ルートテーブルには、仮想プライベートクラウド(VPC)内のネットワークトラフィックの転送パスを決定するルートが含まれます。ルートテーブルは、ネットワークのための交通標識の集合体として機能します。ルートテーブルにルートを設定することで、ECS インスタンスなどの送信元から宛先へのパケットの転送を制御できます。
機能
ルートテーブル
VPC を作成すると、システムが自動的にシステムルートテーブルを作成します。このルートテーブルは、デフォルトで VPC 内のすべての vSwitch に関連付けられ、VPC 内のトラフィックを制御します。
VPC 内の Elastic Compute Service (ECS) インスタンスが同じ宛先 CIDR ブロックにアクセスする際に異なるパスを使用する必要がある場合、カスタムルートテーブルを作成できます。ECS インスタンスを複数の vSwitch に分散配置し、各 vSwitch に個別のカスタムルートテーブルを関連付けることで、細かい粒度でのトラフィック制御が可能です。
VPC へのインバウンドインターネットトラフィックを自社管理のファイアウォールで保護するには、ゲートウェイルートテーブルを使用します。これは、ボーダーゲートウェイに関連付けられたカスタムルートテーブルであり、IPv4 または IPv6 ゲートウェイにこのゲートウェイルートテーブルを関連付けることで、インバウンドインターネットトラフィックを自社管理のファイアウォールに転送できます。これにより、トラフィックの包括的なフィルタリング、監査、およびセキュリティポリシー管理が可能になります。
以下に、各種ルートテーブルの違いを示します。
比較 | システムルートテーブル | カスタムルートテーブル | |
関連付け対象 | vSwitch | vSwitch | IPv4/IPv6 ゲートウェイ |
図解 |  |  |  |
利用シーン | 新規 vSwitch にデフォルトで関連付けられ、vSwitch トラフィックの一元管理を実現します。 | 特定の vSwitch にのみ関連付け、そのトラフィックパスの制御を実現します。 | IPv4/IPv6 ゲートウェイに関連付け、セキュアなインバウンドインターネットトラフィックのリダイレクトを実現します。 |
作成 | 自動作成:VPC を作成すると同時にシステムが自動的に作成します。 | 手動作成:ルートテーブル作成時に vSwitch タイプを選択します。 | 手動作成:ルートテーブル作成時にボーダーゲートウェイの種類を選択します。 |
削除可否 | 削除できません。 | 削除可能です。ただし、事前に vSwitch からの関連付けを解除する必要があります。 | 削除可能です。ただし、事前に IPv4/IPv6 ゲートウェイからの関連付けを解除する必要があります。 |
クォータ | VPC あたり 1 つのシステムルートテーブル。 | デフォルトでは、VPC 内の vSwitch に関連付け可能なカスタムルートテーブルを 9 つまで作成できます。必要に応じて、クォータ増加の申請が可能です。 | VPC 内の IPv4/IPv6 ゲートウェイに関連付け可能なルートテーブルは 1 つだけです。 |
各 vSwitch は、1 つのルートテーブルのみに関連付けることができます。一方、1 つのルートテーブルは複数の vSwitch に関連付けることができます。
ルート
ルートとは、ルートテーブル内のエントリであり、特定の宛先 CIDR ブロックへトラフィックを転送する際のネクストホップデバイス(NAT ゲートウェイや ECS インスタンスなど)を定義します。
VPC 内のルートは、以下の 2 種類に分類されます。
1. 静的ルート:システムが自動的に追加するか、ユーザーが手動で追加したルート。
2. 動的ルート:トランジットルーター(TR)や VPN ゲートウェイなどの他のネットワークインスタンスから VPC に伝播されたルート。
1. 静的ルート
静的ルートは、システムが自動的に追加するか、ユーザーが手動で追加します。以下の 2 種類があります。
システムルート:ネクストホップが
Localに設定されたルート。VPC および vSwitch の作成時にシステムが自動的に追加します。VPC 内のインスタンス間通信や Alibaba Cloud サービスへのアクセスに使用されます。カスタムルート:トラフィックパスをカスタマイズするためにユーザーが手動で追加したルート。
以下の図に示すように、2 つの VPC が VPC ピアリング接続で接続されています。VPC1 のシステムルートテーブルには、以下の静的ルートが含まれています。
VPC および vSwitch の作成後に、システムがネクストホップが
Localに設定されたシステムルートを自動的に追加します。クラウドサービスルート:宛先 CIDR ブロックは
100.64.0.0/10です。このルートにより、VPC1 内のインスタンスが Alibaba Cloud サービスにアクセスできます。vSwitch CIDR ブロックルート:宛先 CIDR ブロックは
10.0.0.0/24です。このルートにより、VPC1 内の vSwitch 間でプライベート通信が可能になります。
VPC ピアリング接続を作成した後、以下のカスタムルートを手動で追加する必要があります。
宛先 CIDR ブロックは
172.16.0.0/16、ネクストホップはピアリング接続です。このルートにより、VPC2宛てのトラフィックがピアリング接続に転送されます。
VPC2 のシステムルートテーブルのルートも、VPC1 と同様の原理で機能しますが、ここでは説明を省略します。
システムルート vs. カスタムルート
項目 | システムルート | カスタムルート |
定義 | ネクストホップが | ユーザーが手動で追加したルート。 |
IPv4 ルート | システムは、VPC 内のすべてのルートテーブルに以下のルートを自動的に追加します。
| 以下のルートを手動で追加できます。
|
IPv6 ルート | VPC で IPv6 を有効にすると、システムは、その VPC 内の vSwitch に関連付けられたすべてのルートテーブルに以下のルートを自動的に追加します。
