Configurar o roteamento e a inspeção de tráfego de middlebox em uma VPC
No cenário a seguir, você deseja inspecionar o tráfego que entra em uma VPC via gateway da Internet rumo a uma sub-rede usando uma frota de dispositivos de segurança configurados atrás de um balanceador de carga do gateway. O proprietário da VPC do consumidor de serviço cria um endpoint do balanceador de carga do gateway em uma sub-rede na VPC (representada por uma interface de rede de endpoint). Todo o tráfego que entra na VPC através do gateway da Internet é encaminhado primeiro para o endpoint do balanceador de carga de gateway para inspeção antes de ser encaminhado para a sub-rede de destino. Da mesma forma, todo o tráfego que sai da sub-rede do aplicativo é roteado primeiro para o endpoint do balanceador de carga de gateway para inspeção antes de ser encaminhado para a Internet.
O assistente de roteamento do middlebox executa automaticamente as seguintes operações:
-
Cria as tabelas de rotas.
-
Adiciona as rotas necessárias às novas tabelas de rotas.
-
Desassocia as tabelas de rotas atuais associadas às sub-redes.
-
Associa as tabelas de rotas criadas pelo assistente de roteamento do middlebox às sub-redes.
-
Cria uma tag que indica que ela foi criada pelo assistente de roteamento do middlebox e uma tag que indica a data de criação.
O assistente de roteamento do middlebox não modifica as tabelas de rotsa existentes. Ele cria novas tabelas de rotas e, em seguida, associa-as aos seus recursos de gateway e sub-rede. Se os recursos já estiverem explicitamente associados às tabelas de rotas existentes, as tabelas de rotas existentes serão primeiro desassociadas e, em seguida, as novas tabelas de rotas serão associadas aos seus recursos. Suas tabelas de rotas existentes não são excluídas.
Se você não usar o assistente de roteamento de middlebox, será necessário configurar manualmente e, em seguida, atribuir as tabelas de rota às sub-redes e ao gateway da Internet.
Tabela de rotas do gateway da Internet
A tabela de rotas do gateway da Internet contém as seguintes rotas:
| Destination (Destino) | Destino | Finalidade |
|---|---|---|
CIDR da VPC de consumo |
Local | Rota local |
CIDR da sub-rede do aplicativo |
endpoint-id |
Roteia o tráfego destinado à sub-rede do aplicativo para o endpoint do balanceador de carga do gateway. |
Há uma associação de borda com o gateway.
Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:
-
A chave é “Origin” e o valor é “Middlebox wizard”
-
A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)
Tabela de rotas da sub-rede do aplicativo
A tabela de rotas para a sub-rede do aplicativo contém as seguintes rotas:
| Destination (Destino) | Destino | Finalidade |
|---|---|---|
CIDR da VPC de consumo |
Local | Rota local |
| 0.0.0.0/0 | endpoint-id |
Roteamento do tráfego dos servidores de aplicativos até o endpoint do balanceador de carga de gateway antes de ser encaminhado para a Internet. |
Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:
-
A chave é “Origin” e o valor é “Middlebox wizard”
-
A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)
Tabela de rotas da sub-rede do provedor
A tabela de rotas para a sub-rede do provedor contém as seguintes rotas:
| Destination (Destino) | Destino | Finalidade |
|---|---|---|
CIDR da VPC do provedor |
Local | Rota local. Garante que o tráfego proveniente da Internet seja roteado para os servidores de aplicativos. |
| 0.0.0.0/0 | igw-id |
Roteia todo o tráfego para o gateway da Internet |
Quando você usa o assistente de roteamento de middlebox, as seguintes tags são associadas à tabela de rotas:
-
A chave é “Origin” e o valor é “Middlebox wizard”
-
A chave é “date_created” (data da criação) e o valor é a hora de criação (por exemplo, “2021-02-18T22:25:49.137Z”)
