このトピックでは、CEN (Cloud Enterprise Networks) のルートマップ機能の概要を説明します。 ルートマップ機能を使用して、ルートをフィルタリングし、ルート属性を変更できます。 CEN に接続されたネットワーク間の通信を管理できます。

背景情報

CEN インスタンスには、各リージョンにリージョナル CEN ゲートウェイがあります。 リージョナル CEN ゲートウェイにより、CEN インスタンスに接続されている VPN (Virtual Private Cloud) インスタンス、VBR (Virtual Border Router) インスタンス、CCN (Cloud Connect Network) インスタンスなどのネットワークインスタンスが相互に通信できるようになります。 ルートは、RegionIn (リージョナルゲートウェイへのインポート) および RegionOut (リージョナルゲートウェイからのエクスポート) の方向に、同一リージョンまたは異なるリージョンのネットワークインスタンスに送信できます。ルートマップ

ルートマップは、条件ステートメントと実行可能ステートメントのセットで構成されます。 CEN インスタンス内の別々のリージョナルゲートウェイに対してルートマップを設定できます。 各リージョナルゲートウェイは、インバウンドおよびアウトバウンド方向の 1 つ以上のルートマップで設定できます。 各ゲートウェイのルートマップのシーケンスは、優先順位に基づいて順序付けられます。 ルートマップを実行してルートを評価する場合、システムは最初に、ルートが最も高い優先度を持つルートマップの条件ステートメントに一致するかどうかを確認します。 ルートマップは、設定された一致条件に基づいてルートを許可または拒否します。 ルートが許可されている場合、その属性を変更できます。

ルートマップの要素

ルートマップは、基本情報、一致条件、およびポリシーエントリで構成されます。
説明 ポリシーエントリは、アクションポリシーが許可に設定されている場合にのみサポートされます。
  • 下表に、ルートマップの基本情報を示します。
    要素名 説明
    ルートマップの優先度 ルートマップの優先度です。 値が小さいほど、優先度が高くなります。

    特定のプライオリティ値を使用してルートマップを設定した後、同じリージョンおよび同じ方向に適用される別のルートマップに同じプライオリティ値を設定することはできません。 ルートマップを実行してルートを評価する場合、システムは最初に、ルートが最も高い優先度を持つルートマップの条件ステートメントに一致するかどうかを確認します。 したがって、各ルートマップに適切な優先度を指定することを推奨します。

    説明 ルートマップを説明する内容です。
    リージョン ルートマップが適用されるリージョンです。
    送信方向 ルートマップが適用される方向です。
    • リージョナルゲートウェイへのインポート: CEN のリージョナルゲートウェイにルートがインポートされる方向。 たとえば、ルートは、現在のリージョンまたは別のリージョンのインスタンスからリージョナルゲートウェイにインポートされます。
    • リージョナルゲートウェイからのエクスポート:CEN のリージョナルゲートウェイからルートがエクスポートされる方向。 たとえば、ルートは、現在のリージョンのリージョナルゲートウェイから同じリージョンのインスタンス、または別のリージョンのリージョナルゲートウェイにエクスポートされます。
    アクションポリシー ルートがすべての一致条件を満たす場合に、ルートに対して実行されるアクション。 次の機能がサポートされています。
    • 許可:ルートを許可します。
    • 拒否:ルートを拒否します。
    関連する優先度 必要に応じて設定されます。 現在のルートマップに関連付けられている次のルートマップの優先順位です。 値の範囲は、1 から 180 です。。
    • 関連する優先度が設定されていない場合、現在のルートマップは、現在のルートマップの次のルートマップには関連付けられません。
    • このパラメーターが 1 に設定されている場合、現在のルートマップは次のルートマップに関連付けられます。
    • 値が 1 以外の数値に設定されている場合、関連付けられたルートマップの優先度は現在のルートマップの優先度より低い必要があります。つまり、関連付けられた優先度の値はルートマップの優先度の値より大きくする必要があります。

    現在のルートマップのアクションポリシーが [許可] に設定されている場合のみ、すべての一致条件に一致するルートが、特定の優先度値が設定された関連ルートマップによって評価されます。
  • 下表に、一致条件の要素を示します。
    要素名 説明
    送信元リージョン 指定されたリージョンから通知されるすべてのルートを評価します。

    一致条件としてサポートされるのは送信元リージョンのみです。 送信先リージョンを一致条件として指定することはできません。
    送信元インスタンス ID 指定したインスタンスから通知されるすべてのルートを評価します。 VPC インスタンス、VBR インスタンス、中国本土の CCN インスタンス、および SAG (Smart Access Gateway) インスタンスの ID を入力できます。

