VPC-to-on-premises inspección de tráfico - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

VPC-to-on-premises inspección de tráfico

El siguiente diagrama muestra el flujo de tráfico si una instancia de Amazon Elastic Compute Cloud (Amazon EC2) Workload spoke VPC1 quiere comunicarse con un servidor local.

El flujo de tráfico entre una EC2 instancia de Amazon en la VPC radial 1 y un servidor local

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. Un paquete de una EC2 instancia de la zona de disponibilidad 1 llega a la interfaz de red elástica Transit Gateway de la zona de disponibilidad 1, en la subred de la pasarela de tránsito paraWorkload spoke VPC 1. Workload spoke VPC 1 Según la tabla de enrutamiento de VPC asociada a la subred de la interfaz de red elástica de Transit Gateway, el paquete aterriza en la puerta de enlace de tránsito.

  2. En la puerta de enlace de tránsito, la Spoke transit gateway route table está asociada a la conexión de la Workload spoke VPC 1 y esto determina el siguiente salto.

  3. El siguiente salto es la VPC de dispositivo. Según el hash de 4 tuplas de la vida útil de un flujo, Transit Gateway determina a qué interfaz de red elástica de Transit Gateway se debe enviar el tráfico.

  4. Si Transit Gateway elige la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1, comprueba la tabla de enrutamiento de VPC asociada a la subred de la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1 de la VPC de dispositivo. Transit Gateway dirige el tráfico al punto de conexión del equilibrador de carga de la puerta de enlace en la zona de disponibilidad 1.

  5. El punto final del balanceador de carga de la puerta de enlace se conecta de manera lógica al balanceador de carga de la puerta de enlace a través AWS PrivateLink del cual, a continuación, reenvía el tráfico al dispositivo de firewall para su inspección. El equilibrador de carga de la puerta de enlace crea un túnel GENEVE entre el equilibrador de carga de la puerta de enlace y los dispositivos de firewall.

  6. Si se permite el tráfico, el paquete se devuelve al equilibrador de carga de la puerta de enlace y al punto de conexión del equilibrador de carga de la puerta de enlace en la zona de disponibilidad 1.

  7. En el punto de conexión del equilibrador de carga de la puerta de enlace, el paquete comprueba la tabla de enrutamiento de VPC y el siguiente salto es la puerta de enlace de tránsito.

  8. El paquete llega a la puerta de enlace de tránsito y realiza una búsqueda en la tabla de enrutamiento de la puerta de enlace de tránsito del dispositivo que está asociada a la conexión de la VPC de dispositivo para el siguiente salto a la red 172.16.0.0/16.

  9. A continuación, el paquete se envía al servidor de destino en las instalaciones. El tráfico de respuesta sigue la misma ruta pero a la inversa.