【AWSユーザーガイド非公式解説】[VPC]4-2.VPC のサブネット(後半)
この記事はAWSユーザーガイドの以下リンクの解説記事です。
ルートテーブルを設定する
ルートテーブルには、サブネットまたはゲートウェイからのネットワークトラフィックの経路を判断する、ルートと呼ばれる一連のルールが含まれます。
ルーティングの優先度
ルーティングはより具体的なルートが優先されます。
ルートテーブルに「10.10.2.15/32」というCIDRブロックと「10.10.2.0/24」というCIDRブロックがあった場合、ネットワーク部が大きい「32」の方がより具体的なルートとして優先されます。公式では 「プレフィックスの最長一致」と呼んでいますが、ロンゲストマッチという方が一般的です。
| 送信先 | ターゲット |
|---|---|
| 10.10.2.0/24 | xxxxxx |
| 10.10.2.15/32 | yyyyyyy |
この場合、下のルートがより具体的として優先されます。
ローカル通信
「10.0.0.0/16」のCIDRブロックが設定されたVPCでは通常ローカル通信を行うために、以下のルートを設定します。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
VPCピアリング
「172.31.0.0/16」のCIDRブロックが設定されたVPCとVPCピアリングで接続する場合、ターゲットを「pcx-xxxxxx」としてルートを設定します。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 172.31.0.0/16 | pcx-xxxxxx |
この設定により「10.0.0.0/16」宛の通信はローカルネットワークに、「172.31.0.0/16」宛の通信はピアリング先のVPCに送信されます。
インターネットゲートウェイ
インターネットゲートウェイ宛の通信を行う場合は送信先を「0.0.0.0/0」、ターゲットをインターネットゲートウェイとする設定を行います。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 172.31.0.0/16 | pcx-xxxxxx |
| 0.0.0.0/0 | igw-yyyy |
「0.0.0.0/0」というアドレスはIPv4アドレス空間におけるすべてのIPアドレスを意味します。
ルートテーブルはロンゲストマッチにより、「10.0.0.0/16」「172.31.0.0/16」宛の通信はそれぞれのターゲットを優先し、それ以外の全てのIPv4アドレス宛の通信をインターネットゲートウェイに送信します。
静的および動的に伝播されたルートのルート優先度
Site-to-Site VPNでオンプレミス等と接続し、仮想プライベートゲートウェイをVPCに関連付けしている場合、相手側(オンプレミス等)のルーティングをBGPというプロトコルで受信して自動的に設定することができます。
自動的に設定されるルートを「動的に伝搬されたルート」と呼んでいます。
動的に伝搬されたルートはルートテーブルの設定画面では「伝播済み」という項目が「はい」となっています。「伝播済み」という項目名だと、伝播をする側のようにも読めますが、英語表記では「Propagated」であり、「伝播された」という意味です。
| 送信先 | ターゲット | 伝播済み |
|---|---|---|
| 10.0.0.0/16 | local | いいえ |
| 172.31.0.0/16 | vgw-zzzzzzz | はい |
明示的に設定したルートを静的ルートと呼びます。静的ルートを使用するリソースには以下のようなものがあります。
- インターネットゲートウェイ
- NAT ゲートウェイ
- ネットワークインターフェイス
- インスタンス ID
- ゲートウェイ VPC エンドポイント
- トランジットゲートウェイ
- VPC ピア接続
- Gateway Load Balancer エンドポイント
動的ルートは自動設定されるため、静的ルートと同一のCIDRブロックが一つのルートテーブルに設定される可能性がありますが、その場合は静的ルートが優先されます。
| 送信先 | ターゲット | 伝播済み |
|---|---|---|
| 10.0.0.0/16 | local | いいえ |
| 172.31.0.0/16 | vgw-zzzzzzz | はい |
| 172.31.0.0/16 | pcx-xxxxxx | いいえ |
上記のようなルートテーブルになった場合は、「172.31.0.0/16」宛の通信は静的ルートである「pcx-xxxxxx」へ送信されます。
プレフィックスリストのルーティング優先度
ルートテーブルでプレフィックスリストが使用されている場合は以下のルールが適用されます。
- 同一ルートテーブルに静的ルートのCIDRブロックがあり、プレフィックスリスト内のCIDRブロックと重複した場合は、設定された静的ルートが優先されます。
