À propos des route tables
Les route tables vous permettent de contrôler le routage du trafic d’un subnet grâce à des routes que vous créez dans celles-ci. Chaque Virtual Private Cloud (VPC) est créé avec une route table par défaut que vous pouvez modifier, mais vous pouvez également créer votre propre route table pour chaque subnet.
Vous pouvez router le trafic vers différents éléments comme une Internet gateway ou un VPC endpoint. Le trafic ciblant une IP du bloc CIDR du VPC est toujours routé localement.
Route Tables et Subnets
Les route tables contrôlent le routage du trafic réseau grâce à des règles appelées routes qui indiquent où le trafic réseau est dirigé. Elles sont créées pour un VPC et sont utilisées par son routeur, qui est automatiquement créé au sein de votre VPC, afin de déterminer comment router le trafic.
Chaque subnet d’un VPC doit être associé à une route table, qui contrôle le routage pour toutes les instances placées dans ce subnet. Une même route table peut être associée à plusieurs subnets, mais un subnet ne peut être associé qu’à une seule route table.
De la même manière qu’il est recommandé de dédier un subnet à une seule application, il est également recommandé d’utiliser une route table et un security group par subnet. |
Dans le schéma suivant, chaque subnet est associé à une route table. Les instances du subnet 1 peuvent accéder à internet à travers l’Internet gateway, et les instances du subnet 2 peuvent accéder à un service de stockage objet à l’aide du VPC endpoint.
Pour en savoir plus sur les routes vers une Internet gateway et un VPC endpoint, voir la section Routes et options de routage ci-dessous.
Route table principale et autres route tables
Route table principale
Lorsque vous créez un VPC, une route table est également automatiquement créée et considérée comme la route table principale. La route table principale agit comme un routeur implicite dans votre VPC : elle contrôle le routage du trafic pour tous les subnets qui ne sont pas explicitement associés avec une route table. Elle est donc implicitement associées à tout subnet que vous créez dans le VPC jusqu’à ce que vous l’associez explicitement à une route table.
La route table principale créée avec le VPC contient uniquement la route local
à sa création, qui route tout trafic dirigé vers une cible dans le bloc CIDR du VPC au sein du VPC lui-même. Cette route ne peut être ni modifiée, ni supprimée. Vous pouvez ajouter ou supprimer des routes dans la route table principale, et modifier ces routes. Cependant, vous ne pouvez pas supprimer la route table principale.
Vous pouvez également définir quelle route table est la principale pour le VPC, ce qui modifie ainsi la route table utilisée pour tout nouveau subnet ou tout subnet qui n’est pas explicitement associé à une route table.
Vous pouvez explicitement associer un subnet avec la route table principale afin que la route table utilisée par le subnet ne soit pas modifiée si vous définissez une autre route table comme la principale. |
Autres route tables
Vous pouvez créer des route tables supplémentaires pour votre VPC que vous pouvez ensuite associer avec un ou plusieurs subnets. Vous pouvez ensuite y ajouter des routes, les remplacer ou les supprimer si besoin. Vous pouvez également supprimer une route table qui n’est plus associée à aucun subnet.
Toute route table que vous créez contient la route local
que vous ne pouvez ni supprimer ni modifier. Pour protéger votre VPC, vous pouvez garder la route table principale avec uniquement la route local
, et explicitement associer chaque nouveau subnet avec une route table que vous avez créée. Tout nouveau subnet peut ainsi uniquement diriger le trafic au sein du VPC uniquement jusqu’à ce que vous lui autorisiez explicitement de le diriger ailleurs grâce à des routes que vous ajoutez à sa route table. Ceci vous permet de contrôler comment le trafic sortant est routé pour chaque subnet de votre VPC.
Routes et options de routage
Une route spécifie :
-
La destination du trafic, en notation CIDR. Cela peut être une plage d’IP ou une IP unique (en utilisant un préfixe en /32).
-
La target, qui correspond à l’élément réseau utilisé pour atteindre la destination du trafic.
Vous pouvez router le trafic en utilisant les targets suivantes :
-
Local : Une route
local
est automatiquement ajoutée à toute route table créée dans un VPC, avec le bloc CIDR du VPC en destination etlocal
en target. Le trafic venant des instances et allant vers une IP appartenant au bloc CIDR du VPC reste ainsi au sein du réseau local du VPC.Vous ne pouvez ni modifier ni supprimer la route
local
. -
Une Internet gateway : Cela permet aux instances du subnet qui ont une IP externe (EIP) associée d’être directement connectées à internet à travers l’Internet gateway du VPC. Pour cela, vous devez ajouter une route avec le bloc CIDR 0.0.0.0/0 en destination et l’ID de l’Internet gateway en target. Pour en savoir plus sur les Internet gateways, voir À propos des Internet gateways.
