すべてのプロダクト
Search
ドキュメントセンター

Virtual Private Cloud:VPC ルートテーブル

最終更新日:Jun 12, 2026

ルートテーブルは、Virtual Private Cloud (VPC) 内のネットワークトラフィックを転送します。これはネットワークの道標のようなものであり、Elastic Compute Service (ECS) インスタンスなどのソースから宛先へのパケットを誘導するためのルートエントリを設定します。

特徴

ルートテーブル

VPC を作成すると、システムルートテーブルが自動的に作成されます。デフォルトでは、VPC 内のすべての vSwitch にアタッチされ、ネットワークトラフィックを制御します。

VPC 内の異なる ECS インスタンスが、異なるネットワークパスを介して同じ宛先 CIDR ブロックにトラフィックを送信する必要がある場合は、カスタムルートテーブルを使用できます。ECS インスタンスを異なる vSwitch にデプロイし、それぞれに専用のカスタムルートテーブルをアタッチすることで、きめ細やかなトラフィック制御が可能になります。

セルフマネージドファイアウォールを介してインバウンドのパブリックトラフィックを転送するには、ゲートウェイルートテーブルを使用できます。ゲートウェイルートテーブルは、IPv4/IPv6 ゲートウェイにアタッチされたカスタムルートテーブルです。この設定により、インバウンドトラフィックがファイアウォールに転送され、統一されたフィルタリング、監査、およびセキュリティポリシーの適用が可能になります。

この表は、これらのルートテーブルのタイプを比較したものです。

項目

システムルートテーブル

カスタムルートテーブル

アタッチ先

vSwitch

vSwitch

IPv4/IPv6 ゲートウェイ

利用シーン

デフォルトですべての新しい vSwitch にアタッチされ、vSwitch のトラフィックを集中管理します。

特定の vSwitch にアタッチされ、そのトラフィックパスを制御します。

IPv4/IPv6 ゲートウェイにアタッチされ、インバウンドのパブリックトラフィックを安全にリダイレクトします。

作成方法

VPC を作成すると自動的に作成されます。

手動で作成します。ルートテーブルを作成する際に vSwitch タイプを選択します。

手動で作成します。ルートテーブルを作成する際にゲートウェイタイプを選択します。

削除

削除できません。

関連付けられているすべての vSwitch からデタッチされると削除できます。

IPv4/IPv6 ゲートウェイからデタッチされると削除できます。

クォータ

VPC ごとに 1 つのシステムルートテーブル。

デフォルトでは、VPC 内の vSwitch 用に最大 9 つのカスタムルートテーブルを作成できます。クォータの引き上げを申請できます。

VPC 内の IPv4/IPv6 ゲートウェイ用に作成できるルートテーブルは 1 つだけです。

各 vSwitch は、必ず 1 つのルートテーブルに関連付ける必要があります。ただし、1 つのルートテーブルを複数の vSwitch に関連付けることはできます。

ルートエントリ

ルートエントリは、ルートテーブル内のルールです。特定の宛先 CIDR ブロックへのトラフィックに対して、NAT ゲートウェイや ECS インスタンスなどのネクストホップを定義します。

VPC のルートエントリは、次の 2 種類に分類されます。

1. 静的ルート:システムによって自動的に追加されるか、ユーザーが手動で追加するルート。

2. 動的ルート:Transit Router (TR) や VPN ゲートウェイなどの他のネットワークインスタンスから VPC に伝播されるルート。

1. 静的ルート

システムによって自動的に追加されるか、ユーザーが手動で追加する静的ルートには、次の 2 種類があります。

  • システムルート:ネクストホップが Local のルートで、VPC と vSwitch を作成する際にシステムによって自動的に追加されます。これらのルートは、VPC 内のインスタンス間の通信やクラウドサービスへのアクセスに使用されます。

  • カスタムルート:トラフィック転送パスをカスタマイズするために手動で追加するルート。

次の図は、2 つの VPC が VPC ピアリング接続を介して接続されている例を示しています。VPC1 のシステムルートテーブルには、次の静的ルートが含まれています。

  1. VPC と vSwitch を作成すると、システムはネクストホップが Local のシステムルートを自動的に追加します。

    1. クラウドサービスルート:宛先 CIDR ブロックは 100.64.0.0/10 です。このルートは、VPC1 内のインスタンスがクラウドサービスにアクセスするために使用されます。

    2. vSwitch ルート:宛先 CIDR ブロックは 10.0.0.0/24 です。このルートにより、VPC1 内の vSwitch 間でプライベート通信が可能になります。

  2. VPC ピアリング接続を作成した後、次のカスタムルートを手動で追加する必要があります。

    宛先 CIDR ブロックは 172.16.0.0/16 で、ネクストホップは VPC ピアリング接続です。このルートは、VPC2 宛てのトラフィックを VPC ピアリング接続に転送します。

VPC2 のシステムルートテーブル内のルートエントリは、VPC1 と同じ原則に従うため、ここでは詳述しません。

システムルートとカスタムルートの比較

項目

システムルート

カスタムルート

定義

ネクストホップが Local のルート。VPC と vSwitch を作成する際にシステムによって自動的に追加されます。

手動で追加するルート。

IPv4 ルート

システムは、VPC 内のすべてのルートテーブルに次のルートを自動的に追加します。

  • vSwitch ルート:宛先 CIDR ブロックが VPC 内のすべての vSwitch の CIDR ブロックであるルート。これらのルートは、vSwitch 内のインスタンス間の通信に使用されます。

  • クラウドサービスルート:宛先 CIDR ブロックが 100.64.0.0/10 のルート。これらのルートにより、VPC 内のインスタンスがクラウドサービスにアクセスできます。

    クラウドサービス用の `100.64.0.0/10` システムルートよりも具体的なカスタムルートを作成できますが、同一にすることはできません。これらのより具体的なルートは慎重に設定してください。設定を誤ると、一部のクラウドサービスにアクセスできなくなったり、使用できなくなったりする可能性があります。

