AWS Transit Gateway 流量和非对称路由 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Transit Gateway 流量和非对称路由

在描述不同的交通检查用例之前,了解流量是如何流经的,这一点很重要 AWS Transit Gateway。下图显示了通过 Transit Gateway 的流量流。

样本流量流经的架构图 AWS Transit Gateway

下图显示了可用区 1 Workload spoke VPC 1 中的源亚马逊弹性计算云 (Amazon EC2) 实例通过 Transit Gateway 将流量发送到可用区 2 Workload spoke VPC2 中的目标 EC2实例时的流量:

  1. 数据包从可用区 1 Workload spoke VPC1 中的源 EC2 实例发送到可用区 1 中的 Transit Gateway 弹性网络接口。Workload spoke VPC1

  2. 数据包落在中转网关上。数据包的下一跳是根据与子网关联的 VPC 路由表确定的。

  3. 根据与附件关联的传输网关路由表,流量将发送到可用区 1 Workload spoke VPC2 中的 Transit Gateway 弹性网络接口,然后发送到可用区 2 Workload spoke VPC2 中的目标 EC2 实例。

  4. 返回流量的路径来自可用区 2 Workload spoke VPC2 中的目标 EC2 实例。

  5. 数据包将发送到可用区 2 Workload spoke VPC2 中的 Transit Gateway 弹性网络接口。

  6. 数据包到达传输网关。

  7. 根据与附件关联的公交网关路由表,流量将发送到可用区 2 Workload spoke VPC1 中的 Transit Gateway 弹性网络接口。

  8. 流量到达可用区 1 Workload spoke VPC1 中的源 EC2 实例。

默认情况下,Transit Gateway 保持可用区关联性,这意味着它使用相同的可用区来转发流量从其进入中转网关的位置。尽管这适用于大多数用例,但这种方法可能会导致有状态的防火墙设备出现非对称路由问题。当请求和响应使用不同的网络接口时,就会出现非对称路由,这可能会导致流量丢失。为避免这种情况,您应在设备 VPC 的传输网关连接中打开设备模式。当源实例和目标 EC2 实例位于两个不同的可用区并且跨越不同的可用区时,这可以解决 VPC-to-VPC架构模式中的非对称路由问题。 VPCs有关这方面的更多信息,请参阅 Amazon Virtual Private Cloud (Amazon VPC) 文档中的共享服务 VPC 中的设备