| VPC で IPv6 を有効にすると、以下のパラメーターを持つルートを追加できます。
|
ネクストホップの変更 |
| システムルートのネクストホップを変更して作成されたカスタムルートの場合、ネクストホップは Local、ECS インスタンス、ENI、または Gateway Load Balancer エンドポイントのみに変更できます。 |
手動で作成可能か? | システムルートは手動で作成・削除できません。 | 作成および削除が可能です。 |
2. 動的ルート
動的ルートとは、他のネットワークインスタンスから VPC に伝播されるルートです。静的ルートとは異なり、VPC のルートテーブル内で動的ルートを手動で設定する必要はありません。動的ルートソースから自動的に受信・更新されます。
2.1 動的ルートソース
VPC にルートを自動的に伝播するネットワークインスタンスには、Enterprise Edition TR、Basic Edition TR、VPN ゲートウェイ、Express Connect ルーター(ECR)があります。コンソールのルートテーブル詳細ページの「」タブで、動的ルートのソースおよび詳細を確認できます。
Enterprise Edition TR から受信したルートの詳細は、「」タブに表示されます。
2.2 動的ルート受信の有効化/無効化
デフォルトでは、すべてのルートテーブルで動的ルートの受信が有効になっています。純粋な静的ルーティング構成が必要な場合は、各ルートテーブルに対して動的ルート受信を無効化できます。これにより、ビジネス要件に応じてルートテーブルを計画・管理できます。
2.3 動的ルートの制限事項
VPC のルートテーブルは、一度に 1 つの動的ルートソースからのみ動的ルートを受信できます。
たとえば、VPC を ECR に関連付けた後、Enterprise Edition TR に VPC を接続した場合、TR 上で VPC のルート同期を有効化しても失敗します。また、VPN ゲートウェイを作成し、BGP ルート自動伝播を有効化すると、VPN ゲートウェイが学習した BGP ルートが VPC のシステムルートテーブルに自動的に伝播されます。この場合、VPC を ECR に関連付けることはできません。
受信した動的ルートがルートテーブル内の既存のルートと重複する場合、どのルートが有効になるかは「ルート優先度」を参照してください。
動的ルートを受信できるのは、vSwitch に関連付けられたルートテーブルのみです。ゲートウェイに関連付けられたルートテーブルは動的ルートをサポートしません。
ルート優先度
VPC のルートテーブル内のルートは、以下のルールに基づいて優先度が決定されます。
重複する宛先 CIDR ブロックを持つルートが存在する場合:
IPv4 および IPv6 のトラフィックルーティングは互いに独立しています。システムは最長プレフィックス一致ルールを使用して、宛先 IP アドレスに最も適合する最も詳細なルートを選択し、トラフィック転送のネクストホップを決定します。
最長プレフィックス一致:複数のルートがパケットの宛先 IP アドレスに一致する宛先 CIDR ブロックを持つ場合、システムはサブネットマスクが最も長い(最も詳細な CIDR ブロック)ルートを使用します。たとえば、
192.168.1.100宛てのトラフィックは、192.168.1.0/24ルートに一致し、その後で192.168.0.0/16ルートに一致します。新しいルートの宛先 CIDR ブロックが既存のルートの宛先 CIDR ブロックと重複する場合:
操作
既存のシステムルート
既存のカスタムルート
既存の動的ルート
vSwitch の作成
vSwitch の CIDR ブロックは、既存のシステムルートと重複してはなりません。
vSwitch の CIDR ブロックは、以下のいずれにも該当してはなりません。
既存のカスタムルートの宛先 CIDR ブロックと同一であること。
既存のカスタムルートの宛先 CIDR ブロックを含むこと。
vSwitch CIDR ブロックは、以下のものをサポートしていません。
既存の動的ルートの宛先 CIDR ブロックと同一であること。
既存の動的ルートの宛先 CIDR ブロックを含むこと。
カスタムルートの追加
新しいカスタムルートの宛先 CIDR ブロックは、以下のいずれにも該当してはなりません。
既存のシステムルートの CIDR ブロックと一致すること。
既存のシステムルートよりも詳細であること。
新しいカスタムルートの宛先 CIDR ブロックは、既存のカスタムルートの宛先 CIDR ブロックと同一であってはなりません。
ネクストホップタイプ が ルーターインターフェイス(VBR 向け) の場合、アクティブ/スタンバイまたは等コストマルチパス(ECMP)ルートを設定できます。詳細については、「ルーターインターフェイスへのルート」をご参照ください。
カスタムルートを追加する場合、その宛先 CIDR ブロックは既存の動的ルートの宛先 CIDR ブロックと同一であってはなりません。
新しいカスタムルートのネクストホップが VPN ゲートウェイまたはルーターインターフェイスであり、CEN から既存の動的ルートが同じ宛先 CIDR ブロックで伝播されている場合、動的ルートは撤回され、カスタムルートが有効になります。
動的ルートの受信
動的ルートを受信した場合:
既存のシステムルートと同じ宛先 CIDR ブロックを持つことはできません。
既存のシステムルートよりも詳細な場合、動的ルートは伝播されません。
ECR から動的ルートを受信する場合:同じ宛先 CIDR ブロックを持つカスタムルートが存在する場合、カスタムルートが優先されます。
動的ルートは VPC のルートテーブルに表示されますが、カスタムルートが削除されるまでは有効になりません。
VPN ゲートウェイ、Enterprise Edition TR、Basic Edition TR から動的ルートを受信する場合:同じ宛先 CIDR ブロックを持つカスタムルートが存在する場合、カスタムルートが優先されます。
この場合、動的ルートは VPC のルートテーブルに伝播されず、カスタムルートが削除された後にのみ伝播されて有効になります。
サポートされていません。現在の VPC ルートテーブルには1 つのルート伝播ソースのみが存在します。
