VPC-to-VPC 트래픽 검사 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC-to-VPC 트래픽 검사

VPC-to-VPC 트래픽 검사는 트래픽이 하나에서 시작VPC되어 다른 로 향하는 경우에 발생합니다VPC. 트래픽은 대상 에 도착하기 전에 트래픽 검사를 VPC 위해 어플라이언스로 리디렉션됩니다VPC. 다음 다이어그램은 의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 의 EC2 인스턴스와 통신Workload spoke VPC1해야 하는 경우 트래픽이 흐르는 방식을 보여줍니다Workload spoke VPC2.

두 스포크VPCs와 어플라이언스 간의 트래픽 검사에 대한 아키텍처 다이어그램 VPC

이 사용 사례에서는 두 스포크가 두 가용 영역에 워크로드 EC2 인스턴스를 VPCs 호스팅하고 어플라이언스가 트래픽 검사를 위해 타사 방화벽 어플라이언스를 VPC 호스팅합니다. VPCs 는 를 사용하여 상호 연결됩니다 AWS Transit Gateway. 다이어그램은 가용 영역 1Workload spoke VPC1의 EC2 인스턴스가 가용 영역 1Workload spoke VPC2의 인스턴스로 패킷을 전송할 때 다음 패킷 흐름을 보여줍니다.

  1. 가용 영역 1Workload spoke VPC1의 EC2 인스턴스에서 오는 패킷은 가용 영역 1의 전송 게이트웨이 서브넷에 있는 Transit Gateway 탄력적 네트워크 인터페이스로 이동합니다.

  2. 라우팅 테이블에 정의된 기본 VPC 라우팅을 기반으로 패킷은 전송 게이트웨이에 도착합니다.

  3. 전송 게이트웨이에서 스포크 전송 게이트웨이 라우팅 테이블은 다음 홉을 결정하는 Workload spoke VPC1 연결과 연결됩니다.

  4. 다음 홉은 어플라이언스 입니다VPC. 어플라이언스 VPC 연결에는 어플라이언스 모드가 켜져 있으므로 전송 게이트웨이는 IP 패킷의 4튜플을 기반으로 트래픽을 전달할 Transit Gateway 탄력적 네트워크 인터페이스를 결정합니다.

  5. Transit Gateway가 Appliance VPC의 가용 영역 1에서 Transit Gateway 탄력적 네트워크 인터페이스를 선택하면 트래픽이 요청과 응답 트래픽 모두에 대해 가용 영역 1로 고정됩니다.

  6. 트래픽은 가용 영역 1의 Gateway Load Balancer endpoint 1로 전송됩니다.

  7. Gateway Load Balancer 엔드포인트는 를 사용하여 논리적으로 Gateway Load Balancer에 연결됩니다 AWS PrivateLink. Gateway Load Balancer는 4-튜플 해시 알고리즘을 사용하여 흐름 수명 기간에 대한 방화벽 어플라이언스를 선택하고 검사를 위해 트래픽을 가용 영역 1의 Appliance VPC에 있는 해당 어플라이언스로 전달합니다. Gateway Load Balancer는 Gateway Load Balancer와 방화벽 어플라이언스 간에 GENEVE 터널을 생성합니다.

  8. 트래픽은 방화벽 정책을 기반으로 검사됩니다.

  9. 패킷이 성공적으로 검사되면 패킷은 Gateway Load Balancer로 다시 전송되고 가용 영역 1의 Appliance VPC에 있는 Gateway Load Balancer 엔드포인트로 전송됩니다.

  10. Gateway Load Balancer 엔드포인트에서 패킷은 VPC 라우팅 테이블에 따라 전송 게이트웨이로 전송됩니다.

  11. 패킷이 전송 게이트웨이에 도착하면 전송 게이트웨이는 10.2.0.0/16 네트워크에 연결된 라우팅 테이블, 즉 대상 네트워크를 검사합니다.

  12. 패킷은 대상 EC2 인스턴스에 도착하기 전에 가용 영역 1Workload spoke VPC2의 Transit Gateway 탄력적 네트워크 인터페이스로 전송됩니다. 반환 트래픽은 같은 경로를 따라가지만 반대 방향으로 이동합니다.

참고

Transit Gateway는 가용 영역 선호도를 유지하고 원래 요청이 생성된 것과 동일한 가용 영역을 사용합니다. 예를 들어 가용 영역 2Workload spoke VPC2의 EC2 인스턴스가 요청을 시작한 경우 패킷은 가용 영역 2의 Transit Gateway 탄력적 네트워크 인터페이스 서브넷Workload spoke VPC2으로 전달되고 전송 게이트웨이에 도착한 다음 대상 의 가용 영역 2의 Transit Gateway 탄력적 네트워크 인터페이스 서브넷으로 전달됩니다VPC. 어플라이언스 에서 어플라이언스 모드를 켜VPC면 트래픽 수명 동안 4-투플 해시를 사용하여 대칭 흐름이 유지되도록 할 수 있습니다.