View a markdown version of this page

VPC-to-on-premises ispezione del traffico - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPC-to-on-premises ispezione del traffico

Il seguente diagramma mostra come il traffico fluisce se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in Workload spoke VPC1 deve comunicare con un server on-premise.

Il traffico si sposta tra un'istanza Amazon EC2 nel VPC spoke 1 e un server on-premise

Il diagramma mostra il flusso di lavoro seguente:

  1. Il pacchetto proveniente da un'istanza EC2 in Workload spoke VPC 1 nella zona di disponibilità 1 arriva all'interfaccia di rete elastica di Transit Gateway nella stessa zona di disponibilità 1 nella sottorete del gateway di transito per Workload spoke VPC 1. Seguendo la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica di Transit Gateway, il pacchetto arriva al gateway di transito.

  2. Nel gateway di transito, la Spoke transit gateway route table è associata al collegamento del Workload spoke VPC 1 e ciò determina il punto successivo.

  3. Il punto successivo è il VPC di appliance. In base all'hash a 4 tuple per la durata di un flusso, Transit Gateway determina a quale interfaccia di rete elastica di Transit Gateway inviare il traffico.

  4. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1, controlla la tabella di routing del VPC associata alla sottorete dell'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel VPC di appliance. Transit Gateway invia il traffico all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.

  5. L'endpoint Gateway Load Balancer è collegato logicamente al Gateway Load Balancer attraverso AWS PrivateLink il quale inoltra quindi il traffico all'appliance firewall per l'ispezione del traffico. Il Gateway Load Balancer crea un tunnel GENEVE tra il Gateway Load Balancer e i dispositivi firewall.

  6. Se il traffico è consentito, allora il pacchetto viene restituito al Gateway Load Balancer e all'endpoint del Gateway Load Balancer nella zona di disponibilità 1.

  7. All'endpoint del Gateway Load Balancer, il pacchetto controlla la tabella di routing VPC e il punto successivo è il gateway di transito.

  8. Il pacchetto arriva al gateway di transito ed esegue una ricerca sulla tabella di routing del gateway di transito dell'appliance associata al collegamento del VPC di appliance per l'accesso successivo alla rete 172.16.0.0/16.

  9. Il pacchetto viene quindi inviato al server di destinazione on-premise. Il traffico di risposta segue lo stesso percorso ma in senso inverso.