As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
VPC-to-VPC inspeção de tráfego
VPC-to-VPC a inspeção de tráfego ocorre quando o tráfego se origina de um VPC e é destinado a outro. VPC O tráfego é redirecionado para um dispositivo VPC para inspeção de tráfego antes de chegar ao destino. VPC O diagrama a seguir mostra como o tráfego flui se uma instância do Amazon Elastic Compute Cloud (AmazonEC2) Workload spoke VPC1
precisar se comunicar com uma EC2 instância emWorkload spoke VPC2
.
Nesse caso de uso, dois raios VPCs hospedam as EC2 instâncias da carga de trabalho em duas zonas de disponibilidade e um dispositivo VPC hospeda os dispositivos de firewall de terceiros para inspeção de tráfego. Eles VPCs estão interconectados usando AWS Transit Gateway. O diagrama mostra o seguinte fluxo de pacotes quando uma EC2 instância Workload spoke VPC1
na Zona de Disponibilidade 1 envia um pacote para uma instância Workload spoke VPC2
na Zona de Disponibilidade 1:
-
O pacote de uma EC2 instância
Workload spoke VPC1
na Zona de Disponibilidade 1 vai para a interface de rede elástica do Transit Gateway na sub-rede do Transit Gateway na Zona de Disponibilidade 1. -
Com base na rota padrão definida na tabela de VPC rotas, o pacote chega ao gateway de trânsito.
-
No gateway de trânsito, a tabela de rotas do gateway de trânsito spoke está associada à
Workload spoke VPC1
anexa, que determina o próximo salto. -
O próximo salto é o aparelho. VPC Como o VPC anexo do equipamento tem o modo de dispositivo ativado, o gateway de trânsito determina para qual interface de rede elástica do Transit Gateway encaminhar o tráfego, com base nas 4 tuplas do pacote IP.
-
Se o Transit Gateway escolher a interface de rede elástica do Transit Gateway na zona de disponibilidade 1 na
Appliance VPC
, o tráfego permanecerá na zona de disponibilidade 1 para o tráfego de solicitação e resposta. -
O tráfego será enviado para a zona de disponibilidade 1
Gateway Load Balancer endpoint 1
. -
O endpoint do Gateway Load Balancer está logicamente conectado ao Gateway Load Balancer usando. AWS PrivateLink O Gateway Load Balancer usa o algoritmo de hash de 4 tuplas para escolher um dispositivo de firewall durante a vida útil do fluxo e então encaminha o tráfego para inspeção para esse dispositivo na
Appliance VPC
na zona de disponibilidade 1. O Gateway Load Balancer cria um GENEVE túnel entre ele e o dispositivo de firewall. -
O tráfego é inspecionado com base na política de firewall.
-
Após a inspeção bem-sucedida do pacote, ele é enviado de volta para o Gateway Load Balancer e, em seguida, para o endpoint do Gateway Load Balancer na
Appliance VPC
na zona de disponibilidade 1. -
No endpoint do Gateway Load Balancer, o pacote é enviado para o gateway de trânsito com base na tabela de rotas. VPC
-
Depois que o pacote chega ao gateway de trânsito, ele examina a tabela de rotas associada à rede
10.2.0.0/16
, que é a rede de destino. -
O pacote é enviado para a interface de rede elástica do Transit Gateway
Workload spoke VPC2
na Zona de Disponibilidade 1 antes de chegar à EC2 instância de destino. O tráfego de retorno segue o mesmo caminho, mas no sentido contrário.
nota
O Transit Gateway mantém a afinidade com a zona de disponibilidade e usa a mesma zona de disponibilidade na qual as solicitações originais foram criadas. Por exemplo, se uma EC2 instância Workload
spoke VPC2
na Zona de Disponibilidade 2 iniciar a solicitação, o pacote é encaminhado para a sub-rede da interface de rede elástica do Transit Gateway na Workload spoke VPC2
Zona de Disponibilidade 2, chega ao gateway de trânsito e, em seguida, é encaminhado para a sub-rede da interface de rede elástica do Transit Gateway na Zona de Disponibilidade 2 no destino. VPC Ao ativar o modo de dispositivo no dispositivoVPC, você pode garantir que o fluxo de simetria seja mantido usando o hash de 4 tuplas durante toda a vida útil do tráfego.