ルートテーブルの管理
VPC を作成すると、システムが自動的にシステムルートテーブルを作成し、デフォルトですべての vSwitch に関連付けて、すべての vSwitch のトラフィックを一元管理します。
VPC 内の特定の vSwitch のトラフィックを個別に制御するには、まず vSwitch タイプのカスタムルートテーブルを作成し、その後、対象の vSwitch に関連付ける必要があります。
VPC へのインターネットトラフィックを制御するには、ボーダーゲートウェイタイプのカスタムルートテーブルを作成し、その後、IPv4 または IPv6 ゲートウェイに関連付ける必要があります。
ルートテーブルの作成および削除
対象の vSwitch または IPv4/IPv6 ゲートウェイに関連付ける前に、まずカスタムルートテーブルを作成する必要があります。
コンソール
ルートテーブルの作成
VPC コンソールの「ルートテーブル」ページに移動し、作成 をクリックします。
対象の VPC を選択し、名前 を入力し、関連付けるオブジェクトタイプを選択します。
vSwitch:このルートテーブルを vSwitch に関連付ける と、特定の vSwitch のトラフィックパスを制御できます。
ボーダーゲートウェイ:このルートテーブルを IPv4 または IPv6 ゲートウェイに関連付ける と、VPC へのインターネットトラフィックのパスを制御できます。
カスタムルートテーブルを作成すると、システムが自動的に以下のシステムルートを追加します。
vSwitch CIDR ブロックルート:ルートテーブルが関連付けられている VPC 内の任意の vSwitch の CIDR ブロックを宛先 CIDR ブロックとするルート。このルートにより、vSwitch 内のインスタンス間通信が可能になります。
クラウドサービスルート:宛先 CIDR ブロックが
100.64.0.0/10のルート。このルートにより、VPC 内のインスタンスが Alibaba Cloud サービスにアクセスできます。
ルートテーブルの削除
対象のルートテーブルの 操作 列、またはその詳細ページで、削除 をクリックします。ルートテーブルを削除する前に、それが 関連付け解除 されていること、および すべてのカスタムルートが削除 されていることを確認してください。
削除可能なのはカスタムルートテーブルのみです。システムルートテーブルは削除できません。
API
CreateRouteTable 操作を呼び出して、ルートテーブルを作成します。
DeleteRouteTable 操作を呼び出して、カスタムルートテーブルを削除します。
Terraform
リソース:alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description"
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
}ルートテーブルの関連付けおよび関連付け解除
新しく作成されたカスタムルートテーブルは、デフォルトで何のリソースにも関連付けられていません。ルートテーブルを有効にするには、vSwitch または IPv4/IPv6 ゲートウェイに関連付ける必要があります。
コンソール
ルートテーブルの関連付け
VPC コンソールの「ルートテーブル」ページに移動します。対象のルートテーブルの 関連付け済みリソース 列で、関連付け をクリックします。
ルートテーブルを vSwitch に関連付ける場合: vSwitch の関連付け をクリックします。表示されるダイアログボックスで、対象の vSwitch を選択します。
vSwitch をカスタムルートテーブルに関連付けると、自動的にシステムルートテーブルからの関連付けが解除されます。
ルートテーブルを ボーダーゲートウェイ に関連付ける場合: ボーダーゲートウェイの関連付け をクリックします。表示されるダイアログボックスで、対象の IPv4 ゲートウェイ または IPv6 ゲートウェイ を選択します。
ボーダーゲートウェイに関連付けられたルートテーブルの使用方法については、「ゲートウェイルートテーブルを使用した VPC へのトラフィック制御」をご参照ください。
ルートテーブルの関連付け解除
対象のルートテーブルの詳細ページに移動します。
ルートテーブルが vSwitch に関連付けられている場合: タブで、関連付けを解除する vSwitch を選択し、関連付け解除 をクリックします。関連付けを解除した後、vSwitch は再びシステムルートテーブルに関連付けられます。
ルートテーブルが ボーダーゲートウェイ に関連付けられている場合: タブで、対象の IPv4/IPv6 ゲートウェイの 操作 列にある 関連付け解除 をクリックします。
ルートテーブルの関連付けを解除する前に、ルート変更による業務への影響を十分に評価し、サービス障害を回避してください。
API
AssociateRouteTable 操作を呼び出して、ルートテーブルを vSwitch に関連付けます。
AssociateRouteTableWithGateway 操作を呼び出して、ルートテーブルを IPv4/IPv6 ゲートウェイに関連付けます。
ルートテーブルの関連付けを解除する前に、ルート変更による業務への影響を十分に評価し、サービス障害を回避してください。
UnassociateRouteTable 操作を呼び出して、ルートテーブルを vSwitch から関連付け解除します。
DissociateRouteTableFromGateway 操作を呼び出して、ルートテーブルを IPv4/IPv6 ゲートウェイから関連付け解除します。
Terraform
vSwitch へのルートテーブルの関連付け
リソース:alicloud_route_table_attachment
データソース:alicloud_zones
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "foo" {
cidr_block = "172.16.0.0/12"
vpc_name = var.name
}
data "alicloud_zones" "default" {
