View a markdown version of this page

Exemples d'options de routage - Amazon Virtual Private Cloud
Routage vers une passerelle InternetRoutage vers un périphérique NATRoutage vers une passerelle réseau privé virtuelRoutage vers une passerelle AWS Outposts localeRoutage vers une connexion d'appairage de VPCRoutage vers un point de terminaison d'un VPC de passerelleRoutage vers une passerelle Internet de sortie uniquementRoutage pour une passerelle de transitRoutage pour un dispositif middleboxRoutage à l'aide d'une liste de préfixesRoutage vers un point de terminaison d'équilibreur de charge de passerelle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples d'options de routage

Les rubriques ci-après décrivent le routage pour des passerelles ou des connexions spécifiques au sein de votre VPC.

Routage vers une passerelle Internet

Vous pouvez faire d'un sous-réseau un sous-réseau public en ajoutant une route dans votre table de routage de sous-réseau vers une passerelle Internet. Pour ce faire, créez et attachez une passerelle Internet à votre VPC, puis ajoutez une route avec comme destination l'adresse 0.0.0.0/0 pour le trafic IPv4 ou l'adresse ::/0 pour le trafic IPv6, et comme cible l'ID de la passerelle Internet (igw-xxxxxxxxxxxxxxxxx).

Destination Cible
0,0.0. 0/0 igw-id
::/0 igw-id

Pour de plus amples informations, veuillez consulter Activation de l’accès à Internet pour un VPC à l’aide d’une passerelle Internet.

Routage vers un périphérique NAT

Pour permettre aux instances d'un sous-réseau privé de se connecter à Internet, vous pouvez créer une passerelle NAT ou lancer une instance NAT dans un sous-réseau public. Ensuite, ajoutez une route pour la table de routage du sous-réseau privé afin de router le trafic Internet IPv4 (0.0.0.0/0) vers le périphérique NAT.

Destination Cible
0,0.0. 0/0 nat-gateway-id

Vous pouvez également créer des routes plus spécifiques vers d'autres cibles pour éviter des frais inutiles de traitement de données liés à l'utilisation d'une passerelle NAT ou pour router un certain trafic de manière privée. Dans l'exemple suivant, le trafic Amazon S3 (pl-xxxxxxxx, une liste de préfixes contenant les plages d'adresses IP d'Amazon S3 dans une région spécifique) est acheminé vers un point de terminaison VPC de passerelle, et vers la version 10.25.0. 0/16 le trafic est acheminé vers une connexion d'appairage VPC. Ces plages d'adresses IP sont plus spécifiques que la plage 0.0.0. 0/0. Lorsque des instances envoient du trafic vers Amazon S3 ou le VPC d'appairage, le trafic est envoyé vers le point de terminaison VPC de passerelle ou la connexion d'appairage de VPC. Tout autre trafic est envoyé à la passerelle NAT.

Destination Cible
0,0.0. 0/0 nat-gateway-id
pl- xxxxxxxx vpce-id
10,25,0. 0/16 pcx-id

Pour de plus amples informations, veuillez consulter Périphériques NAT.

Routage vers une passerelle réseau privé virtuel

Vous pouvez utiliser une AWS Site-to-Site VPN connexion pour permettre aux instances de votre VPC de communiquer avec votre propre réseau. Pour ce faire, créez et attachez une passerelle réseau privé virtuel à votre VPC. Ensuite, ajoutez une route dans votre table de routage de sous-réseau avec la destination de votre réseau et une cible correspondant à la passerelle réseau privé virtuel (vgw-xxxxxxxxxxxxxxxxx).

Destination Cible
10,0.0. 0/16 vgw-id

Vous pouvez ensuite créer et configurer votre connexion Site-to-Site VPN. Pour plus d’informations, consultez Qu'est-ce qu' AWS Site-to-Site VPN ? et Tables de routage et priorité de route VPN dans le Guide de l'utilisateur AWS Site-to-Site VPN .

Une connexion Site-to-Site VPN sur une passerelle privée virtuelle ne prend pas en charge le trafic IPv6. Toutefois, nous prenons en charge le trafic IPv6 acheminé via une passerelle réseau privé virtuel vers une connexion Direct Connect . Pour plus d’informations, consultez le Guide de l’utilisateur Direct Connect.