次のルートを手動で追加できます。

  • 宛先 CIDR ブロック:カスタムの IPv4 CIDR ブロック、または プレフィックスリスト

  • ネクストホップ:IPv4 ゲートウェイNAT ゲートウェイVPC ピアリング接続Transit Router (TR)VPN ゲートウェイECS インスタンスElastic Network Interface (ENI)高可用性仮想 IP (HaVip)ルーターインターフェイス (VBR 向け)ルーターインターフェイス (VPC 向け)Express Connect Router (ECR)、または Gateway Load Balancer エンドポイントを選択できます。

    さまざまなネクストホップタイプの利用シーンについては、「設定例」をご参照ください。

IPv6 ルート

VPC で IPv6 を有効化すると、システムは VPC 内のすべてのルートテーブルに次のルートを自動的に追加します。

  • vSwitch ルート:宛先 CIDR ブロックが vSwitch の IPv6 CIDR ブロックであるルート。これらのルートは、vSwitch 内のインスタンスが IPv6 を介して通信するために使用されます。

VPC で IPv6 を有効化すると、次のルートを追加できます。

  • 宛先 CIDR ブロック:カスタムの IPv6 CIDR ブロックまたは プレフィックスリスト

  • ネクストホップ:ECS インスタンスIPv6 ゲートウェイENIルーターインターフェイス (VBR 向け)ECRVPC ピアリング接続Gateway Load Balancer エンドポイント、または TR を選択できます。

    さまざまなネクストホップタイプの利用シーンについては、「設定例」をご参照ください。

ネクストホップの変更

  • システムルートテーブル内のシステムルート:ネクストホップは変更できません。

  • カスタムルートテーブル内のシステムルート:

    ネクストホップは、[ECS インスタンス][エラスティックネットワークインターフェース (ENI)]、または [Gateway Load Balancer エンドポイント] に変更できます。変更後、ルートはカスタムルートになります。

ネクストホップは変更できます。

システムルートのネクストホップを変更して作成されたカスタムルートの場合、このカスタムルートのネクストホップは Local、ECS インスタンス、ENI、または Gateway Load Balancer エンドポイントにのみ変更できます。

作成と削除

システムルートは作成も削除もできません。

作成および削除できます。

2. 動的ルート

動的ルートは、他のネットワークインスタンスから VPC に伝播されるルートです。静的ルートとは異なり、VPC ルートテーブルで手動で設定する必要はありません。代わりに、動的ルートソースから自動的に受信および更新されます。

2.1 動的ルートのソース

VPC にルートを自動的に伝播するネットワークインスタンスには、Transit Router (TR) Enterprise Edition、TR Basic Edition、VPN ゲートウェイ、および Express Connect Router (ECR) があります。動的ルートのソースと詳細は、コンソールのルートテーブル詳細ページの [ルートエントリリスト] > [動的ルート] タブで確認できます。

TR Enterprise Edition から受信したルートの詳細は、[ルートエントリリスト] > [カスタムルート] タブに表示されます。
2.2 動的ルート受信の有効化/無効化

デフォルトでは、すべてのルートテーブルが動的ルートを受信します。純粋な静的ルーティング設定が必要な場合は、各ルートテーブルで 動的ルート受信を無効化できます。これにより、必要に応じてルートテーブルを柔軟に計画および管理できます。

2.3 制限事項
  • VPC ルートテーブルは、一度に 1 つのソースからのみ動的ルートを受信できます。

    たとえば、VPC を ECR に関連付けた後、VPC を TR Enterprise Edition に接続すると、TR で VPC の ルート同期を有効にしようとしても失敗します。同様に、VPN ゲートウェイを作成して ルート伝播を有効にすると、VPN ゲートウェイは学習した BGP ルートを VPC のシステムルートテーブルに自動的に伝播します。この場合、VPC を ECR に関連付けることはできません。

  • 受信した動的ルートがルートテーブル内の既存のルートエントリと重複する場合、「ルートの優先度」をご参照いただき、どのルーティングルールが適用されるかをご確認ください。

  • vSwitch にアタッチされたルートテーブルのみが動的ルートを受信できます。ゲートウェイにアタッチされたルートテーブルは動的ルートをサポートしていません。

  • デフォルトでは、ルートテーブルは ECR から最大 200 のアクティブな動的ルートを受信できます。このクォータを超過した場合、動的ルートは受信されますが、そのステータスは Exceeded となり、アクティブにはなりません。クォータを引き上げた後、新しいクォータは ECR からの次のルート更新後に有効になります。以前にクォータを超過したルートは、設定された順序でアクティブになります。

ルートの優先度

VPC ルートテーブル内のルートは、次のルールに基づいて優先順位が付けられます。

  • ルートエントリの宛先 CIDR ブロックが重複する場合

    IPv4 と IPv6 のトラフィックは独立してルーティングされます。システムは最長プレフィックス一致ルールを使用して、宛先 IP アドレスに一致する最も具体的なルートを選択します。このルートがトラフィックのネクストホップを決定します。

    最長プレフィックス一致:複数のルートエントリの宛先 CIDR ブロックがパケットの宛先 IP アドレスと一致する場合、システムはサブネットマスクが最も長い (最も具体的な範囲の) ルートを選択します。たとえば、192.168.1.100 宛てのトラフィックは、192.168.0.0/16 ルートではなく、192.168.1.0/24 ルートに一致します。
  • 新しいルートエントリが既存のルートエントリと重複する場合

    アクション

    既存のシステムルート

    既存のカスタムルート

    既存の動的ルート

    vSwitch の作成

    vSwitch の CIDR ブロックは、既存のシステムルートの CIDR ブロックと重複できません。

    vSwitch の CIDR ブロックでは、次のことはできません。

    • 既存のカスタムルートの宛先 CIDR ブロックと同一であること。

    • 既存のカスタムルートの宛先 CIDR ブロックを含むこと。

    vSwitch の CIDR ブロックは、以下と重複できません。

    • 既存の動的ルートの宛先 CIDR ブロックと同一であること。

    • 既存の動的ルートの宛先 CIDR ブロックを含むこと。

    カスタムルートの追加

    新しいカスタムルートの宛先 CIDR ブロックは、次のように指定できません。

    • 既存のシステムルートの CIDR ブロックと同一であること。

    • VPC 内通信のための既存のシステムルートよりも具体的であること。

    新しいカスタムルートの宛先 CIDR ブロックは、既存のカスタムルートの宛先 CIDR ブロックと同一にすることはできません。

    ネクストホップタイプルーターインターフェイス (VBR 向け) の場合、アクティブ/スタンバイルートまたは ECMP ルートを設定できます。詳細については、「ルーターインターフェイスへのルート」をご参照ください。