available_resource_creation = "VSwitch"
}
resource "alicloud_vswitch" "foo" {
vpc_id = alicloud_vpc.foo.id
cidr_block = "172.16.0.0/21"
zone_id = data.alicloud_zones.default.zones[0].id
vswitch_name = var.name
}
resource "alicloud_route_table" "foo" {
vpc_id = alicloud_vpc.foo.id
route_table_name = var.name
description = "route_table_attachment"
}
resource "alicloud_route_table_attachment" "foo" {
vswitch_id = alicloud_vswitch.foo.id
route_table_id = alicloud_route_table.foo.id
}IPv4/IPv6 ゲートウェイへのルートテーブルの関連付け
リソース:alicloud_vpc_gateway_route_table_attachment
resource "alicloud_vpc" "example" {
cidr_block = "172.16.0.0/12"
vpc_name = "terraform-example"
}
resource "alicloud_route_table" "example" {
vpc_id = alicloud_vpc.example.id
route_table_name = "terraform-example"
description = "terraform-example"
associate_type = "Gateway"
}
resource "alicloud_vpc_ipv4_gateway" "example" {
ipv4_gateway_name = "terraform-example"
vpc_id = alicloud_vpc.example.id
enabled = true
}
resource "alicloud_vpc_gateway_route_table_attachment" "example" {
ipv4_gateway_id = alicloud_vpc_ipv4_gateway.example.id
route_table_id = alicloud_route_table.example.id
}ルートの管理
ルートの追加および削除
vSwitch に関連付けられたルートテーブルにカスタムルートを追加することで、vSwitch のトラフィックパスを制御できます。
IPv4/IPv6 ゲートウェイに関連付けられたルートテーブルにはルートを追加できません。ただし、ルートのネクストホップを変更 できます。
コンソール
ルートの追加
ルートの削除
対象のルートの 操作 列で、削除 をクリックします。
ルートを削除する前に、業務への影響を十分に評価し、サービス障害を回避してください。
API
CreateRouteEntry 操作を呼び出してルートを追加します。また、CreateRouteEntries 操作を呼び出して、複数のルートを一括で追加できます。
ルートを削除する前に、業務への影響を十分に評価し、サービス障害を回避してください。
DeleteRouteEntry 操作を呼び出してカスタムルートを削除します。また、DeleteRouteEntries 操作を呼び出して、複数のカスタムルートを一括で削除できます。
Terraform
リソース:alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # ルートテーブル ID を入力します。
destination_cidrblock = "172.16.1.1/32"
nexthop_type = "Instance" # ネクストホップタイプを入力します。
nexthop_id = "i-12345xxxx" # ネクストホップインスタンス ID を入力します。
}ルートのネクストホップの変更
宛先 CIDR ブロックのトラフィックパスを変更するには、ルートのネクストホップを変更できます。
システムルート:カスタムルートテーブル(ゲートウェイルートテーブルを含む)内にある場合に限り、システムルートのネクストホップを変更できます。変更後、このルートはカスタムルートになります。このカスタムルートを削除すると、元のシステムルートが復元されます。
カスタムルート:システムルートテーブルおよびカスタムルートテーブルのどちらでも、カスタムルートのネクストホップを変更できます。
宛先 CIDR ブロック および ネクストホップ でサポートされるタイプの詳細については、「システムルート vs. カスタムルート」をご参照ください。
ルートのネクストホップを変更する前に、業務への影響を十分に評価し、サービス障害を回避してください。
コンソール
対象のルートの 操作 列で、編集 をクリックします。表示されるダイアログボックスで、ネクストホップタイプ のドロップダウンリストから新しいネクストホップを選択します。
さまざまなネクストホップタイプの典型的な利用シーンについては、「構成例」をご参照ください。
API
ModifyRouteEntry 操作を呼び出して、vSwitch に関連付けられたルートテーブル内のルートのネクストホップを変更します。
UpdateGatewayRouteTableEntryAttribute 操作を呼び出して、IPv4/IPv6 ゲートウェイに関連付けられたルートテーブル内のルートのネクストホップを変更します。
Terraform
リソース:alicloud_route_entry
resource "alicloud_route_entry" "foo" {
route_table_id = "rt-12345xxxx" # ルートテーブル ID を入力します。
destination_cidrblock = "172.16.1.1/32"
