本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将NAT网关和网关 Load Balancer 与 Amazon EC2 实例配合使用以实现集中IPv4出口
使用基于软件的虚拟设备(在 Amazon 上EC2) AWS Partner Network 作为退出点与NAT网关设置类似。 AWS Marketplace 如果您想使用各种供应商产品的高级第 7 层防火墙/入侵防御/检测系统 (IPS/IDS) 和深度数据包检测功能,则可以使用此选项。
在下图中,除了网关之外,您还使用NAT网关 Load Balancer(GWLB)后面的EC2实例部署虚拟设备。在此设置中GWLB,Gateway Load Balancer Endpoint (GWLBE)、虚拟设备和NAT网关部署在使用VPC附件连接到 Transit Gateway 的集中VPC环境中。分支VPCs还使用VPC附件连接到 Transit Gateway。由于GWLBEs是可路由的目标,因此您可以将来自 Transit Gateway 的流量路由到配置为后面目标的虚拟设备队列。GWLBGWLB充当 bump-in-the-wire 并透明地通过第三方虚拟设备传递所有第 3 层流量,因此流量的来源和目的地都看不见。因此,该架构允许您集中检查通过 Transit Gateway 的所有出口流量。
有关流量如何通过此设置从应用程序流VPCs向互联网并返回互联网的更多信息,请参阅使用 Gate AWSway Load Balancer 的集中检查架构和 AWS Transit Gateway
您可以在 Transit Gateway 上启用设备模式,以通过虚拟设备保持流量对称性。这意味着双向流量将在流量生命周期内通过同一个设备和可用区路由。此设置对于执行深度数据包检查的状态防火墙尤其重要。启用设备模式无需复杂的解决方法(例如源网络地址转换 (SNAT))来强制流量返回正确的设备以保持对称性。有关详细信息,请参阅部署 Gateway Load Balancer 的最佳实践
也可以在没有 Transit Gateway 的情况下以分布式方式部署GWLB终端节点以启用出口检查。在 Gate AWSway Load Balancer 简介:支持的架构模式博客文章中了解有关此架构模式
使用 Gateway Load Balancer 和EC2实例集中出口(路由表设计)
高可用性
AWS建议在多个可用区部署网关负载均衡器和虚拟设备以提高可用性。
Gateway Load Balancer 可以执行运行状况检查以检测虚拟设备故障。如果设备运行状况不佳,请将新的流量GWLB重新路由到健康的设备。无论目标的健康状况如何,现有流量总是流向同一个目标。这允许连接耗尽并适应由于设备CPU峰值而导致的运行状况检查失败。有关更多详细信息,请参阅博客文章 Gate way Load Balancer 部署最佳实践中的第 4 节:了解设备和可用区故障场景
优点
Gateway Load Balancer 和 Gateway Load Balancer 端点由 AWS PrivateLink提供支持,这允许安全地VPC跨境交换流量,而无需穿越公共互联网。
Gateway Load Balancer 是一项托管服务,它消除了管理、部署、扩展虚拟安全设备等无差别的繁重工作,因此您可以专注于重要的事情。Gateway Load Balancer 可以将防火墙堆栈作为终端节点服务公开,供客户使用订阅。AWS Marketplace
重要注意事项:
-
这些设备需要支持 Geneve
封装协议才能与之集成。GWLB -
某些第三方设备可以支持SNAT和覆盖路由(双臂模式
),因此无需创建NAT网关来节省成本。但是,在使用此模式之前,请咨询您选择的AWS合作伙伴,因为这取决于供应商的支持和实施。 -
记下GWLB空闲超时。这可能会导致客户端连接超时。您可以在客户端、服务器、防火墙和操作系统级别调整超时以避免这种情况。有关更多信息,请参阅 TCPG ate TCP way Load Balancer 部署最佳实践
博客文章中的第 1 节:调整保持活动状态或超时值以支持长寿命流程。 -
GWLBE由供电 AWS PrivateLink,因此将 AWS PrivateLink 收取费用。您可以在AWS PrivateLink 定价页面
了解更多信息。如果您在 Transit Gateway 中使用集中模式,则需要支付TGW数据处理费用。 -
考虑在单独的网络服务账户VPC中部署 Transit Gateway 和出口,以便根据职责分配来隔离访问权限,例如只有网络管理员才能访问网络服务帐户。
