Route Tabella di routing principale Tabelle di routing personalizzate Associazione di tabelle di routing della sottorete

Tabelle di routing di sottoreti

Il VPC dispone di un router implicito e puoi utilizzare le tabelle di routing per controllare la direzione del traffico di rete. Ogni sottorete nel VPC deve essere associata a una tabella di instradamento, che controlla il routing per la sottorete (tabella di instradamento della sottorete). Puoi associare esplicitamente una sottorete a una particolare tabella di instradamento. In caso contrario, la sottorete è implicitamente associata alla tabella di instradamento principale. Una sottorete può essere associata a una sola tabella di instradamento alla volta, ma puoi associare più sottoreti alla stessa tabella di instradamento.

Indice

Route
Tabella di routing principale
Tabelle di routing personalizzate
Associazione di tabelle di routing della sottorete

Route

Ogni route in una tabella specifica una destinazione e un target. Ad esempio, per consentire alla sottorete di accedere a Internet tramite un Internet gateway, aggiungi la seguente route alla tabella di instradamento della sottorete. La destinazione per la route è 0.0.0.0/0, che rappresenta tutti gli indirizzi IPv4. Il target è l’Internet gateway collegato al VPC.

Destinazione	Target
0.0.0.0/0	`igw-id`

I blocchi CIDR per IPv4 e IPv6 sono trattati separatamente. Ad esempio, una route con un CIDR di destinazione 0.0.0.0/0 non include automaticamente tutti gli indirizzi IPv6. Devi creare una route con un CIDR di destinazione ::/0 per tutti gli indirizzi IPv6.

Se si fa spesso riferimento allo stesso set di blocchi CIDR tra le risorse AWS, puoi creare un elenco di prefissi gestiti dal cliente per raggrupparli insieme. È quindi possibile specificare l’elenco di prefissi come destinazione nella voce della tabella di instradamento.

Ogni tabella di instradamento contiene una route locale per la comunicazione all’interno del VPC. Questa route viene aggiunta per impostazione predefinita a tutte le tabelle di routing. Se il VPC include più blocchi CIDR IPv4, le tabelle di routing contengono una route locale per ogni blocco CIDR IPv4. Se al VPC hai associato un blocco CIDR IPv6, le tabelle di routing contengono una route locale per il blocco CIDR IPv6. Puoi sostituire o ripristinare la destinazione di ciascuna route locale in base alle esigenze.

Regole e considerazioni

È possibile aggiungere alle tabelle di routing una route che sia più specifica della route locale. La destinazione deve corrispondere all’intero blocco CIDR IPv4 o IPv6 di una sottorete nel VPC. La destinazione deve essere un gateway NAT, un’interfaccia di rete o un endpoint Gateway Load Balancer.
Se la tabella di instradamento ha più route, utilizziamo quella più specifica corrispondente al traffico (corrispondenza di prefisso più lunga) per determinare come instradare il traffico.
Non è possibile aggiungere percorsi agli indirizzi IPv4 che corrispondono esattamente o un sottoinsieme del seguente intervallo: 169.254.168.0/22. Questo intervallo si trova nello spazio degli indirizzi link-local ed è riservato per l’utilizzo da parte dei servizi AWS. Ad esempio, Amazon EC2 utilizza gli indirizzi in questo intervallo per i servizi accessibili solo dalle istanze EC2, come Instance Metadata Service (IMDS) e il server Amazon DNS. È possibile utilizzare un blocco CIDR più grande ma che si sovrappone a 169.254.168.0/22, ma i pacchetti destinati agli indirizzi in 169.254.168.0/22 non verranno inoltrati.
Non è possibile aggiungere percorsi agli indirizzi IPv6 che sono un’esatta corrispondenza o un sottoinsieme del seguente intervallo: fd00:ec2::/32. Questo intervallo si trova nello spazio degli indirizzi locale univoco (ULA) ed è riservato per l’utilizzo da parte dei servizi AWS. Ad esempio, Amazon EC2 utilizza gli indirizzi in questo intervallo per i servizi accessibili solo dalle istanze EC2, come Instance Metadata Service (IMDS) e il server Amazon DNS. È possibile utilizzare un blocco CIDR più grande di fd00:ec2::/32, ma i pacchetti destinati agli indirizzi in fd00:ec2::/32 non verranno inoltrati.
È possibile aggiungere appliance middlebox nei percorsi di routing per il VPC. Per ulteriori informazioni, consulta Routing per un’appliance middlebox.

