おはようございます! SRE 2 課の手塚です。
今回は Transit Gateway のブラックホールルートを紹介します。
ブラックホールルートとは ?
ブラックホールルートは、そのルートに一致する通信の転送を拒否します。
設定方法
Transit Gateway ルートテーブルにブラックホールルートを追加する手順です。
- Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。
- Transit Gateway ルートテーブルを選択します。
- ルートを作成するルートテーブルを選択します。
[Create static route] を選択します。
[Create static route] ページに、ルートを作成する CIDR ブロックを入力し、[Blackhole] を選択します。
- [Create static route] を選択します。
参考: トランジットゲートウェイルートテーブル - Amazon Virtual Private Cloud
例題 1
宛先が 10.0.0.0/15 にマッチする通信を拒否し、その他のトラフィックを VPN アタッチメントに転送する Transit Gateway ルートテーブルを作成せよ。
回答
CIDR | Attachment | Route state |
---|---|---|
0.0.0.0/0 | VPN | active |
10.0.0.0/15 | - | blackhole |
宛先が 10.0.0.0/15 にマッチする通信はブラックホールに転送・破棄され、その他の通信は VPN アタッチメントに転送されます。
例題 2
下記 Transit Gateway 構成の VPC 間通信を禁止せよ。
回答
VPC アタッチメントに例題 1 のルートテーブルを適用すると、VPC 間通信を禁止できます。
例題 1 と同様、 宛先が 10.0.0.0/15 にマッチする通信はブラックホールに転送・破棄され、その他の通信は VPN アタッチメントに転送されます。
まとめ
ブラックホールルートとは ?
- そのルートに一致するトラフィックの転送を拒否します
- 折り返し通信を防止する手段の一つとして利用できます
最後までお付き合い頂きありがとうございました。次回もよろしくお願いします!
手塚 忠 (Tadashi Tetsuka) 記事一覧はコチラ
カスタマーサクセス部所属、2019 年 2 月入社のネットワークエンジニア。シリアルコンソールがマネジメントコンソールに変わったが、スイッチ愛は今も変わらず。 2023 Japan AWS Top Engineers (Networking), 2023 AWS ALL Certifications Engineers