Ispezione del traffico destinato a una sottorete - Amazon Virtual Private Cloud
Tabella di routing del gateway InternetTabella di routing della sottorete di destinazioneTabella di routing della sottorete middlebox

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ispezione del traffico destinato a una sottorete

Si consideri lo scenario in cui il traffico entra nel VPC attraverso un gateway Internet e si desidera ispezionare tutto il traffico destinato a una sottorete, ad esempio la sottorete B, utilizzando un dispositivo firewall installato su un'istanza. EC2 L'appliance firewall deve essere installata e configurata su un' EC2 istanza in una sottorete separata dalla sottorete B del VPC, ad esempio la sottorete C. È quindi possibile utilizzare la procedura guidata di routing middlebox per configurare le rotte per il traffico tra la sottorete B e il gateway Internet.

La procedura guidata di routing middlebox esegue automaticamente le operazioni seguenti:

  • Crea le tabelle di routing seguenti:

    • Una tabella di instradamento per il gateway Internet

    • Una tabella di instradamento per la sottorete di destinazione

    • Una tabella di instradamento per la sottorete middlebox

  • Aggiunge le route necessarie alle nuove tabelle di routing, come descritto nelle sezioni seguenti.

  • Dissocia le tabelle di routing correnti associate al gateway Internet, alla sottorete B e alla sottorete C.

  • Associa la tabella di routing A al gateway Internet (l'elemento Source (origine) nella procedura guidata di routing middlebox), la tabella di routing C alla sottorete C (l'elemento Middlebox nella procedura guidata di routing middlebox) e la tabella di routing B alla sottorete B (l'elemento Destination (destinazione) nella procedura guidata di routing middlebox).

  • Crea un tag che indica che è stato creato dalla procedura guidata di routing middlebox e un tag che indica la data di creazione.

La procedura guidata di routing middlebox non modifica le tabelle di routing esistenti. Crea nuove tabelle di routing e quindi le associa alle risorse del gateway e della sottorete. Se le risorse sono già associate esplicitamente a tabelle di routing esistenti, le tabelle di routing esistenti vengono prima dissociate e quindi le nuove tabelle di routing vengono associate alle risorse. Le tabelle di routing esistenti non vengono eliminate.

Se non si utilizza la procedura guidata di routing middlebox, è necessario configurare manualmente e quindi assegnare le tabelle di routing alle sottoreti e al gateway Internet.

Routing in ingresso a un VPC

Tabella di routing del gateway Internet

Aggiungi le seguenti route alla tabella di routing per il gateway Internet.

Destinazione Target Scopo
10.0.0.0/16 Locale Percorso locale per IPv4
10.0.1.0/24 appliance-eni IPv4 Indirizza il traffico destinato alla sottorete B verso il middlebox
2001:db8:1234:1a00::/56 Locale Percorso locale per IPv6
2001:db8:1234:1a00::/64 appliance-eni IPv6 Indirizza il traffico destinato alla sottorete B verso il middlebox

Esiste un'associazione Edge tra il gateway Internet e il VPC.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")

Tabella di routing della sottorete di destinazione

Aggiungi le seguenti route alla tabella di instradamento per la sottorete di destinazione (l'elemento subnet B (sottorete B) nel diagramma di esempio).

Destinazione Target Scopo
10.0.0.0/16 Locale Percorso locale per IPv4
0.0.0.0/0 appliance-eni IPv4 Indirizza il traffico destinato a Internet verso il middlebox
2001:db8:1234:1a00::/56 Locale Percorso locale per IPv6
::/0 appliance-eni IPv6 Indirizza il traffico destinato a Internet verso il middlebox

La sottorete ha un'associazione con la sottorete middlebox.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")

Tabella di routing della sottorete middlebox

Aggiungi le seguenti route alla tabella di instradamento per la sottorete middlebox (l'elemento subnet C (sottorete C) nel diagramma di esempio).

Destinazione Target Scopo
10.0.0.0/16 Locale Percorso locale per IPv4
0.0.0.0/0 igw-id Indirizza il IPv4 traffico verso il gateway Internet
2001:db8:1234:1a00::/56 Locale Percorso locale per IPv6
::/0 eigw-id Indirizza il IPv6 traffico verso il gateway Internet solo in uscita

La sottorete ha un'associazione con la sottorete di destinazione.

Quando utilizzi la procedura guidata di instradamento middlebox, alla tabella di instradamento sono associati i tag seguenti:

  • La chiave è “Origin” e il valore è “Middlebox wizard”

  • La chiave è “date_created” e il valore è l'ora di creazione (ad esempio "2021-02-18T22:25:49.137Z")