View a markdown version of this page

VPC-to-VPC ispezione del traffico - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

VPC-to-VPC ispezione del traffico

VPC-to-VPC l'ispezione del traffico si verifica quando il traffico proviene da un VPC ed è destinato a un altro VPC. Prima di arrivare al VPC di destinazione, il traffico viene reindirizzato a un VPC di appliance per l'ispezione. Il seguente diagramma mostra come il traffico fluisce se un'istanza Amazon Elastic Compute Cloud (Amazon EC2) in Workload spoke VPC1 deve comunicare con un'istanza EC2 in Workload spoke VPC2.

Diagramma dell'architettura dell'ispezione del traffico tra due razze VPCs e un VPC dell'appliance

In questo caso d'uso, i due VPC spoke ospitano le istanze EC2 del carico di lavoro in due zone di disponibilità e un VPC di appliance ospita i dispositivi firewall di terze parti per l'ispezione del traffico. VPCs Sono interconnessi tramite. AWS Transit Gateway Il diagramma mostra il seguente flusso di pacchetti quando un'istanza EC2 in Workload spoke VPC1 nella zona di disponibilità 1 invia un pacchetto a un'istanza in Workload spoke VPC2 nella zona di disponibilità 1:

  1. Il pacchetto proveniente da un'istanza EC2 in Workload spoke VPC1 nella zona di disponibilità 1 arriva all'interfaccia di rete elastica di Transit Gateway nella sottorete del gateway di transito nella zona di disponibilità 1.

  2. In base al percorso predefinito definito nella tabella di routing del VPC, il pacchetto arriva al gateway di transito.

  3. Nel gateway di transito, la tabella di routing del gateway di transito spoke è associata al collegamento Workload spoke VPC1 che determina il punto successivo.

  4. Il punto successivo è il VPC di appliance. Poiché il collegamento del VPC di appliance ha la modalità accessorio attivata, il gateway di transito determina a quale interfaccia di rete elastica di Transit Gateway inoltrare il traffico, in base alle 4 tuple del pacchetto IP.

  5. Se Transit Gateway sceglie l'interfaccia di rete elastica Transit Gateway nella zona di disponibilità 1 nel Appliance VPC, il traffico si limita alla zona di disponibilità 1 sia per il traffico di richiesta che per quello di risposta.

  6. Il traffico viene inviato all'Gateway Load Balancer endpoint 1 nella zona di disponibilità 1.

  7. L'endpoint Gateway Load Balancer è collegato logicamente a Gateway Load Balancer tramite. AWS PrivateLink Il Gateway Load Balancer utilizza l'algoritmo hash a 4 tuple per selezionare un dispositivo firewall per la durata del flusso e quindi inoltra il traffico per l'ispezione a quell'appliance nel Appliance VPC nella zona di disponibilità 1. Il Gateway Load Balancer crea un tunnel GENEVE tra sé stesso e il dispositivo firewall.

  8. Il traffico viene ispezionato in base alla policy del firewall.

  9. Dopo che il pacchetto è stato ispezionato con successo, viene rispedito al Gateway Load Balancer e quindi all'endpoint del Gateway Load Balancer in Appliance VPC nella zona di disponibilità 1.

  10. All'endpoint del Gateway Load Balancer, il pacchetto viene inviato al gateway di transito in base alla tabella di routing del VPC.

  11. Dopo l'arrivo del pacchetto al gateway di transito, esamina la tabella di routing associata alla rete 10.2.0.0/16, che è la rete di destinazione.

  12. Il pacchetto viene inviato all'interfaccia di rete elastica di Transit Gateway nel Workload spoke VPC2 nella zona di disponibilità 1 prima di arrivare all'istanza EC2 di destinazione. Il traffico di ritorno segue lo stesso percorso ma in senso inverso.

Nota

Transit Gateway mantiene l'affinità della zona di disponibilità e utilizza la stessa zona di disponibilità in cui sono state create le richieste originali. Ad esempio, se un'istanza EC2 in Workload spoke VPC2 nella zona di disponibilità 2 ha avviato la richiesta, il pacchetto viene inoltrato alla sottorete dell'interfaccia di rete elastica di Transit Gateway in Workload spoke VPC2 nella stessa zona di disponibilità 2, arriva al gateway di transito e quindi inoltrato alla sottorete dell'interfaccia di rete elastica di Transit Gateway nella zona di disponibilità 2 nel VPC di destinazione. Attivando la modalità accessorio nel VPC di appliance, è possibile garantire che venga mantenuto il flusso di simmetria per tutta la durata del traffico grazie all'hash a 4 tuple.