nexthop_type = "Instance" # ネクストホップタイプを変更します。
nexthop_id = "i-12345xxxx" # ネクストホップインスタンス ID を入力します。
}静的ルートの公開および撤回
ルートテーブルのルートを Express Connect ルーター(ECR)またはトランジットルーター(TR)に伝播できます。動的ルート受信機能と組み合わせることで、ルート設定を簡素化できます。
ECR への静的ルートの公開:静的ルートを ECR に公開すると、ECR を介してデータセンターに動的に伝播できます。ルートの競合がない場合、ECR に関連付けられたすべてのデータセンターがこのルートを学習できます。
動作原理
VPC を ECR に関連付けると、VPC のシステムルートがデフォルトで ECR に公開されます。
静的ルートを ECR に公開した後:
ECR がルートを関連付けられた仮想ボーダールーター(VBR)に伝播します。VBR で BGP が有効になっている場合、ルートはデータセンターにさらに伝播されます。
ECR は、ルートを関連付けられた他の VPC には伝播しません。
公開された静的ルートが既存のルートと競合する場合、ECR の「ルート」タブでルートを確認できます。ルートのステータスは「競合中」と表示され、ルートは「有効」になりません。
制限事項
カスタムルートテーブル内のルートは ECR に公開できません。
宛先 CIDR ブロックがプレフィックスリストであるルートは ECR に公開できません。
ネクストホップが仮想ボーダールーター(VBR)向けのルーターインターフェイスであるアクティブ/スタンバイルートおよび等コストマルチパス(ECMP)ルートは、ECR に公開できません。VPC ルートを ECR に公開した後は、そのルートに対して ECMP またはアクティブ/スタンバイルートを設定できなくなります。
VPC ルートを ECR に公開した後、ルートを変更する場合、次の表で説明されているように、公開操作をサポートするルートタイプ のみをネクストホップとして設定できます。
以下の表では、VPC インスタンス内の各種ルートのデフォルト公開ステータス、および公開および撤回操作のサポート状況を示します。
利用シーンの例
ある企業が中国(杭州)リージョンにデータセンターおよび VPC を保有しており、VPC とデータセンター間の安定した通信を確立したいと考えています。また、データセンターに展開されたサービスがインターネットにアクセスできるようにしたいと考えています。
この企業は、VPC と VBR を ECR に接続し、EIP をアタッチしたインターネット NAT ゲートウェイを作成して、ルートを ECR に公開できます。ルートの競合がなければ、データセンターは BGP 経由で NAT ゲートウェイへのルートを学習できます。これにより、データセンターがインターネットにアクセスできるようになります。
トランジットルーター(TR)への静的ルートの公開:静的ルートを TR に公開すると、ルートの競合がなく、TR でルート同期が有効になっている場合、TR に接続されたすべてのネットワークインスタンスがこのルートを学習できます。
VPC が ECR および TR の両方に接続されている場合、VPC ルートを ECR および TR に公開する操作はそれぞれ独立しており、相互に影響しません。
コンソール
静的ルートの公開
対象のルートの ルート広告ステータス 列で、広告 をクリックします。
ルート広告ステータス 列は、VPC が TR または ECR に接続された場合にのみコンソールに表示されます。
公開済み静的ルートの撤回
対象のルートの ルート広告ステータス 列で、撤回 をクリックします。
ルート広告ステータス 列は、VPC が TR または ECR に接続された場合にのみコンソールに表示されます。
API
ECR の場合:
PublishVpcRouteEntries 操作を呼び出して、ECR に静的ルートを公開します。
WithdrawVpcPublishedRouteEntries 操作を呼び出して、ECR に公開済みのルートを撤回します。
TR の場合:
PublishRouteEntries 操作を呼び出して、TR に静的ルートを公開します。
WithdrawPublishedRouteEntries 操作を呼び出して、TR に公開済みのルートを撤回します。
タブ本文
動的ルート受信の有効化/無効化
デフォルトでは、すべてのルートテーブルで動的ルートの受信が有効になっています。純粋な静的ルーティング構成が必要な場合は、ルートテーブルの動的ルート受信を無効化できます。これにより、ルートテーブルの計画およびルート設定の管理が可能になります。
以下のケースで動的ルート受信を無効化できます:動的ルートのソースが ルート伝播型 ECR である場合、または VPC に動的ルートが伝播されていない場合。VPC に動的ルートが伝播されていない場合、「動的ルートソース」パラメーターは、ルートテーブル詳細ページの「ルートエントリ一覧 > 動的ルート」タブに表示されません。
以下のケースでは、動的ルート受信を無効化できません:VPC が Basic Edition TR に接続されている場合。VPC が Enterprise Edition TR に接続されており、TR 上で VPC のルート同期が有効になっている場合。VPC が VPN ゲートウェイに関連付けられており、VPN ゲートウェイのBGP ルート自動伝播が有効になっている場合。
停止時の影響:
VPC のルートテーブルは、他のネットワークインスタンスから伝播されるルートを受信しなくなります。すでにルートテーブルに存在する動的ルートはすべて削除されます。慎重に実行してください。
VPC を Basic Edition TR に接続できなくなります。この VPC に接続された TR は、VPC のルート同期を有効化できなくなります。この VPC に関連付けられた VPN ゲートウェイは、BGP ルート自動伝播を有効化できなくなります。
停止および再起動時の影響:
VPC のルートテーブル内の動的ルートは、現在動的ルートソースから伝播されているルートに基づいて更新されます。
