Inspeksi lalu lintas keluar melalui NAT gateway dan gateway internet

Paket dari instans Amazon Elastic Compute Cloud EC2 (Amazon) di Workload spoke VPC1 Availability Zone 1 tiba di Transit Gateway elastic network interface di Availability Zone 1. Menurut tabel Workload spoke VPC1 rute yang terkait dengan sumbernya, paket tiba di Transit Gateway.

Di Transit Gateway, tabel rute gateway transit spoke dikaitkan dengan Workload spoke VPC1 lampiran, yang menentukan lompatan berikutnya.

Hop berikutnya adalahAppliance VPC. Transit Gateway menentukan antarmuka elastis network Transit Gateway mana yang akan mengirim lalu lintas berdasarkan hash 4-tuple.

Jika Transit Gateway memilih elastic network interface Transit Gateway di Availability Zone 2, maka akan memeriksa tabel VPC rute yang terkait dengan subnet elastic network interface Transit Gateway di Availability Zone 2 untuk Appliance VPC dan kemudian mengirimkan lalu lintas ke titik akhir Gateway Load Balancer berdasarkan rute default.

Endpoint Load Balancer Gateway secara logis terhubung ke Load Balancer Gateway AWS PrivateLink , yang meneruskan lalu lintas ke alat firewall untuk inspeksi lalu lintas. Gateway Load Balancer membuat GENEVE terowongan antara itu dan peralatan firewall.

Jika lalu lintas diizinkan maka paket dikirim kembali ke Load Balancer Gateway dan titik akhir Load Balancer Gateway di Availability Zone 1 dari mana asalnya berdasarkan metadata yang melekat pada payload.

Pada titik akhir Load Balancer Gateway di Availability Zone 1, paket memeriksa tabel VPC rute untuk menentukan lompatan berikutnya.

Paket tiba NAT gateway 1 dan melihat tabel rute NAT gateway, dengan rute default menjadi gateway internet.

Paket tersebut kemudian dikirim ke tujuannya melalui gateway internet. Lalu lintas kembali mengikuti jalur yang sama tetapi sebaliknya.