Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Opzioni di soluzione di ispezione del traffico in linea
Le tre sezioni seguenti descrivono i flussi di dati per l'ispezione del traffico utilizzando dispositivi firewall di terze parti in un AWS ambiente con endpoint Gateway Load Balancer e Gateway Load Balancer:
+ [VPC-to-VPC ispezione del traffico](vpc-to-vpc-traffic-inspection.md)
+ [VPC-to-on-premises ispezione del traffico](vpc-on-premises-traffic-inspection.md)
+ [Ispezione del traffico in uscita tramite un gateway NAT e un gateway Internet](outbound-traffic-inspection-nat-gateway.md)
Le seguenti risorse vengono utilizzate nelle tre opzioni di questa soluzione:
+ Speak dedicato VPCs per l'hosting di carichi di lavoro o applicazioni.
+ Un VPC per ospitare dispositivi firewall.
+ Una sottorete dedicata per l'interfaccia di rete elastica Transit Gateway per ogni zona di disponibilità nello spoke e nell'appliance VPCs.
+ La modalità accessorio è attivata per il collegamento del VPC di appliance.
+ Sottoreti dedicate per gli endpoint Gateway Load Balancer in ogni zona di disponibilità.
+ Un gateway di transito per l'interconnessione VPCs, oltre a fornire connettività locale tramite l'interfaccia e il gateway virtuali Transit Direct Connect Gateway o con un allegato VPN per. AWS Site-to-Site VPN
# VPC-to-VPC ispezione del traffico
VPC-to-VPC l'ispezione del traffico si verifica quando il traffico proviene da un VPC ed è destinato a un altro VPC. Prima di arrivare al VPC di destinazione, il traffico viene reindirizzato a un VPC di appliance per l'ispezione. Il seguente diagramma mostra come il traffico fluisce se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` deve comunicare con un'istanza EC2 in `Workload spoke VPC2`.
![\[Diagramma dell'architettura dell'ispezione del traffico tra due razze VPCs e un VPC dell'appliance\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png)
In questo caso d'uso, i due VPC spoke ospitano le istanze EC2 del carico di lavoro in due zone di disponibilità e un VPC di appliance ospita i dispositivi firewall di terze parti per l'ispezione del traffico. VPCs Sono interconnessi tramite. AWS Transit Gateway Il diagramma mostra il seguente flusso di pacchetti quando un'istanza EC2 in `Workload spoke VPC1` nella zona di disponibilità 1 invia un pacchetto a un'istanza in `Workload spoke VPC2` nella zona di disponibilità 1:
1. Il pacchetto proveniente da un'istanza EC2 in `Workload spoke VPC1` nella zona di disponibilità 1 arriva all'interfaccia di rete elastica di Transit Gateway nella sottorete del gateway di transito nella zona di disponibilità 1.
1. In base al percorso predefinito definito nella tabella di routing del VPC, il pacchetto arriva al gateway di transito.
1. Nel gateway di transito, la tabella di routing del gateway di transito spoke è associata al collegamento `Workload spoke VPC1` che determina il punto successivo.
1. Il punto successivo è il VPC di appliance. Poiché il collegamento del VPC di appliance ha la modalità accessorio attivata, il gateway di transito determina a quale interfaccia di rete elastica di Transit Gateway inoltrare il traffico, in base alle 4 tuple del pacchetto IP.
1. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel `Appliance VPC`, il traffico si limita alla zona di disponibilità 1 sia per il traffico di richiesta che per quello di risposta.
1. Il traffico viene inviato all'`Gateway Load Balancer endpoint 1` nella zona di disponibilità 1.
1. L'endpoint Gateway Load Balancer è collegato logicamente a Gateway Load Balancer tramite. AWS PrivateLink Il Gateway Load Balancer utilizza l'algoritmo hash a 4 tuple per selezionare un dispositivo firewall per la durata del flusso e quindi inoltra il traffico per l'ispezione a quell'appliance nel `Appliance VPC` nella zona di disponibilità 1. Il Gateway Load Balancer crea un tunnel GENEVE tra sé stesso e il dispositivo firewall.
1. Il traffico viene ispezionato in base alla policy del firewall.
1. Dopo che il pacchetto è stato ispezionato con successo, viene rispedito al Gateway Load Balancer e quindi all'endpoint del Gateway Load Balancer in `Appliance VPC` nella zona di disponibilità 1.
1. All'endpoint del Gateway Load Balancer, il pacchetto viene inviato al gateway di transito in base alla tabella di routing del VPC.
1. Dopo l'arrivo del pacchetto al gateway di transito, esamina la tabella di routing associata alla rete `10.2.0.0/16`, che è la rete di destinazione.
1. Il pacchetto viene inviato all'interfaccia di rete elastica di Transit Gateway nel `Workload spoke VPC2` nella zona di disponibilità 1 prima di arrivare all'istanza EC2 di destinazione. Il traffico di ritorno segue lo stesso percorso ma in senso inverso.
