仮想プライベートクラウド (VPC) のルートテーブルは、リソースから宛先へのネットワークトラフィックのパスを決定します。ルートエントリを構成することで、トラフィックを特定のパスに沿って転送できます。
ルートテーブル
側面 | システムルートテーブル | カスタムルートテーブル | |
vSwitch | ゲートウェイ | ||
シナリオ | vSwitch は、作成後にデフォルトでシステムルートテーブルにバインドされます。 VPC 内のすべての vSwitch は同じルーティングメソッドを使用します。 | vSwitch をカスタムルートテーブルにバインドして、各 vSwitch のトラフィックフローを制御します。 | VPC へのインバウンドインターネットトラフィックのルーティングを制御します。 |
バインド先 | vSwitch | vSwitch | IPv4 または IPv6 ゲートウェイ |
メソッド | システムによって自動的に生成され、ユーザーは手動で作成できません。 | ユーザーが作成 | ユーザーが作成 |
削除 | 削除できません。 | 削除する前に vSwitch からバインドを解除します。 | 削除する前に IPv4 または IPv6 ゲートウェイからバインドを解除します。 |
クォータ | VPC あたり 1 つ | デフォルトでは VPC あたり 9 つ。クォータ管理ページ にアクセスして増加をリクエストしてください。 | VPC あたり 1 つ。 |
1 つの vSwitch は 1 つのルートテーブルにのみバインドできます。 vSwitch のルーティングポリシーは、ルートテーブルによって制御されます。
1 つのルートテーブルは複数の vSwitch にバインドできます。
vSwitch にバインドされているルートテーブルを変更します。
カスタムルートテーブルからシステムルートテーブルに変更するには、vSwitch からバインドを解除します。
別のカスタムルートテーブルにバインドするには、vSwitch に関連付けるだけです。
ルートエントリ
ルートテーブルの各項目はルートエントリであり、宛先 CIDR ブロックとネクストホップで構成されます。
宛先 CIDR ブロック: トラフィックのルーティング先の IP アドレスの範囲。
ネクストホップ: トラフィックの転送先。
タイプ: トラフィックの転送先のリソースのタイプ (Elastic Compute Service (ECS) インスタンス、VPN ゲートウェイ、Elastic Network Interface (ENI) など)。
インスタンス: トラフィックの転送先の特定のインスタンス。
ルートエントリは、[宛先 CIDR ブロック] を使用したあいまい検索でフィルタリングできます。さらに、カスタムルートでは、ルートエントリ ID/名前 および ネクストホップ ID によるあいまい検索が可能です。
静的ルート
静的ルートは、ネットワークの変更に自動的に適応しません。ネットワークトポロジが変更された場合は、ルーティングを手動で更新する必要があります。
システム: VPC と vSwitch が作成された後、ルートエントリはルートテーブルに自動的に追加されます。
カスタム: システムのルートエントリを置き換えたり、トラフィックを指定した宛先にルーティングしたりするためにユーザーが作成したルートエントリ。
次の図に示すように、VPC はデュアルスタックをサポートしており、IPv4 と IPv6 の両方の CIDR ブロックを構成できます。2 つのタイプのトラフィックは、独立したルーティングポリシーによって分離されます。
デュアルスタック VPC1 が作成されると、次のルートが自動的に追加されます。
172.16.1.0/24
: vSwitch 内のリソース間の IPv4 通信に使用される IPv4 システムルート。2408:XXXX:XXXX:3f00::/64
: vSwitch 内のリソース間の IPv6 通信に使用される IPv6 システムルート。::/0
: デフォルトの IPv6 トラフィックを IPv6 ゲートウェイに転送するカスタム IPv6 ルート。IPv6 インターネット帯域幅が有効になると、IPv6 アドレスはインターネットと通信できます。
カスタムルートを構成することで、トラフィックは指定されたパスに沿ってルーティングされます。
192.168.0.0/16
