我试图正确理解 AWS 路由的工作原理。我正在看 https://tutorialsdojo.com/aws-cheat-sheet-amazon-vpc/
主路由表
Destination Target
172.31.0.0/16 local
0.0.0.0/0 igw-id
我理解第二行,每个人都可以访问互联网网关。但本地代表什么?交通流向哪里?
答案1
在上面的示例中,“本地”表示 VPC 路由器将将该 cidr 范围内的流量发送到本地 VPC。具体来说,它会将流量发送到指定 IP 地址的特定网络接口,如果您的 VPC 中没有任何内容具有该 IP 地址,则丢弃数据包。
另外值得注意的是,当地规则不能被推翻。 VPC 路由器将始终将本地 VPC 流量路由到 VPC(特别是直接路由到正确的接口,而不让 VPC 中的其他任何东西能够嗅探它)。该规则主要作为“供您了解”的规则提供。如果您创建了更具体的规则,例如 172.31.0.0/25,VPC 路由器将忽略它。在所有其他情况下,最具体的路由会像普通路由器一样获胜。
更广泛地说,目标可以是许多可以接受网络流量的 AWS 资源:
互联网网关
IGW 是一对一的 NAT 设备,它将实例(或 ENI)的私有 IP 地址转换为分配给它的公共 IP 地址,并将其发送到公共互联网或从公共互联网发送。由于其设计原因,没有公共 IP 地址的实例无法使用 IGW,但它们可以使用...
NAT 网关
NAT 网关作为目标,以便实例将路由到 NAT 网关以获取 Internet 访问权限(请注意,这要求您的实例位于具有到 NAT 网关的默认路由的私有子网中,并且 NAT 网关位于具有到 NAT 网关的默认路由的公有子网中到 IGW 的默认路由。
弹性网络接口
这是连接到 EC2 实例的网络接口。如果您希望拥有在 EC2 上运行的虚拟 IDS、Web 代理、防火墙、网关等。您可以设置到该 ENI 的默认路由。 (同样,您需要确保您的虚拟网关位于具有不同路由表的子网中 - 该路由表具有到 IGW 的默认路由,以便它不会进行循环路由)。
虚拟专用网关
此设备连接到 VPN 或 Direct Connect。它不执行地址转换,因此通过该设备的所有通信都使用 VPC 的私有 IP 地址
VPC端点
该设备直接连接到 AWS API 终端节点,因此您可以允许没有 Internet 访问权限的实例仍然访问 AWS API。通常这用于与 s3 对话。如果路由的目标是 VPC-E,则目标应该是 AWS API 终端节点的 BGP 前缀列表(更多信息这里)。
对等连接
该设备连接到其他 AWS VPC,它使用 VPC 私有 IP 寻址。