Gateway-Routing-Tabellen
Sie können eine Routing-Tabelle einem Internet-Gateway oder einem Virtual Private Gateway zuordnen. Wenn eine Routing-Tabelle einem Gateway zugeordnet ist, wird sie als Gateway-Routing-Tabellebezeichnet. Sie können eine Gateway-Routing-Tabelle erstellen, um den Routing-Pfad des Datenverkehrs in Ihre VPC genau zu steuern. Beispielsweise können Sie den Datenverkehr, der über ein Internet-Gateway in Ihre VPC gelangt, abfangen, indem Sie diesen Datenverkehr an eine Middlebox-Appliance (wie etwa eine Sicherheitseinheit) in Ihrer VPC umleiten.
Route von Gateway-Routing-Tabellen
Eine Gateway-Routing-Tabelle, die einem Internet-Gateway zugeordnet ist, unterstützt Routen mit den folgenden Zielen:
-
Die standardmäßige lokale Route
-
Eine Netzwerkschnittstelle für eine Middlebox-Appliance
Eine einem Virtual Private Gateway zugeordnete Gateway-Routing-Tabelle unterstützt Routen mit den folgenden Zielen:
-
Die standardmäßige lokale Route
-
Eine Netzwerkschnittstelle für eine Middlebox-Appliance
Wenn das Ziel ein Gateway Load Balancer-Endpunkt oder eine Netzwerkschnittstelle ist, sind folgende Ziele zulässig:
-
Der gesamte IPv4- oder IPv6-CIDR-Block Ihrer VPC. In diesem Fall ersetzen Sie das Ziel der lokalen Standardroute.
-
Der gesamte IPv4- oder IPv6-CIDR-Block eines Subnetzes in Ihrer VPC. Dies ist eine spezifischere Route als die lokale Standardroute.
Wenn Sie das Ziel der lokalen Route in einer Gateway-Routing-Tabelle zu einer Netzwerkschnittstelle in Ihrer VPC ändern, können Sie es später auf das local-Standardziel wiederherstellen. Weitere Informationen finden Sie unter Ersetzen oder Wiederherstellen des Ziels für eine lokale Route.
Beispiel
In der folgenden Gateway-Routing-Tabelle wird der für ein Subnetz mit dem 172.31.0.0/20-CIDR-Block bestimmte Datenverkehr an eine bestimmte Netzwerkschnittstelle weitergeleitet. Datenverkehr, der für alle anderen Subnetze in der VPC bestimmt ist, verwendet die lokale Route.
| Ziel | Ziel |
|---|---|
| 172.31.0.0/16 | Local |
| 172.31.0.0/20 | eni-id |
Beispiel
In der folgenden Gateway-Routing-Tabelle wird das Ziel für die lokale Route durch eine Netzwerkschnittstellen-ID ersetzt. Datenverkehr, der für alle Subnetze innerhalb der VPC bestimmt ist, wird an die Netzwerkschnittstelle weitergeleitet.
| Ziel | Ziel |
|---|---|
| 172.31.0.0/16 | eni-id |
Regeln und Überlegungen
Sie können eine Routing-Tabelle einem Gateway nicht zuordnen, wenn eine der folgenden Punkte zutrifft:
-
Die Routingtabelle enthält vorhandene Routen mit anderen Zielen als einer Netzwerkschnittstelle, einem Gateway Load Balancer-Endpunkt oder der lokalen Standardroute.
-
Die Routing-Tabelle enthält vorhandene Routen zu CIDR-Blöcken außerhalb der Bereiche in Ihrer VPC.
-
Die Routenverbreitung ist für die Routing-Tabelle aktiviert.
Darüber hinaus gelten die folgenden Regeln und Überlegungen:
-
Sie können keine Routen zu CIDR-Blocks außerhalb der Bereiche in Ihrer VPC hinzufügen, einschließlich Bereiche, die größer sind als die einzelnen VPC-CIDR-Blöcke.
-
Sie können nur
local, einen Gateway Load Balancer-Endpunkt oder eine Netzwerkschnittstelle als Ziel angeben. Sie können keine anderen Zieltypen angeben, auch keine einzelnen Host-IP-Adressen. Weitere Informationen finden Sie unter Beispiele für Routing-Optionen. -
Sie können keine Präfixliste als Ziel angeben.
-
Sie können keine Gateway-Routing-Tabelle verwenden, um Datenverkehr außerhalb Ihrer VPC zu steuern oder abzufangen, z. B. den Datenverkehr über ein angeschlossenes Transit-Gateway. Sie können Datenverkehr, der in Ihre VPC eintritt, abfangen und nur an ein anderes Ziel in derselben VPC umleiten.
-
Damit der Datenverkehr Ihre Middlebox-Appliance erreicht, muss die Zielnetzwerkschnittstelle an eine ausgeführte Instance angeschlossen sein. Für Datenverkehr, der durch ein Internet-Gateway fließt, muss die Zielnetzwerkschnittstelle auch über eine öffentliche IP-Adresse verfügen.
-
Beachten Sie bei der Konfiguration der Middlebox-Appliance die Überlegungen zu Appliances.
-
Wenn Sie Datenverkehr über eine Middlebox-Appliance weiterleiten, muss der Rückdatenverkehr aus dem Zielsubnetz über dieselbe Appliance geleitet werden. Asymmetrisches Routing wird nicht unterstützt.
-
Routing-Tabellenregeln gelten für den gesamten Datenverkehr, der ein Subnetz verlässt. Datenverkehr, der ein Subnetz verlässt, wird als Datenverkehr definiert, der an die MAC-Adresse des Gatewayrouters dieses Subnetzes bestimmt ist. Der Datenverkehr, der für die MAC-Adresse einer anderen Netzwerkschnittstelle im Subnetz bestimmt ist, verwendet anstelle von Netzwerk (Schicht 3) das Datenlink-Routing (Ebene 2), sodass die Regeln nicht für diesen Datenverkehr gelten.
-
Nicht alle Local Zones unterstützen die Edge-Verknüpfung mit virtuellen privaten Gateways. Weitere Informationen zu verfügbaren Zonen finden Sie unter Überlegungen im AWS-Benutzerhandbuch für Local Zones.