**Nota**
Transit Gateway mantiene l'affinità della zona di disponibilità e utilizza la stessa zona di disponibilità in cui sono state create le richieste originali. Ad esempio, se un'istanza EC2 in `Workload spoke VPC2` nella zona di disponibilità 2 ha avviato la richiesta, il pacchetto viene inoltrato alla sottorete dell'interfaccia di rete elastica di Transit Gateway in `Workload spoke VPC2` nella stessa zona di disponibilità 2, arriva al gateway di transito e quindi inoltrato alla sottorete dell'interfaccia di rete elastica di Transit Gateway nella zona di disponibilità 2 nel VPC di destinazione. Attivando la modalità accessorio nel VPC di appliance, è possibile garantire che venga mantenuto il flusso di simmetria per tutta la durata del traffico grazie all'hash a 4 tuple.
# VPC-to-on-premises ispezione del traffico
Il seguente diagramma mostra come il traffico fluisce se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` deve comunicare con un server on-premise.
![\[Il traffico si sposta tra un'istanza Amazon EC2 nel VPC spoke 1 e un server on-premise\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png)
Il diagramma mostra il flusso di lavoro seguente:
1. Il pacchetto proveniente da un'istanza EC2 in `Workload spoke VPC 1` nella zona di disponibilità 1 arriva all'interfaccia di rete elastica di Transit Gateway nella stessa zona di disponibilità 1 nella sottorete del gateway di transito per `Workload spoke VPC 1`. Seguendo la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica di Transit Gateway, il pacchetto arriva al gateway di transito.
1. Nel gateway di transito, la `Spoke transit gateway route table` è associata al collegamento del `Workload spoke VPC 1` e ciò determina il punto successivo.
1. Il punto successivo è il VPC di appliance. In base all'hash a 4 tuple per la durata di un flusso, Transit Gateway determina a quale interfaccia di rete elastica di Transit Gateway inviare il traffico.
1. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1, controlla la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel VPC di appliance. Transit Gateway invia il traffico all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.
1. L'endpoint Gateway Load Balancer è collegato logicamente al Gateway Load Balancer attraverso AWS PrivateLink il quale inoltra quindi il traffico all'appliance firewall per l'ispezione del traffico. Il Gateway Load Balancer crea un tunnel GENEVE tra il Gateway Load Balancer e i dispositivi firewall.
1. Se il traffico è consentito, allora il pacchetto viene restituito al Gateway Load Balancer e all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.
1. All'endpoint del Gateway Load Balancer, il pacchetto controlla la tabella di routing VPC e il punto successivo è il gateway di transito.
1. Il pacchetto arriva al gateway di transito ed esegue una ricerca sulla tabella di routing del gateway di transito dell'appliance associata al collegamento del VPC di appliance per l'accesso successivo alla rete `172.16.0.0/16`.
1. Il pacchetto viene quindi inviato al server di destinazione on-premise. Il traffico di risposta segue lo stesso percorso ma in senso inverso.
# Ispezione del traffico in uscita tramite un gateway NAT e un gateway Internet
Il diagramma seguente mostra il flusso di lavoro se è necessario ispezionare il traffico in uscita proveniente da un VPC verso Internet.
![\[Ispeziona il traffico da un VPC verso Internet tramite un gateway NAT e un gateway Internet.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)
Il diagramma mostra il flusso di lavoro seguente:
1. Il pacchetto da un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in `Workload spoke VPC1` nella zona di disponibilità 1 arriva all'interfaccia rete elastica di Transit Gateway nella stessa zona di disponibilità 1. In base alla tabella delle `Workload spoke VPC1` rotte associata all'origine, il pacchetto arriva al Transit Gateway.
1. In Transit Gateway, la tabella di routing del gateway di transito spoke è associata al collegamento `Workload spoke VPC1`, che determina il punto di accesso successivo.
1. Il punto di accesso successivo è il `Appliance VPC`. Transit Gateway determina a quale interfaccia di rete elastica Transit Gateway inviare il traffico in base all'hash a 4 tuple.
1. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 2, controlla la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 2 per il `Appliance VPC`, quindi invia il traffico all'endpoint Gateway Load Balancer in base al percorso predefinito.
1. L'endpoint Gateway Load Balancer è collegato logicamente a Gateway Load Balancer tramite AWS PrivateLink , che inoltra il traffico all'appliance firewall per l'ispezione del traffico. Il Gateway Load Balancer crea un tunnel GENEVE tra sé stesso e i dispositivi firewall.
1. Se il traffico è consentito, allora il pacchetto viene restituito al Gateway Load Balancer e all'endpoint del Gateway Load Balancer nella zona di disponibilità 1, da cui proveniva in base ai metadati collegati al payload.
1. Nell'endpoint del Gateway Load Balancer nella zona di disponibilità 1, il pacchetto controlla la tabella di routing VPC per determinare il punto successivo.
1. Il pacchetto arriva al `NAT gateway 1` e analizza la tabella di routing del gateway NAT, con il percorso predefinito che è il gateway Internet.
1. Il pacchetto viene quindi inviato a destinazione tramite il gateway Internet. Il traffico di ritorno segue lo stesso percorso ma in senso inverso.