- 動的に伝搬されたルートとプレフィックスリスト内のCIDRブロックと重複した場合は、プレフィックスリスト内のCIDRブロックが優先されます。
- ルートテーブルで複数のプレフィックスリストを参照しており、それらのプレフィックスリスト内でCIDRブロックが重複していた場合、最初のルートはランダムに選択され、以降は同じルートが選択されます。
ルートテーブルの概念
公式ではルートテーブルの概念として、用語の羅列のようなものがありますが、何も知らない状態で概念を読んでも理解はできないと思うので一部を除き割愛します。
ルートテーブルには以下の種類があります。
- サブネットルートテーブル
サブネットに関連付けるルートテーブルです。一般的にルートテーブルというとサブネットルートテーブルのことを指すことが多く、最も使用頻度が高いルートテーブルになります。 - ゲートウェイルートテーブル
インターネットゲートウェイまたは仮想プライベートゲートウェイに関連付けるルートテーブルです。 - Transit Gateway ルートテーブル
Transit Gatewayに紐づけるルートテーブルです。VPC内の機能ではないため、この章では解説しません。 - ローカルゲートウェイルートテーブル
Outposts ローカルゲートウェイに関連付けるルートテーブルです。
サブネットルートテーブル
ルートテーブルはネットワークトラフィックの送信先を制御する機能です。ルートテーブルは仮想ルーターのような役割となり、送信先IPをどこに送信するかを登録します。VPCには複数のルートテーブルを作成可能です。
サブネットには必ずルートテーブルを関連付ける必要があります。VPCにはメインルートテーブルがあり、明示的にルートテーブルの関連付けが行われなかったサブネットはメインルートテーブルが関連付けられます。
1つのサブネットに関連付けられるルートテーブルは1つです。複数のルートテーブルを関連付けることはできません。
VPC内のひとつのルートテーブルは複数のサブネットに関連付けることができます。VPCにインターネットゲートウェイに接続するルートテーブルを作成しておき、複数アベイラビリティゾーンに作成したWebサーバ用のサブネットに関連づける等、設定を共有することにより管理負荷を下げることができます。
ルート
ルートテーブルには送信先とターゲットを設定します。この一つの組み合わせをルートと呼びます。
送信先とはトラフィックを送信する宛先IPアドレス範囲(CIDRブロック等)のことです。
ターゲットは、宛先のインターフェースまたはゲートウェイです。
例えば、IPv4を使用し、インターネットゲートウェイ経由でインターネットにアクセスする場合
送信先:全てのIPv4アドレスを表す「0.0.0.0/0」
ターゲット:VPCにアタッチされているインターネットゲートウェイ
とします。
また、IPv6を使用し、インターネットゲートウェイ経由でインターネットにアクセスする場合
送信先:全てのIPv6アドレスを表す「::/0」
ターゲット:VPCにアタッチされているインターネットゲートウェイ
とします。
IPv4とIPv6は独立して通信されるためそれぞれの設定が必要になります。
| 送信先 | ターゲット |
|---|---|
| 0.0.0.0/0 | igw-yyyy |
| ::/0 | igw-yyyy |
送信先にはCIDRブロックではなく、マネージドプレフィックスリストを設定することができます。
ルートテーブル編集画面ではAWSマネージドプレフィックスリスト(下の画像のpl-)を指定することができます。
任意のCIDRブロックをグルーピングしたカスタマーマネージドプレフィックスリストを作成して、指定することもできます。VPC内の異なるリソースで同じCIDR ブロックのセットを頻繁に参照する場合はカスタマーマネージドプレフィックスリストを使用する事により管理負荷を下げることができます。
ルールと考慮事項
- 通常、VPC内のCIDRブロックはlocal宛の通信になりますが、サブネット内の通信をNAT ゲートウェイ、ネットワークインターフェイス、Gateway Load Balancer エンドポイントに送信することができます。その場合サブネットのCIDRブロック全体に対する設定になります。具体的な例は後述「ルーティングオプションの例」の中の「ミドルボックスアプライアンスのルーティング」の形になります。
- 169.254.168.0/22の範囲内のCIDRブロックをルートテーブルに追加することはできません。
- fd00:ec2::/32の範囲内のCIDRブロックをルートテーブルに追加することはできません。
例
IPv4アドレスとIPv6を使用するルートテーブルの例です。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 2001:db8:1234:1a00::/56 | local |
| 172.31.0.0/16 | pcx-xxxxxxxx |
| 0.0.0.0/0 | igw-yyyyyyy |
