检查发往子网的流量
请考虑一下,您的流量通过互联网网关进入 VPC,并且希望使用 EC2 实例上安装的防火墙设备检查发往子网(例如子网 B)的所有流量。防火墙设备应安装和配置在与 VPC 中子网 B 不同的子网(例如子网 C)中的 EC2 实例上,然后您可以使用中间盒路由向导为子网 B 和互联网网关之间的流量配置路由。
中间盒路由向导会自动执行以下操作:
-
创建以下路由表:
-
互联网网关的路由表
-
目标子网的路由表
-
中间盒子网的路由表
-
-
将必要的路由添加到新路由表中,如以下部分所述。
-
取消与互联网网关、子网 B 和子网 C 关联的当前路由表的关联。
-
将路由表 A 与互联网网关(中间盒路由向导中的 Source(源))相关联、路由表 C 与子网 C(中间盒路由向导中的 Middlebox(中间盒))相关联,并将路由表 B 与子网 B(中间盒路由向导中的 Destination(目的地))相关联。
-
创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。
中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。
如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。
互联网网关路由表
将以下路由添加到互联网网关的路由表中。
| 目标位置 | 目标 | 用途 |
|---|---|---|
10.0.0.0/16 |
本地 | IPv4 的本地路由 |
10.0.1.0/24 |
appliance-eni |
将发往子网 B 的 IPv4 流量路由到中间盒 |
2001:db8:1234:1a00::/56 |
本地 | IPv6 的本地路由 |
2001:db8:1234:1a00::/64 |
appliance-eni |
将发往子网 B 的 IPv6 流量路由到中间盒 |
互联网网关和 VPC 之间存在边缘关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
目标子网路由表
将以下路由添加到目标子网(示例图中的子网 B)的路由表中。
| 目标位置 | 目标 | 用途 |
|---|---|---|
10.0.0.0/16 |
本地 | IPv4 的本地路由 |
| 0.0.0.0/0 | appliance-eni |
将发往互联网的 IPv4 流量路由到中间盒 |
2001:db8:1234:1a00::/56 |
本地 | IPv6 的本地路由 |
| ::/0 | appliance-eni |
将发往互联网的 IPv6 流量路由到中间盒 |
与中间盒子网存在子网关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
中间盒子网路由表
将以下路由添加到中间盒子网(示例图中的子网 C)的路由表中。
| 目标位置 | 目标 | 用途 |
|---|---|---|
10.0.0.0/16 |
本地 | IPv4 的本地路由 |
| 0.0.0.0/0 | igw-id |
到互联网网关的 IPv4 流量路由 |
2001:db8:1234:1a00::/56 |
本地 | IPv6 的本地路由 |
| ::/0 | eigw-id |
将 IPv6 流量路由到仅出口互联网网关 |
与目标子网存在子网关联。
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