Esempio

Nel seguente diagramma, un VPC dispone sia di un blocco CIDR IPv4 che di un blocco CIDR IPv6. Il traffico IPv4 e IPv6 viene trattato separatamente, come illustrato nella seguente tabella di routing.

Destinazione	Target
10.0.0.0/16	Local
2001:db8:1234:1a00::/56	Local
172.31.0.0/16	pcx-11223344556677889
0.0.0.0/0	igw-12345678901234567
::/0	eigw-aabbccddee1122334

Il traffico IPv4 da instradare all’interno del VPC (10.0.0.0/16) è coperto dal percorso Local.
Il traffico IPv6 da instradare all’interno del VPC (2001:db8:1234:1a00::/56) è coperto dal percorso Local.
Il percorso per 172.31.0.0/16 invia il traffico a una connessione peering.
Il percorso per tutto il traffico IPv4 (0.0.0.0/0) invia il traffico a un gateway Internet. Pertanto, tutto il traffico IPv4, ad eccezione del traffico all’interno del VPC e verso la connessione peering, viene indirizzato al gateway Internet.
Il percorso per tutto il traffico IPv6 (::/0) invia il traffico a un gateway Internet di sola uscita. Pertanto, tutto il traffico IPv6, ad eccezione del traffico all’interno del VPC, viene indirizzato al gateway Internet di sola uscita.

Tabella di routing principale

Quando crei un VPC, questo include automaticamente una tabella di instradamento principale. Se una sottorete non è esplicitamente associata a una tabella di routing, per impostazione predefinita utilizza la tabella di routing principale. Nella pagina Tabelle di instradamento della console Amazon VPC, puoi visualizzare la tabella di instradamento principale di un VPC cercando Sì nella colonna Principale.

Per impostazione predefinita, quando crei un VPC non predefinito, la tabella di instradamento principale contiene solo una route locale. Se Crea un VPC e scegli un gateway NAT , Amazon VPC aggiunge automaticamente le route alla tabella di instradamento principale per i gateway.

Le seguenti regole si applicano alla tabella di instradamento principale:

Puoi aggiungere, rimuovere E modificare le route nella tabella di instradamento principale.
Non puoi eliminare la tabella di instradamento principale.
Non è possibile impostare una tabella di routing del gateway come tabella di routing principale.
È possibile sostituire la tabella di routing principale associando una tabella di routing personalizzata a una sottorete.
Puoi associare in modo esplicito una sottorete alla tabella di instradamento principale, anche se è già implicitamente associata.

Questa operazione può essere utile quando cambi la tabella di instradamento principale. In questo caso, viene modificata anche la tabella predefinita per le nuove sottoreti o per qualsiasi sottorete non esplicitamente associata ad altre tabelle di routing. Per ulteriori informazioni, consulta Sostituzione della tabella di instradamento principale.

Tabelle di routing personalizzate

Per impostazione predefinita, una tabella di routing contiene un percorso locale per la comunicazione all’interno del VPC. Se Crea un VPC e scegli una sottorete pubblica, Amazon VPC crea una tabella di instradamento personalizzata e aggiunta una route che punta al gateway Internet. Un modo per proteggere il VPC è lasciare la tabella di instradamento principale nel suo stato predefinito originale. Quindi, associare esplicitamente tutte le nuove sottoreti a una delle tabelle di routing personalizzate che hai creato. Ciò consente di controllare esplicitamente il modo in cui ogni sottorete instrada il traffico.

