Routen Haupt-Routing-Tabelle Benutzerdefinierte Routing-Tabellen Zuordnung der Subnetz-Routing-Tabelle

Subnetz-Routingtabellen

Ihre VPC verfügt über einen impliziten Router und Sie verwenden Routing-Tabellen, um zu steuern, wohin der Netzwerkdatenverkehr geleitet wird. Jedem Subnetz in Ihrer VPC muss eine Routing-Tabelle zugeordnet werden. Diese Tabelle steuert das Routing für das Subnetz. Sie können ein Subnetz einer bestimmten Routing-Tabelle explizit zuordnen. Andernfalls wird das Subnetz implizit der Haupt-Routing-Tabelle zugeordnet. Ein Subnetz kann jeweils nur mit einer Routing-Tabelle verknüpft sein, aber Sie können einer Routing-Tabelle mehrere Subnetze zuordnen.

Routen

Jede Route in einer Tabelle gibt einen Zielbereich und ein Ziel an. Wenn Ihr Subnetz beispielsweise über ein Internet-Gateway auf das Internet zugreifen kann, fügen Sie der Subnetz-Routing-Tabelle die folgende Route hinzu. Der Zielbereich für die Route ist 0.0.0.0/0, das für alle IPv4-Adressen steht. Das Ziel ist das Internet-Gateway, das an Ihre VPC angeschlossen ist.

Bestimmungsort	Ziel
0.0.0.0/0	`igw-id`

CIDR-Blöcke für IPv4 und IPv6 werden separat behandelt. Eine Route mit dem Zielbereich-CIDR 0.0.0.0/0 schließt daher nicht automatisch auch alle IPv6-Adressen ein. Sie müssen für die IPv6-Adressen eine eigene Route mit dem Zielbereich-CIDR ::/0 erstellen.

Wenn Sie in Ihren AWS-Ressourcen häufig auf denselben Satz von CIDR-Blöcken verweisen, können Sie eine vom Kunden verwaltete Präfixliste erstellen, um sie zu gruppieren. Anschließend können Sie die Präfixliste als Ziel in Ihrem Routing-Tabelleneintrag angeben.

Jede Routing-Tabelle enthält eine lokale Route für die Kommunikation innerhalb der VPC. Diese Route wird standardmäßig allen Routing-Tabellen hinzugefügt. Wenn Ihr VPC mehrere IPv4-CIDR-Blöcke hat, enthalten Ihre Routing-Tabellen eine lokale Route für jeden IPv4-CIDR-Block. Wenn Sie der VPC einen IPv6-CIDR-Block zugeordnet haben, enthalten Ihre Routing-Tabellen eine lokale Route für den IPv6 CIDR-Block. Sie können das Ziel jeder lokalen Route nach Bedarf ersetzen oder wiederherstellen.

Regeln und Überlegungen

Sie können Ihren Routing-Tabellen eine Route hinzufügen, die spezifischer als die lokale Route ist. Das Ziel muss mit dem gesamten IPv4- oder IPv6-CIDR-Block eines Subnetzes in Ihrer VPC übereinstimmen. Das Ziel muss ein NAT-Gateway, eine Netzwerkschnittstelle oder ein Gateway Load Balancer-Endpunkt sein.
Wenn Ihre Routing-Tabelle mehrere Routen enthält, verwenden wir die spezifischste mit dem Datenverkehr übereinstimmende Route in der Routing-Tabelle, um Datenverkehr weiterzuleiten (Übereinstimmung mit dem längsten Präfix).
Sie können keine Routen zu IPv4-Adressen hinzufügen, die dem folgenden Bereich genau entsprechen oder eine Teilmenge davon darstellen: 169.254.168.0/22. Dieser Bereich befindet sich innerhalb des verbindungslokalen Adressraums und ist für AWS-Services reserviert. Amazon EC2 nutzt Adressen in diesem Bereich beispielsweise für Services, die nur über EC2-Instances zugänglich sind, z. B. den Instance Metadata Service (IMDS) und den Amazon-DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich 169.254.168.0/22 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich 169.254.168.0/22 bestimmt sind, nicht weitergeleitet.
Sie können keine Routen zu IPv6-Adressen hinzufügen, die dem folgenden Bereich genau entsprechen oder eine Teilmenge davon darstellen: fd00:ec2::/32. Dieser Bereich befindet sich innerhalb des ULA-Raums (Unique Local Address) und ist für AWS-Services reserviert. Amazon EC2 nutzt Adressen in diesem Bereich beispielsweise für Services, die nur über EC2-Instances zugänglich sind, z. B. den Instance Metadata Service (IMDS) und den Amazon-DNS-Server. Sie können einen CIDR-Block verwenden, der größer ist als der Bereich fd00:ec2::/32 und diesen überlappt. Allerdings werden Pakete, die für Adressen im Bereich fd00:ec2::/32 bestimmt sind, nicht weitergeleitet.
Sie können Middlebox-Appliances zu den Routing-Pfaden für Ihre VPC hinzufügen. Weitere Informationen finden Sie unter Routing für eine Middlebox-Appliance.