: 宛先として VPC2 CIDR ブロックを持つルート。ピアリング接続により、VPC1 と VPC2 のインスタンス間の通信が可能になります。0.0.0.0/0
: インターネット通信のためにデフォルトの IPv4 トラフィックを IPv4 ゲートウェイに転送するカスタム IPv4 ルート。ルートプライオリティに基づいて、すべての IPv4 トラフィックは、システムルートとピアリング接続のカスタムルートを除き、IPv4 ゲートウェイにルーティングされ、一元的に制御されます。
タイプ | システムルート | カスタムルート |
作成 | VPC と vSwitch が作成された後、ルートテーブルにデフォルトで追加されます。 | ユーザーが作成します。トラフィックが宛先に到達するパスを決定します。 |
宛先 CIDR ブロックとネクストホップ |
|
説明
|
変更 |
|
静的ルート構成
制限事項
ルートを構成する際には、次の制限に注意してください。
宛先 CIDR ブロック
カスタムルートの宛先 CIDR ブロックは、システムルートまたは動的ルートの宛先 CIDR ブロックと同じにすることはできません。
カスタムルートの宛先 CIDR ブロックには、システムルートの CIDR ブロックを含めることができます。カスタムルートの CIDR ブロックは、クラウドサービスのシステムルートを除き、システムルートの CIDR ブロックよりも詳細にすることはできません。
システムルート
100.64.0.0/10
よりも詳細な CIDR ブロックを持つカスタムルートを作成できますが、この CIDR ブロックと同じにすることはできません。宛先 CIDR ブロック100.64.0.0/10
を持つシステムルートは VPC 内のリソース間の通信に使用されるため、詳細なルートの構成は慎重に行ってください。構成が正しくないと、一部のサービスにアクセスできなくなる可能性があります。
ネクストホップ
カスタムルートテーブルを作成し、IPv6 機能が有効になっている vSwitch にバインドする場合、宛先として
::/0
、ネクストホップとして [IPv6 ゲートウェイ] を持つカスタムルートエントリを手動で追加する必要があります。特定のルートが構成されていない IPv6 トラフィックは、IPv6 ゲートウェイにルーティングされます。IPv6 インターネット帯域幅が有効になっている場合、IPv6 アドレスはインターネット通信機能を持ちます。Express Connect 回線を使用してオンプレミスネットワークに接続する場合、[ネクストホップタイプ] を [ルータインターフェース (VBR へ)] として選択します。このタイプは、[負荷分散ルート] と [アクティブ/スタンバイルート] をサポートしており、ヘルスチェックと併用する必要があります。それ以外の場合は、宛先 CIDR ブロックは一意である必要があります。
例
ルート構成の精度は、ネットワーク接続に影響します。必要に応じて VPC と他のプロダクトを柔軟に組み合わせて、カスタムルートエントリを追加してインバウンドトラフィックとアウトバウンドトラフィックを制御し、ネットワーク接続を実現できます。詳細については、次の構成例をご参照ください。
インターネットアクセス (インターネット NAT ゲートウェイ)
多くのサーバーがインターネットにアクセスする必要があり、多くのパブリック IP アドレスが必要な場合は、インターネット NAT ゲートウェイ の SNAT 機能を使用して、VPC 内の ECS インスタンスが EIP を共有し、パブリック IP リソースを節約できるようにします。これらの ECS インスタンスは、プライベート IP アドレスを公開することなくインターネットにアクセスできるため、セキュリティリスクが軽減されます。
この場合は、インターネット NAT ゲートウェイを指すカスタムルートエントリを追加して、インターネットアクセスを有効にします。
ECS インスタンスが属する vSwitch がカスタムルートテーブルにバインドされている場合: [宛先 CIDR ブロック] を
0.0.0.0/0
、[ネクストホップ] をインターネット NAT ゲートウェイとしてルートエントリを手動で構成します。システムルートテーブルにバインドされている場合:
0.0.0.0/0
のルートエントリがない場合、システムはインターネット NAT ゲートウェイを指すルートエントリを自動的に構成します。0.0.0.0/0
