本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
檢查目的地為子網的流量
試想這樣一個案例:您的流量透過網際網路閘道進入 VPC,並且您想要使用安裝在 EC2 執行個體上的防火牆設備來檢查目的地為某個子網 (例如子網 B) 的所有流量。應該將防火牆設備安裝和設定在 EC2 執行個體上,且該執行個體位於與 VPC 中子網 B 不同的子網中,例如子網 C。然後您可以使用中間設備路由精靈為子網 B 和網際網路閘道之間的流量設定路由。
中間設備路由精靈會自動執行下列操作:
-
建立下列路由表:
-
網際網路閘道的路由表
-
目的地子網的路由表
-
中間設備子網的路由表
-
-
將所需路由新增至新路由表,如下列章節所述。
-
將與網際網路閘道、子網 B 和子網 C 相關聯的目前路由表取消關聯。
-
將路由表 A 與網際網路閘道 (中間設備路由精靈中的 Source (來源))、路由表 C 與子網 C (中間設備路由精靈中的 Middlebox (中間設備)) 以及路由表 B 與子網 B (中間設備路由精靈中的 Destination (目的地)) 建立關聯。
-
建立一個標籤,指出其是由中間設備路由精靈建立,並建立指出建立日期的標籤。
中間設備路由精靈不會修改現有的路由表。它會建立新的路由表,然後將其與閘道和子網資源建立關聯。如果您的資源已經明確與現有路由表相關聯,則現有路由表會先被取消關聯,然後新路由表會與您的資源相關聯。系統不會刪除您現有的路由表。
如果您不使用中間設備路由精靈,則您必須手動設定,然後將路由表指派給子網和網際網路閘道。
網際網路閘道路由表
新增以下路由至網際網路閘道的路由表:
| 目的地 | 目標 | 用途 |
|---|---|---|
10.0.0.0/16 |
區域 | IPv4 的本機路由 |
10.0.1.0/24 |
appliance-eni |
將目的地為子網 B 的 IPv4 流量路由到中間設備 |
2001:db8:1234:1a00::/56 |
區域 | IPv6 的本機路由 |
2001:db8:1234:1a00::/64 |
appliance-eni |
將目的地為子網 B 的 IPv6 流量路由到中間設備 |
網際網路閘道和 VPC 之間存在邊緣關聯。
當您使用中間設備路由精靈時,其可將下列標籤與路由表相關聯:
-
索引鍵是 "Origin",值是 "Middlebox wizard"
-
索引鍵是 "date_created",值是建立時間 (例如 "2021-02-18T22:25:49.137Z")
目的地子網路由表
將以下路由新增至目的地子網的路由表中 (範例圖表中的子網 B)。
| 目的地 | 目標 | 用途 |
|---|---|---|
10.0.0.0/16 |
區域 | IPv4 的本機路由 |
| 0.0.0.0/0 | appliance-eni |
將目的地為網際網路的 IPv4 流量路由至中間設備 |
2001:db8:1234:1a00::/56 |
區域 | IPv6 的本機路由 |
| ::/0 | appliance-eni |
將目的地為網際網路的 IPv6 流量路由至中間設備 |
中間設備子網有子網關聯。
當您使用中間設備路由精靈時,其可將下列標籤與路由表相關聯:
-
索引鍵是 "Origin",值是 "Middlebox wizard"
-
索引鍵是 "date_created",值是建立時間 (例如 "2021-02-18T22:25:49.137Z")
中間設備子網路由表
將以下路由新增至中間設備子網的路由表中 (範例圖表中的子網 B)。
| 目的地 | 目標 | 用途 |
|---|---|---|
10.0.0.0/16 |
區域 | IPv4 的本機路由 |
| 0.0.0.0/0 | igw-id |
將 IPv4 流量路由至網際網路閘道 |
2001:db8:1234:1a00::/56 |
區域 | IPv6 的本機路由 |
| ::/0 | eigw-id |
將 IPv6 流量路由至僅輸出網際網路閘道 |
目的地子網有子網關聯。
當您使用中間設備路由精靈時,其可將下列標籤與路由表相關聯:
-
索引鍵是 "Origin",值是 "Middlebox wizard"
-
索引鍵是 "date_created",值是建立時間 (例如 "2021-02-18T22:25:49.137Z")
