Ispezione del traffico destinato a una sottorete - Amazon Virtual Private Cloud
Tabella di routing del gateway InternetTabella di routing della sottorete di destinazioneTabella di routing della sottorete middlebox

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ispezione del traffico destinato a una sottorete

Si consideri lo scenario in cui il traffico entra nel VPC attraverso un gateway Internet e si desidera ispezionare tutto il traffico destinato a una sottorete, ad esempio la sottorete B, utilizzando un'appliance firewall installata su un'istanza EC2. L'appliance firewall deve essere installata e configurata su un'istanza EC2 in una sottorete separata dalla sottorete B nel VPC, ad esempio la sottorete C. È quindi possibile utilizzare la procedura guidata di routing middlebox per configurare le route per il traffico tra la sottorete B e il gateway Internet.

La procedura guidata di routing middlebox esegue automaticamente le operazioni seguenti:

  • Crea le tabelle di routing seguenti:

    • Una tabella di instradamento per il gateway Internet

    • Una tabella di instradamento per la sottorete di destinazione

    • Una tabella di instradamento per la sottorete middlebox

  • Aggiunge le route necessarie alle nuove tabelle di routing, come descritto nelle sezioni seguenti.

  • Dissocia le tabelle di routing correnti associate al gateway Internet, alla sottorete B e alla sottorete C.

  • Associa la tabella di routing A al gateway Internet (l'elemento Source (origine) nella procedura guidata di routing middlebox), la tabella di routing C alla sottorete C (l'elemento Middlebox nella procedura guidata di routing middlebox) e la tabella di routing B alla sottorete B (l'elemento Destination (destinazione) nella procedura guidata di routing middlebox).

  • Crea un tag che indica che è stato creato dalla procedura guidata di routing middlebox e un tag che indica la data di creazione.

La procedura guidata di routing middlebox non modifica le tabelle di routing esistenti. Crea nuove tabelle di routing e quindi le associa alle risorse del gateway e della sottorete. Se le risorse sono già associate esplicitamente a tabelle di routing esistenti, le tabelle di routing esistenti vengono prima dissociate e quindi le nuove tabelle di routing vengono associate alle risorse. Le tabelle di routing esistenti non vengono eliminate.

Se non si utilizza la procedura guidata di routing middlebox, è necessario configurare manualmente e quindi assegnare le tabelle di routing alle sottoreti e al gateway Internet.

Routing in ingresso a un VPC

Tabella di routing del gateway Internet

Aggiungi le seguenti route alla tabella di routing per il gateway Internet.

Destinazione Target Scopo
10.0.0.0/16 Locale Route locale per IPv4
10,0,0,0/24 appliance-eni Indirizza il traffico IPv4 destinato alla sottorete B al middlebox
2001:db8:1234:1a00::/56 Locale Route locale per IPv6
2001:db8:1234:1a00::/64 appliance-eni Indirizza il traffico IPv6 destinato alla sottorete B al middlebox

Esiste un'associazione Edge tra il gateway Internet e il VPC.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")

Tabella di routing della sottorete di destinazione

Aggiungi le seguenti route alla tabella di instradamento per la sottorete di destinazione (l'elemento subnet B (sottorete B) nel diagramma di esempio).

Destinazione Target Scopo
10,0,0/16 Locale Route locale per IPv4
0.0.0.0/0 appliance-eni Indirizza il traffico IPv4 destinato a Internet al middlebox
2001:db8:1234:1a00::/56 Locale Route locale per IPv6
::/0 appliance-eni Instradamento del traffico IPv6 destinato a Internet al middlebox

La sottorete ha un'associazione con la sottorete middlebox.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")

Tabella di routing della sottorete middlebox

Aggiungi le seguenti route alla tabella di instradamento per la sottorete middlebox (l'elemento subnet C (sottorete C) nel diagramma di esempio).

Destinazione Target Scopo
10,0,0/16 Locale Route locale per IPv4
0.0.0.0/0 igw-id Indirizza il traffico IPv4 al gateway Internet
2001:db8:1234:1a00::/56 Locale Route locale per IPv6
::/0 eigw-id Instradamento del traffico IPv6 a un gateway Internet egress-only

La sottorete ha un'associazione con la sottorete di destinazione.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")