Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
VPC-to-VPC inspection du trafic
VPC-to-VPC l'inspection du trafic a lieu lorsque le trafic provient de l'un VPC et est destiné à un autreVPC. Le trafic est redirigé vers un appareil VPC pour inspection du trafic avant d'arriver à destinationVPC. Le schéma suivant montre comment le trafic circule si une instance Amazon Elastic Compute Cloud (AmazonEC2) Workload spoke VPC1
doit communiquer avec une EC2 instance enWorkload spoke VPC2
.
Dans ce cas d'utilisation, deux branches VPCs hébergent les EC2 instances de charge de travail dans deux zones de disponibilité et une appliance VPC héberge les dispositifs de pare-feu tiers à des fins d'inspection du trafic. Ils VPCs sont interconnectés à l'aide de AWS Transit Gateway. Le diagramme montre le flux de paquets suivant lorsqu'une EC2 instance de Workload spoke VPC1
la zone de disponibilité 1 envoie un paquet à une instance de la zone de disponibilité 1 : Workload spoke VPC2
-
Le paquet provenant d'une EC2 instance située
Workload spoke VPC1
dans la zone de disponibilité 1 est envoyé à l'interface réseau élastique Transit Gateway dans le sous-réseau de passerelle de transit dans la zone de disponibilité 1. -
Sur la base de l'itinéraire par défaut défini dans la table de VPC routage, le paquet atterrit sur la passerelle de transit.
-
Dans la passerelle de transit, la table de routage de la passerelle de transit en étoile est associée à l’attachement de
Workload spoke VPC1
qui détermine le prochain saut. -
Le prochain saut est l'applianceVPC. Comme le mode appliance est activé sur le VPC rattachement de l'appliance, la passerelle de transit détermine l'interface réseau élastique Transit Gateway vers laquelle transférer le trafic, en fonction des 4 tuples du paquet IP.
-
Si Transit Gateway choisit l’interface réseau élastique Transit Gateway dans la zone de disponibilité 1 dans le
Appliance VPC
, le trafic reste dans la zone de disponibilité 1 pour le trafic de demande et de réponse. -
Le trafic est envoyé vers
Gateway Load Balancer endpoint 1
dans la zone de disponibilité 1. -
Le point de terminaison Gateway Load Balancer est connecté logiquement à Gateway Load Balancer à l'aide de. AWS PrivateLink Le Gateway Load Balancer utilise l’algorithme de hachage à 4 tuples pour sélectionner un appareil de pare-feu pour la durée de vie du flux, puis transmet le trafic pour inspection à cet appareil dans le
Appliance VPC
dans la zone de disponibilité 1. Le Gateway Load Balancer crée un GENEVE tunnel entre celui-ci et le dispositif de pare-feu. -
Le trafic est inspecté conformément à la stratégie de pare-feu.
-
Une fois le paquet inspecté avec succès, il est renvoyé au Gateway Load Balancer, puis au point de terminaison Gateway Load Balancer dans le
Appliance VPC
dans la zone de disponibilité 1. -
Au point de terminaison Gateway Load Balancer, le paquet est envoyé à la passerelle de transit en fonction de la table de VPC routage.
-
Une fois le paquet arrivé à la passerelle de transit, celle-ci examine la table de routage associée au réseau
10.2.0.0/16
, qui est le réseau de destination. -
Le paquet est envoyé à l'interface Elastic network de Transit Gateway
Workload spoke VPC2
dans la zone de disponibilité 1 avant d'arriver à l'EC2instance de destination. Le trafic de retour suit le même chemin, mais en sens inverse.
Note
Transit Gateway maintient l’affinité de la zone de disponibilité et utilise la même zone de disponibilité que celle dans laquelle les demandes d’origine ont été créées. Par exemple, si une EC2 instance située Workload
spoke VPC2
dans la zone de disponibilité 2 est à l'origine de la demande, le paquet est transféré au sous-réseau Transit Gateway elastic interface Workload spoke VPC2
dans la zone de disponibilité 2, atterrit sur la passerelle de transit, puis est transféré au sous-réseau Transit Gateway elastic interface dans la zone de disponibilité 2 de la destination. VPC En activant le mode appliance dans l'applianceVPC, vous pouvez vous assurer que le flux de symétrie est maintenu à l'aide du hachage à 4 tuples pendant toute la durée de la circulation.