| ::/0 | eigw-zzzzzzz |
- 10.0.0.0/16宛の通信はVPC内のローカルルートとして扱われます。
- 2001:db8:1234:1a00::/56宛の通信はVPC内のローカルルートとして扱われます。
- 172.31.0.0/16宛の通信はpcx-xxxxxx(VPCピアリング)により別のVPCに送信されます。
- 上記以外のIPv4アドレス宛の通信はigw-yyyyyyy(インターネットゲートウェイ)宛の通信になります。
- 上記(2001:db8:1234:1a00::/56)以外のIpv6アドレス宛の通信はeigw-zzzzzzz(Egress-Only インターネットゲートウェイ)宛の通信になります。
メインルートテーブル
VPCを作成する際、自動的にメインルートテーブルが作成されます。サブネットには必ずルートテーブルが必要であり、明示的にルートテーブルを割り当てない場合はメインルートテーブルが関連付けられます。メインルートテーブルにはVPCのローカルルートが作成されています。
メインルートテーブルは編集して使用することができますが、削除はできません。削除を行いたい場合は別のルートテーブルを作成しメインルートテーブルに変更します。
カスタムルートテーブル
任意のルート設定を行ったルートテーブルを作成することができます。
コンソールからVPCを作成する際に、パブリックサブネットを作成した場合は自動的にインターネットゲートウェイとインターネットゲートウェイ宛のルートが設定されたカスタムルートテーブルが作成され、関連付けられます。
AWSではメインルートテーブルは編集せずカスタムルートテーブルを作成し、関連付けを行うことが推奨されています。
ゲートウェイルートテーブル
ゲートウェイルートテーブルはインターネットゲートウェイまたは仮想プライベートゲートウェイに関連付けるルートテーブルです。
ゲートウェイルートテーブルを使用しない場合、インターネットゲートウェイまたは仮想プライベートゲートウェイからサブネット宛の通信は直接サブネットに到達します。
ゲートウェイルートテーブルを設定することによりサブネットの手前で、サブネット宛の通信をVPC内の別のサブネットにあるセキュリティアプライアンスなどのミドルボックスアプライアンスに送信できます。
ミドルボックスという用語の解説はウィキペディアにあります。
ゲートウェイルートテーブルを使用する例の一つがAWS Network Firewallです。
AWS Network Firewall は通常、制御を行いたいサブネットとは別の専用のサブネットに配置します。
インターネットゲートウェイからサーバー等を配置したパブリックサブネットへの通信を制御したい場合、パブリックサブネット宛の通信をAWS Network Firewall宛とするルートを設定し、インターネットゲートウェイに関連付けを行います。
作成方法は通常のルートテーブルと同じですが、「Edgeの関連づけ」から関連付けを行うゲートウェイを設定することにより、ゲートウェイルートテーブルとなります。
ターゲットに設定できるものは以下のリソースです。
公式で説明されているターゲットは以下の3つです。
- デフォルトのローカルルート
- Gateway Load Balancer エンドポイント
- ミドルボックスアプライアンスのネットワークインターフェイス
コンソールでは選択肢としてインスタンスが表示されますが、実際にターゲットになるのはそのインスタンスのネットワークインターフェースになります。
先ほどの例のAWS Network Firewallは上記のどれにも当てはまらないのではと思うかもしれませんが、AWS Network FirewallはエンドポイントとしてGateway Load Balancerを利用しています。
【例】
172.31.0.0/16のCIDRブロックを設定したVPCで、以下のゲートウェイルートテーブルではロンゲストマッチにより/20のCIDRブロック範囲宛に対する通信のみアプライアンスのネットワークインターフェースに送信され、以外の通信はローカル宛として処理されます。
| 送信先 | ターゲット |
|---|---|
| 172.31.0.0/16 | local |
| 172.31.0.0/20 | eni-yyyy |
【例】
172.31.0.0/16のCIDRブロックを設定したVPCにおいて、全ての通信をアプライアンスのネットワークインターフェースに送信することもできます。
| 送信先 | ターゲット |
|---|---|
| 172.31.0.0/16 | eni-yyyy |
ルールと考慮事項
公式では多数のルールと考慮事項がありますが、前述と重複する部分もあるためピックアップしています。
- ゲートウェイルートテーブルを用いてミドルボックスアプライアンスに通信を行う場合は起動中のインスタンスにアタッチを行う必要があります。
- インターネットゲートウェイでは送信先のミドルボックスアプライアンスにパブリックIPアドレスが必要です。
