仮想プライベートクラウド (VPC) のルートテーブルは、インスタンスから宛先へのネットワークトラフィックのパスを決定します。ルートを構成することにより、指定されたパスに沿ってネットワークトラフィックを転送できます。
機能
ルートテーブル
VPC を作成すると、システムによって自動的にシステムルートテーブルが作成されます。このルートテーブルは、デフォルトで VPC 内のすべての vSwitch にアタッチされ、VPC 内のトラフィックをコントロールします。
VPC 内の異なる Elastic Compute Service(ECS) インスタンスから同じ宛先 CIDR ブロックにアクセスする際に、異なるネットワークパスを使用する必要がある場合は、カスタムルートテーブルを使用できます。ECS インスタンスを異なる vSwitch にデプロイし、各 vSwitch に個別のカスタムルートテーブルをアタッチできます。これにより、詳細なトラフィックシェーピングが可能になります。
自己管理型ファイアウォールを使用して VPC へのインターネットからのインバウンドトラフィックを保護するには、ボーダーゲートウェイにアタッチされたカスタムルートテーブルであるゲートウェイルートテーブルを使用できます。ゲートウェイルートテーブルを IPv4 または IPv6 ゲートウェイにアタッチして、インターネットからのインバウンドトラフィックを自己管理型ファイアウォールに転送できます。これにより、トラフィックのフィルタリング、監査、およびセキュリティポリシーの一元管理が可能になります。
次の表に、ルートテーブルタイプの相違点を示します。
比較基準 | システムルートテーブル | カスタムルートテーブル | |
接続されたオブジェクト | vSwitch | vSwitch | IPv4 または IPv6 ゲートウェイ |
図 | |||
シナリオ | デフォルトですべての新しい vSwitch に接続され、vSwitch トラフィックを一元的に制御します | 特定の vSwitch に接続され、ターゲット vSwitch のトラフィックパスを制御します | IPv4 または IPv6 ゲートウェイに接続され、安全なインバウンドインターネットトラフィックのリダイレクトを行います |
作成方法 | VPC を作成すると、システムによって自動的に作成されます | 手動で作成されます。ルートテーブルを作成するときに、vSwitch タイプを選択します。 | 手動で作成されます。ルートテーブルを作成するときに、ボーダーゲートウェイタイプを選択します。 |
削除可能 | 削除できません。 | 削除できます。最初に vSwitch からデタッチする必要があります。 | 削除できます。最初に IPv4 または IPv6 ゲートウェイからデタッチする必要があります。 |
クォータ | VPC あたり 1 つのシステムルートテーブル。 | デフォルトでは、VPC 内の vSwitch に接続されたカスタムルートテーブルを 9 つ作成できます。クォータの増加をリクエストできます。 | VPC 内の IPv4 または IPv6 ゲートウェイに接続されたルートテーブルは 1 つだけ作成できます。 |
各 vSwitch はルートテーブルに接続する必要があり、1 つのルートテーブルにのみ接続できます。1 つのルートテーブルを複数の vSwitch に接続できます。
ルート
ルートテーブルの各項目はルートです。各ルートには以下が含まれます。
宛先 CIDR ブロック: ネットワークトラフィックのルーティング先となる IP アドレスの範囲。
ネクストホップ: 弾性ネットワークインターフェース (ENI) や VPC ピアリング接続など、ネットワークトラフィックの宛先。
ルートは 2 つのタイプに分類されます。
1. 静的ルート: システムによって自動的または手動で追加されるルート。
2. 動的ルート: トランジットルーター (TR) や VPN ゲートウェイなどの他のネットワークインスタンスから VPC に伝播されるルート。
1. 静的ルート
静的ルートは、システムによって自動的に追加されるか、ユーザーが手動で追加するルートです。これらには 2 つのタイプがあります。
システムルート: ネクストホップが
ローカルに設定されているルート。VPC と vSwitch を作成すると、システムによって自動的に追加されます。これらのルートは、VPC 内のインスタンス間の通信、または Alibaba Cloud サービスへのアクセスに使用されます。カスタムルート: トラフィックパスをカスタマイズするために手動で追加するルート。
次の図に示すように、2 つの VPC が VPC ピアリング接続を介して接続されています。VPC1 のシステムルートテーブルには、次の静的ルートが含まれています。
VPC と vSwitch を作成した後、システムはネクストホップが
ローカルに設定されたシステムルートを自動的に追加します。クラウドサービするート: 宛先 CIDR ブロックは
100.64.0.0/10です。このルートにより、VPC1 内のインスタンスは Alibaba Cloud サービスにアクセスできます。vSwitch CIDR ブロックルート: 宛先 CIDR ブロックは
10.0.0.0/24です。このルートにより、VPC1 内の vSwitch 間のプライベート通信が可能になります。
VPC ピアリング接続を作成した後、次のカスタムルートを手動で追加する必要があります。
宛先 CIDR ブロックは
172.16.0.0/16で、ネクストホップはピアリング接続です。このルートは、VPC2宛てのトラフィックをピアリング接続に転送します。
VPC2 のシステムルートテーブルのルートは、VPC1 のルートと同じ原則で動作するため、ここでは説明しません。
システムルートとカスタムルートの比較
項目 | システムルート | カスタムルート |
定義 | ネクストホップが | 手動で追加するルート。 |
IPv4 ルート | システムは、VPC 内のすべてのルートテーブルに次のルートを自動的に追加します。
| 次のパラメーターを使用してルートを手動で追加できます。
