VPC-to-VPC inspection du trafic - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

VPC-to-VPC inspection du trafic

VPC-to-VPC l'inspection du trafic a lieu lorsque le trafic provient de l'un VPC et est destiné à un autreVPC. Le trafic est redirigé vers un appareil VPC pour inspection du trafic avant d'arriver à destinationVPC. Le schéma suivant montre comment le trafic circule si une instance Amazon Elastic Compute Cloud (AmazonEC2) Workload spoke VPC1 doit communiquer avec une EC2 instance enWorkload spoke VPC2.

Schéma d'architecture de l'inspection du trafic entre deux rayons VPCs et un appareil VPC

Dans ce cas d'utilisation, deux branches VPCs hébergent les EC2 instances de charge de travail dans deux zones de disponibilité et une appliance VPC héberge les dispositifs de pare-feu tiers à des fins d'inspection du trafic. Ils VPCs sont interconnectés à l'aide de AWS Transit Gateway. Le diagramme montre le flux de paquets suivant lorsqu'une EC2 instance de Workload spoke VPC1 la zone de disponibilité 1 envoie un paquet à une instance de la zone de disponibilité 1 : Workload spoke VPC2

  1. Le paquet provenant d'une EC2 instance située Workload spoke VPC1 dans la zone de disponibilité 1 est envoyé à l'interface réseau élastique Transit Gateway dans le sous-réseau de passerelle de transit dans la zone de disponibilité 1.

  2. Sur la base de l'itinéraire par défaut défini dans la table de VPC routage, le paquet atterrit sur la passerelle de transit.

  3. Dans la passerelle de transit, la table de routage de la passerelle de transit en étoile est associée à l’attachement de Workload spoke VPC1 qui détermine le prochain saut.

  4. Le prochain saut est l'applianceVPC. Comme le mode appliance est activé sur le VPC rattachement de l'appliance, la passerelle de transit détermine l'interface réseau élastique Transit Gateway vers laquelle transférer le trafic, en fonction des 4 tuples du paquet IP.

  5. Si Transit Gateway choisit l’interface réseau élastique Transit Gateway dans la zone de disponibilité 1 dans le Appliance VPC, le trafic reste dans la zone de disponibilité 1 pour le trafic de demande et de réponse.

  6. Le trafic est envoyé vers Gateway Load Balancer endpoint 1 dans la zone de disponibilité 1.

  7. Le point de terminaison Gateway Load Balancer est connecté logiquement à Gateway Load Balancer à l'aide de. AWS PrivateLink Le Gateway Load Balancer utilise l’algorithme de hachage à 4 tuples pour sélectionner un appareil de pare-feu pour la durée de vie du flux, puis transmet le trafic pour inspection à cet appareil dans le Appliance VPC dans la zone de disponibilité 1. Le Gateway Load Balancer crée un GENEVE tunnel entre celui-ci et le dispositif de pare-feu.

  8. Le trafic est inspecté conformément à la stratégie de pare-feu.

  9. Une fois le paquet inspecté avec succès, il est renvoyé au Gateway Load Balancer, puis au point de terminaison Gateway Load Balancer dans le Appliance VPC dans la zone de disponibilité 1.

  10. Au point de terminaison Gateway Load Balancer, le paquet est envoyé à la passerelle de transit en fonction de la table de VPC routage.

  11. Une fois le paquet arrivé à la passerelle de transit, celle-ci examine la table de routage associée au réseau 10.2.0.0/16, qui est le réseau de destination.

  12. Le paquet est envoyé à l'interface Elastic network de Transit Gateway Workload spoke VPC2 dans la zone de disponibilité 1 avant d'arriver à l'EC2instance de destination. Le trafic de retour suit le même chemin, mais en sens inverse.

Note

Transit Gateway maintient l’affinité de la zone de disponibilité et utilise la même zone de disponibilité que celle dans laquelle les demandes d’origine ont été créées. Par exemple, si une EC2 instance située Workload spoke VPC2 dans la zone de disponibilité 2 est à l'origine de la demande, le paquet est transféré au sous-réseau Transit Gateway elastic interface Workload spoke VPC2 dans la zone de disponibilité 2, atterrit sur la passerelle de transit, puis est transféré au sous-réseau Transit Gateway elastic interface dans la zone de disponibilité 2 de la destination. VPC En activant le mode appliance dans l'applianceVPC, vous pouvez vous assurer que le flux de symétrie est maintenu à l'aide du hachage à 4 tuples pendant toute la durée de la circulation.