Beispiel

Nehmen Sie im folgenden Beispiel an, dass die VPC sowohl einen IPv4-CIDR-Block als auch einen IPv6-CIDR-Block hat. IPv4- und IPv6-Datenverkehr wird getrennt behandelt, wie in der folgenden Routing-Tabelle dargestellt.

Bestimmungsort	Ziel
10.0.0.0/16	Local
2001:db8:1234:1a00::/56	Local
172.31.0.0/16	pcx-11223344556677889
0.0.0.0/0	igw-12345678901234567
::/0	eigw-aabbccddee1122334

IPv4-Datenverkehr, der innerhalb der VPC (10.0.0.0/16) geroutet werden soll, wird von der Route Local abgedeckt.
IPv6-Datenverkehr, der innerhalb der VPC (2001:db8:1234:1a00::/56) geroutet werden soll, wird von der Route Local abgedeckt.
Die Route für 172.31.0.0/16 sendet Datenverkehr an eine Peering-Verbindung.
Die Route für den gesamten IPv4-Datenverkehr (0.0.0.0/0) sendet Datenverkehr an ein Internet-Gateway. Daher wird der gesamte IPv4-Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC und der Peering-Verbindung, an das Internet-Gateway weitergeleitet.
Die Route für den gesamten IPv6-Verkehr (::/0) sendet nur ausgehenden Datenverkehr an ein Internet-Gateway. Daher wird der gesamte IPv6-Datenverkehr, mit Ausnahme des Datenverkehrs innerhalb der VPC, an das Internet-Gateway mit ausgehendem Datenverkehr weitergeleitet.

Haupt-Routing-Tabelle

Nachdem Sie eine VPC erstellt haben, besitzt diese automatisch eine Haupt-Routing-Tabelle. Wenn einem Subnetz keine explizite Routing-Tabelle zugeordnet ist, wird standardmäßig die Haupt-Routing-Tabelle verwendet. Auf der Seite Route Tables (Routing-Tabellen) der Amazon-VPC-Konsole sehen Sie anhand des Eintrags Yes (Ja) in der Spalte Main (Haupttabelle), welche Tabelle die Haupt-Routing-Tabelle der VPC ist.

Wenn Sie eine nicht standardmäßige VPC erstellen, enthält die Haupt-Routing-Tabelle standardmäßig nur eine lokale Route. Wenn Sie Erstellen einer VPC und ein NAT-Gateway auswählen, fügt Amazon VPC automatisch Routen zur Haupt-Routing-Tabelle für die Gateways hinzu.

Die folgenden Regeln gelten für die Haupt-Routingtabelle:

Sie können Routen in der Haupt-Routing-Tabelle hinzufügen, verändern oder daraus entfernen.
Die Haupt-Routing-Tabelle kann nicht gelöscht werden.
Sie können keine Gateway-Routing-Tabelle als Haupt-Routing-Tabelle festlegen.
Sie können die Haupt-Routing-Tabelle ersetzen, indem Sie eine benutzerdefinierte Routing-Tabelle einem Subnetz zuordnen.
Sie können einem Subnetz explizit die Haupt-Routing-Tabelle zuordnen, auch wenn diese bereits implizit zugeordnet ist.

Möglicherweise möchten Sie dies tun, wenn Sie ändern, welche Tabelle die Haupt-Routing-Tabelle ist. Wenn Sie die Haupt-Routing-Tabelle ändern, wird auch die Standardtabelle für neu hinzugefügte Subnetze sowie Subnetze ohne explizit zugeordnete Routing-Tabelle geändert. Weitere Informationen finden Sie unter So ersetzen Sie die Routing-Haupttabelle.

Benutzerdefinierte Routing-Tabellen

Jede Routing-Tabelle enthält standardmäßig eine lokale Route für die Kommunikation innerhalb der VPC. Wenn Sie Erstellen einer VPC und ein öffentliches Subnetz wählen, erstellt Amazon VPC eine benutzerdefinierte Routing-Tabelle und fügt eine Route hinzu, die auf das Internet-Gateway verweist. Eine Möglichkeit, Ihre VPC zu schützen, besteht darin, die Haupt-Routing-Tabelle in ihrem ursprünglichen Standardzustand zu belassen. Ordnen Sie dann jedes neue Subnetz, das Sie erstellen, explizit einer der von Ihnen erstellten benutzerdefinierten Routing-Tabellen zu. So wird sichergestellt, dass Sie die Weiterleitung des Datenverkehrs der einzelnen Subnetze explizit steuern können.

Sie können Routen in der benutzerdefinierten Routing-Tabelle hinzufügen, ändern oder daraus entfernen. Sie können eine benutzerdefinierte Routing-Tabelle nur löschen, wenn sie keine Zuordnungen hat.

