas B.

Agora, a sub-rede B está explicitamente associada à tabela de rotas B, uma tabela de rotas personalizada.

Depois de testar a tabela de rotas B, torne-a a tabela de rotas principal. A sub-rede B ainda tem uma associação explícita com a tabela de rotas B. No entanto, a sub-rede A passou a ter uma associação implícita com a tabela de rotas B, pois a tabela de rotas B é a nova tabela de rotas principal. A tabela de rotas A não está mais associada a nenhuma sub-rede.

Diagrama da sub-rede A associada à tabela de rotas B e da sub-rede B associada à tabela de rotas B

(Opcional) Se você desassociar a sub-rede B da tabela de rotas B, ainda haverá uma associação implícita entre a sub-rede B e a tabela de rotas B. Se você não precisar mais da tabela de rotas A, poderá excluí-la.

Ambas as sub-redes estão implicitamente associadas à tabela de rotas B.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conceitos da tabela de rotas

Tabelas de rotas do gateway