Routage vers une passerelle AWS Outposts locale

Cette section décrit les configurations des tables de routage pour le routage vers une passerelle AWS Outposts locale.

Activer le trafic entre les sous-réseaux de l'Outpost et votre réseau sur site

Les sous-réseaux situés dans des VPC associés à AWS Outposts peuvent avoir un type de cible supplémentaire, à savoir une passerelle locale. Imaginons le cas où vous souhaitez que la passerelle locale achemine le trafic avec une adresse de destination 192.168.10. 0/24 au réseau client. Pour ce faire, ajoutez la route suivante avec le réseau de destination et une cible de la passerelle locale (lgw-xxxx).

Destination Cible
192,168.10. 0/24 lgw-id

Permettre le trafic entre les sous-réseaux du même VPC à travers les Outposts

Vous pouvez établir une communication entre des sous-réseaux qui sont dans le même VPC à travers différents Outposts en utilisant les passerelles locales Outpost et votre réseau sur site.

Vous pouvez utiliser cette fonctionnalité pour créer des architectures similaires aux architectures de zones de disponibilité (AZ) multiples pour vos applications sur site exécutées sur des racks d'Outposts en établissant une connectivité entre les racks d'Outposts qui sont ancrés à différentes AZ.

Trafic entre les sous-réseaux du même VPC à travers les Outposts à l'aide de passerelles locales

Pour activer cette fonctionnalité, ajoutez un routage à la table de routage du sous-réseau de votre rack Outpost qui soit plus spécifique que le routage local dans cette table de routage et qui ait un type de cible de passerelle locale. La destination du routage doit correspondre à l'intégralité du bloc IPv4 du sous-réseau de votre VPC qui se trouve dans un autre Outpost. Répétez cette configuration pour tous les sous-réseaux de l'Outpost qui doivent communiquer.

Important

  • Pour utiliser cette fonctionnalité, vous devez utiliser le routage direct VPC. Vous ne pouvez pas utiliser vos propres adresses IP appartenant au client.

  • Votre réseau sur site auquel les passerelles locales des Outposts sont connectées doit disposer du routage nécessaire pour que les sous-réseaux puissent accéder l'un à l'autre.

  • Si vous voulez utiliser des groupes de sécurité pour les ressources des sous-réseaux, vous devez utiliser des règles qui incluent des plages d'adresses IP comme source ou destination dans les sous-réseaux des Outposts. Vous ne pouvez pas utiliser d'ID de groupe de sécurité.

  • Les racks Outposts existants peuvent nécessiter une mise à jour pour permettre la prise en charge de la communication intra-VPC entre plusieurs Outposts. Si cette fonctionnalité ne vous convient pas, contactez AWS Support.

Exemple Exemple

Pour un VPC avec un CIDR de 10.0.0. 0/16, un sous-réseau Outpost 1 avec un CIDR de 10.0.1. 0/24, et un sous-réseau Outpost 2 avec un CIDR de 10.0.2. 0/24, l'entrée de la table de routage du sous-réseau Outpost 1 serait la suivante :

Destination Cible
10,0.0. 0/16 Local
10.0.2. 0/24 lgw-1-id

L'entrée de la table de routage du sous-réseau Outpost 2 serait la suivante :

Destination Cible
10,0.0. 0/16 Local
10.0.1. 0/24 lgw-2-id

Routage vers une connexion d'appairage de VPC

Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet d'acheminer le trafic entre ces derniers à l'aide d'adresses IPv4 privées. Les instances des deux VPC peuvent communiquer entre elles comme si elles faisaient partie du même réseau.

Pour activer le routage du trafic entre des VPC dans une connexion d'appairage de VPC, vous devez ajouter une route dans une ou plusieurs tables de routage de sous-réseau qui pointe vers la connexion d'appairage de VPC. Cela vous permet d'accéder à tout ou partie du bloc d'adresse CIDR de l'autre VPC dans la connexion d'appairage. De même, le propriétaire de l'autre VPC doit ajouter une route dans sa table de routage de sous-réseau afin de router le trafic en retour vers votre VPC.

