本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Transit Gateway流量和非對稱路由
在描述不同的交通檢查使用案例之前,了解流量如何流通是非常重要的AWS Transit Gateway。下圖表表表表表表表表表表表表表表表表表表表表表表表
下圖顯示可用區域 1 中Workload
spoke VPC 1的來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體將流量透過傳 Transit Gateway 傳送到可用區域 2Workload spoke VPC2 中的目的地 EC2 執行個體時的流量流量:
-
從可用區域 1
Workload spoke VPC1中的來源 EC2 執行個體,封包會移至可用區域 1Workload spoke VPC1中的 Transit Gateway elastic network interface。 -
封包會落在傳輸閘道上。封包的下一個躍點是根據與子網路相關聯的 VPC 路由表來決定。
-
根據與附件關聯的傳輸閘道路由表,流量會傳送至可用區域 1 的 Transit Gateway elastic network interface,然後傳送到可用區域 2
Workload spoke VPC2中的目的地 EC2 執行個體。Workload spoke VPC2 -
返回流量的路徑來自可用區域 2
Workload spoke VPC2中的目的地 EC2 執行個體。 -
封包會移至可用區域 2
Workload spoke VPC2中的 Transit Gateway elastic network interface。 -
封包到達傳輸閘道。
-
根據與附件相關聯的傳輸閘道路由表,流量會傳送至可用區域 2
Workload spoke VPC1中的 Transit Gateway elastic network interface。 -
流量會到達可用區域 1 的
Workload spoke VPC1來源 EC2 執行個體。
根據預設,Transit Gateway 會維護可用區域相似性,這表示它會使用相同的可用區域來轉送進入傳輸閘道的流量。雖然這適用於大多數使用案例,但此方法可能會導致可設定狀態防火牆應用裝置的非對稱路由問題。當要求和回應使用不同的網路介面時,就會發生非對稱路由,這可能會導致流量中斷。若要避免這種情況,您應該在應用裝置 VPC 的傳輸閘道附件中開啟應用裝置模式。這解決了當來源和目的地 EC2 執行個體位於兩個不同的可用區域以及跨不同 VPC 時,VPC 到 VPC 架構模式中的非對稱路由問題。如需 Amazon V PC 的詳細資訊,請參閱 Amazon Virtual Priv ate Cloud (Amazon VPC) 文件。