のルートエントリがある場合は、既存のルートエントリを削除してから、インターネット NAT ゲートウェイを指すルートエントリを追加します。
一元化されたインターネットアクセス制御 (IPv4 ゲートウェイ)
リソースを作成および管理する権限を持つ事業部門は、承認なしに ECS インスタンスのパブリック IP を構成してインターネットアクセスを取得する場合があります。これにより、O&M 部門が一元的にインターネットアクセスを管理することが困難になります。これを解決するには、IPv4 ゲートウェイ を企業 VPC とインターネット間の統一された出入り口として使用します。
カスタムルートテーブルや NAT ゲートウェイなどのコンポーネントと組み合わせることで、パブリックトラフィックを一元的に制御し、セキュリティポリシーと監査を一元的に実装し、分散アクセスによるセキュリティリスクを軽減できます。
vSwitch ルートテーブルにネクストホップが IPv4 ゲートウェイであるルートエントリがある場合、そのルートエントリアドレスはインターネットにアクセスできます。IPv4 ゲートウェイを指すルートを持つ vSwitch はパブリック vSwitch と呼ばれ、ルートを持たない vSwitch はプライベート vSwitch と呼ばれます。
パブリック vSwitch: [宛先 CIDR ブロック] を
0.0.0.0/0
、[ネクストホップ] を IPv4 ゲートウェイとするルートを追加して、パブリック vSwitch 内のリソースがインターネットにアクセスできるようにします。プライベート vSwitch:
[宛先 CIDR ブロック] を
0.0.0.0/0
、[ネクストホップ] を NAT ゲートウェイとするルートを追加します。これにより、IPv4 インターネットトラフィックが NAT ゲートウェイにルーティングされ、プライベート vSwitch が IPv4 ゲートウェイを介してインターネットにアクセスできるようになります。ECS2 は、ルートテーブルに IPv4 ゲートウェイを指すルートがないプライベート vSwitch に配置されています。ECS2 にパブリック IPv4 アドレスが割り当てられていても、インターネットと通信することはできません。
VPC の接続 (VPC ピアリング接続)
VPC ピアリング接続 を使用すると、同じアカウント内またはアカウント間で、同じリージョン内またはリージョン間で、2 つの VPC 間のプライベート通信を有効にすることができます。ピアリング接続を作成すると、VPC 内のリソースはプライベート IPv4 アドレスまたは IPv6 アドレスを介して相互にアクセスできます。
この例では、VPC1 と VPC2 の間にピアリング接続 (pcc-aaabbb) が作成されています。ピアリング接続の両端でピア VPC を指すルートエントリを構成します。
VPC1 ルートテーブル: [宛先 CIDR ブロック] を VPC2 CIDR ブロック、[ネクストホップ] をピアリング接続とするルートを追加します。
VPC2 ルートテーブル: [宛先 CIDR ブロック] を VPC1 CIDR ブロック、[ネクストホップ] をピアリング接続とするルートを追加します。
VPC ピアリング接続を使用する場合は、両端の VPC と vSwitch の CIDR ブロックが重複しないように、事前にネットワークを計画してください。
データセンターへの接続 (Express Connect)
Express Connect 回線を使用して、仮想ボーダールータ (VBR) を介してデータセンターをクラウドに接続します。
[宛先 CIDR ブロック] をデータセンター、[ネクストホップタイプ] を [ルータインターフェース (VBR へ)] としてルートエントリを構成します。これにより、VPC は VBR を介してデータセンターにアクセスできます。
Express Connect 回線と Express Connect ルータ (ECR) を使用して、低レイテンシと高パフォーマンスを実現することもできます。
[宛先 CIDR ブロック] をデータセンター、[ネクストホップ] を [ECR] としてルートエントリを構成します。これにより、VPC は ECR と VBR を介してデータセンターにアクセスできます。
データセンターへの接続 (VPN ゲートウェイ)
VPN ゲートウェイを使用して、暗号化されたトンネルを介してデータセンターを VPC に接続します。