たとえば、ECR に 4 つの動的ルートがあるとします。この機能を無効化すると、VPC のルートテーブルから動的ルートがすべてクリアされます。その後、ECR にさらに 2 つのルートが追加され、この機能を再び有効化すると、VPC のルートテーブルは ECR から 6 つの動的ルートを受信します。
コンソール
対象のルートテーブルの ルートテーブルの詳細 ページに移動します。「広告ルートの受信」スイッチを使用して、動的ルート受信を有効化または無効化します。
動的ルート受信を有効化または無効化する前に、ルート変更による業務への影響を十分に評価し、サービス障害を回避してください。
API
ModifyRouteTableAttributes 操作を呼び出し、RoutePropagationEnable パラメーターを変更して、動的ルート受信を有効化または無効化します。
動的ルート受信を有効化または無効化する前に、ルート変更による業務への影響を十分に評価し、サービス障害を回避してください。
Terraform
動的ルート受信を有効化または無効化する前に、ルート変更による業務への影響を十分に評価し、サービス障害を回避してください。
リソース:alicloud_route_table
variable "name" {
default = "terraform-example"
}
resource "alicloud_vpc" "defaultVpc" {
vpc_name = var.name
}
resource "alicloud_route_table" "default" {
description = "test-description"
vpc_id = alicloud_vpc.defaultVpc.id
route_table_name = var.name
associate_type = "VSwitch"
route_propagation_enable = true # 動的ルート受信の有効化/無効化には、このパラメーターを変更します。
}ゲートウェイルートテーブルの使用
ゲートウェイルートテーブルを使用すると、インバウンドインターネットトラフィック をセキュリティデバイスに転送して、詳細な検査およびフィルタリングを実行できます。これにより、悪意のある攻撃および不正アクセスを防止し、セキュリティを強化できます。また、ゲートウェイルートテーブルとカスタムルートテーブルを組み合わせることで、アウトバウンドトラフィックをセキュリティデバイスに転送することも可能です。これにより、インバウンドおよびアウトバウンドの両方のトラフィックに対する包括的なセキュリティが提供されます。
この機能を使用するには、まずルートテーブルを作成し、それを IPv4 ゲートウェイに関連付ける必要があります。その後、ルートテーブル内の vSwitch CIDR ブロックのシステムルートのネクストホップを、以下のいずれかに変更できます。
ECS インスタンス/ENI:インターネットトラフィックを特定の ECS インスタンスまたは Elastic Network Interface(ENI)に安全に転送します。
Gateway Load Balancer エンドポイント:インターネットトラフィックを Gateway Load Balancer(GWLB)シナリオにおけるサードパーティ製セキュリティデバイスに転送します。
Only これらのリージョンのみが、ネクストホップを[Gateway Load Balancer エンドポイント]に変更することをサポートしています。
自社管理のファイアウォールの使用
VPC 内の ECS インスタンスに自社管理のファイアウォールを設定し、ゲートウェイルートテーブルを使用して、VPC へのインバウンドトラフィックをファイアウォールに転送してフィルタリング できます。
GWLB の高可用性アーキテクチャ
Gateway Load Balancer(GWLB) を使用して、異なるセキュリティデバイス間でトラフィックを分散できます。これにより、アプリケーションのセキュリティおよび可用性が向上します。
構成例
さまざまなネクストホップタイプは、異なる利用シーンに適用されます。
IPv4 ゲートウェイへのルート
IPv4 ゲートウェイ を使用すると、VPC とインターネット間のトラフィックの統一された出入り口として機能させることができます。カスタムルートテーブルと併用することで、インターネットアクセストラフィックの集中管理が可能になります。これにより、統合されたセキュリティポリシーおよび監査の実施が可能となり、分散したアクセスポイントに起因するセキュリティリスクを低減できます。
IPv6 ゲートウェイへのルート
VPC で IPv6 を有効にする と、システムが自動的に システムルートテーブル にルートを追加します。
宛先 CIDR ブロックは
::/0、ネクストホップは IPv6 ゲートウェイです。
このルートにより、デフォルトの IPv6 トラフィックが IPv6 ゲートウェイに転送されます。IPv6 アドレスの IPv6 パブリック帯域幅を有効化 すると、システムルートテーブルに添付された vSwitch がインターネットと通信できるようになります。
IPv6 が有効化され、カスタムルートテーブル に添付された vSwitch の場合、IPv6 インターネットアクセスを有効化するために、上記のルートをカスタムルートテーブルに手動で追加する必要があります。
IPv6 ゲートウェイインスタンスをネクストホップとするカスタムルートの場合、宛先 CIDR ブロックは ::/0 のみに設定できます。
NAT ゲートウェイへのルート
多数のサーバーがインターネットにアクセスする必要があり、多くのパブリック IP リソースを必要とする場合、インターネット NAT ゲートウェイ の SNAT 機能を使用できます。これにより、VPC 内の複数の ECS インスタンスが EIP を共有してインターネットにアクセスできるようになり、パブリック IP リソースを節約できます。また、これらの ECS インスタンスはプライベート IP アドレスを公開することなくインターネットにアクセスできるため、セキュリティリスクを低減できます。