    一致条件として送信元インスタンス ID のリストを使用する場合、[指定された ID を除外する] を選択できます。 条件に一致しないルートを許可し、条件に一致するルートを拒否できます。
    送信先インスタンス ID 指定されたインスタンスに通知されるすべてのルートを評価します。 VPC インスタンス、VBR インスタンス、CCN インスタンス、および SAG インスタンスの ID を入力できます。

    一致条件として送信先インスタンス ID のリストを使用する場合、[指定された ID を除外する] を選択できます。 条件に一致しないルートを許可し、条件に一致するルートを拒否できます。

    説明 この一致条件は、送信方向がリージョナルゲートウェイからのエクスポートに設定され、ID がルートマップのアプリケーションリージョンのインスタンスのものである場合にのみ有効です。
    送信元ルートテーブル 指定されたルートテーブルから通知されるすべてのルートを評価します。
    送信先ルートテーブル 指定されたルートテーブルに通知されるすべてのルートを評価します。
    説明 この一致条件は、送信方向がリージョナルゲートウェイからのエクスポートに設定されており、 ID がルートマップのアプリケーションリージョンのルートテーブルのものである場合にのみ有効です。
    送信元インスタンスタイプ 指定されたタイプのインスタンスから通知されたすべてのルートを評価します。 VPC、VBR、および CCN がサポートされています。
    送信先インスタンスタイプ 指定されたタイプのインスタンスに通知されるすべてのルートを評価します。
    説明 この一致条件は、送信方向がリージョナルからのエクスポートに設定され、インスタンスタイプがルートマップのアプリケーションリージョンのインスタンスタイプと同じ場合にのみ有効です。
    ルートタイプ 指定されたタイプのルートを評価します。 以下のルートタイプがサポートされます。
    • システム:システムが生成したルート。
    • カスタム:手動で追加されたカスタムルート。
    • BGP:BGP に通知されたルート。
    ルートプレフィックス プレフィックスでルートを評価します。 次の 2 つの方法がサポートされています。
    • あいまい一致:ルートのプレフィックスが一致条件で設定されたプレフィックスの範囲内にある場合、ルートが条件に一致します。

      たとえば、一致条件のプレフィックスが 1.1.0.0/16 に設定され、一致方法があいまい一致に設定されている場合、プレフィックスが 1.1.1.0/24 のルートは条件に一致します。

    • 完全一致:ルートのプレフィックスが一致条件のプレフィックスと同じ場合にのみ、ルートが条件に一致します。

      たとえば、一致条件のプレフィックスが 1.1.0.0/16 に設定され、一致方法が完全一致に設定されている場合、プレフィックス 1.1.1.0/16 のルートのみ条件に一致します。
    AS パス AS パスによってルートを評価します。 次の 2 つの方法がサポートされています。
    • あいまい一致:ルートの AS パスが一致条件の AS パスと部分的に一致する場合、ルートが条件に一致します。

      たとえば、一致条件の AS パスが [65001, 65002] に設定され、一致方法があいまい一致に設定されている場合、AS パスが [65501, 65001] のルートは条件に一致します。

    • 完全一致:ルートの AS パスが一致条件の AS パスと同じ場合にのみ、ルートが条件に一致します。

      たとえば、一致条件のAS パスが [65501, 65001, 60011] に設定され、一致方法が完全一致に設定されている場合、AS パスが [65501, 65001, 60011] のルートのみ条件に一致します。

    説明 AS パスはあらかじめ決められた必須の属性で、BGP ルートがローカルルーターに到達するために通過する AS の番号のリストです。
    コミュニティ コミュニティ属性値に基づいてルートを評価します。 次の 2 つの方法がサポートされています。
    • あいまい一致:ルートのコミュニティが一致条件のコミュニティと部分的に一致する場合、ルートが条件に一致します。

      たとえば、一致条件のコミュニティが [65001:1000, 65002:2000] に設定され、一致方法があいまい一致に設定されている場合、[65501:1000, 65001:1000] のコミュニティを持つルートは条件に一致します。

    • 完全一致:ルートのコミュニティが一致条件のコミュニティと同じ場合のみ、ルートが条件に一致します。

      たとえば、一致条件のコミュニティが [65001:65001, 65002:65005, 65003:65001] に設定され、一致方法が完全一致に設定されている場合、[65001:65001, 65002:65005, 65003:65001] のコミュニティを持つルートのみ条件に一致します。