- 例えばAWS Network Firewallを用いてトラフィックをルーティングする場合、戻りの通信もAWS Network Firewallを通るように設定しなければなりません。
- サブネット内の通信はMACアドレスを使用してルーティングを行うため、ルートテーブルを使用しません。サブネットから出る通信のみルートテーブルを使用したルーティングが行われます。
・トラフィックがミドルボックスアプライアンスに到達するようにするには、ターゲットネットワークインターフェイスを実行中のインスタンスにアタッチする必要があります。インターネットゲートウェイを流れるトラフィックでは、ターゲットネットワークインターフェイスにはパブリック IP アドレスも必要です。
・ミドルボックスアプライアンスを介してトラフィックをルーティングする場合、送信先サブネットからのリターントラフィックを同じアプライアンスを介してルーティングする必要があります。非対称ルーティングはサポートされていません。
・ルートテーブルルールは、サブネットから出るすべてのトラフィックに適用されます。サブネットから出るトラフィックは、そのサブネットのゲートウェイルーターの MAC アドレスを送信先とするトラフィックとして定義されます。サブネット内の別のネットワークインターフェイスの MAC アドレスを送信先とするトラフィックは、ネットワーク(レイヤ 3)ではなくデータリンク(レイヤ 2)ルーティングを使用するため、このトラフィックにはルールが適用されません。
ルーティングオプションの例
インターネットゲートウェイへのルーティング
インターネットゲートウェイをルートテーブルに紐づけるとパブリックサブネットになります。
(インターネット側のIPアドレスが特定のものでない限り)全てのIPv4アドレスを表す「0.0.0.0/0」、全てのIPv6アドレスを表す「::/0」を送信先に指定し、ターゲットにインターネットゲートウェイ(igw-xxxxxx)を指定します。
| 送信先 | ターゲット |
|---|---|
| 0.0.0.0/0 | igw-xxxxxx |
| ::/0 | igw-xxxxxx |
NAT デバイスへのルーティング
パブリックサブネットにNATデバイス(NATゲートウェイまたはNATインスタンス)を設置することにより、プライベートサブネットのインスタンスはNATデバイス経由でインターネットへのデータ送信を行う事が可能です。
プライベートサブネットで全てのIPv4アドレスを表す「0.0.0.0/0」を送信先とし、ターゲットにNATデバイスを指定します。
プライベートサブネットからNATゲートウェイ宛の通信を行うルートテーブルは以下のような形になります。
| 送信先 | ターゲット |
|---|---|
| 0.0.0.0/0 | nat-xxxxxx |
仮想プライベートゲートウェイへのルーティング
AWS Site-to-Site VPN 接続を使用してオンプレミス等のAWS外ネットワークとの通信を行う場合は仮想プライベートゲートウェイを使用します。送信先としてオンプレミス等のネットワークのCIDRアドレス範囲を設定し、ターゲットとして仮想プライベートゲートウェイを設定します。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | vgw-xxxxxx |
AWS Outposts ローカルゲートウェイへのルーティング
OutpostsはAWSのシステムを(物理的なラックごと)オンプレミスのデータセンターに設置するサービスです。利用する場合、42Uのラックが設置されます。
オンプレミスのデータセンター内のシステムとの高速な通信が必要な場合(レイテンシーが問題となる場合)、セキュリティ要件によりデータセンター内にデータを保持する必要がある場合などの理由で使用されます。
Outpostsを利用する場合、アベイラビリティゾーンの一部として紐づけられ、クラウド環境を含めた形でVPCを作成することができます。サブネットを作成する際はOutpostコンソールより行い、紐づけを行うVPCを選択します。
Outpost サブネットとオンプレミスネットワーク間のトラフィックを有効にする
VPCとオンプレミスのAWS外サーバ等との通信はローカルゲートウェイを使用します。192.168.10.0/24のオンプレミスネットワークとの接続を行う場合のルーティングは以下のようになります。
| 送信先 | ターゲット |
|---|---|
| 192.168.10.0/24 | lgw-xxxxxx |
Outposts 全体で同じ VPC 内のサブネット間のトラフィックを有効にする
ローカルゲートウェイを使用して、オンプレミスネットワークを通じたOutpost間の通信を行う事ができます。
CIDR が 10.0.0.0/16 の VPCで、CIDRが10.0.1.0/24 の OutpostサブネットからCIDRが10.0.0.0/24 のOutpostサブネットにローカルゲートウェイ経由で通信を行う場合の設定は以下のようになります。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 10.0.0.0/24 | lgw-xxxxxx |
