透過NAT閘道和網際網路閘道進行傳出流量檢查 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過NAT閘道和網際網路閘道進行傳出流量檢查

如果您需要檢查來自 的傳出流量VPC,下圖會顯示工作流程。

透過NAT閘道和網際網路閘道檢查從 VPC到網際網路的流量。

該圖顯示以下工作流程:

  1. 來自可用區域 1 Workload spoke VPC1中 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體的封包會到達可用區域 1 中的 Transit Gateway 彈性網路介面。根據與來源相關聯的Workload spoke VPC1路由表,封包會抵達 Transit Gateway。

  2. 在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的 Workload spoke VPC1 連接關聯。

  3. 下一個中轉是 Appliance VPC。Transit Gateway 會根據 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。

  4. 如果 Transit Gateway 在可用區域 2 中選擇 Transit Gateway 彈性網路介面,則會檢查與可用區域 2 中 Transit Gateway 彈性網路介面子網路相關聯的VPC路由表,Appliance VPC然後根據預設路由將流量傳送至 Gateway Load Balancer 端點。

  5. Gateway Load Balancer 端點透過 邏輯連接至 Gateway Load Balancer AWS PrivateLink ,將流量轉送至防火牆設備進行流量檢查。Gateway Load Balancer 會在其與防火牆設備之間建立GENEVE通道。

  6. 如果允許流量,則封包將根據連接至承載的中繼資料從其來源傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。

  7. 在可用區域 1 的 Gateway Load Balancer 端點上,封包會檢查VPC路由表以決定下一個躍點。

  8. 封包到達NAT gateway 1並查看NAT閘道的路由表,預設路由為網際網路閘道。

  9. 然後,封包透過網際網路閘道傳送至目的地。傳回流量會遵循相同的路徑,但方向相反。