Par exemple, la route table d’un subnet avec des instances directement connectées à internet dans un VPC ayant le bloc CIDR 10.0.0.0/16 et l’Internet gatewayigw-12345678
attachée à celui-ci contient les routes suivantes :Destination Target 10.0.0.0/16
local
0.0.0.0/0
igw-12345678
-
Une Network Address Translation (NAT) gateway : Cela permet aux instances du subnet d’être indirectement connectées à internet à travers un NAT gateway. Pour cela, vous devez ajouter une route avec le bloc CIDR 0.0.0.0/0 en destination et l’ID de la NAT gateway en target. Pour en savoir plus sur les NAT gateways, voir À propos des NAT gateways.
Par exemple, la route table d’un subnet avec des instances indirectement connectées à internet dans un VPC ayant le bloc CIDR 10.0.0.0/16 et utilisant la NAT gatewaynat-12345678
attachée au VPC pour diriger le trafic vers internet contient les routes suivantes :Destination Target 10.0.0.0/16
local
0.0.0.0/0
nat-12345678
-
Une instance ou une interface réseau au sein du VPC : Cela permet aux instances dans un subnet d’envoyer du trafic vers une instance ou une interface réseau en particulier. Vous pouvez router le trafic vers une instance lorsque celle-ci n’a qu’une interface réseau. Si l’instance a des flexible network interfaces (FNI) attachées, vous devez router le trafic vers une de ses interfaces réseau. Pour cela, vous devez ajouter une route avec le bloc CIDR approprié en destination et l’ID de l’instance ou de l’interface réseau en target.
Par exemple, dans le même VPC ayant le bloc CIDR 10.0.0.0/16, si une instance d’administration a une interface réseaueni-11111111
dans un subnet A avec pour IP 10.10.0.10 et une autre interface réseau dans un subnet B, la route table d’un subnet avec des instances ayant besoin de se connecter à cette instance d’administration depuis le subnet A a les routes suivantes :Destination Target 10.0.0.0/16
local
10.10.0.10/32
eni-11111111
-
Une Virtual Private gateway (VGW) : Cela permet aux instances du subnet de diriger le trafic vers un réseau distant par une connexion VPN ou DirectLink. Pour cela, vous devez ajouter une route avec le bloc CIDR du réseau distant en destination et l’ID de la VGW attachée à votre VPC en target, et créer une connexion VPN ou DirectLink en utilisant cette VGW. Pour en savoir plus, voir Connexions VPN and DirectLink.
Par exemple, la route table d’un subnet dans un VPC ayant le bloc CIDR 10.0.0.0/16 dirigeant le trafic vers votre réseau interne ayant le bloc CIDR 192.168.1.0/24 à travers un connexion VPN utilisant la VGWvgw-12345678
contient les routes suivantes :Destination Target 10.0.0.0/16
local
192.168.1.0/24
vgw-12345678
-
Un VPC endpoint : Cela vous permet de créer une connexion privée entre votre VPC et un service OUTSCALE. La route appropriée avec l’ID du prefix list du service (
pl-xxxxxxxx
) en destination et l’ID du VPC endpoint (vpce-xxxxxxxx
) en target est automatiquement ajoutée aux route tables que vous spécifiez pour le VPC endpoint. Pour en savoir plus sur les VPC endpoints, voir À propos des VPC endpoints. Pour en savoir plus sur les prefix lists, voir Obtenir des informations sur les prefix lists.Vous ne pouvez ni modifier ni supprimer cette route, mais vous pouvez modifier les route tables utilisées par le VPC endpoint.
-
Une VPC peering connection : Cela vous permet de diriger le trafic vers un VPC pair. Pour cela, vous devez ajouter une route avec tout ou partie du bloc CIDR du VPC pair en destination et l’ID de la VPC peering connection en target. Pour en savoir plus sur les VPC peering connections, voir À propos des VPC peering connections.
Le propriétaire du VPC pair doit ajouter une route dans les route tables de son VPC pour router le trafic vers votre VPC.
Par exemple, la route table d’un subnet dans un VPC A ayant le bloc CIDR 10.0.0.0/16, dirigeant le trafic vers un VPC pair B ayant le bloc CIDR 192.168.1.0/24 et utilisant la VPC peering connection
pcx-12345678
contient les routes suivantes :Destination Target 10.0.0.0/16
local
192.168.1.0/24
pcx-12345678
Les route tables du VPC pair B doivent contenir les routes suivantes :
Destination Target 192.168.1.0/24
local
10.0.0.0/16
pcx-12345678
Si la destination du trafic correspond à plusieurs routes dans la route table associée, la route la plus spécifique avec le bloc CIDR le plus restreint correspondant à cette destination est toujours celle utilisée pour router le trafic.
Une route est toujours dans l’état suivant :
-
Active : La route est active et est utilisée pour router le trafic.
Pages connexes