VPC ピア接続へのルーティング
VPCピアリング接続は2つのVPC間の通信をプライベートIPv4アドレス(またはIPv6アドレス)で可能にするサービスです。相手のCIDRブロックをルートテーブルに登録する必要があるため、CIDRブロックの重複がある場合は接続できません。
VPCピアリング接続を行う場合、ルートテーブルに送信先として相手側のCIDRブロックを登録し、ターゲットをピアリング接続(pcx-xxxxxx)とします。
| 送信先 | ターゲット |
|---|---|
| 172.31.0.0/16 | local |
| 10.0.0.0/20 | pcx-xxxxxx |
IPv6でのピアリング接続を行う場合は、相手側のIPv6 CIDRブロックを送信先として、ターゲットをピアリング接続(pcx-xxxxxx)とします。
| 送信先 | ターゲット |
|---|---|
| 2001:db8:5678:2b00::/56 | pcx-xxxxxx |
ゲートウェイ VPC エンドポイントへのルーティング
Amazon S3 と DynamoDBはゲートウェイVPCエンドポイントを使用することにより、プライベートサブネットからインターネットを経由せずにアクセスが可能となります。
ゲートウェイVPCエンドポイントを作成する際に、VPCとルートテーブルを指定することにより、自動的にルートテーブルにAmazon S3またはDynamoDBのプレフィックスリスト(pl-yyyyyy)を送信先とし、ターゲットをVPCエンドポイント(vpce-xxxxxx)としたルートが登録されます。
ゲートウェイVPCエンドポイント作成画面
ルートテーブルの例
| 送信先 | ターゲット |
|---|---|
| 172.31.0.0/16 | local |
| pl-yyyyyy | vpce-xxxxxx |
Egress-Only インターネットゲートウェイへのルーティング
IPv6では、NATデバイスを使用せず、Egress-Only インターネットゲートウェイで直接インターネットへのデータ送信(アウトバウンド通信)が可能です。インターネットからのデータ受信(インバウンド通信)はできません。
IPv4でNATデバイスを使用する場合はインターネットゲートウェイが必要となり、プライベートサブネットのインスタンスから通信を行いたい場合は、パブリックサブネットを経由して通信する形となります。
IPv6でEgress-Onlyインターネットゲートウェイを使用すれば、インターネットからのインバウンド通信を制限した形でプライベートサブネットで直接インターネットへのアウトバウンド通信が可能です。
ルーティング設定は、全てのIPv6アドレスを表す「::/0」を送信先として、ターゲットをEgress-Only インターネットゲートウェイ(eigw-xxxxxx )とします。
| 送信先 | ターゲット |
|---|---|
| ::/0 | eigw-xxxxxx |
トランジットゲートウェイのルーティング
トランジットゲートウェイでVPCを接続することによりVPC間の通信が可能になります。VPCピアリングは1対1の接続ですが、トランジットゲートウェイを使用すると多対多の接続が可能です。トランジットゲートウェイにVPCを紐づける際はVPCに対してアタッチメントという接続点を作成します。
VPCとアタッチメントは1対1になり、アタッチメントがそのVPCに通信を行う際の宛先になります。
トランジットゲートウェイはトランジットゲートウェイ専用のルートテーブルがデフォルトで紐づけられ、デフォルトルートテーブルには全ての関連付けられたVPCへの通信が設定されています。デフォルトルートテーブルを使用せず、アタッチメント毎にルートテーブルを作成して設定することもできます。
「10.1.0.0/16」と「172.31.0.0/16」のVPCがトランジットゲートウェイに紐づけられている場合、トランジットゲートウェイ上のデフォルトルートテーブルは以下のような形になります。
| 送信先 | ターゲット |
|---|---|
| 10.1.0.0/16 | tgw-attach-xxxxxx |
| 172.31.0.0/16 | tgw-attach-yyyyyy |
「10.1.0.0/16」から「172.31.0.0/16」への通信を行う場合、「10.1.0.0/16」サブネットのルートテーブルではターゲットをトランジットゲートウェイとして設定します。
| 送信先 | ターゲット |
|---|---|
| 172.31.0.0/16 | tgw-zzzzzzz |
VPCでは「172.31.0.0/16」宛の通信はトランジットゲートウェイに送信され、トランジットゲートウェイでは「172.31.0.0/16」に紐づかれれたアタッチメント宛に送信されます。
ミドルボックスアプライアンスのルーティング
