ブラックホールルート

記事タイトルとURLをコピーする

f:id:swx-tetsuka:20200929033530j:plain

おはようございます! SRE 2 課の手塚です。

今回は Transit Gateway のブラックホールルートを紹介します。

ブラックホールルートとは ?

ブラックホールルートは、そのルートに一致する通信の転送を拒否します。

設定方法

Transit Gateway ルートテーブルにブラックホールルートを追加する手順です。

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
  2. Transit Gateway ルートテーブルを選択します。
  3. ルートを作成するルートテーブルを選択します。
  4. [Create static route] を選択します。

    f:id:swx-tetsuka:20200926000507p:plain
    Transit Gateway ルートテーブル

  5. [Create static route] ページに、ルートを作成する CIDR ブロックを入力し、[Blackhole] を選択します。

  6. [Create static route] を選択します。
    f:id:swx-tetsuka:20200926002747p:plain
    Create static route

参考: トランジットゲートウェイルートテーブル - Amazon Virtual Private Cloud

例題 1

宛先が 10.0.0.0/15 にマッチする通信を拒否し、その他のトラフィックを VPN アタッチメントに転送する Transit Gateway ルートテーブルを作成せよ。

回答

CIDR Attachment Route state
0.0.0.0/0 VPN active
10.0.0.0/15 - blackhole

宛先が 10.0.0.0/15 にマッチする通信はブラックホールに転送・破棄され、その他の通信は VPN アタッチメントに転送されます。

例題 2

下記 Transit Gateway 構成の VPC 間通信を禁止せよ。

f:id:swx-tetsuka:20200929115156p:plain
Customer Gateway による折り返し通信

回答

VPC アタッチメントに例題 1 のルートテーブルを適用すると、VPC 間通信を禁止できます。

f:id:swx-tetsuka:20200929115258p:plain
ブラックホールルートで VPC 間通信を禁止

例題 1 と同様、 宛先が 10.0.0.0/15 にマッチする通信はブラックホールに転送・破棄され、その他の通信は VPN アタッチメントに転送されます。

まとめ

ブラックホールルートとは ?

f:id:swx-tetsuka:20200929032633p:plain:w300

  • そのルートに一致するトラフィックの転送を拒否します
  • 折り返し通信を防止する手段の一つとして利用できます

最後までお付き合い頂きありがとうございました。次回もよろしくお願いします!

手塚 忠 (Tadashi Tetsuka) 記事一覧はコチラ

SRE2課所属。AWS認定8冠。2019/2入社のネットワークエンジニア。シリアルコンソールがマネジメントコンソールに変わったが、スイッチ愛は今も変わらず。