Puoi aggiungere, rimuovere e modificare le route in una tabella di instradamento personalizzata. Puoi eliminare una tabella di instradamento personalizzata solo se non ha associazioni.

Associazione di tabelle di routing della sottorete

Ogni sottorete nel VPC deve essere associata a una tabella di instradamento. Una sottorete può essere associata esplicitamente alla tabella di instradamento personalizzata oppure, implicitamente o esplicitamente, alla tabella di instradamento principale. Per maggiori informazioni sulla visualizzazione delle associazioni della sottorete e della tabella di instradamento, consulta Determina le associazioni esplicite.

Le sottoreti che si trovano in VPC associati a Outposts possono avere un tipo di target aggiuntivo per un gateway locale. Questa è l’unica differenza di routing rispetto alle sottoreti non Outposts.

Esempio 1: Associazione di sottoreti implicita ed esplicita

Il diagramma seguente mostra il routing per un VPC con un Internet gateway, un gateway virtuale privato, una sottorete pubblica e una sottorete solo VPN.

Diagramma della sottorete privata associata alla tabella di routing principale e alla sottorete pubblica con tabella di routing personalizzata

Una tabella di instradamento A è una tabella di instradamento personalizzata associata esplicitamente alla sottorete pubblica. Ha un percorso che invia tutto il traffico al gateway Internet, che è ciò che rende la sottorete una sottorete pubblica.

Destinazione	Target
`CIDR VPC`	Locale
0.0.0.0/0	`igw-id`

La tabella di instradamento B è la tabella di instradamento principale. È associato implicitamente alla sottorete privata. Ha un percorso che invia tutto il traffico al gateway privato virtuale ma nessun percorso verso il gateway Internet, che è ciò che rende la sottorete una sottorete solo VPN. Se crei un’altra sottorete in questo VPC e non associ una tabella di routing personalizzata, anche la sottorete verrà associata implicitamente a questa tabella di routing perché è la tabella di routing principale.

Destinazione	Target
`CIDR VPC`	Locale
0.0.0.0/0	`vgw-id`

Esempio 2: Sostituzione della tabella di instradamento principale

Se vuoi apportare modifiche alla tabella di instradamento principale ed evitare qualsiasi interruzione del traffico, è consigliabile testare prima le modifiche della route utilizzando una tabella di instradamento personalizzata. Quando sei soddisfatto del risultato del test, puoi sostituire la tabella di instradamento principale con la nuova tabella personalizzata.

Il diagramma seguente mostra due sottoreti e due tabelle di routing. La sottorete A è associata implicitamente alla tabella di routing A, la tabella di routing principale. La sottorete B è associata implicitamente alla tabella di routing A. La tabella di routing B, una tabella di routing personalizzata, non è associata ad alcuna sottorete.

Due sottoreti con associazioni implicite alla tabella di routing A, la tabella di routing principale.

Per sostituire la tabella di routing principale, inizia creando un’associazione esplicita tra la sottorete B e la tabella di routing B. Verifica la tabella di routing B.

La sottorete B è ora associata esplicitamente alla tabella di routing B, una tabella di routing personalizzata.

Dopo aver testato la tabella di routing B, puoi definirla come la tabella di routing principale. La sottorete B ha ancora un’associazione esplicita con la tabella di routing. Tuttavia la sottorete A adesso ha un’associazione implicita con la tabella di routing B in quanto questa è la nuova tabella di routing principale. La tabella di routing A non è più associata ad alcuna sottorete.

Diagramma della sottorete A associata alla tabella di routing principale B e della sottorete B associata alla tabella di routing B

(Facoltativo) Se dissoci la sottorete B dalla tabella di routing B, si ha ancora un’associazione implicita tra la sottorete B e la tabella di routing B. Se non hai più bisogno della tabella di routing A, puoi eliminarla.

Entrambe le sottoreti sono associate implicitamente alla tabella di routing B.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Concetti relativi alla tabella di instradamento

Tabelle di routing del gateway