Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Opsi solusi inspeksi lalu lintas sebaris
Tiga bagian berikut menjelaskan arus data untuk inspeksi lalu lintas menggunakan peralatan firewall pihak ketiga di AWS lingkungan dengan titik akhir Gateway Load Balancer dan Gateway Load Balancer:
+ [VPC-to-VPC inspeksi lalu lintas](vpc-to-vpc-traffic-inspection.md)
+ [VPC-to-on-premises inspeksi lalu lintas](vpc-on-premises-traffic-inspection.md)
+ [Inspeksi lalu lintas keluar melalui gateway NAT dan gateway internet](outbound-traffic-inspection-nat-gateway.md)
Sumber daya berikut digunakan dalam tiga opsi untuk solusi ini:
+ Berbicara khusus VPCs untuk hosting beban kerja atau aplikasi.
+ Satu VPC untuk hosting peralatan firewall.
+ Subnet khusus untuk antarmuka elastis network Transit Gateway untuk setiap Availability Zone di palang dan alat VPCs.
+ Mode alat dihidupkan untuk lampiran VPC alat.
+ Subnet khusus untuk titik akhir Load Balancer Gateway di setiap Availability Zone.
+ Gateway transit untuk menghubungkan VPCs, selain menyediakan konektivitas lokal melalui antarmuka virtual dan gateway Transit Direct Connect Gateway atau dengan lampiran VPN untuk. AWS Site-to-Site VPN
# VPC-to-VPC inspeksi lalu lintas
VPC-to-VPC inspeksi lalu lintas terjadi ketika lalu lintas berasal dari satu VPC dan ditujukan untuk VPC lain. Lalu lintas dialihkan ke VPC alat untuk inspeksi lalu lintas sebelum tiba di VPC tujuan. Diagram berikut menunjukkan bagaimana arus lalu lintas jika instans Amazon Elastic Compute Cloud (Amazon EC2) perlu berkomunikasi dengan instans `Workload spoke VPC1` EC2. `Workload spoke VPC2`
![\[Diagram arsitektur inspeksi lalu lintas antara dua palang VPCs dan VPC alat\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png)
Dalam kasus penggunaan ini, dua VPC spoke menampung instans EC2 beban kerja di dua Availability Zone dan VPC alat menampung peralatan firewall pihak ketiga untuk inspeksi lalu lintas. Yang VPCs saling berhubungan menggunakan AWS Transit Gateway. Diagram menunjukkan aliran paket berikut ketika instance EC2 `Workload spoke VPC1` di Availability Zone 1 mengirimkan paket ke instance `Workload spoke VPC2` di Availability Zone 1:
1. Paket dari instans EC2 `Workload spoke VPC1` di Availability Zone 1 masuk ke Transit Gateway elastic network interface di subnet gateway transit di Availability Zone 1.
1. Berdasarkan rute default yang ditentukan dalam tabel rute VPC, paket mendarat di gateway transit.
1. Di gateway transit, tabel rute gateway transit spoke dikaitkan dengan `Workload spoke VPC1` lampiran yang menentukan lompatan berikutnya.
1. Hop berikutnya adalah VPC alat. Karena lampiran VPC alat mengaktifkan mode alat, gateway transit menentukan antarmuka elastis network Transit Gateway mana yang akan meneruskan lalu lintas, berdasarkan 4 tupel paket IP.
1. Jika Transit Gateway memilih elastic network interface Transit Gateway di Availability Zone 1 di`Appliance VPC`, lalu lintas tetap ke Availability Zone 1 untuk permintaan dan lalu lintas respons.
1. Lalu lintas dikirim ke `Gateway Load Balancer endpoint 1` dalam Availability Zone 1.
1. Endpoint Load Balancer Gateway secara logis terhubung ke Load Balancer Gateway menggunakan. AWS PrivateLink Load Balancer Gateway menggunakan algoritma hash 4-tuple untuk memilih alat firewall untuk masa pakai aliran dan kemudian meneruskan lalu lintas untuk diperiksa ke alat tersebut di Availability Zone 1. `Appliance VPC` Load Balancer Gateway membuat terowongan GENEVE antara itu dan alat firewall.
1. Lalu lintas diperiksa berdasarkan kebijakan firewall.
1. Setelah paket berhasil diperiksa, paket dikirim kembali ke Load Balancer Gateway dan kemudian ke titik akhir Gateway Load Balancer di Availability Zone 1. `Appliance VPC`
1. Pada titik akhir Load Balancer Gateway, paket dikirim ke gateway transit berdasarkan tabel rute VPC.
1. Setelah paket tiba di gateway transit, ia memeriksa tabel rute yang terkait untuk `10.2.0.0/16` jaringan, yang merupakan jaringan tujuan.
1. Paket dikirim ke Transit Gateway elastic network interface `Workload spoke VPC2` di Availability Zone 1 sebelum tiba di instans EC2 tujuan. Lalu lintas kembali mengikuti jalur yang sama tetapi sebaliknya.
**catatan**
Transit Gateway mempertahankan afinitas Availability Zone dan menggunakan Availability Zone yang sama dengan permintaan asli yang dibuat. Misalnya, jika instance EC2 `Workload spoke VPC2` di Availability Zone 2 memulai permintaan, paket diteruskan ke subnet elastic network interface Transit Gateway di Availability Zone 2, mendarat `Workload spoke VPC2` di gateway transit, dan kemudian diteruskan ke Transit Gateway elastic network interface subnet di Availability Zone 2 di VPC tujuan. Dengan menyalakan mode alat di VPC alat, Anda dapat memastikan bahwa aliran simetri dipertahankan menggunakan hash 4-tuple untuk masa pakai lalu lintas.