|
IPv6 ルート | IPv6 が有効になっている VPC の場合、システムは VPC 内の vSwitch に関連付けられているすべてのルートテーブルに次のルートを自動的に追加します。
| IPv6 が有効になっている VPC の場合、次のパラメーターを使用してルートを追加できます。
|
ネクストホップは変更できますか? |
| システムルートのネクストホップを変更してカスタムルートを作成した場合、このカスタムルートのネクストホップは、ローカル、ECS インスタンス、ENI、または Gateway Load Balancer エンドポイントのみに変更できます。 |
手動で作成可能 | システムルートを手動で作成または削除することはできません。 | 手動で作成および削除できます。 |
2. 動的ルート
動的ルートは、他のネットワークインスタンスから VPC に伝播されるルートです。静的ルートとは異なり、VPC ルートテーブルで動的ルートを手動で構成する必要はありません。動的ルートソースから自動的に受信および更新されます。
2.1 動的ルートソース
VPC にルートを自動的に伝播するネットワークインスタンスには、Enterprise Edition トランジットルーター (TR)、Basic Edition TR、VPN ゲートウェイ、Express Connect ルーター (ECR) などがあります。コンソールのルートテーブル詳細ページの タブで、動的ルートのソースと詳細を表示できます。
Enterprise Edition TR から受信したルートの詳細は、 タブに表示されます。
2.2 動的ルートの受信を有効または無効にする
デフォルトでは、すべてのルートテーブルで動的ルートを受信できます。純粋に静的ルーティング構成が必要な場合は、ルートテーブルごとに 動的ルートの受信を無効にする ことができます。これにより、必要に応じてビジネスルートテーブルを計画し、ルート構成を簡単に管理できます。
2.3 動的ルートの制限
VPC ルートテーブルは、一度に 1 つの動的ルートソースからのみ動的ルートを受信できます。
たとえば、VPC が ECR に関連付けられた後、VPC を Enterprise Edition TR に接続する場合、TR で VPC の ルート同期 を有効にしようとすると失敗します。VPN ゲートウェイを作成し、ルート自動伝播を有効にすると、VPN ゲートウェイによって学習された BGP ルートは VPC のシステムルートテーブルに自動的に伝播されます。この場合、VPC を ECR に関連付けることはできません。
受信した動的ルートがルートテーブルの既存のルートと重複している場合は、「ルートの優先順位」を参照して、どのルートが有効になるかを判断してください。
vSwitch に接続されたルートテーブルのみが動的ルートを受信できます。ゲートウェイルートテーブルは動的ルートをサポートしていません。
ルートの優先順位
VPC ルートテーブルのルートは、次のルールに基づいて優先順位が付けられます。
宛先 CIDR ブロックが重複するルートが存在する場合:
IPv4 と IPv6 のトラフィックルーティングは互いに独立しています。システムは、最長プレフィックス一致ルールを使用して、宛先 IP アドレスに一致する最も具体的なルートを選択します。これにより、トラフィック転送のネクストホップが決定されます。
最長プレフィックス一致: ルートテーブル内の複数のルートの宛先 CIDR ブロックが宛先 IP アドレスをカバーできる場合、最長のサブネットマスクを持つルートが選択され、トラフィック転送パスが決定されます。
新しいルートの宛先 CIDR ブロックが既存のルートの宛先 CIDR ブロックと重複している場合:
操作
既存のシステムルート
既存のカスタムルート
既存の動的ルート
vSwitch を作成する
vSwitch の CIDR ブロックは、既存のシステムルートと重複することはできません。
vSwitch の CIDR ブロックは、次の条件を満たすことはできません。
既存のカスタムルートの宛先 CIDR ブロックと同じである。
既存のカスタムルートの宛先 CIDR ブロックを含む。
vSwitch CIDR ブロックには次の制限が適用されます。
既存の動的ルートの宛先 CIDR ブロックと同じである。
既存の動的ルートの宛先 CIDR ブロックを含む。
カスタムルートを追加する
新しいカスタムルートの宛先 CIDR ブロックは、次の条件を満たすことはできません。
既存のシステムルートの CIDR ブロックと同じである。
既存のシステムルートよりも具体的な CIDR ブロックである。
新しいカスタムルートの宛先 CIDR ブロックは、既存のカスタムルートの宛先 CIDR ブロックと同じにすることはできません。
[ネクストホップタイプ] が [ルーターインターフェース (VBR へ)] の場合、アクティブ/スタンバイまたは等コストマルチパス (ECMP) ルートを構成できます。詳細については、「ルーターインターフェースへのルート」をご参照ください。
カスタムルートを追加する場合、その宛先 CIDR ブロックは既存の動的ルートの宛先 CIDR ブロックと同じにすることはできません。
新しいカスタムルートのネクストホップが VPN ゲートウェイまたはルーターインターフェースであり、宛先 CIDR ブロックが同じ CEN からの既存の動的ルートがある場合、動的ルートは撤回され、カスタムルートが有効になります。
動的ルートを受信する
動的ルートを受信する場合:
宛先 CIDR ブロックは、既存のシステムルートと同じにすることはできません。
既存のシステムルートよりも具体的な CIDR ブロックである場合、動的ルートは伝播されません。
ECR から動的ルートを受信する場合: 宛先 CIDR ブロックが同じカスタムルートが存在する場合、カスタムルートが優先されます。
動的ルートは VPC ルートテーブルに表示されますが、カスタムルートが削除されるまで有効になりません。
