检查子网之间的流量
请考虑如下场景,其中您在 VPC 中有多个子网,并且希望使用防火墙设备检查这些子网之间的流量。在 VPC 的单独子网中的 EC2 实例上配置并安装防火墙设备。
下图显示子网 C 中的 EC2 实例上安装的防火墙设备。此设备检查从子网 A 传输到子网 B(请参见 1)和从子网 B 传输到子网 A(请参见 2)的所有流量。
您使用 VPC 和中间盒子网的主路由表。子网 A 和 B 各有一个自定义路由表。
中间盒路由向导会自动执行以下操作:
-
创建路由表。
-
将必要的路由添加到新路由表中。
-
取消与子网关联的当前路由表的关联。
-
将中间盒路由向导创建的路由表与子网相关联。
-
创建一个标签,指示它是由中间盒路由向导创建的,并创建一个指示创建日期的标签。
中间盒路由向导不会修改现有的路由表。它会创建新的路由表,然后将它们与您的网关和子网资源相关联。如果您的资源已与现有路由表显式关联,则首先取消现有路由表的关联,然后将新路由表与您的资源相关联。您的现有路由表不会被删除。
如果不使用中间盒路由向导,则必须手动配置路由表,然后将路由表分配给子网和互联网网关。
自定义子网 A 的路由表
子网 A 的路由表具有以下路由。
| 目标位置 | 目标 | 用途 |
|---|---|---|
VPC CIDR |
本地 | 本地路由 |
子网 B CIDR |
appliance-eni |
将发往子网 B 的流量路由到中间盒 |
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
自定义子网 B 的路由表
子网 B 的路由表具有以下路由。
| 目标位置 | 目标 | 用途 |
|---|---|---|
VPC CIDR |
本地 | 本地路由 |
子网 A CIDR |
appliance-eni |
将发往子网 A 的流量路由到中间盒 |
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
主路由表
子网 C 使用主路由表。主路由表具有以下路由。
| 目标位置 | 目标 | 用途 |
|---|---|---|
VPC CIDR |
本地 | 本地路由 |
使用中间盒路由向导时,它将以下标签与路由表相关联:
-
键为“Origin”,值为“Middlebox wizard”
-
键为“date_created”,值为创建时间(例如“2021-02-18T22:25:49.137Z”)
