Inspeção de tráfego de saída por meio de um NAT gateway e gateway de internet - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Inspeção de tráfego de saída por meio de um NAT gateway e gateway de internet

O diagrama a seguir mostra o fluxo de trabalho se você precisar inspecionar o tráfego de saída proveniente de a VPC para a Internet.

Inspecionando o tráfego de a VPC para a Internet por meio de um NAT gateway e um gateway de internet.

O diagrama mostra o seguinte fluxo de trabalho:

  1. O pacote de uma instância do Amazon Elastic Compute Cloud EC2 (Amazon) Workload spoke VPC1 na Zona de Disponibilidade 1 chega à interface de rede elástica do Transit Gateway na Zona de Disponibilidade 1. De acordo com a tabela de Workload spoke VPC1 rotas associada à origem, o pacote chega ao Transit Gateway.

  2. No Transit Gateway, a tabela de rotas do gateway de trânsito spoke está associada à Workload spoke VPC1 anexa, que determina o próximo salto.

  3. O próximo salto é a Appliance VPC. O Transit Gateway determina para qual interface de rede elástica do Transit Gateway enviar o tráfego com base em um hash de 4 tuplas.

  4. Se o Transit Gateway escolher a interface de rede elástica do Transit Gateway na Zona de Disponibilidade 2, ele verificará a tabela de VPC rotas associada à sub-rede da interface de rede elástica do Transit Gateway na Zona de Disponibilidade 2 Appliance VPC e enviará o tráfego para o endpoint do Gateway Load Balancer com base na rota padrão.

  5. O endpoint do Gateway Load Balancer é conectado logicamente ao Gateway Load Balancer por meio de AWS PrivateLink , que encaminha o tráfego para o dispositivo de firewall para inspeção do tráfego. O Gateway Load Balancer cria um GENEVE túnel entre ele e os dispositivos de firewall.

  6. Se houver permissão de tráfego, o pacote será enviado de volta para o Gateway Load Balancer e para o endpoint do Gateway Load Balancer na zona de disponibilidade 1, de onde veio com base nos metadados anexados à carga.

  7. No endpoint do Gateway Load Balancer na Zona de Disponibilidade 1, o pacote verifica a tabela de VPC rotas para determinar o próximo salto.

  8. O pacote chega NAT gateway 1 e examina a tabela de rotas do NAT gateway, com a rota padrão sendo o gateway da Internet.

  9. Em seguida, o pacote será enviado ao seu destino por meio do gateway da Internet. O tráfego de retorno segue o mesmo caminho, mas no sentido contrário.