VPN ゲートウェイ、Enterprise Edition TR、または Basic Edition TR から動的ルートを受信する場合: 宛先 CIDR ブロックが同じカスタムルートが存在する場合、カスタムルートが優先されます。
この場合、動的ルートは VPC ルートテーブルに伝播されません。カスタムルートが削除された後にのみ伝播され、有効になります。
サポートされていません。現在の VPC ルートテーブルには、ルート伝播ソースが 1 つだけあります。
たとえば、VPC システムルートテーブルには次のルートが含まれています。
宛先 CIDR ブロック | ネクストホップタイプ | ネクストホップ | ルートタイプ |
| - | - | システム |
| ECS インスタンス |
| カスタム |
| ECS インスタンス |
| カスタム |
トラフィックの宛先 IP アドレスが異なる場合、トラフィックは異なるルートに従って転送されます。
トラフィックの宛先 IP アドレス | ルートマッチング |
|
|
|
|
|
|
ルートテーブルの管理
VPC を作成すると、システムは自動的にシステムルートテーブルを作成し、デフォルトですべての vSwitch に接続して、すべての vSwitch のトラフィックを一元的に制御します。
VPC 内の特定の vSwitch のトラフィックを個別に制御するには、最初に vSwitch タイプのカスタムルートテーブルを作成し、ターゲット vSwitch に接続する必要があります。
インターネットから VPC へのトラフィックを制御するには、ボーダーゲートウェイタイプのカスタムルートテーブルを作成し、IPv4 または IPv6 ゲートウェイに接続する必要があります。
ルートテーブルの作成と削除
ターゲット vSwitch または IPv4 または IPv6 ゲートウェイに接続する前に、最初にカスタムルートテーブルを作成する必要があります。
コンソール
ルートテーブルを作成する
VPC コンソールの ルートテーブル ページに移動し、作成 をクリックします。
ターゲット [VPC] を選択し、[名前] を入力して、接続するオブジェクトタイプを選択します。
[vSwitch]: このルートテーブルを vSwitch に接続すると、特定の vSwitch のトラフィックパスを制御できます。
[ボーダーゲートウェイ]: このルートテーブルを IPv4 または IPv6 ゲートウェイに接続すると、インターネットから VPC へのトラフィックのパスを制御できます。
カスタムルートテーブルを作成すると、システムは自動的に次のシステムルートをカスタムルートテーブルに追加します。
vSwitch CIDR ブロックルート: 宛先 CIDR ブロックが、ルートテーブルが属する VPC 内の vSwitch の CIDR ブロックであるルート。このルートは、vSwitch 内のインスタンス間の通信に使用されます。
クラウドサービするート: 宛先 CIDR ブロックが
100.64.0.0/10であるルート。このルートは、VPC 内のインスタンスが Alibaba Cloud サービスにアクセスするために使用されます。
ルートテーブルを削除する
ターゲットルートテーブルの [操作] 列、またはその詳細ページで、[削除] をクリックします。ルートテーブルを削除する前に、ルートテーブルが デタッチされており、すべてのカスタムルートが削除されていることを確認してください。
カスタムルートテーブルのみを削除できます。システムルートテーブルは削除できません。
API
CreateRouteTable 操作を呼び出して、ルートテーブルを作成します。
DeleteRouteTable 操作を呼び出して、カスタムルートテーブルを削除します。
Terraform
リソース: alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description" // テストの説明
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
}ルートテーブルの接続とデタッチ
新しく作成されたカスタムルートテーブルは、デフォルトではどのリソースにも接続されていません。ルートテーブルを有効にするには、vSwitch または IPv4 または IPv6 ゲートウェイに接続する必要があります。
コンソール
ルートテーブルを接続する
VPC コンソールの ルートテーブル ページに移動します。ターゲットルートテーブルの [接続されたリソース] 列で、[今すぐ接続] をクリックします。
ルートテーブルを [vSwitch] に接続する場合: [vSwitch を接続] をクリックします。表示されるダイアログボックスで、ターゲット [vSwitch] を選択します。
vSwitch がカスタムルートテーブルに接続されると、システムルートテーブルから自動的にデタッチされます。
ルートテーブルを [ボーダーゲートウェイ] に接続する場合: [ボーダーゲートウェイを接続] をクリックします。表示されるダイアログボックスで、ターゲット [IPv4 ゲートウェイ] または [IPv6 ゲートウェイ] を選択します。
ボーダーゲートウェイに接続されたルートテーブルの使用方法に関するチュートリアルについては、「ゲートウェイルートテーブルを使用して VPC へのトラフィックを制御する」をご参照ください。
ルートテーブルをデタッチする
ターゲットルートテーブルの詳細ページに移動します。
ルートテーブルが [vSwitch] に接続されている場合: タブで、デタッチする vSwitch を選択し、[デタッチ] をクリックします。デタッチ後、vSwitch はシステムルートテーブルに再接続されます。
ルートテーブルが [ボーダーゲートウェイ] に接続されている場合: タブで、ターゲット IPv4 または IPv6 ゲートウェイの [操作] 列の [デタッチ] をクリックします。
ルートテーブルをデタッチする前に、ルート変更によるビジネスへの影響を十分に評価して、サービスの中断を回避してください。
API
AssociateRouteTable 操作を呼び出して、ルートテーブルを vSwitch に接続します。