    新しいカスタムルートの宛先 CIDR ブロックは、既存の動的ルートの宛先 CIDR ブロックと同一にすることはできません。

    新しいカスタムルートのネクストホップが VPN ゲートウェイまたはルーターインターフェイスであり、CEN からの既存の動的ルートが同じ宛先 CIDR ブロックを持つ場合、動的ルートは取り消され、カスタムルートが有効になります。

    動的ルートの受信

    • 既存のシステムルートの宛先 CIDR ブロックと同一にすることはできません。

    • 動的ルートが既存のシステムルートよりも具体的な場合、動的ルートは有効になりません。

      • 動的ルートソースが ECR の場合、ルートは VPC ルートテーブルに Candidate ステータスで表示され、転送には使用されません。

      • 動的ルートソースが VPN ゲートウェイ、TR Enterprise Edition、または TR Basic Edition の場合、ルートは VPC ルートテーブルに伝播されません。

    動的ルートの宛先 CIDR ブロックが既存のカスタムルートの宛先 CIDR ブロックと同一の場合、動的ルートは有効になりません。

    • 動的ルートソースが ECR の場合、ルートは VPC ルートテーブルに Candidate ステータスで表示され、転送には使用されません。

    • 動ルートソースが VPN ゲートウェイ、TR Enterprise Edition、または TR Basic Edition の場合、ルートは VPC ルートテーブルに伝播されません。

    カスタムルートが削除されると、動的ルートは自動的に有効になります。

    適用されません。VPC ルートテーブルは 単一のルート伝播ソースのみをサポートします。

ルートテーブルの管理

VPC を作成すると、システムは自動的にシステムルートテーブルを作成します。デフォルトでは、このルートテーブルは VPC 内のすべての vSwitch に関連付けられ、そのトラフィックを集中管理します。

VPC 内の特定の vSwitch のトラフィックを制御するには、vSwitch 用のカスタムルートテーブルを作成し、それをターゲットの vSwitch に関連付けます。

インターネットから VPC に入るトラフィックを制御するには、ボーダーゲートウェイ用のカスタムルートテーブルを作成し、それを IPv4 または IPv6 ゲートウェイに関連付けます。

ルートテーブルの作成と削除

ターゲットの vSwitch、IPv4 ゲートウェイ、または IPv6 ゲートウェイに関連付ける前に、カスタムルートテーブルを作成する必要があります。

コンソール

ルートテーブルの作成

  1. VPC コンソールの [ルートテーブル] ページに移動し、作成 をクリックします。

  2. ターゲットの VPC を選択し、名前を入力して、関連付けられたリソースタイプを選択します。

カスタムルートテーブルを作成すると、システムは自動的に次のシステムルートをそれに追加します。

  • vSwitch へのルート:VPC 内のすべての vSwitch の CIDR ブロックを宛先とするルート。これらのルートにより、vSwitch 内のインスタンスが相互に通信できます。

  • クラウドサービスルート:宛先が 100.64.0.0/10 のルートで、VPC 内のインスタンスがクラウドサービスにアクセスできるようにします。

ルートテーブルの削除

ターゲットのルートテーブルの [アクション] 列またはその詳細ページで、[削除] をクリックします。ルートテーブルを削除する前に、すべてのリソースから 関連付けを解除し、すべての カスタムルートを削除していることを確認してください。

削除できるのはカスタムルートテーブルのみです。システムルートテーブルは削除できません。

API

  • CreateRouteTable を呼び出してルートテーブルを作成します。

  • DeleteRouteTable を呼び出してカスタムルートテーブルを削除します。

Terraform

リソース: alicloud_route_table
variable "name" {
  default = "terraform-example"
}

resource "alicloud_vpc" "defaultVpc" {
  vpc_name = var.name
}


resource "alicloud_route_table" "default" {
  description      = "test-description"
  vpc_id           = alicloud_vpc.defaultVpc.id
  route_table_name = var.name
  associate_type   = "VSwitch"
}

ルートテーブルの関連付けと関連付け解除

新しいカスタムルートテーブルは、デフォルトではどのリソースにも関連付けられていません。有効にするには、vSwitch または IPv4/IPv6 ゲートウェイに関連付ける必要があります。

コンソール

ルートテーブルの関連付け

VPC コンソールの [ルートテーブル] ページに移動します。管理したいルートテーブルを見つけ、[関連付けられたリソース] 列の [関連付け] をクリックします。

  • 関連付けられたリソースタイプが vSwitch の場合、[vSwitch の関連付け] をクリックします。表示されるダイアログボックスで、ターゲットの vSwitch を選択します。

    vSwitch をカスタムルートテーブルに関連付けると、システムは自動的にシステムルートテーブルからその関連付けを解除します。

  • 関連付けられたリソースタイプが ボーダーゲートウェイの場合、[ボーダーゲートウェイの関連付け] をクリックします。表示されるダイアログボックスで、ターゲットの IPv4 ゲートウェイまたは IPv6 ゲートウェイを選択します。

    ボーダーゲートウェイに関連付けられたルートテーブルの使用に関するチュートリアルについては、「ゲートウェイルートテーブルを使用して VPC へのインバウンドトラフィックを制御する」をご参照ください。

ルートテーブルの関連付け解除

ターゲットのルートテーブルの詳細ページに移動します。

  • 関連付けられたリソースタイプが vSwitch の場合:[関連付けられた vSwitch] タブで、関連付けを解除したい vSwitch を選択し、[関連付け解除] をクリックします。vSwitch の関連付けを解除すると、システムは自動的にそれをシステムルートテーブルに再関連付けします。

  • 関連付けられたリソースタイプが ボーダーゲートウェイの場合:[関連付けられたボーダーゲートウェイ] タブで、ターゲットの IPv4 または IPv6 ゲートウェイを見つけ、[アクション] 列の [関連付け解除] をクリックします。