# VPC-to-on-premises inspeksi lalu lintas
Diagram berikut menunjukkan arus lalu lintas jika instans Amazon Elastic Compute Cloud (Amazon EC2) ingin berkomunikasi dengan `Workload spoke VPC1` server lokal.
![\[Arus lalu lintas antara instans Amazon EC2 di VPC 1 spoke dan server lokal\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png)
Diagram menunjukkan alur kerja berikut:
1. Sebuah paket dari instans EC2 di `Workload spoke VPC 1` Availability Zone 1 tiba di Transit Gateway elastic network interface di Availability Zone 1 di subnet gateway transit untuk. `Workload spoke VPC 1` Berdasarkan tabel rute VPC yang terkait dengan subnet antarmuka elastis network Transit Gateway, paket mendarat di gateway transit.
1. Di gateway transit, `Spoke transit gateway route table` dikaitkan dengan `Workload spoke VPC 1` lampiran dan ini menentukan lompatan berikutnya.
1. Hop berikutnya adalah VPC alat. Berdasarkan hash 4-tuple untuk masa pakai aliran, Transit Gateway menentukan antarmuka elastis network Transit Gateway mana yang akan mengirim lalu lintas.
1. Jika Transit Gateway memilih Transit Gateway elastic network interface di Availability Zone 1, Gateway akan memeriksa tabel rute VPC yang terkait dengan subnet elastic network interface Transit Gateway di Availability Zone 1 di VPC appliance. Transit Gateway mengirimkan lalu lintas ke titik akhir Load Balancer Gateway di Availability Zone 1.
1. Endpoint Load Balancer Gateway secara logis terhubung ke Load Balancer Gateway melalui AWS PrivateLink itu kemudian meneruskan lalu lintas ke alat firewall untuk inspeksi lalu lintas. Load Balancer Gateway membuat terowongan GENEVE antara Load Balancer Gateway dan peralatan firewall.
1. Jika lalu lintas diizinkan, paket dikirim kembali ke Load Balancer Gateway dan titik akhir Load Balancer Gateway di Availability Zone 1.
1. Pada titik akhir Load Balancer Gateway, paket memeriksa tabel rute VPC dan lompatan berikutnya adalah gateway transit.
1. Paket tiba di gateway transit dan melakukan pencarian pada tabel rute gateway transit alat yang terkait dengan lampiran VPC alat untuk lompatan berikutnya ke jaringan. `172.16.0.0/16`
1. Paket tersebut kemudian dikirim ke server tujuan di tempat. Lalu lintas respons mengikuti jalur yang sama tetapi sebaliknya.
# Inspeksi lalu lintas keluar melalui gateway NAT dan gateway internet
Diagram berikut menunjukkan alur kerja jika Anda perlu memeriksa lalu lintas keluar yang berasal dari VPC ke internet.
![\[Memeriksa lalu lintas dari VPC ke internet melalui gateway NAT dan gateway internet.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)
Diagram menunjukkan alur kerja berikut:
1. Paket dari `Workload spoke VPC1` instans Amazon Elastic Compute Cloud (Amazon EC2) di Availability Zone 1 tiba di Transit Gateway elastic network interface di Availability Zone 1. Menurut tabel `Workload spoke VPC1` rute yang terkait dengan sumbernya, paket tiba di Transit Gateway.
1. Di Transit Gateway, tabel rute gateway transit spoke dikaitkan dengan `Workload spoke VPC1` lampiran, yang menentukan lompatan berikutnya.
1. Hop berikutnya `Appliance VPC` adalah Transit Gateway menentukan antarmuka elastis network Transit Gateway mana yang akan mengirim lalu lintas berdasarkan hash 4-tuple.
1. Jika Transit Gateway memilih Transit Gateway elastic network interface di Availability Zone 2, maka akan memeriksa tabel rute VPC yang terkait dengan subnet antarmuka elastis network Transit Gateway di Availability Zone 2 untuk `Appliance VPC` dan kemudian mengirimkan lalu lintas ke titik akhir Gateway Load Balancer berdasarkan rute default.
1. Endpoint Load Balancer Gateway secara logis terhubung ke Load Balancer Gateway AWS PrivateLink , yang meneruskan lalu lintas ke alat firewall untuk inspeksi lalu lintas. Gateway Load Balancer membuat terowongan GENEVE antara itu dan peralatan firewall.
1. Jika lalu lintas diizinkan maka paket dikirim kembali ke Load Balancer Gateway dan titik akhir Load Balancer Gateway di Availability Zone 1 dari mana asalnya berdasarkan metadata yang melekat pada payload.
1. Pada titik akhir Load Balancer Gateway di Availability Zone 1, paket memeriksa tabel rute VPC untuk menentukan lompatan berikutnya.
1. Paket tiba `NAT gateway 1` dan melihat tabel rute gateway NAT, dengan rute default menjadi gateway internet.
1. Paket tersebut kemudian dikirim ke tujuannya melalui gateway internet. Lalu lintas kembali mengikuti jalur yang sama tetapi sebaliknya.