VPC-to-VPC inspección de tráfico - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

VPC-to-VPC inspección de tráfico

VPC-to-VPC la inspección de tráfico se produce cuando el tráfico se origina en uno VPC y se dirige a otroVPC. El tráfico se redirige a un dispositivo VPC para su inspección de tráfico antes de llegar al destinoVPC. El siguiente diagrama muestra cómo fluye el tráfico si una instancia de Amazon Elastic Compute Cloud (AmazonEC2) Workload spoke VPC1 necesita comunicarse con una EC2 instancia deWorkload spoke VPC2.

Diagrama de arquitectura de la inspección de tráfico entre dos radios VPCs y un dispositivo VPC

En este caso de uso, dos radios VPCs alojan las EC2 instancias de carga de trabajo en dos zonas de disponibilidad y un dispositivo VPC aloja los dispositivos de firewall de terceros para la inspección del tráfico. VPCsEstán interconectados mediante AWS Transit Gateway. El diagrama muestra el siguiente flujo de paquetes cuando una EC2 instancia de Workload spoke VPC1 la zona de disponibilidad 1 envía un paquete a una instancia de Workload spoke VPC2 la zona de disponibilidad 1:

  1. El paquete de una EC2 instancia de la zona de disponibilidad 1 va a la interfaz de red elástica Transit Gateway de la subred de la pasarela de transporte de la zona de disponibilidad 1. Workload spoke VPC1

  2. Según la ruta predeterminada definida en la tabla de VPC rutas, el paquete aterriza en la pasarela de tránsito.

  3. En la puerta de enlace de tránsito, la tabla de enrutamiento de la puerta de enlace de tránsito radial está asociada a la conexión de la Workload spoke VPC1, lo que determina el siguiente salto.

  4. El siguiente salto es el dispositivoVPC. Como el dispositivo VPC adjunto tiene activado el modo dispositivo, la puerta de enlace de tránsito determina a qué interfaz de red elástica Transit Gateway debe reenviar el tráfico, en función de las cuatro tuplas del paquete IP.

  5. Si Transit Gateway elige la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 1 de la Appliance VPC, el tráfico se queda en la zona de disponibilidad 1 tanto para el tráfico de solicitud como para el de respuesta.

  6. El tráfico se envía al Gateway Load Balancer endpoint 1 en la zona de disponibilidad 1.

  7. El punto final del Gateway Load Balancer se conecta de forma lógica al Gateway Load Balancer mediante. AWS PrivateLink El equilibrador de carga de la puerta de enlace utiliza el algoritmo hash de 4 tuplas para seleccionar un dispositivo de firewall durante la vida útil del flujo y, a continuación, reenvía el tráfico para su inspección a ese dispositivo de la Appliance VPC en la zona de disponibilidad 1. El Gateway Load Balancer crea un GENEVE túnel entre él y el dispositivo de firewall.

  8. El tráfico se inspecciona según la política de firewall.

  9. Una vez que el paquete se inspecciona correctamente, se envía de vuelta al equilibrador de carga de la puerta de enlace y, a continuación, al punto de conexion del equilibrador de carga de la puerta de enlace en la Appliance VPC de la zona de disponibilidad 1.

  10. En el punto final del Gateway Load Balancer, el paquete se envía a la puerta de enlace de tránsito en función de la tabla de VPC enrutamiento.

  11. Una vez que el paquete llega a la puerta de enlace de tránsito, examina la tabla de enrutamiento asociada a la red 10.2.0.0/16, que es la red de destino.

  12. El paquete se envía a la interfaz de red elástica Transit Gateway Workload spoke VPC2 en la zona de disponibilidad 1 antes de llegar a la EC2 instancia de destino. El tráfico de retorno sigue la misma ruta pero a la inversa.

nota

Transit Gateway mantiene la afinidad entre zonas de disponibilidad y utiliza la misma zona de disponibilidad en la que se crearon las solicitudes originales. Por ejemplo, si una EC2 instancia de la zona de disponibilidad 2 inició la solicitud, el paquete se reenvía a la subred de la interfaz de red elástica Transit Gateway de la zona de disponibilidad 2, aterriza Workload spoke VPC2 en la puerta de enlace de tránsito y, a continuación, se reenvía a la subred de la interfaz de red elástica de Transit Gateway en la zona de disponibilidad 2 del destino. Workload spoke VPC2 VPC Al activar el modo dispositivo en el dispositivoVPC, puede asegurarse de que el flujo de simetría se mantenga mediante el hash de 4 tuplas durante toda la vida del tráfico.