[宛先 CIDR ブロック] をデータセンター、[ネクストホップ] を [VPN ゲートウェイ] としてルートエントリを構成します。これにより、VPC は IPsec 接続を介してデータセンターにアクセスできます。
静的ルート広告
ECR へのアドバタイズ
VPC システムルートテーブルで構成されたカスタムルートエントリを ECR にアドバタイズできます。ルートの競合が発生しない場合、ECR に関連付けられたデータセンターはルートを学習します。
転送ルータへのアドバタイズ
接続された VPC から転送ルータにルートをアドバタイズできます。ルートの競合が発生しない場合、転送ルータ内の他のネットワークインスタンスはルートを学習できます。
ECR と転送ルータを使用して VPC のハイブリッドクラウドを構築する場合、CEN が転送ルータにルートをアドバタイズするルールと VPC が ECR に静的ルートをアドバタイズするルールは変更されません。
動的ルート
静的ルートとは異なり、動的ルートは手動でのルート構成を必要としません。ルート広告を通じて、動的ソースからルートを動的に学習し、更新します。
動的ルートソース
動的ルートソースとは、動的ルートの学習元となるソースを指し、CEN インスタンス、VPN ゲートウェイ、ECR などが含まれます。[動的ルート] タブの [ルートエントリリスト] でソースを表示できます。
VPC は、一度に 1 つの動的ソースからのみ動的ルートを受信します。たとえば、VPC が ECR に関連付けられている場合、ルート広告が有効になっている CEN に VPC を追加すると、ルート広告の有効化に失敗します。VPN ゲートウェイを作成し、[BGP 自動アドバタイズを有効にする] と、VPN ゲートウェイによって学習された BGP ルートは VPC のシステムルートテーブルに自動的に伝播されます。この場合、VPC を ECR に追加することはできません。
宛先 CIDR ブロックが vSwitch CIDR ブロックと同じか、それよりも詳細な場合、VPC は動的ソースからルートを学習できません。
ルート広告の有効化/無効化
ルート広告を有効または無効にして、動的ルートを受け入れるか拒否するかを制御できます。
[アドバタイズされたルートを受け入れる] スイッチはデフォルトで有効になっており、ルートテーブルはルート同期からの動的ルートを受信できます。[動的ルートソース] とルートエントリに関する情報は、[動的ルート] タブで表示できます。
[ルートテーブル] ページで、ターゲットルートテーブルの ID をクリックします。
[基本情報] セクションで、[アドバタイズされたルートを受け入れる] の右側にあるスイッチをオンまたはオフに切り替えます。
説明無効化できるかどうか
VPC に動的ルートが同期されていない場合は、この機能を無効にできます。[ルートエントリリスト] の [動的ルート] タブには、動的ルートソースはありません。
[動的ルートソース] が [ルートアドバタイズタイプ ECR] の場合、この機能を無効にすることができます。その後、VPC は ECR から動的ルートを学習しなくなります。
VPC が Basic Edition CEN に接続されている場合、または関連付けられている転送ルータまたは VPN ゲートウェイでルート広告が有効になっている場合、このスイッチをオフにすることはできません。
無効にした後の影響
ルートテーブルは同期された動的ルートを受け入れなくなります。既存の動的ルートは削除されます。
VPC を Basic Edition CEN に接続することはできず、関連付けられている転送ルータまたは VPN ゲートウェイのルート広告を有効にすることはできません。
有効にした後の影響
VPC は 1 つの ECR インスタンスにのみ関連付けることができます。[アドバタイズされたルートを受け入れる] をオフにしてから再びオンにすると、VPC ルートテーブルは現在の ECR 動的ルートに基づいて動的ルートを再計算し、構成します。
たとえば、ECR からルートテーブルに 4 つの動的ルートが同期されているとします。スイッチをオフにすると、これらのルートは削除されます。さらに 2 つの動的ルートがアドバタイズされ、スイッチをオンにすると、VPC ルートテーブルには 6 つの動的ルートが存在します。
ルートプライオリティ
同じ宛先 CIDR ブロック
