AWS Transit Gatewayトラフィックフローと非対称ルーティング - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gatewayトラフィックフローと非対称ルーティング

さまざまなトラフィック検査のユースケースを説明する前に、AWS Transit Gateway を通過するトラフィックの流れを理解することが重要です。次の図は、Transit Gateway を通過するトラフィックの流れを示しています。

サンプルトラフィックフローのアーキテクチャ図AWS Transit Gateway

この図は、アベイラビリティーゾーン 1 のソース Amazon Elastic Compute Cloud (Amazon EC2) インスタンスがTransit Gateway を経由してアベイラビリティーゾーン 2 の宛先 EC2 インスタンスにトラフィックを送信するときのトラフィックフローを示しています。Workload spoke VPC 1Workload spoke VPC2

  1. アベイラビリティーゾーン 1 のソース EC2 インスタンスから、パケットはアベイラビリティーゾーン 1 の Transit Gateway elastic network interface に送られます。Workload spoke VPC1Workload spoke VPC1

  2. パケットはトランジットゲートウェイに着地します。パケットのネクストホップは、サブネットに関連付けられた VPC ルートテーブルに基づいて決定されます。

  3. アタッチメントに関連付けられたトランジットゲートウェイルートテーブルに基づいて、トラフィックはアベイラビリティーゾーン 1 の Transit Gateway elastic network interface に送信されてから、アベイラビリティーゾーン 2 の宛先 EC2 インスタンスに送信されます。Workload spoke VPC2 Workload spoke VPC2

  4. リターントラフィックのパスは、アベイラビリティーゾーン 2Workload spoke VPC2 の宛先 EC2 インスタンスからのものです。

  5. パケットは、アベイラビリティーゾーン 2 の Transit Gateway elastic network interface に送られます。Workload spoke VPC2

  6. パケットは中継ゲートウェイに到達します。

  7. アタッチメントに関連付けられたトランジットゲートウェイルートテーブルに基づいて、トラフィックはアベイラビリティーゾーン 2 の Transit Gateway elastic network interface に送信されます。Workload spoke VPC1

  8. トラフィックは、アベイラビリティーゾーン 1Workload spoke VPC1 のソース EC2 インスタンスに到着します。

デフォルトでは、Transit Gateway はアベイラビリティーゾーンのアフィニティを維持します。つまり、同じアベイラビリティーゾーンを使用して、トランジットゲートウェイに入ったトラフィックを転送します。これはほとんどのユースケースに適していますが、この方法はステートフルファイアウォールアプライアンスの非対称ルーティングの問題を引き起こす可能性があります。非対称ルーティングは、リクエストとレスポンスが異なるネットワークインターフェースを使用する場合に発生し、トラフィックがドロップする可能性があります。これを回避するには、アプライアンス VPC のトランジットゲートウェイアタッチメントでアプライアンスモードをオンにする必要があります。これにより、送信元と送信先の EC2 インスタンスが 2 つの異なるアベイラビリティーゾーンにあり、異なる VPC にまたがっている場合の vPC 間アーキテクチャパターンにおける非対称ルーティングの問題が解決されます。詳細については、「Amazon Virtual Private Cloud (Amazon VPC)」を参照してください。