本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
路由表會決定來自 的網路流量VPC導向位置。在VPC路由表中,您必須為遠端網路新增路由,並將虛擬私有閘道指定為目標。這可讓來自VPC遠端網路目的地 的流量,透過虛擬私有閘道和其中一個VPN通道路由。您可以為您的路由表啟用路由傳播,為您將網路路由自動傳播到表格。
我們會使用您路由表中最明確且符合流量的路由,以判斷如何路由流量 (最長的前綴相符)。如果您的路由表有重疊或相符的路由,則會套用以下規則:
-
如果從VPN連線傳播的 Site-to-Site路由或 AWS Direct Connect 連線與 的本機路由重疊VPC,即使傳播的路由更具體,本機路由也是最佳的。
-
如果從VPN連線或 AWS Direct Connect 連線傳播的 Site-to-Site路由具有與其他現有靜態路由相同的目的地CIDR區塊 (無法套用最長字首比對),我們會優先考慮其目標為網際網路閘道、虛擬私有閘道、網路介面、執行個體 ID、VPC對等連線、NAT閘道、傳輸閘道或閘道VPC端點的靜態路由。
例如,下列路由表具有連向網際網路閘道的靜態路由,以及連向虛擬私有閘道的傳播路由。兩種路由的目標都是 172.31.0.0/24
。在此情況下,所有以 172.31.0.0/24
為目標的流量都會路由到網際網路閘道 — 其為靜態路由,因此優先於傳播路由。
目的地 | 目標 |
---|---|
10.0.0.0/16 | 區域 |
172.31.0.0/24 | vgw-11223344556677889 (傳播) |
172.31.0.0/24 | igw-12345678901234567 (靜態) |
只有虛擬私有閘道已知的 IP 字首,無論是透過BGP廣告還是靜態路由項目,都可以接收來自 的流量VPC。虛擬私有閘道不會路由任何其他流量,其目的地位於收到的BGP廣告、靜態路由項目或其連接的 VPC 之外CIDR。虛擬私有閘道不支援IPv6流量。
當虛擬私有閘道收到路由資訊時,會使用路徑選項決定流量路由方式。若所有端點狀態良好,則套用最長字首相符項目。通道端點的運作狀態優先於其他路由屬性。此優先順序適用於虛擬私有閘道和 Transit Gateways VPNs上的 。如果字首相同,則虛擬私有閘道會依照下列方式排列路由的優先順序,從最偏好排列到最不偏好:
-
BGP 從 AWS Direct Connect 連線傳播路由
黑洞路由不會透過 傳播到 Site-to-SiteVPN客戶閘道BGP。
-
手動新增VPN連線 Site-to-Site的靜態路由
-
BGP 從 Site-to-SiteVPN連線傳播路由
-
對於每個 Site-to-SiteVPN連線使用 的相符字首BGP,PATH會比較 AS,並偏好具有最短 AS PATH的字首。
注意
AWS 強烈建議使用支援非對稱路由的客戶閘道裝置。
對於支援非對稱路由的客戶閘道裝置,我們不建議使用 AS PATH 預置,以確保兩個通道具有相同的 AS PATH。這有助於確保 multi-exit discriminator 我們在通道VPN端點更新期間在通道上設定的 (MED) 值用於判斷通道優先順序。
對於不支援非對稱路由的客戶閘道裝置,您可以使用 AS PATH 前置和本機偏好設定,以偏好一個通道而不是另一個通道。但是若傳出路徑有所變更,這可能導致流量下降。
-
當 AS 的長度PATHs相同,且 AS_SEQUENCE 中的第一個 AS 跨多個路徑相同時,multi-exit discriminators (MEDs) 會進行比較。最好是具有最低MED值的路徑。
VPN 通道端點更新期間會影響路由優先順序。
在 Site-to-SiteVPN連線上, AWS 選取兩個冗餘通道的其中一個作為主要輸出路徑。此選項可能會不時變更,強烈建議您將這兩個通道設定為高可用性通道,並允許不對稱路由傳送。通道端點的運作狀態優先於其他路由屬性。此優先順序適用於虛擬私有閘道和 Transit Gateways VPNs上的 。
對於虛擬私有閘道,將會選取閘道上所有 Site-to-SiteVPN連線的一個通道。若要使用多個通道,建議您探索支援傳輸閘道VPN連線的 Site-to-Site Equal Cost Multipath (ECMP)。如需詳細資訊,請參閱 Amazon Transit Gateways 中的 Transit 閘道。虛擬私有閘道上的VPN連線ECMP不支援 Site-to-Site 。 VPC
對於 Site-to-Site使用 的VPN連線BGP,主要通道可由 識別 multi-exit discriminator (MED) 值。我們建議您公告更具體的BGP路由,以影響路由決策。
對於 Site-to-Site使用靜態路由的VPN連線,主要通道可以透過流量統計資料或指標來識別。