AWS Transit Gatewayflux de trafic et routage asymétrique - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Transit Gatewayflux de trafic et routage asymétrique

Avant de décrire les différents cas d'utilisation de l'inspection du trafic, il est important de comprendre comment le trafic circuleAWS Transit Gateway. Le schéma suivant illustre le flux de trafic via Transit Gateway.

Schéma d'architecture d'un exemple de flux de traficAWS Transit Gateway

Le diagramme montre le flux de trafic lorsqu'une instance Amazon Elastic Compute Cloud (Amazon EC2) source situéeWorkload spoke VPC 1 dans la zone de disponibilité 1 envoie du trafic via Transit Gateway vers une instance EC2 de destination situéeWorkload spoke VPC2 dans la zone de disponibilité 2 :

  1. À partir de l'instance EC2 source situéeWorkload spoke VPC1 dans la zone de disponibilité 1, le paquet est acheminé vers l'elastic network interface Transit Gateway situéeWorkload spoke VPC1 dans la zone de disponibilité 1.

  2. Le paquet atterrit sur la passerelle de transit. Le prochain saut du paquet est déterminé en fonction de la table de routage VPC associée au sous-réseau.

  3. Sur la base de la table de routage de la passerelle de transit associée à la pièce jointe, le trafic est envoyé à l'elastic network interface Transit GatewayWorkload spoke VPC2 dans la zone de disponibilité 1 avant d'être envoyé à l'instance EC2 de destination Workload spoke VPC2 dans la zone de disponibilité 2.

  4. Le chemin du trafic de retour provient de l'instance EC2 de destination situéeWorkload spoke VPC2 dans la zone de disponibilité 2.

  5. Le paquet est envoyé à l'elastic network interface Transit GatewayWorkload spoke VPC2 dans la zone de disponibilité 2.

  6. Le paquet atteint la passerelle de transit.

  7. Sur la base de la table de routage de la passerelle de transit associée à la pièce jointe, le trafic est envoyé à l'elastic network interface Transit GatewayWorkload spoke VPC1 dans la zone de disponibilité 2.

  8. Le trafic arrive à l'instance EC2 sourceWorkload spoke VPC1 dans la zone de disponibilité 1.

Par défaut, Transit Gateway conserve l'affinité de zone de disponibilité, ce qui signifie qu'elle utilise la même zone de disponibilité pour transférer le trafic depuis l'endroit où il est entré dans la passerelle de transit. Bien que cela soit approprié dans la plupart des cas d'utilisation, cette approche peut entraîner des problèmes de routage asymétrique pour les appliances de pare-feu dynamiques. Le routage asymétrique se produit lorsque la demande et la réponse utilisent des interfaces réseau différentes, ce qui peut entraîner une perte de trafic. Pour éviter cela, vous devez activer le mode appliance dans la connexion à la passerelle de transit du VPC de l'appliance. Cela permet de résoudre les problèmes de routage asymétrique dans les modèles d'architecture VPC à VPC lorsque les instances EC2 source et de destination se trouvent dans deux zones de disponibilité différentes et sur des VPC différents. Pour plus d'informations sur ce sujet, veuillez consulter Appliance dans un VPC de services partagés dans la Documentation Amazon Virtual Private Cloud (Amazon VPC).