警告

ルートテーブルの関連付けを解除する前に、サービスの中断を防ぐため、ルート変更による潜在的な影響を慎重に評価してください。

API

警告

ルートテーブルの関連付けを解除する前に、サービスの中断を防ぐため、ルート変更による潜在的な影響を慎重に評価してください。

Terraform

ルートテーブルと vSwitch の関連付け

リソース: alicloud_route_table_attachment
データソース: alicloud_zones
variable "name" {
  default = "terraform-example"
}

resource "alicloud_vpc" "foo" {
  cidr_block = "172.16.0.0/12"
  vpc_name   = var.name
}

data "alicloud_zones" "default" {
  available_resource_creation = "VSwitch"
}

resource "alicloud_vswitch" "foo" {
  vpc_id       = alicloud_vpc.foo.id
  cidr_block   = "172.16.0.0/21"
  zone_id      = data.alicloud_zones.default.zones[0].id
  vswitch_name = var.name
}

resource "alicloud_route_table" "foo" {
  vpc_id           = alicloud_vpc.foo.id
  route_table_name = var.name
  description      = "route_table_attachment"
}

resource "alicloud_route_table_attachment" "foo" {
  vswitch_id     = alicloud_vswitch.foo.id
  route_table_id = alicloud_route_table.foo.id
}

ルートテーブルと IPv4/IPv6 ゲートウェイの関連付け

リソース: alicloud_vpc_gateway_route_table_attachment
resource "alicloud_vpc" "example" {
  cidr_block = "172.16.0.0/12"
  vpc_name   = "terraform-example"
}

resource "alicloud_route_table" "example" {
  vpc_id           = alicloud_vpc.example.id
  route_table_name = "terraform-example"
  description      = "terraform-example"
  associate_type   = "Gateway"
}

resource "alicloud_vpc_ipv4_gateway" "example" {
  ipv4_gateway_name = "terraform-example"
  vpc_id            = alicloud_vpc.example.id
  enabled           = true
}

resource "alicloud_vpc_gateway_route_table_attachment" "example" {
  ipv4_gateway_id = alicloud_vpc_ipv4_gateway.example.id
  route_table_id  = alicloud_route_table.example.id
}

ルートエントリの管理

ルートエントリの追加と削除

vSwitch に関連付けられたルートテーブルにルートエントリを追加して、そのトラフィックを転送できます。これらはカスタムルートエントリと呼ばれます。

IPv4 ゲートウェイまたは IPv6 ゲートウェイに関連付けられたルートテーブルにルートエントリを追加することはできません。ただし、ルートエントリのネクストホップを変更することはできます。

コンソール

ルートエントリの追加

  1. 対象のルートテーブルの詳細ページに移動します。[ルートエントリリスト] > [カスタムルートエントリ] タブで、ルートエントリの追加 をクリックします。

  2. [ルートエントリの追加] ダイアログボックスで、[宛先 CIDR ブロック][ネクストホップタイプ] を設定します。さまざまなネクストホップタイプを使用する典型的なシナリオについては、設定例をご参照ください。

    ルートエントリの追加中にエラーが発生した場合は、そのエントリがルート優先度の要件を満たしていることを確認してください。

ルートエントリの削除

対象のルートエントリの [操作] 列で、[削除] をクリックします。

警告

ルートエントリを削除する前に、サービスの中断を防ぐため、潜在的な影響を慎重に評価してください。

API

  • CreateRouteEntry を呼び出して単一のルートエントリを追加するか、CreateRouteEntries を呼び出して一度に複数のルートエントリを追加します。

警告

ルートエントリを削除する前に、サービスの中断を防ぐため、潜在的な影響を慎重に評価してください。

  • DeleteRouteEntry を呼び出して単一のカスタムルートエントリを削除するか、DeleteRouteEntries を呼び出して一度に複数のカスタムルートエントリを削除します。

Terraform

リソース:alicloud_route_entry
resource "alicloud_route_entry" "foo" {
  route_table_id        = "rt-12345xxxx" # ルートテーブル ID を入力します。 
  destination_cidrblock = "172.16.1.1/32"
  nexthop_type          = "Instance" # ネクストホップタイプを入力します。 
  nexthop_id            = "i-12345xxxx" # ネクストホップインスタンス ID を入力します。 
}

ネクストホップの変更

ルートエントリのネクストホップを変更して、その宛先 CIDR ブロックのトラフィックをリダイレクトできます。

  • システムルートエントリ:システムルートエントリがカスタムルートテーブル (ゲートウェイルートテーブルを含む) にある場合にのみ、そのネクストホップを変更できます。この変更により、システムルートエントリはカスタムルートエントリに変換されます。このカスタムルートエントリを削除すると、システムルートエントリに戻ります。

  • カスタムルートエントリ:システムルートテーブルとカスタムルートテーブルの両方で、カスタムルートエントリのネクストホップを変更できます。

サポートされている宛先 CIDR ブロックネクストホップのタイプについては、システムルートエントリとカスタムルートエントリの比較をご参照ください。

警告

ルートエントリのネクストホップを変更する前に、サービスの中断を防ぐため、潜在的な影響を慎重に評価してください。

コンソール

対象のルートエントリの [操作] 列で、[編集] をクリックします。表示されるダイアログボックスで、[ネクストホップタイプ] ドロップダウンリストから新しいネクストホップを選択します。

さまざまなネクストホップタイプを使用する典型的なシナリオについては、設定例をご参照ください。

API

  • ModifyRouteEntry を呼び出して、vSwitch に関連付けられたルートテーブル内のルートエントリのネクストホップを変更します。

  • UpdateGatewayRouteTableEntryAttribute を呼び出して、IPv4 または IPv6 ゲートウェイに関連付けられたルートテーブル内のルートエントリのネクストホップを変更します。

Terraform

リソース:alicloud_route_entry
resource "alicloud_route_entry" "foo" {
  route_table_id        = "rt-12345xxxx" # ルートテーブル ID を入力します。 
  destination_cidrblock = "172.16.1.1/32"
  nexthop_type          = "Instance" # ネクストホップタイプを変更します。
  nexthop_id            = "i-12345xxxx" # ネクストホップインスタンス ID を入力します。 
}