AssociateRouteTableWithGateway 操作を呼び出して、ルートテーブルを IPv4 または IPv6 ゲートウェイに接続します。
ルートテーブルをデタッチする前に、ルート変更によるビジネスへの影響を十分に評価して、サービスの中断を回避してください。
UnassociateRouteTable 操作を呼び出して、ルートテーブルを vSwitch からデタッチします。
DissociateRouteTableFromGateway 操作を呼び出して、ルートテーブルを IPv4 または IPv6 ゲートウェイからデタッチします。
Terraform
vSwitch にルートテーブルを接続する
リソース: alicloud_route_table_attachment
データソース: alicloud_zones
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "foo" {
cidr_block = "172.16.0.0/12"
vpc_name = var.name
}
data "alicloud_zones" "default" {
available_resource_creation = "VSwitch"
}
resource "alicloud_vswitch" "foo" {
vpc_id = alicloud_vpc.foo.id
cidr_block = "172.16.0.0/21"
zone_id = data.alicloud_zones.default.zones[0].id
vswitch_name = var.name
}
resource "alicloud_route_table" "foo" {
vpc_id = alicloud_vpc.foo.id
route_table_name = var.name
description = "route_table_attachment" // ルートテーブルの接続
}
resource "alicloud_route_table_attachment" "foo" {
vswitch_id = alicloud_vswitch.foo.id
route_table_id = alicloud_route_table.foo.id
}IPv4/IPv6 ゲートウェイにルートテーブルを接続する
リソース: alicloud_vpc_gateway_route_table_attachment
resource "alicloud_vpc" "example" {
cidr_block = "172.16.0.0/12"
vpc_name = "terraform-example"
}
resource "alicloud_route_table" "example" {
vpc_id = alicloud_vpc.example.id
route_table_name = "terraform-example"
description = "terraform-example"
associate_type = "Gateway"
}
resource "alicloud_vpc_ipv4_gateway" "example" {
ipv4_gateway_name = "terraform-example"
vpc_id = alicloud_vpc.example.id
enabled = "true"
}
resource "alicloud_vpc_gateway_route_table_attachment" "example" {
ipv4_gateway_id = alicloud_vpc_ipv4_gateway.example.id
route_table_id = alicloud_route_table.example.id
}ルートの管理
ルートの追加と削除
vSwitch に接続されたルートテーブルの場合、ルートを手動で追加して vSwitch のトラフィックパスを制御できます。手動で追加されたルートは、カスタムルートとして分類されます。
ゲートウェイルートテーブルでは、ルートを追加することはできませんが、ルートのネクストホップを変更することはできます。
コンソール
ルートを追加する
ターゲットルートテーブルの詳細ページに移動します。 タブで、ルートエントリの追加 をクリックします。
[ルートの作成] ダイアログボックスで、[宛先 CIDR ブロック] と [ネクストホップタイプ] を構成します。ネクストホップタイプ別の一般的なシナリオの詳細については、「構成例」をご参照ください。
ルートを追加するときにエラーが発生した場合は、構成が ルートの優先順位 の要件を満たしているかどうかを確認してください。
ルートを削除する
ターゲットルートの [操作] 列で、[削除] をクリックします。
ルートを削除する前に、ビジネスへの影響を十分に評価して、サービスの中断を回避してください。
API
CreateRouteEntry 操作を呼び出して、単一のルートを追加します。CreateRouteEntries 操作を呼び出して、ルートを一括追加します。
ルートを削除する前に、ビジネスへの影響を十分に評価して、サービスの中断を回避してください。
DeleteRouteEntry 操作を呼び出して、単一のカスタムルートを削除します。DeleteRouteEntries 操作を呼び出して、カスタムルートを一括削除します。
Terraform
リソース: alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # ルートテーブル ID を指定します。
destination_cidrblock = "172.11.1.1/32"
nexthop_type = "Instance" # ネクストホップタイプを指定します。
nexthop_id = "i-12345xxxx" # ネクストホップインスタンス ID を指定します。
}ルートのネクストホップを変更する