    説明 コミュニティは任意のの属性です。 ルートごとに異なるコミュニティ値を設定できます。 ダウンストリームルーターは、コミュニティ値を使用してターゲットルートを一致させることができます。
  • 下表にポリシーエントリの要素を示します。
    要素名 説明
    ルートの優先順位 許可されたルートの優先順位を設定します。
    コミュニティ コミュニティの値を設定します。 以下の設定がサポートされます。
    • Add
    • Replace
    付加された AS パス AS パスは、リージョナルゲートウェイがルートを受信または通知するときに付加されます。
    このポリシーエントリを設定するための要件は、ルートマップのアプリケーションの方向によって異なります。 要件は以下のように記述されます。
    • ルートマップの送信方向がリージョナルゲートウェイへのインポートに設定され、AS パスを先頭に追加する場合、一致条件には送信元インスタンス ID とソースリージョンが含まれている必要があります。 さらに、送信元リージョンとリージョンに同じ値を指定する必要があります。
    • ルートマップの送信方向がリージョナルゲートウェイからのエクスポートに設定され、AS パスを先頭に追加する場合、一致条件には送信先インスタンス ID が含まれている必要があります。

ルートマップの評価プロセス

ルートマップは、match-action モードでルートを評価します。 つまり、アクションは条件が一致した後にのみ実行されます。 ルートマップがルートを評価する際、システムはまず最初に、ルートがルートマップの最高優先度の条件ステートメントと一致するかどうかをチェックします。

  • ルートがルートマップのすべての一致条件に一致する場合、評価プロセスはルートマップのアクションポリシー設定に従います。
    • アクションポリシーが許可に設定されている場合、ルートマップ内の実行可能ステートメントが実行され、ルートが許可されます。 デフォルトでは、現在のルートマップに関連付けられた優先度値が設定されていない限り、ルートは次のルートマップによって評価されません。
    • アクションポリシーが拒否に設定されている場合、ルートは拒否されます。 デフォルトでは、ルートは次のルートマップによって評価されず、評価プロセスは終了します。
  • ルートが現在のルートマップの一致条件に一致しない場合、そのルートは次のルートマップによって評価されます。
  • ルートが次のルートマップのすべての一致条件に一致する場合、次の評価プロセスはルートマップのアクションポリシー設定に従います。
    • アクションポリシーが許可に設定されている場合、ルートマップ内の実行可能ステートメントが実行され、ルートが許可されます。 デフォルトでは、現在のルートマップに関連付けられた優先度値が設定されていない限り、ルートは次のルートマップによって評価されません。
    • アクションポリシーが[拒否]に設定されている場合、ルートは拒否されます。 デフォルトでは、ルートは次のルートマップによって評価されず、評価プロセスは終了します。
  • ルートが現在のルートマップの一致条件に一致しない場合、そのルートは次のルートマップによって評価されます。 そして、評価プロセスが再開されます。
  • 評価が継続しても、ルートが最後のルートマップの一致条件と一致しない場合、そのルートは許可されます。
ルートマップの評価プロセス

制限事項

下表に、ルートマップに適用される制限事項を示します。
項目 制限事項 上限の緩和
リージョナルゲートウェイへのインポート方向の場合に作成できるルートマップの数 100 不可
リージョナルゲートウェイからのエクスポート方向の場合に作成できるルートマップの数 100 不可

シナリオ

ルートマップは以下のようなシナリオで使用できます。
  • 2 つの VPC 間、または VPC と VBR または CCN 間の通信を制御する
    デフォルトでは、VPC は VBR、CCN、および同じ CEN インスタンスに接続されている他の VPC と通信できます。 しかし、下図のように、2 つの VPC 間、または場合によっては VPC と VBR または CCN 間の通信をブロックしたい場合があります。2つのVPC間、または VPC と VBR または CCN 間の通信を制御する

    その場合、ルートマップ機能を使用して、VPC 1 と CCN 1 または VBR 1 の間、または VPC 2 と CCN 1 または VBR 1 の間の通信を維持しながら、VPC1とVPC2の間の通信をブロックできます。

  • 2 つの VBR 間、または VBR と VPC または CCN 間の通信を制御する
    デフォルトでは、VBR は同じ CEN インスタンスに接続されている CCN または他の VBR と通信できません。 しかし、下図のように、2 つの VBR 間、または VBR と CCN 間の通信を可能にしたい場合があります。2 つの VBR 間、または VBR と VPC または CCN 間の通信を制御する

    その場合、ルートマップ機能を使用して、VBR 1 と CCN 1 の間、および VBR 2 と CCN 1 の間の通信をブロックしながら、VBR 1 と VBR 2 の間の通信を有効にすることができます。

  • 2 つの CCN 間、または CCN と VPC または VBR 間の通信を制御する
    デフォルトでは、CCN は同じ CEN インスタンスに接続されている VBR または他の CCN と通信できません。 しかし、下図のように、2 つの CCN 間またはVBRとCCN 間の通信可能にしたい場合があります。2 つの CCN 間、または CCN と VPC または VBR 間の通信を制御する

    その場合、ルートマップ機能を使用して、CCN 1 と CCN 2 の間の通信を有効にし、VBR 1 と CCN 1 の間、およびVBR1とCCN2の間の通信をブロックできます。

参考資料

ルートマップの追加

ルートマップの変更

ルートマップの削除

ルートマップAPIアクション