VPC-to-VPC Verkehrsinspektion - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-to-VPC Verkehrsinspektion

VPC-to-VPC Eine Verkehrsinspektion erfolgt, wenn der Verkehr von einer VPC stammt und für eine andere VPC bestimmt ist. Der Datenverkehr wird zur Überprüfung an eine Appliance-VPC umgeleitet, bevor er die Ziel-VPC erreicht. Das folgende Diagramm zeigt, wie der Datenverkehr fließt, wenn eine Amazon Elastic Compute Cloud (Amazon EC2) -Instance mit einer EC2 Instance in kommunizieren Workload spoke VPC1 mussWorkload spoke VPC2.

Architekturdiagramm der Verkehrsinspektion zwischen zwei Speichen VPCs und einer Appliance-VPC

In diesem Anwendungsfall VPCs hosten zwei Spoke die EC2 Workload-Instanzen in zwei Availability Zones und eine Appliance-VPC hostet die Firewall-Appliances von Drittanbietern zur Verkehrsinspektion. Sie VPCs sind miteinander verbunden über AWS Transit Gateway. Das Diagramm zeigt den folgenden Paketfluss, wenn eine EC2 Instanz Workload spoke VPC1 in Availability Zone 1 ein Paket an eine Instance Workload spoke VPC2 in Availability Zone 1 sendet:

  1. Das Paket von einer EC2 Instance Workload spoke VPC1 in Availability Zone 1 geht an die elastic network interface von Transit Gateway im Transit-Gateway-Subnetz in Availability Zone 1.

  2. Basierend auf der in der VPC-Routing-Tabelle definierten Standardroute landet das Paket auf dem Transit-Gateway.

  3. Im Transit-Gateway ist die Routing-Tabelle des Spoke-Transit-Gateways dem Workload spoke VPC1-Anhang zugeordnet, der den nächsten Hop bestimmt.

  4. Der nächste Hop ist die Appliance-VPC. Da der Appliance-VPC-Anhang den Appliance-Modus aktiviert hat, bestimmt das Transit Gateway anhand der 4 Tupel des IP-Pakets, an welche elastische Transit-Gateway-Netzwerkschnittstelle der Datenverkehr weitergeleitet werden soll.

  5. Wenn Transit Gateway die elastische Netzwerkschnittstelle von Transit Gateway in Availability Zone 1 in der Appliance VPC auswählt, bleibt der Datenverkehr sowohl für den Anfrage- als auch für den Antwortverkehr in Availability Zone 1 bestehen.

  6. Der Datenverkehr wird an Gateway Load Balancer endpoint 1 in Availability Zone 1 gesendet.

  7. Der Gateway Load Balancer-Endpunkt ist über logisch mit dem Gateway Load Balancer verbunden. AWS PrivateLink Der Gateway Load Balancer verwendet den 4-Tupel-Hash-Algorithmus, um eine Firewall-Appliance für die gesamte Lebensdauer des Datenflusses auszuwählen, und leitet dann den Datenverkehr zur Überprüfung an diese Appliance in der Appliance VPC in Availability Zone 1 weiter. Der Gateway Load Balancer erstellt einen GENEVE-Tunnel zwischen sich und der Firewall-Appliance.

  8. Der Datenverkehr wird auf der Grundlage der Firewall-Richtlinie überprüft.

  9. Nachdem das Paket erfolgreich geprüft wurde, wird das Paket zurück an den Gateway Load Balancer und dann an den Gateway-Load-Balancer-Endpunkt in Appliance VPC in Availability Zone 1 gesendet.

  10. Am Gateway-Load-Balancer-Endpunkt wird das Paket auf der Grundlage der VPC-Routing-Tabelle an das Transit-Gateway gesendet.

  11. Nachdem das Paket am Transit-Gateway angekommen ist, untersucht es die dem Netzwerk 10.2.0.0/16 zugeordnete Routing-Tabelle, bei der es sich um das Zielnetzwerk handelt.

  12. Das Paket wird an die elastic network interface von Transit Gateway Workload spoke VPC2 in Availability Zone 1 gesendet, bevor es die EC2 Zielinstanz erreicht. Der zurückgegebene Datenverkehr folgt demselben Pfad, jedoch in umgekehrter Reihenfolge.

Anmerkung

Transit Gateway behält die Affinität zur Availability Zone bei und verwendet dieselbe Availability Zone, in der die ursprünglichen Anfragen erstellt wurden. Wenn beispielsweise eine EC2 Instance Workload spoke VPC2 in Availability Zone 2 die Anfrage initiiert hat, wird das Paket an das Transit Gateway-Subnetz mit elastic network interface Workload spoke VPC2 in Availability Zone 2 weitergeleitet, landet auf dem Transit Gateway und wird dann an das Subnetz der elastic network interface von Transit Gateway in Availability Zone 2 in der Ziel-VPC weitergeleitet. Indem Sie den Appliance-Modus in der Appliance-VPC aktivieren, können Sie sicherstellen, dass die Symmetrie des Datenflusses mithilfe des 4-Tupel-Hashs für die gesamte Lebensdauer des Datenverkehrs aufrechterhalten wird.