NAT ゲートウェイを使用する場合、インターネットアクセスを有効化するために、VPC のルートテーブルにインターネット NAT ゲートウェイを指すルートを追加する必要があります。
ECS インスタンスが属する vSwitch が カスタムルートテーブル に関連付けられている場合: 宛先 CIDR ブロック を
0.0.0.0/0に設定し、ネクストホップ をインターネット NAT ゲートウェイに設定したルートを手動で追加する必要があります。ECS インスタンスが属する vSwitch が システムルートテーブル に関連付けられている場合:
システムルートテーブルに宛先 CIDR ブロック
0.0.0.0/0のルートが存在しない場合、システムが自動的にインターネット NAT ゲートウェイを指すルートを追加します。システムルートテーブルに宛先 CIDR ブロック
0.0.0.0/0のルートがすでに存在する場合、既存のルートを削除した後、インターネット NAT ゲートウェイを指すルートを追加する必要があります。
VPC ピアリング接続へのルート
VPC は互いに分離されています。ただし、VPC ピアリング接続 を使用すると、同一アカウント内または同一リージョン内かどうかに関係なく、2 つの VPC 間でプライベート通信を確立できます。2 つの VPC 間でピアリング接続を確立した後、これらの VPC 内の Alibaba Cloud リソースは、プライベート IPv4 または IPv6 アドレスを使用して相互にアクセスできます。
トランジットルーターへのルート
Cloud Enterprise Network(CEN) を使用して VPC を接続する場合、VPC のルートテーブルにトランジットルーターを指すルートを追加する必要があります。以下のいずれかの方法で実行できます。
VPC 接続を作成する際に、トランジットルーターを指すルートを自動作成し、現在の VPC のすべてのルートテーブルに追加 を選択します。
この機能を有効化すると、システムが VPC のすべてのルートテーブルに 3 つのルートを自動的に追加します。これらのルートの宛先 CIDR ブロックは 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 です。これらのルートのネクストホップは VPC 接続であり、VPC からの IPv4 トラフィックをトランジットルーターに転送します。
トランジットルーターで ルート学習 を有効化した後、各 VPC に対して ルート同期 を有効化するか、各 VPC のルートテーブルにピア VPC を指すルートを手動で追加できます。
以下の図は、トランジットルーターでルート学習が有効化されている例を示しています。VPC のルートテーブルに手動でルートが追加されており、その宛先 CIDR ブロックはピア VPC の CIDR ブロックに設定され、ネクストホップはトランジットルーターに設定されています。
VPN ゲートウェイへのルート
VPN ゲートウェイを使用して暗号化トンネルを確立することで、オンプレミスデータセンターと VPC の間で安全かつ信頼性の高いネットワーク接続を構築できます。
VPN ゲートウェイを使用する場合、VPC にルートを追加する必要があります。このルートでは、宛先 CIDR ブロック をオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップ を VPN ゲートウェイ に設定します。これにより、VPC が IPsec-VPN 接続を介してオンプレミスデータセンターにアクセス できます。
ECS インスタンスまたは ENI へのルート
VPC 内の 2 つの vSwitch が通信する必要がある場合、トラフィックパスにファイアウォールや WAF などのサードパーティ製セキュリティデバイスを挿入するために、ルートテーブルを調整できます。これにより、トラフィックの検査、分析、保護が可能になります。
この構成を行うには、通信する vSwitch のそれぞれを個別のカスタムルートテーブルに関連付けることができます。その後、対応する CIDR ブロックのシステムルートのネクストホップを、ファイアウォールの ECS インスタンスまたは ENI に変更できます。
ルーターインターフェイスへのルート
Express Connect の VBR から VPC への接続 機能を使用すると、オンプレミスデータセンターを VPC に接続できます。
VBR から VPC への接続機能はデフォルトで有効になっていません。この機能を使用するには、アカウントマネージャーにお問い合わせください。
この機能を使用する場合、VPC にルートを追加する必要があります。このルートでは、宛先 CIDR ブロックをオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップタイプを ルーターインターフェイス(VBR 向け) に設定します。これにより、VPC が VBR を介してオンプレミスデータセンターにアクセスできます。このネクストホップタイプは ECMP および アクティブ/スタンバイ モードをサポートしています。これらのモードは ヘルスチェック と併用する必要があります。
アクティブ/スタンバイ:ネクストホップとして指定できるインスタンスは 2 つまでです。アクティブルートのネクストホップの重みは 100、バックアップルートのネクストホップの重みは 0 です。アクティブルートのヘルスチェックが失敗した場合、バックアップルートが有効になります。
ECMP:ネクストホップとして指定できるインスタンスは 2~16 個です。各インスタンスの重みは同じである必要があり、0~255 の整数である必要があります。システムは、ネクストホップインスタンス間でトラフィックを均等に分散します。
以下の図は、アクティブ/スタンバイモードを示しています。
Express Connect ルーターへのルート
Express Connect ルーター(ECR) を Express Connect と併用して、オンプレミスデータセンターを VPC に接続できます。
デフォルトでは、VPC は Express Connect ルーター(ECR)から動的ルートを受け入れます。これらのルートは、データセンターの CIDR ブロックを宛先 CIDR ブロックとして、ECR をネクストホップとして指定することで、オンプレミスデータセンターとの通信を可能にします。