静的ルートの公開と撤回

ルートテーブルから ECR または TR にルートを伝播できます。これを動的ルート受信と組み合わせることで、ルーティング設定が簡素化されます。

  • ECR への静的ルートの公開:静的ルートを ECR に公開すると、ECR はそのルートをオンプレミスデータセンターに動的に伝播します。ルートの競合が存在しない場合、ECR に関連付けられているすべてのオンプレミスデータセンターがそのルートを学習できます。

    原則、制限、および例

    仕組み

    • VPC を ECR に関連付けると、そのシステムルートエントリはデフォルトで ECR に公開されます。

    • 静的ルートが ECR に公開された後:

      • ECR はルートを関連付けられた VBR に伝播します。VBR で BGP が有効になっている場合、VBR はルートをオンプレミスデータセンターに伝播します。

      • ECR は、関連付けられている他の VPC にルートを伝播しません。

    • 公開された静的ルートエントリが既存のルートエントリと競合する場合、ECR の [ルートエントリ] タブでルートエントリを表示できます。そのステータスは [競合] と表示され、[アクティブ] にはなりません。

    制限事項

    • VPC のカスタムルートテーブルから ECR にルートエントリを公開することはできません。

    • 宛先 CIDR ブロックがプレフィックスリストである場合、ルートエントリを ECR に公開することはできません。

    • ネクストホップがルーターインターフェイス (VBR への) である ECMP ルートおよびアクティブ/スタンバイルートは、ECR に公開できません。VPC ルートが ECR に公開された後は、そのルートに対して ECMP ルートまたはアクティブ/スタンバイルートを設定できなくなります。

    • VPC ルートが ECR に公開された後、公開されたルートを変更したい場合、そのネクストホップは公開操作をサポートするルートタイプにのみ設定できます (次の表を参照)。

    • 次の表は、VPC 内のさまざまなタイプのルートエントリのデフォルトの公開ステータスを示し、ECR での公開および撤回操作をサポートするかどうかを示しています。

      テーブル

      ルートタイプ

      所有インスタンス

      デフォルトで公開

      公開のサポート

      サポートの撤回

      VPC システムルートエントリ

      VPC

      はい

      はい

      マレーシア (クアラルンプール) でのみサポート

      IPv4 ゲートウェイへのルートエントリ

      VPC

      いいえ

      はい

      はい

      IPv6 ゲートウェイへのルートエントリ

      VPC

      いいえ

      はい

      はい

      NAT ゲートウェイへのルートエントリ

      VPC

      いいえ

      はい

      はい

      VPC ピアリング接続へのルートエントリ

      VPC

      いいえ

      いいえ

      いいえ

      TR へのルートエントリ

      VPC

      いいえ

      いいえ

      いいえ

      VPN ゲートウェイへのルートエントリ

      VPC

      いいえ

      はい

      はい

      ECS インスタンスへのルートエントリ

      VPC

      いいえ

      はい

      はい

      Elastic Network Interface へのルートエントリ

      VPC

      いいえ

      はい

      はい

      高可用性仮想 IP へのルートエントリ

      VPC

      いいえ

      はい

      はい

      ルーターインターフェイス (VBR への) へのルートエントリ

      VPC

      いいえ

      いいえ

      いいえ

      ルーターインターフェイス (VPC への) へのルートエントリ

      VPC

      いいえ

      いいえ

      いいえ

      ECR へのルートエントリ

      VPC

      いいえ

      いいえ

      いいえ

      Gateway Load Balancer エンドポイントへのルートエントリ

      VPC

      いいえ

      はい

      はい

    シナリオ例

    中国 (杭州) リージョンに VPC を持ち、オンプレミスデータセンターを持つ企業が、クラウドとオンプレミス間の安定した接続を確立し、オンプレミスデータセンターにデプロイされたサービスがインターネットにアクセスできるようにしたいと考えています。

    企業は VPC と VBR を ECR に接続できます。NAT ゲートウェイを作成し、それに EIP を関連付けた後、企業はルートを公開できます。ルートの競合が存在しない場合、ECR に関連付けられたオンプレミスデータセンターは、BGP を介して NAT ゲートウェイへのルートを学習し、インターネットにアクセスできるようになります。

  • TR への静的ルートの公開:静的ルートが TR に公開されると、ルートの競合がなく、TR でルート同期が有効になっている場合、接続されているすべてのネットワークインスタンスがそのルートを学習できます。

VPC が ECR と TR の両方に接続されている場合、ECR へのルートの公開と TR へのルートの公開は、互いに影響しない独立したアクションです。

コンソール

静的ルートの公開

対象のルートエントリの [VPC ルート公開ステータス] 列で、[公開] をクリックします。

[VPC ルート公開ステータス] 列は、VPC が TR または ECR に接続された後にのみ表示されます。
静的ルートの撤回

対象のルートエントリの [VPC ルート公開ステータス] 列で、[撤回] をクリックします。

[VPC ルート公開ステータス] 列は、VPC が TR または ECR に接続された後にのみ表示されます。

API

ECR の場合:

TR の場合:

タブ本文

動的ルート受信の有効化/無効化

デフォルトでは、すべてのルートテーブルが動的ルートエントリを受信します。静的ルートのみのルーティング設定を使用したい場合は、各ルートテーブルで動的ルート受信を無効にできます。これにより、必要に応じてルート設定を柔軟に計画および管理できます。

  1. 次のケースでは、この機能を無効にできます:動的ルートエントリのソースが [ルート伝播タイプ ECR] であるか、VPC に動的ルートが伝播されていない場合。動的ルートが伝播されていない場合、ルートテーブル詳細ページの [ルートエントリリスト] > [動的ルートエントリ] タブに [動的ルートエントリのソース] フィールドは表示されません。

    次のシナリオでは、動的ルート受信を無効にすることはできません:VPC が Basic Edition TR に接続されている。VPC が Enterprise Edition TR に接続されており、TR で VPC のルート同期が有効になっている。VPC が VPN ゲートウェイに関連付けられており、VPN ゲートウェイで自動ルート伝播が有効になっている。
  2. この機能を無効にした場合の影響:

    • VPC ルートテーブルは、他のネットワークインスタンスからのルート伝播の受信を停止します。ルートテーブル内のすべての既存の動的ルートエントリは削除されます。注意して進めてください。