ルートのネクストホップを変更して、宛先 CIDR ブロックのトラフィックパスを変更できます。
システムルート: カスタムルートテーブル (ゲートウェイルートテーブルを含む) のシステムルートのネクストホップのみを変更できます。変更後、ルートタイプはカスタムになります。ルートを削除すると、システムルートに戻ります。
カスタムルート: システムルートテーブルとカスタムルートテーブルの両方で、ルートテーブルタイプの制限なしに、カスタムルートのネクストホップを変更できます。
宛先 CIDR ブロックとネクストホップでサポートされているタイプの詳細については、「システムルートとカスタムルートの比較」をご参照ください。
ルートのネクストホップを変更する前に、ビジネスへの影響を十分に評価して、サービスの中断を回避してください。
コンソール
ターゲットルートの [操作] 列で、[編集] をクリックします。表示されるダイアログボックスで、[ネクストホップタイプ] のドロップダウンリストをクリックし、ターゲットネクストホップを選択します。
ネクストホップタイプ別の一般的なシナリオの詳細については、「構成例」をご参照ください。
API
ModifyRouteEntry 操作を呼び出して、vSwitch に接続されたルートテーブルのルートのネクストホップを変更します。
UpdateGatewayRouteTableEntryAttribute 操作を呼び出して、IPv4 または IPv6 ゲートウェイに接続されたルートテーブルのルートのネクストホップを変更します。
Terraform
リソース: alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # ルートテーブル ID を指定します。
destination_cidrblock = "172.11.1.1/32"
nexthop_type = "Instance" # ネクストホップタイプを変更します。
nexthop_id = "i-12345xxxx" # ネクストホップインスタンス ID を指定します。
}静的ルートの公開と撤回
ルートテーブルのルートは、Express Connect ルーター (ECR) またはトランジットルーター (TR) に伝播できます。動的ルートの受信と組み合わせることで、ルート構成が簡素化されます。
静的ルートを ECR に公開する: 静的ルートが ECR に公開されると、クラウド上の ECR からデータセンターに動的に伝播できます。ルートの競合がない場合、ECR に関連付けられているすべてのデータセンターがこのルートを学習できます。
静的ルートをトランジットルーター (TR) に公開する: 静的ルートが TR に公開されると、ルートの競合がなく、TR のルート同期が有効になっている場合、TR に接続されているすべてのネットワークインスタンスがこのルートを学習できます。
VPC が ECR と TR の両方に接続されている場合、VPC ルートを ECR と TR に公開する操作は独立しており、互いに影響を与えません。
コンソール
静的ルートを公開する
ターゲットルートの [VPC ルート公開ステータス] 列で、[公開] をクリックします。
[VPC ルート公開ステータス] 列は、VPC が TR または ECR に接続された後にのみ、コンソールのルートに表示されます。
公開された静的ルートを撤回する
ターゲットルートの [VPC ルート公開ステータス] 列で、[撤回] をクリックします。
[VPC ルート公開ステータス] 列は、VPC が TR または ECR に接続された後にのみ、コンソールのルートに表示されます。
API
ECR の場合:
PublishVpcRouteEntries 操作を呼び出して、静的ルートを ECR に公開します。
WithdrawVpcPublishedRouteEntries 操作を呼び出して、ECR に公開されているルートを撤回します。
TR の場合:
PublishRouteEntries 操作を呼び出して、静的ルートを TR に公開します。
WithdrawPublishedRouteEntries 操作を呼び出して、TR に公開されているルートを撤回します。
タブ本文
動的ルートの受信を有効または無効にする
デフォルトでは、すべてのルートテーブルで 動的ルート を受信できます。純粋に静的ルーティング構成が必要な場合は、ルートテーブルの動的ルートの受信を無効にすることができます。これにより、必要に応じてビジネスルートテーブルを計画し、ルート構成を簡単に管理できます。
無効化がサポートされているケース: 動的ルートのソースが [ルート伝播 - タイプ ECR] であるか、VPC に動的ルートが伝播されていない場合。VPC に動的ルートが伝播されていない場合、[動的ルートソース] は、ルートテーブル詳細ページの [ルートエントリリスト] > [動的ルート] タブに表示されません。
無効化は、次のケースではサポートされていません。VPC が Basic Edition TR に接続されている。VPC が Enterprise Edition TR に接続されており、TR で VPC の ルート同期 が有効になっている。VPC が VPN ゲートウェイに関連付けられており、VPN ゲートウェイの ルート自動伝播 が有効になっている。
無効化の効果:
VPC ルートテーブルは、他のネットワークインスタンスから伝播されたルートを受信しなくなります。ルートテーブルに動的ルートが既に存在する場合、それらはすべて削除されます。注意して進めてください。
VPC を Basic Edition TR に接続できません。この VPC に接続されている TR は、VPC のルート同期を有効にできません。この VPC に関連付けられている VPN ゲートウェイは、ルート自動伝播を有効にできません。
無効にした後、再度有効にした場合の効果:
再度有効にすると、VPC ルートテーブルの動的ルートは、動的ルートソースから現在伝播されているルートに基づいて設定されます。
