AWS 路由表中的 target 代表什麼?
我試圖正確理解 AWS 路由的工作原理。我正在查看 https://tutorialsdojo.com/aws-cheat-sheet-amazon-vpc/
主路由表
Destination Target 172.31.0.0/16 local 0.0.0.0/0 igw-id我理解第二行,每個人都可以去網際網路網關。但是本地代表什麼?交通流向哪裡?
在上面的範例中,“本地”表示 VPC 路由器將把該 cidr 範圍內的流量發送到本地 VPC。具體來說,它會將流量發送到具有指定 IP 地址的特定網路介面,如果您的 VPC 中沒有任何內容具有該 IP 地址,則丟棄數據包。
另外值得注意的是,本地規則不能被覆蓋。VPC 路由器將始終將本地 VPC 流量路由到 VPC(特別是直接路由到正確的介面,而不讓 VPC 中的任何其他東西能夠嗅探它)。該規則主要作為“為您的意識”規則提供。如果您創建了更具體的規則,例如 172.31.0.0/25,VPC 路由器將忽略它。在所有其他情況下,最具體的路由就像普通路由器一樣獲勝。
更廣泛地說,目標可以是一些可以接受網路流量的 AWS 資源:
網際網路網關
IGW 是一對一的 NAT 設備,它將實例(或 ENI)的私有 IP 地址轉換為分配給它的公共 IP 地址,並將其發送到公共 Internet 或從公共 Internet 發送。由於其設計,沒有公共 IP 地址的實例無法使用 IGW,但它們可以使用…
NAT 網關
NAT 網關作為目標,以便實例將路由到 NAT 網關以獲取 Internet 訪問權限(請注意,這要求您的實例位於私有子網中,並具有到 NAT 網關的預設路由,並且 NAT 網關位於公共子網中到 IGW 的預設路由。
彈性網路介面
這是連接到 EC2 實例的網路介面。如果您希望擁有在 EC2 上執行的虛擬 IDS、Web 代理、防火牆、網關等。您可以設置到該 ENI 的預設路由。(同樣,您需要確保您的虛擬網關位於具有不同路由表的子網中——該路由表具有到 IGW 的預設路由,因此它不會循環路由)。
虛擬專用網關
此設備連接到 VPN 或 Direct Connect。它不執行地址轉換,因此通過此設備進行的所有通信都使用 VPC 的私有 IP 地址
VPC 端點
此設備直接連接到 AWS API 終端節點,因此您可以允許沒有 Internet 訪問權限的實例仍然可以訪問 AWS API。通常這用於與 s3 對話。如果路由的目標是 VPC-E,則目標應該是 AWS API 端點的 BGP 前綴列表(更多資訊在這裡)。
對等連接
此設備連接到其他 AWS VPC,它使用 VPC 私有 IP 定址。