    • VPC を Basic Edition TR に接続することはできません。この VPC に接続された TR では、VPC のルート同期を有効にすることはできません。この VPC に関連付けられた VPN ゲートウェイでは、自動ルート伝播を有効にすることはできません。

  3. この機能を再度有効にした場合の影響:

    この機能を再度有効にすると、VPC ルートテーブルは、動的ルートソースから現在伝播されているルートで更新されます。

    たとえば、ECR に 4 つの動的ルートエントリがあるとします。この機能を無効にすると、動的ルートエントリは VPC ルートテーブルからクリアされます。ECR にさらに 2 つのルートエントリが追加され、その後この機能を再度有効にすると、VPC ルートテーブルは ECR から 6 つの動的ルートエントリを受信します。

コンソール

対象のルートテーブルの [基本情報] ページに移動します。[伝播ルートの受け入れ] スイッチを使用して、動的ルート受信を有効または無効にします。

警告

動的ルート受信を有効または無効にする前に、ルート変更がサービスに与える潜在的な影響を慎重に評価し、中断を防いでください。

API

ModifyRouteTableAttributes を呼び出し、RoutePropagationEnable パラメーターを設定して、動的ルート受信を有効または無効にします。

警告

動的ルート受信を有効または無効にする前に、ルート変更がサービスに与える潜在的な影響を慎重に評価し、中断を防いでください。

Terraform

警告

動的ルート受信を有効または無効にする前に、ルート変更がサービスに与える潜在的な影響を慎重に評価し、中断を防いでください。

リソース:alicloud_route_table
variable "name" {
  default = "terraform-example"
}

resource "alicloud_vpc" "defaultVpc" {
  vpc_name = var.name
}

resource "alicloud_route_table" "default" {
  description      = "test-description"
  vpc_id           = alicloud_vpc.defaultVpc.id
  route_table_name = var.name
  associate_type   = "VSwitch"
  route_propagation_enable = true # このパラメーターを true に設定すると動的ルート受信が有効になり、false に設定すると無効になります。 
}

ゲートウェイルートテーブルの使用

ゲートウェイルートテーブルは、インバウンドインターネットトラフィックをセキュリティデバイスに転送し、詳細な検査とフィルタリングを行うことで、悪意のある攻撃や不正アクセスを防止します。また、カスタムルートテーブルと組み合わせることで、アウトバウンドトラフィックをセキュリティデバイスにリダイレクトし、双方向のトラフィックを保護することもできます。

この機能を使用するには、ルートテーブルを作成して IPv4 ゲートウェイにアタッチし、vSwitch の CIDR ブロックに対するシステムルートのネクストホップを、以下のいずれかに変更します。

  • [ECS インスタンス]/[Elastic Network Interface]:インバウンドインターネットトラフィックを特定の ECS インスタンスまたは Elastic Network Interface にリダイレクトして、セキュリティ検査を行います。

  • [Gateway Load Balancer エンドポイント]:Gateway Load Balancer (GWLB) のデプロイメントにおいて、インバウンドインターネットトラフィックをサードパーティのセキュリティデバイスにリダイレクトします。

    これらのリージョンのみ、ネクストホップを [Gateway Load Balancer エンドポイント] に変更することをサポートしています。

セルフマネージドファイアウォールの使用

VPC 内の ECS インスタンスにセルフマネージドファイアウォールをデプロイし、ゲートウェイルートテーブルを使用して VPC に入るトラフィックをファイアウォールにリダイレクトしてフィルタリングすることができます。

GWLB の高可用性アーキテクチャ

Gateway Load Balancer (GWLB) を使用して、複数のセキュリティデバイスにトラフィックを分散させ、アプリケーションのセキュリティと可用性を向上させることができます。

設定例

ルートに選択するネクストホップのタイプによって、シナリオが決まります:

IPv4 ゲートウェイへのルート

IPv4 ゲートウェイを、VPC とインターネット間のトラフィックの統一されたイングレスおよびエグレスポイントとして使用できます。IPv4 ゲートウェイとカスタムルートテーブルを組み合わせることで、一元化されたトラフィック制御、統合されたセキュリティポリシー、および監査が可能になり、分散アクセスによるセキュリティリスクを低減します。

IPv6 ゲートウェイへのルート

VPC で IPv6 を有効にすると、システムは自動的に次のルートをシステムルートテーブルに追加します:

  • 宛先 CIDR ブロックは ::/0 で、ネクストホップは IPv6 ゲートウェイです。

このルートは、デフォルトの IPv6 トラフィックを IPv6 ゲートウェイに転送します。IPv6 アドレスのインターネット帯域幅を有効にすると、システムルートテーブルに関連付けられた vSwitch はインターネットと通信できるようになります。

カスタムルートテーブルに関連付けられている IPv6 対応の vSwitch の場合、IPv6 インターネットアクセスを有効にするには、前述のルートをカスタムルートテーブルに手動で追加する必要があります。

ネクストホップとして IPv6 ゲートウェイインスタンスを持つカスタムルートの場合、宛先 CIDR ブロックは ::/0 にのみ設定できます。

NAT Gateway へのルート

VPC 内の多くのサーバーがインターネットにアクセスし、多数のパブリック IP アドレスを消費する必要がある場合、インターネット NAT ゲートウェイの SNAT 機能を使用できます。SNAT を使用すると、複数の Elastic Compute Service (ECS) インスタンスが Elastic IP Address (EIP) を共有してインターネットにアクセスできます。これにより、パブリック IP リソースを節約し、ECS インスタンスのプライベート IP アドレスが公開されるのを防ぐことで、セキュリティを強化します。

NAT Gateway を使用する場合、インターネットアクセスを有効にするには、インターネット NAT ゲートウェイを指すカスタムルートを VPC ルートテーブルに追加する必要があります。

  • ECS インスタンスが属する vSwitch がカスタムルートテーブルに関連付けられている場合、宛先 CIDR ブロック0.0.0.0/0 で、ネクストホップがインターネット NAT ゲートウェイであるルートを手動で追加する必要があります。

  • ECS インスタンスが属する vSwitch がシステムルートテーブルに関連付けられている場合

    • システムルートテーブルに宛先 CIDR ブロック 0.0.0.0/0 のルートが存在しない場合、システムは自動的にインターネット NAT ゲートウェイを指すルートを追加します。

