View a markdown version of this page

VPC-to-VPC Verkehrsinspektion - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

VPC-to-VPC Verkehrsinspektion

VPC-to-VPC Eine Verkehrsinspektion erfolgt, wenn der Verkehr von einer VPC stammt und für eine andere VPC bestimmt ist. Der Datenverkehr wird zur Überprüfung an eine Appliance-VPC umgeleitet, bevor er die Ziel-VPC erreicht. Das folgende Diagramm veranschaulicht den Fluss des Datenverkehrs, wenn eine Instance von Amazon Elastic Compute Cloud (Amazon EC2) in Workload spoke VPC1 mit einer EC2-Instance in Workload spoke VPC2 kommunizieren muss.

Architekturdiagramm der Verkehrsinspektion zwischen zwei Speichen VPCs und einer Appliance-VPC

In diesem Anwendungsfall hosten zwei Spoke-VPCs die Workload-EC2-Instances in zwei Availability Zones und eine Appliance-VPC hostet die Firewall-Appliances von Drittanbietern zur Überprüfung des Datenverkehrs. Sie VPCs sind miteinander verbunden über AWS Transit Gateway. Das Diagramm zeigt den folgenden Paketfluss, wenn eine EC2-Instance in Workload spoke VPC1 in Availability Zone 1 ein Paket an eine Instance in Workload spoke VPC2 in Availability Zone 1 sendet:

  1. Das Paket von einer EC2-Instance in Workload spoke VPC1 in Availability Zone 1 geht an die elastische Netzwerkschnittstelle des Transit Gateways im Transit-Gateway-Subnetz in Availability Zone 1.

  2. Basierend auf der in der VPC-Routing-Tabelle definierten Standardroute landet das Paket auf dem Transit-Gateway.

  3. Im Transit-Gateway ist die Routing-Tabelle des Spoke-Transit-Gateways dem Workload spoke VPC1-Anhang zugeordnet, der den nächsten Hop bestimmt.

  4. Der nächste Hop ist die Appliance-VPC. Da der Appliance-VPC-Anhang den Appliance-Modus aktiviert hat, bestimmt das Transit Gateway anhand der 4 Tupel des IP-Pakets, an welche elastische Transit-Gateway-Netzwerkschnittstelle der Datenverkehr weitergeleitet werden soll.

  5. Wenn Transit Gateway die elastische Netzwerkschnittstelle von Transit Gateway in Availability Zone 1 in der Appliance VPC auswählt, bleibt der Datenverkehr sowohl für den Anfrage- als auch für den Antwortverkehr in Availability Zone 1 bestehen.

  6. Der Datenverkehr wird an Gateway Load Balancer endpoint 1 in Availability Zone 1 gesendet.

  7. Der Gateway Load Balancer-Endpunkt ist über logisch mit dem Gateway Load Balancer verbunden. AWS PrivateLink Der Gateway Load Balancer verwendet den 4-Tupel-Hash-Algorithmus, um eine Firewall-Appliance für die gesamte Lebensdauer des Datenflusses auszuwählen, und leitet dann den Datenverkehr zur Überprüfung an diese Appliance in der Appliance VPC in Availability Zone 1 weiter. Der Gateway Load Balancer erstellt einen GENEVE-Tunnel zwischen sich und der Firewall-Appliance.

  8. Der Datenverkehr wird auf der Grundlage der Firewall-Richtlinie überprüft.

  9. Nachdem das Paket erfolgreich geprüft wurde, wird das Paket zurück an den Gateway Load Balancer und dann an den Gateway-Load-Balancer-Endpunkt in Appliance VPC in Availability Zone 1 gesendet.

  10. Am Gateway-Load-Balancer-Endpunkt wird das Paket auf der Grundlage der VPC-Routing-Tabelle an das Transit-Gateway gesendet.

  11. Nachdem das Paket am Transit-Gateway angekommen ist, untersucht es die dem Netzwerk 10.2.0.0/16 zugeordnete Routing-Tabelle, bei der es sich um das Zielnetzwerk handelt.

  12. Das Paket wird an die elastische Netzwerkschnittstelle von Transit Gateway in Workload spoke VPC2 in Availability Zone 1 gesendet, bevor es die EC2-Ziel-Instance erreicht. Der zurückgegebene Datenverkehr folgt demselben Pfad, jedoch in umgekehrter Reihenfolge.

Anmerkung

Transit Gateway behält die Affinität zur Availability Zone bei und verwendet dieselbe Availability Zone, in der die ursprünglichen Anfragen erstellt wurden. Wenn beispielsweise eine EC2-Instance in Workload spoke VPC2 in Availability Zone 2 die Anfrage initiiert hat, wird das Paket an das Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in Workload spoke VPC2 in Availability Zone 2 weitergeleitet, landet auf dem Transit Gateway und wird dann an das Subnetz der elastischen Transit-Gateway-Netzwerkschnittstelle in Availability Zone 2 in der Ziel-VPC weitergeleitet. Indem Sie den Appliance-Modus in der Appliance-VPC aktivieren, können Sie sicherstellen, dass die Symmetrie des Datenflusses mithilfe des 4-Tupel-Hashs für die gesamte Lebensdauer des Datenverkehrs aufrechterhalten wird.