Par exemple, vous disposez d'une connexion d'appairage VPC (pcx-11223344556677889) entre deux VPC, avec les informations suivantes :

  • VPC A : le bloc CIDR est 10.0.0. 0/16

  • VPC B : le bloc CIDR est 172.31.0. 0/16

Pour permettre le trafic entre les VPC et autoriser l'accès à l'intégralité du bloc d'adresse CIDR IPv4 de chaque VPC, la table de routage VPC A est configurée comme suit.

Destination Cible
10,0.0. 0/16 Local
172,31,0. 0/16 pcx-11223344556677889

La table de routage VPC B est configurée comme suit.

Destination Cible
172,31,0. 0/16 Local
10,0.0. 0/16 pcx-11223344556677889

Votre connexion d'appairage de VPC peut également prendre en charge la communication IPv6 entre les instances dans les VPC, si les VPC et les instances sont activés pour la communication IPv6. Pour activer le routage du trafic IPv6 entre les VPC, vous devez ajouter une route vers votre table de routage qui pointe vers la connexion d'appairage de VPC pour accéder à tout ou partie du bloc d'adresse CIDR IPv6 du VPC pair.

Par exemple, à l'aide de la même connexion d'appairage de VPC (pcx-11223344556677889) ci-dessus, supposez que les VPC disposent des informations suivantes :

  • VPC A : le bloc d'adresse CIDR IPv6 est 2001:db8:1234:1a00::/56

  • VPC B : le bloc d'adresse CIDR IPv6 est 2001:db8:5678:2b00::/56

Pour activer la communication IPv6 via la connexion d'appairage de VPC, ajoutez la route suivante dans la table de routage de sous-réseau pour VPC A.

Destination Cible
10,0.0. 0/16 Local
172,31,0. 0/16 pcx-11223344556677889
2001:db8:5678:2b00::/56 pcx-11223344556677889

Ajoutez la route suivante dans la table de routage pour VPC B.

Destination Cible
172,31,0. 0/16 Local
10,0.0. 0/16 pcx-11223344556677889
2001:db8:1234:1a00::/56 pcx-11223344556677889

Pour de plus amples informations sur les connexions d'appairage de VPC, veuillez consulter le Guide de l’appairage Amazon VPC.

Routage vers un point de terminaison d'un VPC de passerelle

Un point de terminaison VPC de passerelle vous permet de créer une connexion privée entre votre VPC et un autre service. AWS Lorsque vous créez un point de terminaison de passerelle, vous spécifiez les tables de routage de sous-réseau dans votre VPC qui sont utilisées par le point de terminaison de passerelle. Une route est automatiquement ajoutée pour chacune des tables de routage avec une destination qui spécifie l'ID de liste des préfixes du service (pl-xxxxxxxx) et une cible avec l'ID point de terminaison (vpce-xxxxxxxxxxxxxxxxx). Vous ne pouvez pas supprimer ou modifier explicitement la route du point de terminaison, mais vous pouvez modifier les tables de routage qui sont utilisées par le point de terminaison.

Pour plus d'informations sur le routage pour les points de terminaison et les implications pour les routes vers les services AWS , veuillez consulter Routage des points de terminaison de passerelle.

Routage vers une passerelle Internet de sortie uniquement

Vous pouvez créer une passerelle Internet de sortie uniquement pour votre VPC afin de permettre aux instances figurant dans un sous-réseau privé d'initier une communication sortante vers Internet, mais d'empêcher Internet d'établir des connexions avec les instances. Une passerelle Internet de sortie uniquement est utilisée pour le trafic IPv6 uniquement. Pour configurer le routage pour une passerelle Internet de sortie uniquement, ajoutez une route dans la table de routage du sous-réseau privé afin de router le trafic Internet IPv6 (::/0) vers la passerelle Internet de sortie uniquement.

Destination Target
::/0 eigw-id

Pour de plus amples informations, veuillez consulter Activez le IPv6 trafic sortant à l'aide d'une passerelle Internet de sortie uniquement.