    • システムルートテーブルに宛先 CIDR ブロック 0.0.0.0/0 のルートが既に存在する場合、既存のルートをインターネット NAT ゲートウェイを指す新しいルートに置き換える必要があります。

VPC ピアリング接続へのルート

デフォルトでは、VPC は互いに分離されています。VPC ピアリング接続を使用すると、異なるアカウントに属している場合や異なるリージョンにある場合でも、2 つの VPC 間でプライベート通信を有効にできます。ピアリング接続が確立されると、VPC 内のクラウドリソースは、プライベート IPv4 または IPv6 アドレスを使用して相互にアクセスできます。

トランジットルーターへのルート

Cloud Enterprise Network (CEN) を使用して VPC を接続する場合、トランジットルーターを指すルートを VPC ルートテーブルに追加する必要があります。次のいずれかの方法でルートを追加できます:

  • VPC 接続を作成するときに、[トランジットルーターを指すルートを VPC のすべてのルートテーブルに自動的に追加する] を選択します。

    この機能を有効にすると、システムは宛先 CIDR ブロックが 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 の 3 つのルートを VPC のすべてのルートテーブルに自動的に追加します。これらのルートのネクストホップは VPC 接続です。これらのルートは、VPC からの IPv4 トラフィックをトランジットルーターに転送します。

  • トランジットルーターで ルート学習を有効にした後、各 VPC の ルート伝播を有効にするか、各 VPC ルートテーブルにピア VPC へのルートを手動で追加することができます。

次の図は、トランジットルーターでルート学習が有効になっており、VPC ルートテーブルにルートが手動で追加されている例を示しています。このルートでは、宛先 CIDR ブロックはピア VPC の CIDR ブロックであり、ネクストホップはトランジットルーターです。

VPN Gateway へのルート

VPN Gateway を使用して暗号化トンネルを確立し、オンプレミスデータセンターと VPC の間に安全で信頼性の高いネットワーク接続を作成できます。

VPN Gateway を使用するには、宛先 CIDR ブロックをご利用のオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップVPN Gateway に設定したルートを VPC ルートテーブルに追加します。これにより、VPC は IPsec 接続を介してオンプレミスデータセンターにアクセスできます。

ECS インスタンスまたは ENI へのルート

VPC 内の 2 つの vSwitch 間のトラフィックを検査、分析、保護するために、ルートテーブルを調整することで、ファイアウォールや Web Application Firewall (WAF) などのサードパーティのセキュリティデバイスをトラフィックパスに挿入できます。

そのためには、2 つの vSwitch のそれぞれを個別のカスタムルートテーブルに関連付け、対応する CIDR ブロックのシステムルートのネクストホップを、ファイアウォールの ECS インスタンスまたはそのネットワークインターフェース (ENI) に変更します。

ルーターインターフェイスへのルート

Express Connect の VBR-to-VPC 接続機能を使用して、オンプレミスデータセンターをクラウドネットワークに接続できます。

説明

VBR-to-VPC 接続機能はデフォルトでは有効になっていません。この機能を使用するには、アカウントマネージャーにお問い合わせください。

この機能を使用する場合、宛先 CIDR ブロックをオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップタイプを [ルーターインターフェイス (VBR へ)] に設定したルートを VPC に設定する必要があります。これにより、VPC は仮想ボーダールーター (VBR) を介してオンプレミスデータセンターにアクセスできます。このネクストホップタイプは、ヘルスチェックを必要とする 等コストマルチパス (ECMP)A-S モードをサポートしています。

  • A-S モード:ネクストホップとして指定できるインスタンスは 2 つだけです。アクティブなネクストホップの重みは 100、スタンバイのネクストホップの重みは 0 です。アクティブなルートのヘルスチェックが失敗した場合、スタンバイルートが引き継ぎます。

  • 等コストマルチパス (ECMP):ネクストホップとして 2 ~ 16 個のインスタンスを選択できます。インスタンスの重みは同じでなければなりません。有効な重みは 0 から 255 までの整数です。システムは、ネクストホップインスタンス間でトラフィックを均等に分散します。

次の図は、アクティブ / スタンバイ構成を示しています。

Express Connect Router へのルート

Express Connect Router (ECR) を使用して、オンプレミスデータセンターをクラウドネットワークに接続できます。

  • デフォルトでは、VPC は ECR からの動的ルートを受け入れます。これらのルートの宛先 CIDR ブロックはオンプレミスデータセンターの CIDR ブロックであり、ネクストホップは ECR です。これらのルートにより、VPC とオンプレミスデータセンター間の通信が可能になります。

  • VPC ルートテーブルで動的ルート広告が無効になっている場合は、宛先 CIDR ブロックをオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップExpress Connect Router に設定したルートをテーブルに手動で追加する必要があります。これにより、VPC とオンプレミスデータセンター間の通信が可能になります。

Gateway Load Balancer エンドポイントへのルート

Gateway Load Balancer エンドポイントは、これらのリージョンでのみサポートされています。特定のユースケースについては、「gateway route table の使用 - GWLB 高可用性アーキテクチャ」をご参照ください。

補足情報

エリア

リージョン

アジアパシフィック - 中国

中国 (杭州)中国 (上海)中国 (南京-ローカルリージョン、提供終了)中国 (青島)中国 (北京)中国 (張家口)中国 (フフホト)中国 (ウランチャブ)中国 (深セン)中国 (河源)中国 (広州)中国 (成都)中国 (中衛)中国 (香港)中国 (武漢 - ローカルリージョン)、および中国 (福州-ローカルリージョン、提供終了)

アジアパシフィック - その他

日本 (東京)韓国 (ソウル)シンガポールマレーシア (クアラルンプール)インドネシア (ジャカルタ)フィリピン (マニラ)タイ (バンコク)、およびマレーシア (ジョホールバル)

ヨーロッパおよびアメリカ

ドイツ (フランクフルト)イギリス (ロンドン)フランス (パリ)米国 (シリコンバレー)米国 (バージニア)、およびメキシコ

中東

UAE (ドバイ) および サウジアラビア (リヤド - パートナー運営)

