AWS Transit Gateway 流量流程和非對稱路由 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Transit Gateway 流量流程和非對稱路由

在描述不同的流量檢查使用案例之前,請務必了解流量如何通過 AWS Transit Gateway。下圖顯示透過 Transit Gateway 的流量流程。

範例流量流的架構圖 AWS Transit Gateway

下圖顯示可用區域 1 Workload spoke VPC 1中來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體透過 Transit Gateway 將流量傳送至可用區域 2 Workload spoke VPC2中目的地 EC2 執行個體時的流量流程:

  1. 從可用區域 1 Workload spoke VPC1中的來源 EC2 執行個體,封包會前往可用區域 1 Workload spoke VPC1中的 Transit Gateway 彈性網路介面。

  2. 封包會登陸傳輸閘道。封包的下一個跳轉是根據與子網路相關聯的 VPC 路由表決定。

  3. 根據與附件相關聯的傳輸閘道路由表,流量會先傳送到可用區域 1 Workload spoke VPC2中的傳輸閘道彈性網路介面,然後再傳送至可用區域 2 Workload spoke VPC2中的目的地 EC2 執行個體。

  4. 傳回流量的路徑來自可用區域 2 中的目的地 EC2 執行個體。 Workload spoke VPC2

  5. 封包會前往可用區域 2 Workload spoke VPC2中的 Transit Gateway 彈性網路介面。

  6. 封包到達傳輸閘道。

  7. 根據與附件相關聯的傳輸閘道路由表,流量會傳送到可用區域 2 Workload spoke VPC1中的傳輸閘道彈性網路介面。

  8. 流量抵達可用區域 1 Workload spoke VPC1中的來源 EC2 執行個體。

根據預設,Transit Gateway 會維護可用區域親和性,這表示它會使用相同的可用區域來轉送來自其進入傳輸閘道的流量。雖然這適用於大多數使用案例,但此方法可能會導致具狀態防火牆設備的非對稱路由問題。當請求和回應使用不同的網路介面時,會發生非對稱路由,這可能會導致流量遭到捨棄。若要避免這種情況,您應該在設備 VPC 的傳輸閘道連接中開啟設備模式。當來源和目的地 EC2 執行個體位於兩個不同的可用區域,並跨不同的 VPC 時,這會解決 VPC-to-VPC VPCs 架構模式中的非對稱路由問題。如需詳細資訊,請參閱《Amazon Virtual Private Cloud (Amazon VPC) 文件》中的共享服務 VPC 中的設備