Express Connect 回線を使用してオンプレミスネットワークに接続する場合、[ネクストホップタイプ] を [ルータインターフェース (VBR へ)] として選択します。同じ宛先 CIDR ブロックと異なるネクストホップを持つルートエントリを構成できます。
この機能はヘルスチェックと併用する必要があります。そうでない場合、アクティブ/スタンバイおよび負荷分散ルートのプライオリティは有効になりません。
[アクティブ/スタンバイルート]: 2 つのインスタンスがネクストホップとして設定され、アクティブルートの重みは 100、スタンバイルートの重みは 0 です。アクティブルートがヘルスチェックに合格しなかった場合、スタンバイルートが引き継ぎます。
[負荷分散ルート]: 2 ~ 16 個のインスタンスをネクストホップとして選択します。各インスタンスは同じ重みを持つ必要があり、重みは 0 ~ 255 の整数です。システムは、ネクストホップインスタンス間でトラフィックを均等に分散します。
重複する宛先 CIDR ブロック
IPv4 と IPv6 のトラフィックルーティングは互いに独立しています。最長プレフィックス一致の原則に従って、宛先 IP に一致する最も詳細なルートがネクストホップとして選択されます。
最長プレフィックス一致に従って、ルートテーブル内の複数のルーティングエントリが宛先 IP アドレスに一致する場合、ルータは最長のサブネットマスクを持つエントリを選択してトラフィックを転送します。
たとえば、次のルートテーブルには、異なる ECS インスタンスを指すカスタムルートがあります。
宛先 CIDR ブロック | ネクストホップタイプ | ネクストホップ | ルートエントリタイプ |
| - | - | システム |
| - | - | システム |
| ECS インスタンス | ECS1 | カスタム |
| ECS インスタンス | ECS2 | カスタム |
宛先 IP が異なる場合、トラフィックは異なるルートに従って転送されます。
宛先 IP | ルートマッチング |
|
最長プレフィックス一致に従って、トラフィックは ECS2 に転送されます。 |
|
|
|
|
制限
クォータ制限
名前/ID | 説明 | デフォルト値 | 調整可能 |
vpc_quota_route_tables_num | 各 VPC で作成できるカスタムルートテーブルの最大数 | 9 | クォータを増やす方法:
|
vpc_quota_route_entrys_num | 各ルートテーブルで作成できるカスタムルートの最大数 (動的ルートを除く) | 200 | |
vpc_quota_dynamic_route_entrys_num | 各ルートテーブルの動的ルートの最大数 | 500 | |
vpc_quota_havip_custom_route_entry | 高可用性仮想 IP アドレス (HAVIP) を指すカスタムルートの最大数 | 5 | |
vpc_quota_vpn_custom_route_entry | VPC 内で VPN ゲートウェイを指すカスタムルートの最大数 | 50 | |
N/A | 各ルートテーブルに追加できるタグの最大数 | 20 | N/A |
各 VPC で作成できる vRouter の最大数 | 1 | ||
各 VPC でサポートされている転送ルータを指すルートの最大数 | 600 |
サポートされているリージョン
エリア | リージョン |
アジアパシフィック - 中国 | 中国 (杭州)、中国 (上海)、中国 (南京 - ローカルリージョン)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (呼和浩特)、中国 (ウランチャブ)、中国 (深圳)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、中国 (武漢 - ローカルリージョン)、中国 (福州 - ローカルリージョン) |
アジアパシフィック - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク) |
ヨーロッパ & アメリカ | ドイツ (フランクフルト)、英国 (ロンドン)、米国 (シリコンバレー)、米国 (バージニア)、メキシコ |
中東 | UAE (ドバイ)、SAU (リヤド - パートナーリージョン) 重要 SAU (リヤド - パートナーリージョン) リージョンはパートナーによって運営されています。 |