本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
透過NAT閘道和網際網路閘道進行傳出流量檢查
如果您需要檢查來自 的傳出流量VPC,下圖會顯示工作流程。
該圖顯示以下工作流程:
-
來自可用區域 1
Workload spoke VPC1
中 Amazon Elastic Compute Cloud (AmazonEC2) 執行個體的封包會到達可用區域 1 中的 Transit Gateway 彈性網路介面。根據與來源相關聯的Workload spoke VPC1
路由表,封包會抵達 Transit Gateway。 -
在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的
Workload spoke VPC1
連接關聯。 -
下一個中轉是
Appliance VPC
。Transit Gateway 會根據 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。 -
如果 Transit Gateway 在可用區域 2 中選擇 Transit Gateway 彈性網路介面,則會檢查與可用區域 2 中 Transit Gateway 彈性網路介面子網路相關聯的VPC路由表,
Appliance VPC
然後根據預設路由將流量傳送至 Gateway Load Balancer 端點。 -
Gateway Load Balancer 端點透過 邏輯連接至 Gateway Load Balancer AWS PrivateLink ,將流量轉送至防火牆設備進行流量檢查。Gateway Load Balancer 會在其與防火牆設備之間建立GENEVE通道。
-
如果允許流量,則封包將根據連接至承載的中繼資料從其來源傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。
-
在可用區域 1 的 Gateway Load Balancer 端點上,封包會檢查VPC路由表以決定下一個躍點。
-
封包到達
NAT gateway 1
並查看NAT閘道的路由表,預設路由為網際網路閘道。 -
然後,封包透過網際網路閘道傳送至目的地。傳回流量會遵循相同的路徑,但方向相反。