Routage pour une passerelle de transit

Lorsque vous associez un VPC à une passerelle de transit, vous devez ajouter une route à votre table de routage de sous-réseau pour que le trafic passe par la passerelle de transit.

Examinez le scénario suivant où nous disposons de trois VPC associés à une passerelle de transit. Dans ce scénario, tous les attachements sont associés à la table de routage de la passerelle de transit et propage vers elle. Par conséquent, tous les attachements peuvent s'acheminer des paquets respectivement, la passerelle de transit servant de simple hub d'IP de couche 3.

Par exemple, vous disposez de deux VPC avec les informations suivantes :

  • VPC A : 10.1.0. 0/16, ID de la pièce jointe tgw-attach-111111111111111

  • VPC B : 10.2.0. 0/16, ID de la pièce jointe tgw-attach-222222222222222

Pour permettre le trafic entre les VPC et autoriser l'accès à la passerelle de transit, la table de routage VPC A est configurée comme suit.

Destination Cible
10.1.0. 0/16 local
10,0.0. 0/8 tgw-id

Voici un exemple des entrées de table de routage de la passerelle de transit pour les attachements de VPC.

Destination Cible
10.1.0. 0/16 tgw-attach-11111111111111111
10.2.0. 0/16 tgw-attach-22222222222222222

Pour de plus amples informations sur les tables de routage de passerelle de transit, veuillez consulter Routage dans Passerelle de transit Amazon VPC

Routage pour un dispositif middlebox

Vous pouvez ajouter des dispositifs middlebox dans les chemins de routage de votre VPC. Voici des cas d'utilisation possibles :

  • Interception du trafic qui entre dans votre VPC via une passerelle Internet ou une passerelle réseau privé virtuel en le dirigeant vers un dispositif middlebox dans votre VPC. Vous pouvez utiliser l'assistant de routage du boîtier intermédiaire pour configurer AWS automatiquement les tables de routage appropriées pour votre passerelle, votre boîtier intermédiaire et votre sous-réseau de destination. Pour de plus amples informations, veuillez consulter Assistant de routage middlebox.

  • Direction du trafic entre deux sous-réseaux vers un dispositif middlebox. Pour ce faire, vous pouvez créer un acheminement pour une table de routage de sous-réseau qui correspond au CIDR de sous-réseau de l'autre sous-réseau et spécifie un point de terminaison Gateway Load Balancer, une passerelle NAT, un point de terminaison Network Firewall ou l'interface réseau d'un dispositif en tant que cible. Sinon, pour rediriger l'ensemble du trafic du sous-réseau vers un autre sous-réseau, remplacez la cible de l'acheminement local par un point de terminaison Gateway Load Balancer, une passerelle NAT ou une interface réseau.

Vous pouvez configurer le dispositif en fonction de vos besoins. Par exemple, vous pouvez configurer un dispositif de sécurité pour filtrer tout le trafic, ou un dispositif d'accélération WAN. Le dispositif est déployé en tant qu'instance Amazon EC2 dans un sous-réseau de votre VPC et est représenté par une interface réseau Elastic (interface réseau) dans votre sous-réseau.

Si vous activez la propagation du routage pour la table de routage du sous-réseau de destination, vous devez tenir compte de la priorité de routage. Nous donnons la priorité à l'acheminement le plus spécifique, et, en cas de correspondance des acheminements, nous donnons la priorité aux acheminements statiques plutôt qu'aux acheminements propagés. Vérifiez vos itinéraires pour vous assurer que le trafic est correctement acheminé et qu'il n'y a aucune conséquence imprévue si vous activez ou désactivez la propagation des itinéraires (par exemple, la propagation des itinéraires est requise pour une Direct Connect connexion qui prend en charge les trames jumbo).

Pour router le trafic VPC entrant vers une appliance, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre appliance comme cible pour le trafic VPC. Pour de plus amples informations, veuillez consulter Tables de routage de passerelle. Vous pouvez également acheminer le trafic sortant de votre sous-réseau vers un dispositif middlebox figurant dans un autre sous-réseau.

Pour obtenir des exemples de routage middlebox, consultez Scénarios middlebox.

