VPC-to-VPC 流量檢查 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPC-to-VPC 流量檢查

VPC-to-VPC 當流量來自一個 VPC,且目的地為另一個 時,就會發生流量檢查VPC。流量會在到達目的地 之前重新導向至設備VPC進行流量檢查VPC。下圖顯示 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體Workload spoke VPC1需要與 中的EC2執行個體通訊時,流量如何流動Workload spoke VPC2

兩個 輪輻VPCs和 設備之間的流量檢查架構圖 VPC

在此使用案例中,兩個輪輻VPCs託管兩個可用區域的工作負載EC2執行個體,而一個設備VPC託管第三方防火牆設備以進行流量檢查。使用 VPCs互連 AWS Transit Gateway。當可用區域 1 Workload spoke VPC1中的EC2執行個體將封包傳送至可用區域 1 Workload spoke VPC2中的執行個體時,下圖顯示下列封包流程:

  1. 可用區域 1 Workload spoke VPC1 中EC2執行個體的封包會前往可用區域 1 中傳輸閘道子網路中的 Transit Gateway 彈性網路介面。

  2. 根據路由表中定義的預設VPC路由,封包會落在傳輸閘道上。

  3. 在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的 Workload spoke VPC1 連接關聯。

  4. 下一個躍點是設備 VPC。由於設備VPC連接已開啟設備模式,傳輸閘道會根據 IP 封包的 4 個組合,決定要將流量轉送至哪個 Transit Gateway 彈性網路介面。

  5. 如果 Transit Gateway 在 Appliance VPC 的可用區域 1 中選擇 Transit Gateway 彈性網路介面,則請求和回應流量的流量都會停留在可用區域 1。

  6. 流量傳送至可用區域 1 中的 Gateway Load Balancer endpoint 1

  7. Gateway Load Balancer 端點使用 邏輯連接至 Gateway Load Balancer AWS PrivateLink。Gateway Load Balancer 使用 4 元組雜湊演算法來選擇流量生命週期內的防火牆設備,然後將要檢查的流量轉送至可用區域 1 的 Appliance VPC 中的該設備。Gateway Load Balancer 會在其與防火牆設備之間建立GENEVE通道。

  8. 系統根據防火牆政策檢查流量。

  9. 成功檢查封包之後,封包會傳回至 Gateway Load Balancer 和可用區域 1 中 Appliance VPC 的 Gateway Load Balancer 端點。

  10. 在 Gateway Load Balancer 端點,封包會根據VPC路由表傳送至傳輸閘道。

  11. 封包到達傳輸閘道之後,它會檢查與 10.2.0.0/16 網路 (即目的地網路) 關聯的路由表。

  12. 在到達目的地EC2執行個體之前,封包會在可用區域 1 中傳送至 Workload spoke VPC2中的 Transit Gateway 彈性網路介面。傳回流量會遵循相同的路徑,但方向相反。

注意

Transit Gateway 維護可用區域親和性並使用建立原始請求的相同可用區域。例如,如果可用區域 2 Workload spoke VPC2 中的EC2執行個體起始請求,封包會轉送至可用區域 2 Workload spoke VPC2中的 Transit Gateway 彈性網路介面子網路,並登陸傳輸閘道,然後轉送至目的地 中的可用區域 2 中的 Transit Gateway 彈性網路介面子網路VPC。透過在設備 中開啟設備模式VPC,您可以確保在流量的生命週期內使用 4 管雜湊維持對稱流程。