たとえば、ECR に 4 つの動的ルートがある場合、このスイッチを無効にすると、VPC ルートテーブルから動的ルートがクリアされます。ECR にさらに 2 つのルートを追加し、このスイッチを再度有効にすると、VPC ルートテーブルは ECR から 6 つの動的ルートを受信します。
コンソール
ターゲットルートテーブルの [基本情報] ページに移動します。[伝播されたルートを受け入れる] スイッチを使用して、動的ルートの受信を有効または無効にします。
動的ルートの受信を有効または無効にする前に、ルート変更によるビジネスへの影響を十分に評価して、サービスの中断を回避してください。
API
ModifyRouteTableAttributes 操作を呼び出し、RoutePropagationEnable パラメーターを変更して、動的ルートの受信を有効または無効にします。
動的ルートの受信を有効または無効にする前に、ルート変更によるビジネスへの影響を十分に評価して、サービスの中断を回避してください。
Terraform
動的ルートの受信を有効または無効にする前に、ルート変更によるビジネスへの影響を十分に評価して、サービスの中断を回避してください。
リソース: alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description" // テストの説明
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
route_propagation_enable = True # このパラメーターを変更して、動的ルートの受信を有効または無効にします。
}ゲートウェイルートテーブルを使用する
ゲートウェイルートテーブルを使用すると、インバウンドインターネットトラフィックをセキュリティデバイスに転送して、詳細な検査とフィルタリングを行うことができます。これにより、悪意のある攻撃や不正アクセスを防ぎ、セキュリティを強化できます。また、ゲートウェイルートテーブルとカスタムルートテーブルを組み合わせて、アウトバウンドトラフィックをセキュリティデバイスにリダイレクトすることで、インバウンドトラフィックとアウトバウンドトラフィックの両方に包括的なセキュリティを提供できます。
この機能を使用するには、最初にゲートウェイルートテーブルを作成し、IPv4 ゲートウェイに接続する必要があります。次に、ルートテーブル内の vSwitch CIDR ブロックに対応するシステムルートのネクストホップを次のいずれかに変更できます。
[ECS インスタンス] または [弾性ネットワークインターフェース]: インターネットトラフィックを特定の ECS インスタンスまたは ENI に安全にリダイレクトするために使用されます。
[Gateway Load Balancer エンドポイント]: Gateway Load Balancer (GWLB) シナリオでインターネットトラフィックをサードパーティのセキュリティデバイスにリダイレクトするために使用されます。
これらのリージョン のみ、ネクストホップを [Gateway Load Balancer エンドポイント] に変更することをサポートしています。
セルフマネージドファイアウォールを使用する
VPC 内の ECS インスタンスにセルフマネージドファイアウォールをセットアップし、ゲートウェイルートテーブルを使用して、VPC に入るトラフィックをファイアウォールにリダイレクトしてフィルタリングできます。
GWLB 高可用性アーキテクチャ
Gateway Load Balancer (GWLB) を使用して、トラフィックをさまざまなセキュリティデバイスに分散することで、アプリケーションのセキュリティと可用性を向上させることができます。
構成例
ネクストホップタイプごとに異なるシナリオが対応します。
IPv4 ゲートウェイへのルート
IPv4 ゲートウェイ を、企業 VPC とインターネット間の統合された入出力ポイントとして使用できます。カスタムルートテーブルと組み合わせることで、インターネットアクセストラフィックを一元的に制御できるため、統合セキュリティポリシーと監査の実装が容易になり、アクセス ポイントが分散することによるセキュリティリスクが軽減されます。
IPv6 ゲートウェイへのルート
IPv6 を有効にすると、システムは自動的にカスタムルートをシステムルートテーブルに追加します。
宛先 CIDR ブロックは
::/0で、ネクストホップは IPv6 ゲートウェイです。
このルートは、デフォルトの IPv6 トラフィックを IPv6 ゲートウェイに転送します。IPv6 アドレスの IPv6 パブリック帯域幅を有効にすると、システムルートテーブルに接続されている vSwitch はインターネットと通信できます。
カスタムルートテーブルに接続されている IPv6 が有効な vSwitch の場合、IPv6 を介してインターネットと通信するには、上記のルートをカスタムルートテーブルに手動で追加する必要があります。
ネクストホップが IPv6 ゲートウェイインスタンスであるカスタムルートの場合、宛先 CIDR ブロックは ::/0 にのみ設定できます。NAT ゲートウェイへのルート
多くのサーバーがインターネットにアクティブにアクセスする必要があり、多くのパブリック IP リソースが必要な場合は、インターネット NAT ゲートウェイ の SNAT 機能を使用できます。これにより、VPC 内の複数の ECS インスタンスがインターネットアクセス用の EIP を共有できるため、パブリック IP リソースを節約できます。さらに、これらの ECS インスタンスはプライベート IP アドレスを公開せずにインターネットにアクセスできるため、セキュリティリスクが軽減されます。
NAT ゲートウェイを使用する場合、インターネット NAT ゲートウェイを指すカスタムルートを VPC ルートテーブルに追加して、インターネットアクセスを有効にする必要があります。
ECS インスタンスが属する vSwitch がカスタムルートテーブルに接続されている場合: [宛先 CIDR ブロック] を