Zuordnung der Subnetz-Routing-Tabelle

Jedes Subnetz in Ihrer VPC muss mit einer Routing-Tabelle verknüpft sein. Ein Subnetz kann explizit mit einer benutzerdefinierten Routing-Tabelle oder implizit oder explizit mit der Haupt-Routing-Tabelle verknüpft werden. Weitere Hinweise zum Anzeigen der Subnetz- und Routing-Tabellenzuordnungen finden Sie unter Bestimmen der expliziten Zuordnungen.

Subnetze, die sich in VPCs befinden, die mit Outposts verknüpft sind, können einen zusätzlichen Zieltyp eines lokalen Gateways haben. Dies ist der einzige Routing-Unterschied zu Nicht-Outposts-Subnetzen.

Beispiel 1: Implizite und explizite Subnetzzuordnung

Die folgende Abbildung zeigt das Routing für eine VPC mit einem Internet-Gateway und einem Virtual Private Gateway sowie einem öffentlichen Subnetz und einem reinen VPN-Subnetz.

Diagramm des privaten Subnetzes, das der Haupt-Routing-Tabelle zugeordnet ist, und des öffentlichen Subnetzes mit benutzerdefinierter Routing-Tabelle

Routing-Tabelle A ist eine benutzerdefinierte Routing-Tabelle, die dem öffentlichen Subnetz explizit zugeordnet ist. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das Internet-Gateway sendet, was das Subnetz zu einem öffentlichen Subnetz macht.

Bestimmungsort	Ziel
`VPC-CIDR`	Local
0.0.0.0/0	`igw-id`

Routing-Tabelle B ist die Haupt-Routing-Tabelle. Es besteht implizit eine Zuordnung zum dem privaten Subnetz. Darin enthalten ist eine Route, die den gesamten Datenverkehr an das virtuelle private Gateway sendet, aber keine Route zum Internet-Gateway, was das Subnetz zu einem reinen VPN-Subnetz macht. Wenn Sie in dieser VPC ein weiteres Subnetz erstellen und keine benutzerdefinierte Routing-Tabelle zuordnen, wird das Subnetz auch implizit dieser Routing-Tabelle zugeordnet, da es sich um die Haupt-Routing-Tabelle handelt.

Bestimmungsort	Ziel
`VPC-CIDR`	Local
0.0.0.0/0	`vgw-id`

Beispiel 2: Ersetzen der Haupt-Routing-Tabelle

Möglicherweise möchten Sie Änderungen an der Haupt-Routing-Tabelle vornehmen. Um Störungen des Datenverkehrs zu vermeiden, empfehlen wir, zuerst die Routenänderungen mithilfe einer benutzerdefinierten Routing-Tabelle zu testen. Wenn Sie mit dem Ergebnis des Tests zufrieden sind, können Sie die Haupt-Routing-Tabelle durch die neue benutzerdefinierte Tabelle ersetzen.

Das folgende Diagramm zeigt zwei Subnetze und zwei Routing-Tabellen. Subnetz A ist implizit der Routing-Tabelle A, der Haupt-Routing-Tabelle, zugeordnet. Subnetz B ist implizit der Routing-Tabelle A zugeordnet. Die Routing-Tabelle B, eine benutzerdefinierte Routing-Tabelle, ist keinem der Subnetze zugeordnet.

Zwei Subnetze mit impliziten Zuordnungen zur Routing-Tabelle A, der Haupt-Routing-Tabelle.

Um die Haupt-Routing-Tabelle zu ersetzen, erstellen Sie zunächst eine explizite Zuordnung zwischen Subnetz B und Routing-Tabelle B. Testen Sie die Routing-Tabelle B.

Subnetz B ist jetzt explizit der Routing-Tabelle B zugeordnet, einer benutzerdefinierten Routing-Tabelle.

Nachdem Sie die Routing-Tabelle B getestet haben, machen Sie sie zur Haupt-Routing-Tabelle. Subnetz B hat immer noch eine explizite Zuordnung zur Routing-Tabelle B. Subnetz A hat jedoch jetzt eine implizite Zuordnung zur Routing-Tabelle B, da die Routing-Tabelle B die neue Haupt-Routing-Tabelle ist. Die Routing-Tabelle A ist keinem der Subnetze mehr zugeordnet.

Diagramm des Subnetzes A, das der Haupt-Routing-Tabelle B zugeordnet ist, und des Subnetzes B, das der Routing-Tabelle B zugeordnet ist

(Optional) Wenn Sie das Subnetz B von der Routing-Tabelle B trennen, besteht weiterhin eine implizite Verbindung zwischen Subnetz B und Routing-Tabelle B. Wenn Sie die Routing-Tabelle A nicht mehr benötigen, können Sie sie löschen.

Beide Subnetze sind implizit der Routing-Tabelle B zugeordnet.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Routing-Tabellen-Konzepte

Gateway-Routing-Tabellen