VPC-to-VPC ispezione del traffico - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPC-to-VPC ispezione del traffico

VPC-to-VPC l'ispezione del traffico si verifica quando il traffico proviene da uno VPC ed è destinato a un altro. VPC Il traffico viene reindirizzato a un dispositivo VPC per l'ispezione del traffico prima di arrivare a destinazione. VPC Il diagramma seguente mostra come scorre il traffico se un'istanza Amazon Elastic Compute Cloud EC2 (Amazon) Workload spoke VPC1 deve comunicare con un'EC2istanza in. Workload spoke VPC2

Diagramma architettonico dell'ispezione del traffico tra due razze VPCs e un dispositivo VPC

In questo caso d'uso, due socket VPCs ospitano le EC2 istanze del carico di lavoro in due zone di disponibilità e un'appliance VPC ospita i dispositivi firewall di terze parti per l'ispezione del traffico. VPCsSono interconnessi tramite. AWS Transit Gateway Il diagramma mostra il seguente flusso di pacchetti quando un'EC2istanza Workload spoke VPC1 nella Zona di disponibilità 1 invia un pacchetto a un'istanza Workload spoke VPC2 nella Zona di disponibilità 1:

  1. Il pacchetto proveniente da un'EC2istanza Workload spoke VPC1 nella Zona di disponibilità 1 va all'interfaccia di rete elastica Transit Gateway nella sottorete del gateway di transito nella Zona di disponibilità 1.

  2. In base alla rotta predefinita definita nella tabella delle VPC rotte, il pacchetto arriva sul gateway di transito.

  3. Nel gateway di transito, la tabella di routing del gateway di transito spoke è associata al collegamento Workload spoke VPC1 che determina il punto successivo.

  4. Il passaggio successivo è l'applianceVPC. Poiché l'VPCallegato dell'appliance ha la modalità appliance attivata, il gateway di transito determina a quale interfaccia di rete elastica Transit Gateway inoltrare il traffico, in base alle 4 tuple del pacchetto IP.

  5. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel Appliance VPC, il traffico si limita alla zona di disponibilità 1 sia per il traffico di richiesta che per quello di risposta.

  6. Il traffico viene inviato all'Gateway Load Balancer endpoint 1 nella zona di disponibilità 1.

  7. L'endpoint Gateway Load Balancer è collegato logicamente a Gateway Load Balancer tramite. AWS PrivateLink Il Gateway Load Balancer utilizza l'algoritmo hash a 4 tuple per selezionare un dispositivo firewall per la durata del flusso e quindi inoltra il traffico per l'ispezione a quell'appliance nel Appliance VPC nella zona di disponibilità 1. Il Gateway Load Balancer crea un GENEVE tunnel tra esso e l'appliance firewall.

  8. Il traffico viene ispezionato in base alla policy del firewall.

  9. Dopo che il pacchetto è stato ispezionato con successo, viene rispedito al Gateway Load Balancer e quindi all'endpoint del Gateway Load Balancer in Appliance VPC nella zona di disponibilità 1.

  10. All'endpoint Gateway Load Balancer, il pacchetto viene inviato al gateway di transito in base alla tabella delle rotte. VPC

  11. Dopo l'arrivo del pacchetto al gateway di transito, esamina la tabella di routing associata alla rete 10.2.0.0/16, che è la rete di destinazione.

  12. Il pacchetto viene inviato all'interfaccia di rete elastica Transit Gateway Workload spoke VPC2 nella zona di disponibilità 1 prima di arrivare all'EC2istanza di destinazione. Il traffico di ritorno segue lo stesso percorso ma in senso inverso.

Nota

Transit Gateway mantiene l'affinità della zona di disponibilità e utilizza la stessa zona di disponibilità in cui sono state create le richieste originali. Ad esempio, se un'EC2istanza Workload spoke VPC2 nella Zona di disponibilità 2 ha avviato la richiesta, il pacchetto viene inoltrato alla sottorete dell'interfaccia di rete elastica Transit Gateway Workload spoke VPC2 nella Zona di disponibilità 2, atterra sul gateway di transito e quindi inoltrato alla sottorete dell'interfaccia di rete elastica Transit Gateway nella Zona di disponibilità 2 nella destinazione. VPC Attivando la modalità appliance nell'applianceVPC, è possibile garantire che il flusso di simmetria venga mantenuto utilizzando l'hash a 4 tuple per tutta la durata del traffico.