0.0.0.0/0に設定し、[ネクストホップ] をインターネット NAT ゲートウェイに設定したルートを手動で構成する必要があります。ECS インスタンスが属する vSwitch がシステムルートテーブルに接続されている場合:
宛先 CIDR ブロック
0.0.0.0/0のルートがシステムルートテーブルに存在しない場合、システムはインターネット NAT ゲートウェイを指すルートを自動的に構成します。宛先 CIDR ブロック
0.0.0.0/0のルートがシステムルートテーブルに既に存在する場合、既存のルートを削除してから、インターネット NAT ゲートウェイを指すルートを追加する必要があります。
VPC ピアリング接続へのルート
VPC は互いに分離されていますが、VPC ピアリング接続 を使用すると、同じアカウントか異なるアカウントか、同じリージョンか異なるリージョンかに関係なく、2 つの VPC 間のプライベート通信を有効にできます。2 つの VPC 間でピアリング接続が確立されると、それらの中にデプロイされた Alibaba Cloud リソースは、プライベート IPv4 または IPv6 アドレスを使用して相互にアクセスできます。
トランジットルーターへのルート
Cloud Enterprise Network (CEN) を使用して VPC を接続する場合、トランジットルーターを指すルートを VPC ルートテーブルに追加する必要があります。次のいずれかの方法でこれを行うことができます。
VPC 接続を作成するときに、[VPC のすべてのルートテーブルのトランジットルーターを指すルートを自動的に構成する] を選択します。
この機能を有効にすると、システムは VPC インスタンスのすべてのルートテーブルに、宛先 CIDR ブロックが 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 の 3 つのルートを自動的に構成します。すべてのネクストホップは VPC 接続を指し、VPC インスタンスからの IPv4 トラフィックをトランジットルーターに転送します。
トランジットルーターで ルート学習 を有効にした後、各 VPC の ルート同期 を有効にするか、ピア VPC を指すルートを各 VPC ルートテーブルに手動で追加できます。
次の図は、トランジットルーターでルート学習が有効になった後、宛先 CIDR ブロックがピア VPC の CIDR ブロックに設定され、ネクストホップがトランジットルーターに設定されたルートが VPC ルートテーブルに手動で追加される例を示しています。
VPN ゲートウェイへのルート
VPN ゲートウェイを介して暗号化トンネルを確立することにより、オンプレミスデータセンターと VPC の間に安全で信頼性の高いネットワーク接続を作成できます。
VPN ゲートウェイを使用する場合、[宛先 CIDR ブロック] をデータセンターの CIDR ブロックに設定し、[ネクストホップ] を [VPN ゲートウェイ] に設定したルートを VPC に構成する必要があります。これにより、VPC は IPsec 接続を介してデータセンターにアクセスできます。
ECS インスタンスまたは弾性ネットワークインターフェースへのルート
VPC 内の 2 つの vSwitch が通信する必要がある場合、ルートテーブルを調整して、トラフィック検査、分析、および保護のために、サードパーティのセキュリティデバイス (ファイアウォールや WAF など) をトラフィックパスに挿入できます。
これを構成するには、通信する各 vSwitch を個別のカスタムルートテーブルに接続します。次に、対応する CIDR ブロックのシステムルートのネクストホップを、ファイアウォールの ECS インスタンスまたはファイアウォールの弾性ネットワークインターフェース (ENI) に変更できます。
ルーターインターフェースへのルート
Express Connect の VBR-to-VPC 接続 機能を使用すると、オンプレミスデータセンターをクラウドネットワークに接続できます。
VBR-to-VPC 接続機能はデフォルトでは有効になっていません。使用するには、ビジネス マネージャーに連絡して申請する必要があります。
この機能を使用する場合、宛先 CIDR ブロックをデータセンターの CIDR ブロックに設定し、ネクストホップタイプを [ルーターインターフェース (VBR へ)] に設定したルートを VPC に構成する必要があります。これにより、VPC は VBR を介してデータセンターにアクセスできます。このタイプは、ヘルスチェック で使用する必要がある [ECMP] モードと [アクティブ/スタンバイ] モードをサポートしています。
[アクティブ/スタンバイモード]: ネクストホップとして 2 つのインスタンスのみがサポートされています。アクティブルートのネクストホップの重みは 100 で、バックアップルートのネクストホップの重みは 0 です。アクティブルートがヘルスチェックに失敗した場合、バックアップルートが有効になります。
[ECMP]: ネクストホップとして 2 ~ 16 のインスタンスを選択できます。各インスタンスの重みは同じで、0 ~ 255 の有効な範囲内である必要があります。システムは、ネクストホップインスタンス間でトラフィックを均等に分散します。
次の図は、アクティブ/スタンバイモードを示しています。
Express Connect ルーターへのルート
Express Connect ルーター (ECR) と Express Connect を使用すると、オンプレミスデータセンターをクラウドネットワークに接続できます。
デフォルトでは、VPC は ECR から動的ルートを受信します。宛先 CIDR ブロックはデータセンターの CIDR ブロックで、ネクストホップは Express Connect ルーターです。これにより、クラウド上の VPC とデータセンター間の通信が可能になります。
VPC ルートテーブルの動的ルートの受信が無効になっている場合は、[宛先 CIDR ブロック] をデータセンターの CIDR ブロックに設定し、[ネクストホップ] を [Express Connect ルーター] に設定したルートを VPC ルートテーブルに手動で構成する必要があります。これにより、クラウド上の VPC とデータセンター間の通信が可能になります。