クォータ

クォータ名

説明

デフォルトの制限

調整可能

vpc_quota_route_tables_num

VPC 内に作成できるカスタムルートテーブルの最大数。

9

はい。クォータの引き上げをリクエストするには、クォータ管理ページまたはクォータセンターに移動してください。

vpc_quota_route_entrys_num

ルートテーブルに作成できるカスタムルートエントリの最大数 (動的に伝播されるルートエントリを除く)。

200

vpc_quota_dynamic_route_entrys_num

ルートテーブル内の動的に伝播されるルートエントリの最大数。

200

vpc_quota_havip_custom_route_entry

HaVip をネクストホップとするカスタムルートエントリの最大数。

5

vpc_quota_vpn_custom_route_entry

VPC 内の VPN ゲートウェイをネクストホップとするカスタムルートエントリの最大数。

50

None

ルートテーブルに追加できるタグの最大数。

20

いいえ

VPC 内に作成できる vRouter の最大数。

1

VPC 内で Transit Router (TR) 接続をネクストホップとするルートエントリの最大数。

600

注意事項

ルートテーブル

  • 各 vSwitch は、必ず 1 つのルートテーブルに関連付ける必要があります。1 つのルートテーブルは、複数の vSwitch に関連付けることができます。

  • 削除できるのはカスタムルートテーブルのみです。システムルートテーブルは削除できません。

ルートエントリ

静的ルートエントリ:

  • システムルートエントリは作成も削除もできません。

  • クラウドサービス用の 100.64.0.0/10 システムルートよりも具体的な宛先 CIDR ブロックを持つカスタムルートを作成できますが、宛先 CIDR ブロックを 100.64.0.0/10 と同一にすることはできません。より具体的なルートを設定する際は注意が必要です。設定を誤ると、一部のクラウドサービスにアクセスできなくなる可能性があります。

  • ネクストホップが IPv6 ゲートウェイであるカスタムルートエントリの場合、宛先 CIDR ブロックは ::/0 にのみ設定できます。

  • コンソールのルートエントリに VPC ルートアドバタイズステータス列が表示されるのは、VPC を Transit Router (TR) または Express Connect Router (ECR) に接続した後のみです。

  • 新しいルートエントリの宛先 CIDR ブロックが既存のルートエントリと重複する場合、新しいルートエントリを追加できないことがあります。詳細については、「ルートの優先度」をご参照ください。

静的ルートの公開:

  • VPC のカスタムルートテーブルから ECR にルートエントリを公開することはできません。

  • 宛先 CIDR ブロックがプレフィックスリストであるルートエントリは、ECR に公開できません。

  • ネクストホップがルーターインターフェイス (VBR 向け) である ECMP ルートおよびアクティブ/スタンバイルートは、ECR に公開できません。VPC ルートが ECR に公開された後は、そのルートに対して ECMP ルートやアクティブ/スタンバイルートを設定できなくなります。

  • VPC ルートが ECR に公開された後、公開されたルートを変更する場合、ネクストホップは公開操作をサポートするルートタイプ (次の表を参照) にのみ設定できます。

  • 次の表は、VPC 内のさまざまなタイプのルートエントリのデフォルトの公開ステータスと、ECR での公開および取り消し操作をサポートするかどうかを示しています。

    ルートタイプ

    所有インスタンス

    デフォルトで公開

    公開のサポート

    取り消しのサポート

    VPC システムルートエントリ

    VPC

    はい

    はい

    マレーシア (クアラルンプール) でのみサポート

    IPv4 ゲートウェイへのルートエントリ

    VPC

    いいえ

    はい

    はい

    IPv6 ゲートウェイへのルートエントリ

    VPC

    いいえ

    はい

    はい

    NAT Gateway へのルートエントリ

    VPC

    いいえ

    はい

    はい

    VPC ピアリング接続へのルートエントリ

    VPC

    いいえ

    いいえ

    いいえ

    TR へのルートエントリ

    VPC

    いいえ

    いいえ

    いいえ

    VPN ゲートウェイへのルートエントリ

    VPC

    いいえ

    はい

    はい

    ECS インスタンスへのルートエントリ

    VPC

    いいえ

    はい

    はい

    Elastic Network Interface へのルートエントリ

    VPC

    いいえ

    はい

    はい

    高可用性仮想 IP へのルートエントリ

    VPC

    いいえ

    はい

    はい

    ルーターインターフェイス (VBR 向け) へのルートエントリ

    VPC

    いいえ

    いいえ

    いいえ

    ルーターインターフェイス (VPC 向け) へのルートエントリ

    VPC

    いいえ

    いいえ

    いいえ

    ECR へのルートエントリ

    VPC

    いいえ

    いいえ

    いいえ

    Gateway Load Balancer エンドポイントへのルートエントリ

    VPC

    いいえ

    はい

    はい

動的ルートエントリ:

  • VPC ルートテーブルは、一度に 1 つのソースからのみ動的ルートを受信できます。

    たとえば、VPC を Express Connect Router (ECR) に関連付けた後、VPC を Transit Router (TR) Enterprise Edition に接続すると、TR で VPC のルート同期を有効にしようとしても失敗します。同様に、VPN ゲートウェイを作成してルート伝播を有効にすると、VPN ゲートウェイは学習した BGP ルートを VPC のシステムルートテーブルに自動的に伝播します。この場合、VPC を ECR に関連付けることはできません。

  • 受信した動的ルートがルートテーブル内の既存のルートエントリと重複する場合、どのルーティングルールが適用されるかについては、「ルートの優先度」をご参照ください。

  • vSwitch にアタッチされたルートテーブルのみが動的ルートを受信できます。ゲートウェイにアタッチされたルートテーブルは動的ルートをサポートしていません。

  • デフォルトでは、ルートテーブルは ECR から最大 200 のアクティブな動的ルートを受信できます。このクォータを超過した場合でも動的ルートは受信されますが、ステータスが Exceeded となり、アクティブにはなりません。クォータを引き上げると、新しいクォータは ECR からの次のルート更新後に有効になります。以前にクォータを超過していたルートは、設定された順序でアクティブになります。

課金

VPC ルートテーブル機能は無料でご利用いただけます。