VPC-to-VPC 交通检查 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC-to-VPC 交通检查

VPC-to-VPC 当交通从一个地方发往另一个VPC目的地时VPC,就会进行交通检查。流量在到达目的地之前会被重定向到设备VPC进行流量检查VPC。下图显示了当中的亚马逊弹性计算云 (AmazonEC2) 实例Workload spoke VPC1需要与中的实例通信时EC2,流量将如何流动Workload spoke VPC2

两辐VPCs和一台设备之间交通检查的架构图 VPC

在此用例中,两个分支VPCs托管跨两个可用区的工作负载EC2实例,一个设备VPC托管第三方防火墙设备以进行流量检查。VPCs它们使用相互连接 AWS Transit Gateway。该图显示了可用区 1 Workload spoke VPC1 中的EC2实例向可用区 1 Workload spoke VPC2 中的实例发送数据包时的以下数据包流:

  1. 来自可用区 1 Workload spoke VPC1 中EC2实例的数据包将发送到可用区 1 中转网关子网中的 Transit Gateway 弹性网络接口。

  2. 根据路由表中定义的默认VPC路由,数据包会到达中转网关。

  3. 在中转网关中,分支中转网关路由表与 Workload spoke VPC1 连接关联,而这决定了下一跃点。

  4. 下一跳是设备VPC。由于设备VPC连接已开启设备模式,因此传输网关会根据 IP 数据包的 4 个元组来决定将流量转发到哪个 Transit Gateway 弹性网络接口。

  5. 如果 Transit Gateway 选择 Appliance VPC 中可用区 1 中的 Transit Gateway 弹性网络接口,则请求流量和响应流量的流量均会停留在可用区 1。

  6. 流量会发送到可用区 1 中的 Gateway Load Balancer endpoint 1

  7. 网关负载均衡器端点使用逻辑连接到 Gateway Load Balancer AWS PrivateLink。网关负载均衡器使用 4 元组哈希算法来选择流量生命周期内的防火墙设备,然后将流量转发到可用区 1 中 Appliance VPC 中的设备进行检查。Gateway Load Balancer 在其和防火墙设备之间创建了一GENEVE条隧道。

  8. 根据防火墙策略检查流量。

  9. 成功检查数据包后,数据包将发送回网关负载均衡器,然后发送到可用区 1 中 Appliance VPC 中的网关负载均衡器端点。

  10. 在 Gateway Load Balancer 终端节点上,根据VPC路由表将数据包发送到传输网关。

  11. 数据包到达中转网关后,会检查与 10.2.0.0/16 网络(即目标网络)关联的路由表。

  12. 数据包在到达目标EC2实例之前会被发送到可用区 1 Workload spoke VPC2 中的 Transit Gateway 弹性网络接口。返回流量所遵循的路径相同,但方向相反。

注意

Transit Gateway 会保持可用区亲和性,并使用创建原始请求的同一可用区。例如,如果可用区 2 Workload spoke VPC2 中的EC2实例发起了请求,则该数据包将转发到可用区 2 中的 Transit Gateway 弹性网络接口子网,到达Workload spoke VPC2中转网关,然后转发到目标可用区 2 中的 Transit Gateway 弹性网络接口子网VPC。通过在设备中打开设备模式VPC,您可以确保在流量生命周期内使用 4 元组哈希保持对称流。