Gateway Load Balancer エンドポイントへのルート
これらのリージョン のみ、[Gateway Load Balancer エンドポイント] をサポートしています。具体的なユースケースについては、「ゲートウェイルートテーブルを使用する - GWLB 高可用性アーキテクチャ」をご参照ください。
詳細情報
エリア | リージョン |
アジアパシフィック - 中国 | 中国 (杭州)、 中国 (上海)、 中国 (南京 - ローカルリージョン)、 中国 (青島)、 中国 (北京)、 中国 (張家口)、 中国 (フフホト)、 中国 (ウランチャブ)、 中国 (深セン)、 中国 (河源)、 中国 (広州)、 中国 (成都)、 中国 (香港)、 中国 (武漢 - ローカルリージョン)、および 中国 (福州 - ローカルリージョン) |
アジアパシフィック - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク) |
ヨーロッパ & アメリカ | ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (シリコンバレー)、米国 (バージニア)、メキシコ |
中東 | UAE (ドバイ) および SAU (リヤド - パートナーリージョン) 重要 サウジアラビア (リヤド - パートナーリージョン) リージョンはパートナーによって運営されています。 |
クォータ
クォータ名 | 説明 | デフォルト制限 | クォータの増加 |
vpc_quota_route_tables_num | VPC 内に作成できるカスタムルートテーブルの数。 | 9 | |
vpc_quota_route_entrys_num | ルートテーブルあたりのカスタムルートエントリの最大数 (動的に伝播されたルートエントリ を除く) | 200 | |
vpc_quota_dynamic_route_entrys_num | ルートテーブルに動的に伝播されるルートの数。 | 500 | |
vpc_quota_havip_custom_route_entry | HaVip インスタンスを指すことができるカスタムルートの最大数。 | 5 | |
vpc_quota_vpn_custom_route_entry | VPC 内の VPN ゲートウェイを指すことができるカスタムルートの最大数。 | 50 | |
なし | ルートテーブルに追加できるタグの数。 | 20 | 増加できません。 |
VPC 内に作成できる vRouter の数。 | 1 | ||
VPC 内のトランジットルーター (TR) 接続を指すことができるルートの最大数。 | 600 |
制限
ルートテーブルの制限
各 vSwitch はルートテーブルに接続する必要があり、1 つのルートテーブルにのみ接続できます。1 つのルートテーブルを複数の vSwitch に接続できます。
カスタムルートテーブルのみを削除できます。システムルートテーブルは削除できません。
ルートの制限
静的ルートの制限:
システムルートを手動で作成または削除することはできません。
100.64.0.0/10 クラウドサービスシステムルートよりも具体的な宛先 CIDR ブロックを持つカスタムルートを作成できますが、CIDR ブロックは同じにすることはできません。ルートの設定を誤ると一部の Alibaba Cloud サービスにアクセスできなくなる可能性があるため、より具体的なルートは慎重に構成してください。
ネクストホップが IPv6 ゲートウェイインスタンスであるカスタムルートの場合、宛先 CIDR ブロックは
::/0にのみ設定できます。[VPC ルート公開ステータス] 列は、VPC が TR または ECR に接続された後にのみ、コンソールのルートに表示されます。
新しいルートの宛先 CIDR ブロックが既存のルートの宛先 CIDR ブロックと重複している場合、新しいルートの追加は一部のケースではサポートされていません。詳細については、「ルートの優先順位」をご参照ください。
静的ルートの公開の制限:
カスタムルートテーブルのルートは ECR に公開できません。
宛先 CIDR ブロックがプレフィックスリストであるルートは、ECR に公開できません。
ネクストホップがルーターインターフェース (VBR へ) であるアクティブ/スタンバイルートと ECMP ルートは、ECR に公開できません。VPC ルートが ECR に公開されると、ECMP ルートまたはアクティブ/スタンバイルートを構成できなくなります。
VPC ルートが ECR に公開された後、公開されたルートを変更する場合、ターゲットルートのネクストホップは、公開操作をサポートするルートタイプ (以下の表を参照) にのみ設定できます。
次の表に、VPC インスタンスのさまざまなタイプのルートのデフォルトの公開ステータスと、公開操作と撤回操作をサポートするかどうかを示します。
動的ルートの制限:
VPC ルートテーブルは、一度に 1 つの動的ルートソースからのみ動的ルートを受信できます。
たとえば、VPC が ECR に関連付けられた後、VPC を Enterprise Edition TR に接続する場合、TR で VPC の ルート同期 を有効にしようとすると失敗します。VPN ゲートウェイを作成し、ルート自動伝播を有効にすると、VPN ゲートウェイによって学習された BGP ルートは VPC のシステムルートテーブルに自動的に伝播されます。この場合、VPC を ECR に関連付けることはできません。
受信した動的ルートがルートテーブルの既存のルートと重複している場合は、「ルートの優先順位」を参照して、どのルートが有効になるかを判断してください。
vSwitch に接続されたルートテーブルのみが動的ルートを受信できます。ゲートウェイルートテーブルは動的ルートをサポートしていません。
料金
VPC ルートテーブル機能は無料です。