Considérations relatives aux dispositifs

Vous pouvez choisir un dispositif tiers provenant de AWS Marketplace ou configurer votre propre dispositif. Lorsque vous créez ou configurez un dispositif, prenez en compte les éléments suivants :

  • Le dispositif doit être configuré dans un sous-réseau distinct du trafic source ou de destination.

  • Vous devez désactiver le source/destination contrôle de l'appliance. Pour plus d’informations, consultez Changement de la vérification de source ou de destination dans le Guide utilisateur Amazon EC2.

  • Vous ne pouvez pas acheminer le trafic entre les hôtes du même sous-réseau via un dispositif.

  • Le dispositif n'est pas tenu d'effectuer la traduction d'adresses réseau (NAT).

  • Vous pouvez ajouter à vos tables de routage un acheminement plus spécifique que l'acheminement local. Vous pouvez utiliser des itinéraires plus spécifiques pour rediriger le trafic entre les sous-réseaux d'un VPC East-West (trafic) vers une appliance middlebox. La destination de l'acheminement doit correspondre au bloc d'adresse CIDR IPv4 ou IPv6 complet d'un sous-réseau de votre VPC.

  • Pour intercepter le trafic IPv6, vérifiez que votre VPC, votre sous-réseau et le dispositif prennent en charge IPv6.

  • Important

    N'acheminez pas le trafic provenant de services AWS gérés, tels qu'une passerelle de transit, une passerelle NAT ou un Network Load Balancer, via une appliance middlebox vers le sous-réseau auquel ce service est attaché. Cette configuration entraîne un comportement de routage imprévisible et n'est pas prise en charge.

Acheminement du trafic entre une passerelle et un dispositif

Pour acheminer le trafic VPC entrant vers un dispositif, vous associez une table de routage à la passerelle Internet ou à la passerelle réseau privé virtuel, et vous spécifiez l'interface réseau de votre dispositif comme cible pour le trafic VPC. Dans l'exemple suivant, le VPC dispose d'une passerelle Internet, d'un dispositif et d'un sous-réseau avec des instances. Le trafic en provenance d'Internet est acheminé via un dispositif.

Acheminement du trafic entrant via un dispositif

Associez cette table de routage à votre passerelle Internet ou passerelle réseau privé virtuel. La première entrée est l'acheminement local. La deuxième entrée envoie le trafic IPv4 destiné au sous-réseau vers l'interface réseau du dispositif. Cet acheminement est plus spécifique que l'acheminement local.

Destination Target
VPC CIDR Local
Subnet CIDR Appliance network interface ID

Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau du dispositif. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers le dispositif, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.

Destination Cible
VPC CIDR Appliance network interface ID

Pour acheminer le trafic de votre sous-réseau vers un dispositif figurant dans un autre sous-réseau, ajoutez un acheminement dans votre table de routage de sous-réseau, afin d'acheminer le trafic vers l'interface réseau du dispositif. La destination doit être moins spécifique que la destination de la route locale. Par exemple, pour du trafic destiné à Internet, spécifiez 0.0.0.0/0 (toutes les adresses IPv4) comme destination.

Destination Target
VPC CIDR Local
0,0.0. 0/0 Appliance network interface ID

Ensuite, dans la table de routage associée au sous-réseau du dispositif, ajoutez un acheminement qui renvoie le trafic à la passerelle Internet ou à la passerelle réseau privé virtuel.

Destination Target
VPC CIDR Local
0,0.0. 0/0 igw-id

Acheminement du trafic inter-sous-réseaux vers un dispositif

Vous pouvez acheminer le trafic destiné à un sous-réseau spécifique vers l'interface réseau d'un dispositif. Dans l'exemple suivant, le VPC contient deux sous-réseaux et un dispositif. Le trafic entre les sous-réseaux est acheminé via un dispositif.