ミドルボックスアプライアンスの想定ユースケースは以下の2つです。
- 外部からVPC内のサブネットへの通信をインターセプトしてミドルボックスアプライアンスに送信するケース
(ゲートウェイとアプライアンス間のトラフィックのルーティング) - サブネット間の通信をインターセプトしてミドルボックスアプライアンスに送信するケース
(サブネット間トラフィックをアプライアンスへルーティング)
アプライアンスに関する考慮事項
- アプライアンスはインターセプトを行いたい対象サブネットとは別の専用サブネットを使用してください。
- ENIには通信が自分のIP宛てかどうかをチェックする「送信元/送信先のチェック」機能があります。アプライアンスは自分のIP宛てではない通信を受信する必要があるため、この機能を無効にしておく必要があります。
ゲートウェイとアプライアンス間のトラフィックのルーティング
VPCに対する通信をアプライアンスにルーティングするには、ゲートウェイルートテーブルを使用します。ゲートウェイルートテーブルをインターネットゲートウェイまたは仮想プライベートゲートウェイに関連付け、対象のサブネットに対する通信のターゲットをアプライアンスのネットワークインターフェースとします。
次の例では、VPC にはインターネットゲートウェイ、アプライアンス、及びインターネットからの通信を受信するインスタンスを持つサブネットがあります。インターネットからのトラフィックは、アプライアンスを経由してパブリックサブネットのインスタンスに送信されます。
「10.0.0.0/16」のVPC内にある「10.0.0.0/20」のサブネットに対する通信をアプライアンスのネットワークインターフェースに送信する場合のゲートウェイルートテーブルは以下のようになります。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 10.0.0.0/20 | eni-yyyyyyy |
サブネット単位ではなく、VPCの全ての通信をアプライアンスに送信することもできます。その場合のゲートウェイルートテーブルは以下のようになります。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | eni-yyyy |
アプライアンス側のルートテーブルでは戻りの通信をインターネットゲートウェイまたは仮想プライベートゲートウェイに送信するため、以下のような設定が必要です。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 0.0.0.0/0 | igw-xxxxxxx |
サブネット間トラフィックをアプライアンスへルーティング
サブネット間の通信を通信をアプライアンスに送信する場合はそれぞれのサブネットで宛先サブネットを送信先として指定し、ターゲットとして、アプライアンスのネットワークインターフェースを指定します。
「10.0.0.0/24」と「10.0.1.0/24」のVPC間の通信をアプライアンスに送信する場合はまず、「10.0.0.0/24」のルートテーブルで対象のサブネットに対する通信のターゲットをプライアンスのネットワークインターフェースとします。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 10.0.1.0/24 | eni-yyyyyy |
「10.0.1.0/24」のルートテーブルでも同じ用に対象のサブネットに対する通信のターゲットをプライアンスのネットワークインターフェースとします。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 10.0.0.0/24 | eni-yyyyyy |
プレフィックスリストを使用したルーティング
ルートテーブルの送信先にはプレフィックスリストを使用できます。プレフィックスリストはリージョン単位で管理するため、同じルーティング設定を複数のVPCで使用する場合は、カスタマーマネージドプレフィックスリストを使用すると管理負荷軽減になります。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| pl-xxxxxx | pgw-xxxxxxx |
Gateway Load Balancer エンドポイントにルーティングする
セキュリティ監視塔を行うアプライアンスを同じVPCではなく、別のVPCに構築する場合はGateway Load Balancerを使用します。Gateway Load Balancerをアプライアンスを構築したVPCと同じVPCに作成します。サブネット宛の通信をインターセプトし、アプライアンスに送信する場合はルートテーブルでGateway Load Balancer エンドポイントのエンドポイントIDをターゲットとして設定します。
| 送信先 | ターゲット |
|---|---|
| 10.0.0.0/16 | local |
| 10.0.1.0/24 | vpce-xxxxxxx |
Discussion