VPC-to-on-premises 交通检查 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC-to-on-premises 交通检查

下图显示了中的亚马逊弹性计算云 (AmazonEC2) 实例Workload spoke VPC1想要与本地服务器通信时的流量。

分支 VPC 1 中的 Amazon EC2 实例和本地服务器之间的流量

图表显示了以下工作流:

  1. 来自可用区 1 中EC2实例的数据包到达Workload spoke VPC 1中转网关子网中可用区 1 中的 Transit Gateway 弹性网络接口Workload spoke VPC 1。根据与 Transit Gateway 弹性网络接口子网关联的VPC路由表,数据包到达传输网关。

  2. 在中转网关中,Spoke transit gateway route tableWorkload spoke VPC 1 连接关联,而这决定了下一跃点。

  3. 下一跳是设备VPC。Transit Gateway 根据流量生命周期内的 4 元组哈希决定将流量发送到哪个 Transit Gateway 弹性网络接口。

  4. 如果 Transit Gateway 在可用区 1 中选择 Transit Gateway 弹性网络接口,它将检查与设备可用区 1 中的 Transit Gateway 弹性网络接口子网关联的VPC路由表VPC。Transit Gateway 将流量发送到可用区 1 中的网关负载均衡器端点。

  5. Gateway Load Balancer 端点通过 AWS PrivateLink 逻辑连接到 Gateway Load Balancer,然后将流量转发到防火墙设备进行流量检查。Gateway Load Balancer 在网关负载均衡器和防火墙设备之间创建GENEVE一条隧道。

  6. 如果允许流量,则数据包将发送回网关负载均衡器和可用区 1 中的网关负载均衡器端点。

  7. 在 Gateway Load Balancer 终端节点上,数据包检查VPC路由表,下一跳是传输网关。

  8. 数据包到达传输网关,并在设备中转网关路由表上执行查找,该路由表与设备VPC连接相关联,以便下一跳到172.16.0.0/16网络。

  9. 然后,数据包将发送到本地的目标服务器。响应流量所遵循的路径相同,但方向相反。