VPC ルートテーブルの動的ルート受信が無効になっている場合、VPC ルートテーブルに手動でルートを追加する必要があります。このルートでは、宛先 CIDR ブロック をオンプレミスデータセンターの CIDR ブロックに設定し、ネクストホップ を Express Connect ルーター に設定します。これにより、VPC とオンプレミスデータセンター間の通信が可能になります。
Gateway Load Balancer エンドポイントへのルート
Gateway Load Balancer エンドポイント のネクストホップタイプは、これらのリージョンでのみサポートされています。具体的なユースケースについては、「ゲートウェイルートテーブルの使用 - GWLB の高可用性アーキテクチャ」をご参照ください。
その他の情報
エリア | カスタムルートテーブルをサポートするリージョン |
アジア太平洋 - 中国 | 中国(杭州)、中国(上海)、中国(南京 - ローカルリージョン - 解約中)、中国(青島)、中国(北京)、中国(張家口)、中国(フフホト)、中国(ウランチャブ)、中国(深セン)、中国(河源)、中国(広州)、中国(成都)、中国(香港)、中国(武漢 - ローカルリージョン)、中国(福州 - ローカルリージョン - 解約中) |
アジア太平洋 - その他 | 日本(東京)、韓国(ソウル)、シンガポール、マレーシア(クアラルンプール)、インドネシア(ジャカルタ)、フィリピン(マニラ)、タイ(バンコク) |
ヨーロッパおよびアメリカ | ドイツ(フランクフルト)、イギリス(ロンドン)、米国(シリコンバレー)、米国(バージニア)、メキシコ |
中東 | UAE(ドバイ)、サウジアラビア(リヤド - パートナー運営) |
クォータ
クォータ名 | 説明 | デフォルト制限 | 調整可能 |
vpc_quota_route_tables_num | VPC あたりのカスタムルートテーブル数。 | 9 | はい。 |
vpc_quota_route_entrys_num | ルートテーブルあたりのカスタムルートエントリ数(動的に伝播されたルートエントリ を除く)。 | 200 | |
vpc_quota_dynamic_route_entrys_num | テーブルあたりの動的に伝播されたルート数。 | 500 | |
vpc_quota_havip_custom_route_entry | HaVip を指す最大カスタムルート数。 | 5 | |
vpc_quota_vpn_custom_route_entry | VPN ゲートウェイを指す最大カスタムルート数。 | 50 | |
なし | ルートテーブルあたりのタグ数。 | 20 | いいえ。 |
VPC あたりの vRouter 数。 | 1 | ||
TR 接続を指すルート数。 | 600 |
制限事項
ルートテーブルの制限事項
各 vSwitch は、1 つのルートテーブルのみに関連付けることができます。1 つのルートテーブルは複数の vSwitch に関連付けることができます。
削除可能なのはカスタムルートテーブルのみです。システムルートテーブルは削除できません。
ルートの制限事項
静的ルートの制限事項:
システムルートは手動で作成・削除できません。
Alibaba Cloud サービス用の 100.64.0.0/10 システムルートよりも詳細な宛先 CIDR ブロックを持つカスタムルートを作成できますが、CIDR ブロックが完全に一致することはできません。より詳細なルートを設定する場合は注意が必要です。誤った設定を行うと、一部の Alibaba Cloud サービスにアクセスできなくなる可能性があります。
カスタムルートのネクストホップが IPv6 ゲートウェイインスタンスの場合、宛先 CIDR ブロックは
::/0のみに設定できます。ルート広告ステータス 列は、VPC が TR または ECR に接続された場合にのみコンソールに表示されます。
新しいルートの宛先 CIDR ブロックが既存のルートの宛先 CIDR ブロックと重複する場合、一部のケースでは新しいルートを追加できません。詳細については、「ルート優先度」をご参照ください。
静的ルートの公開に関する制限事項:
カスタムルートテーブル内のルートは ECR に公開できません。
宛先 CIDR ブロックがプレフィックスリストであるルートは ECR に公開できません。
ネクストホップが仮想ボーダールーター(VBR)向けのルーターインターフェイスであるアクティブ/スタンバイルートおよび等コストマルチパス(ECMP)ルートは、ECR に公開できません。VPC ルートを ECR に公開した後は、そのルートに対して ECMP またはアクティブ/スタンバイルートを設定できなくなります。
VPC ルートを ECR に公開した後、ルートを変更する場合、次の表で説明されているように、公開操作をサポートするルートタイプ のみをネクストホップとして設定できます。
以下の表では、VPC インスタンス内の各種ルートのデフォルト公開ステータス、および公開および撤回操作のサポート状況を示します。
動的ルートの制限事項:
VPC のルートテーブルは、一度に 1 つの動的ルートソースからのみ動的ルートを受信できます。
たとえば、VPC を ECR に関連付けた後、Enterprise Edition TR に VPC を接続した場合、TR 上で VPC のルート同期を有効化しても失敗します。また、VPN ゲートウェイを作成し、BGP ルート自動伝播を有効化すると、VPN ゲートウェイが学習した BGP ルートが VPC のシステムルートテーブルに自動的に伝播されます。この場合、VPC を ECR に関連付けることはできません。
受信した動的ルートがルートテーブル内の既存のルートと重複する場合、どのルートが有効になるかは「ルート優先度」を参照してください。
動的ルートを受信できるのは、vSwitch に関連付けられたルートテーブルのみです。ゲートウェイに関連付けられたルートテーブルは動的ルートをサポートしません。
課金
VPC ルートテーブル機能は無料です。