VPCのSubnetとRoute Tableの挙動の確認

今回はSubnetとRoute Tableの挙動を確認してみます。

まずは、10.0.0.0/24のEC2インスタンス(10.0.0.4)で確認すると、当然、自分自身へのpingは通ります。

$ ping 10.0.0.4
PING 10.0.0.4 (10.0.0.4) 56(84) bytes of data.
64 bytes from 10.0.0.4: icmp_seq=1 ttl=64 time=0.024 ms
64 bytes from 10.0.0.4: icmp_seq=2 ttl=64 time=0.038 ms
64 bytes from 10.0.0.4: icmp_seq=3 ttl=64 time=0.031 ms

ちなみにルーティングテーブルは下記のようになっており、デフォルトゲートウェイは10.0.0.1となっています。

$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
default         10.0.0.1        0.0.0.0         UG    0      0        0 eth0

次に、同じSubnetのインスタンスでpingの確認をしてみると、当然、下記のように通信ができます。

$ ping 10.0.0.5
PING 10.0.0.5 (10.0.0.5) 56(84) bytes of data.
64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=10.9 ms
64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=0.470 ms
64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=0.490 ms

そして、下記のように10.0.1.0/24のSubnetを作成します。
ちなみにAvailability Zoneは10.0.0.0/24とは違う場所にしています。

Subnetを作成すると、デフォルトでRoute TableはMainのもの(10.0.0.0/24と同じもの)が適用されるようになっており、そのSubnetのインスタンス(10.0.1.4)でpingを確認すると、下記のように通信することができ、ルーティングされていることがわかります。

$ ping 10.0.1.4
PING 10.0.1.4 (10.0.1.4) 56(84) bytes of data.
64 bytes from 10.0.1.4: icmp_seq=1 ttl=64 time=3.11 ms
64 bytes from 10.0.1.4: icmp_seq=2 ttl=64 time=3.16 ms
64 bytes from 10.0.1.4: icmp_seq=3 ttl=64 time=3.13 ms

実際にMainのRoute Tableは次のようになっており、

VPC作成時に指定したネットワークアドレス(10.0.0.0/16)のTargetがlocalに必ず設定されています。
つまり、そのVPC内のEC2インスタンスはお互いに通信できるようになっています。

今度はもう一つRoute Tableを作成し、

(やはり、10.0.0.0/16のTargetはlocalに設定されています)

下記のように10.0.1.0/24のSubnetに適用させます。
つまり10.0.1.0/24のSubnetを10.0.1.0/24とは別のRoute Tableにします。

この状態で再度、10.0.1.4でpingを確認すると、

$ ping 10.0.1.4
PING 10.0.1.4 (10.0.1.4) 56(84) bytes of data.
64 bytes from 10.0.1.4: icmp_seq=1 ttl=64 time=3.09 ms
64 bytes from 10.0.1.4: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 10.0.1.4: icmp_seq=3 ttl=64 time=3.08 ms

それでも通信はできます。
つまり、どんなRoute TableにもVPCで設定したネットワークアドレス(10.0.0.0/16)のTargetが必ずlocalに設定されてしまうので、VPC内(10.0.0.0/16)のインスタンスは、お互いに通信できてしまうことになります。

ちなみに10.0.1.4のインスタンスのルーティングテーブルは下記のようになっており、デフォルトゲートウェイは所属しているSubnetのもの(10.0.1.1)になっていることがわかります。

$ route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.0.1.0        *               255.255.255.0   U     0      0        0 eth0
default         10.0.1.1        0.0.0.0         UG    0      0        0 eth0

以上より、Subnet間でアクセス制御をしたい場合は、Network ACLを利用することになります。

こちらの記事はなかの人（suz-lab）監修のもと掲載しています。
元記事は、こちら

この記事を書いた人

鈴木宏康

愛知県生まれ。東京工業大学大学院修士課程修了。在学時より、ベンチャー企業でインターネットに関する業務に携わり、現在はクラウド(主にAmazon Web Services)上での開発・運用を軸とした事業の、業務の中心として活躍。鈴木宏康が書いた記事

VPCのSubnetとRoute Tableの挙動の確認

IT健保「鮨一新」食レポ

Amazon Managed Grafanaへのログイン手段を考える〜IAM Identity Center以外のSAML認証の選択肢〜

AWSの生成AI活用事例集GenUを使い倒す

【次世代MSP】SLI / SLO を定義してみた～ New Relic でサービスの見える化に挑戦！

Oracle のロックされているテーブルのセッションを知りたい [cloudpack OSAKA blog]

VPCのSubnetとRoute Tableの挙動の確認

関連記事Related Articles

VPCのDHCP Options SetでNTPサーバを指定する

CentOSのパッケージ(yum)でインストールしたApacheのセキュリティ対策がどこまで行われているか調べてみる

psacctでコマンド履歴を残す(CentOS6)

Chef on Windows で task を登録したい

cloudpackブログ週刊レビュー 2014/10/14