本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
VPC-to-VPC 流量檢查
VPC-to-VPC 當流量來自一個 VPC,且目的地為另一個 時,就會發生流量檢查VPC。流量會在到達目的地 之前重新導向至設備VPC進行流量檢查VPC。下圖顯示 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體Workload spoke VPC1
需要與 中的EC2執行個體通訊時,流量如何流動Workload spoke VPC2
。
在此使用案例中,兩個輪輻VPCs託管兩個可用區域的工作負載EC2執行個體,而一個設備VPC託管第三方防火牆設備以進行流量檢查。使用 VPCs互連 AWS Transit Gateway。當可用區域 1 Workload spoke VPC1
中的EC2執行個體將封包傳送至可用區域 1 Workload spoke VPC2
中的執行個體時,下圖顯示下列封包流程:
-
可用區域 1
Workload spoke VPC1
中EC2執行個體的封包會前往可用區域 1 中傳輸閘道子網路中的 Transit Gateway 彈性網路介面。 -
根據路由表中定義的預設VPC路由,封包會落在傳輸閘道上。
-
在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的
Workload spoke VPC1
連接關聯。 -
下一個躍點是設備 VPC。由於設備VPC連接已開啟設備模式,傳輸閘道會根據 IP 封包的 4 個組合,決定要將流量轉送至哪個 Transit Gateway 彈性網路介面。
-
如果 Transit Gateway 在
Appliance VPC
的可用區域 1 中選擇 Transit Gateway 彈性網路介面,則請求和回應流量的流量都會停留在可用區域 1。 -
流量傳送至可用區域 1 中的
Gateway Load Balancer endpoint 1
。 -
Gateway Load Balancer 端點使用 邏輯連接至 Gateway Load Balancer AWS PrivateLink。Gateway Load Balancer 使用 4 元組雜湊演算法來選擇流量生命週期內的防火牆設備,然後將要檢查的流量轉送至可用區域 1 的
Appliance VPC
中的該設備。Gateway Load Balancer 會在其與防火牆設備之間建立GENEVE通道。 -
系統根據防火牆政策檢查流量。
-
成功檢查封包之後,封包會傳回至 Gateway Load Balancer 和可用區域 1 中
Appliance VPC
的 Gateway Load Balancer 端點。 -
在 Gateway Load Balancer 端點,封包會根據VPC路由表傳送至傳輸閘道。
-
封包到達傳輸閘道之後,它會檢查與
10.2.0.0/16
網路 (即目的地網路) 關聯的路由表。 -
在到達目的地EC2執行個體之前,封包會在可用區域 1 中傳送至
Workload spoke VPC2
中的 Transit Gateway 彈性網路介面。傳回流量會遵循相同的路徑,但方向相反。
注意
Transit Gateway 維護可用區域親和性並使用建立原始請求的相同可用區域。例如,如果可用區域 2 Workload spoke VPC2
中的EC2執行個體起始請求,封包會轉送至可用區域 2 Workload spoke VPC2
中的 Transit Gateway 彈性網路介面子網路,並登陸傳輸閘道,然後轉送至目的地 中的可用區域 2 中的 Transit Gateway 彈性網路介面子網路VPC。透過在設備 中開啟設備模式VPC,您可以確保在流量的生命週期內使用 4 管雜湊維持對稱流程。