Acheminement du trafic entre sous-réseaux via un dispositif.
Groupes de sécurité

Lorsque vous acheminez le trafic entre les instances de différents sous-réseaux via un dispositif middlebox, les groupes de sécurité des deux instances doivent autoriser le trafic à transiter entre les instances. Le groupe de sécurité de chaque instance doit référencer l'adresse IP privée de l'autre instance ou la plage d'adresses CIDR du sous-réseau qui contient l'autre instance en tant que source. Si vous référencez le groupe de sécurité de l’autre instance en tant que source, cela n’autorise pas le trafic à transiter entre les instances.

Routage

Voici un exemple de table de routage pour le sous-réseau A. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau A au sous-réseau B vers l'interface réseau du dispositif.

Destination Target
VPC CIDR Local
Subnet B CIDR Appliance network interface ID

Voici un exemple de table de routage pour le sous-réseau B. La première entrée autorise les instances du VPC à communiquer entre elles. La deuxième entrée achemine l'ensemble du trafic du sous-réseau B au sous-réseau A vers l'interface réseau du dispositif.

Destination Target
VPC CIDR Local
Subnet A CIDR Appliance network interface ID

Vous pouvez également remplacer la cible de l'acheminement local par l'interface réseau du dispositif. Vous pouvez procéder ainsi pour faire en sorte que l'ensemble du trafic soit acheminé automatiquement vers le dispositif, y compris le trafic destiné aux sous-réseaux que vous ajouterez dans l'avenir au VPC.

Destination Cible
VPC CIDR Appliance network interface ID

Routage à l'aide d'une liste de préfixes

Si vous référencez fréquemment le même ensemble de blocs CIDR dans toutes vos AWS ressources, vous pouvez créer une liste de préfixes gérée par le client pour les regrouper. Vous pouvez ensuite spécifier la liste de préfixes comme destination dans votre entrée de table de routage. Vous pouvez ajouter ou supprimer ultérieurement des entrées pour la liste de préfixes sans avoir à mettre à jour vos tables de routage.

Par exemple, vous disposez d'une passerelle de transit avec plusieurs pièces jointes VPC. Les VPC doivent pouvoir communiquer avec deux pièces jointes VPC spécifiques qui ont les blocs CIDR suivants :

  • 10,0.0. 0/16

  • 10.2.0. 0/16

Vous créez une liste de préfixes avec les deux entrées. Dans vos tables de routage de sous-réseau, vous créez un itinéraire et spécifiez la liste de préfixes comme destination, et la passerelle de transit comme cible.

Destination Cible
172,31,0. 0/16 Local
pl-123abc123abc123ab tgw-id

Le nombre maximal d'entrées pour les listes de préfixes est égal au même nombre d'entrées dans la table de routage.

Routage vers un point de terminaison d'équilibreur de charge de passerelle

Un équilibreur de charge de passerelle vous permet de distribuer le trafic vers un parc de dispositifs virtuels, tels que des pare-feu. Vous pouvez créer un équilibreur de charge Gateway Load Balancer (GWLB), configurer un service de point de terminaison GWLB, puis créer un point de terminaison GWLB dans votre VPC pour connecter celui-ci au service.

Pour acheminer votre trafic vers l'équilibreur de charge de passerelle (par exemple, pour une inspection de sécurité), spécifiez le point de terminaison de l'équilibreur de charge de passerelle comme cible dans vos tables de routage.

Pour obtenir un exemple de dispositifs de sécurité derrière un Gateway Load Balancer, consultez Configurer le routage et l’inspection du trafic middlebox dans un VPC.

Pour spécifier le point de terminaison de l'équilibreur de charge de passerelle dans la table de routage, utilisez l'ID du point de terminaison d'un VPC. Par exemple, pour acheminer le trafic pour la version 10.0.1. 0/24 à un point de terminaison Gateway Load Balancer, ajoutez l'itinéraire suivant.

Destination Cible
10.0.1. 0/24 vpc-endpoint-id

Lorsque votre cible est un point de terminaison GWLB, vous ne pouvez pas spécifier de liste de préfixes comme destination. Si vous tentez de créer ou de remplacer une route de liste de préfixes ciblant un point de terminaison de VPC, vous recevrez le message d’erreur « Cannot create or replace a prefix list route targeting a VPC Endpoint ».

Pour plus d'informations, consultez Gateway Load Balancers.