View a markdown version of this page

VPC-to-VPC inspeção de tráfego - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

VPC-to-VPC inspeção de tráfego

VPC-to-VPC a inspeção de tráfego ocorre quando o tráfego se origina de uma VPC e é destinado a outra VPC. Antes de chegar à VPC de destino, o tráfego é redirecionado para inspeção em uma VPC de dispositivo. O diagrama a seguir mostra o fluxo do tráfego se uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em Workload spoke VPC1 precisar se comunicar com uma instância do EC2 em Workload spoke VPC2.

Diagrama de arquitetura da inspeção de tráfego entre dois raios VPCs e um dispositivo VPC

Nesse caso de uso, as duas VPCs spoke hospedam as instâncias do EC2 de workload em duas zonas de disponibilidade e uma VPC de dispositivo hospeda os dispositivos de firewall de terceiros para inspeção de tráfego. Eles VPCs estão interconectados usando AWS Transit Gateway. O diagrama mostra o seguinte fluxo de pacotes quando uma instância do EC2 em Workload spoke VPC1 na zona de disponibilidade 1 envia um pacote para uma instância em Workload spoke VPC2 na zona de disponibilidade 1:

  1. O pacote de uma instância do EC2 em Workload spoke VPC1 na zona de disponibilidade 1 segue para a interface de rede elástica do Transit Gateway na sub-rede do gateway de trânsito na zona de disponibilidade 1.

  2. Com base na rota padrão definida na tabela de rotas da VPC, o pacote chega ao gateway de trânsito.

  3. No gateway de trânsito, a tabela de rotas do gateway de trânsito spoke está associada à Workload spoke VPC1 anexa, que determina o próximo salto.

  4. O próximo salto será a VPC de dispositivo. Como o anexo da VPC de dispositivo está com o modo de dispositivo ativado, o gateway de trânsito determinará para qual interface de rede elástica do Transit Gateway encaminhar o tráfego com base nas 4 tuplas do pacote IP.

  5. Se o Transit Gateway escolher a interface de rede elástica do Transit Gateway na zona de disponibilidade 1 na Appliance VPC, o tráfego permanecerá na zona de disponibilidade 1 para o tráfego de solicitação e resposta.

  6. O tráfego será enviado para a zona de disponibilidade 1 Gateway Load Balancer endpoint 1.

  7. O endpoint do Gateway Load Balancer está logicamente conectado ao Gateway Load Balancer usando. AWS PrivateLink O Gateway Load Balancer usa o algoritmo de hash de 4 tuplas para escolher um dispositivo de firewall durante a vida útil do fluxo e então encaminha o tráfego para inspeção para esse dispositivo na Appliance VPC na zona de disponibilidade 1. O Gateway Load Balancer cria um túnel GENEVE entre ele e o dispositivo de firewall.

  8. O tráfego é inspecionado com base na política de firewall.

  9. Após a inspeção bem-sucedida do pacote, ele é enviado de volta para o Gateway Load Balancer e, em seguida, para o endpoint do Gateway Load Balancer na Appliance VPC na zona de disponibilidade 1.

  10. No endpoint do Gateway Load Balancer, o pacote é enviado para o gateway de trânsito com base na tabela de rotas da VPC.

  11. Depois que o pacote chega ao gateway de trânsito, ele examina a tabela de rotas associada à rede 10.2.0.0/16, que é a rede de destino.

  12. Antes de chegar à instância EC2 de destino, o pacote é enviado para a interface de rede elástica do Transit Gateway em Workload spoke VPC2 na zona de disponibilidade 1. O tráfego de retorno segue o mesmo caminho, mas no sentido contrário.

nota

O Transit Gateway mantém a afinidade com a zona de disponibilidade e usa a mesma zona de disponibilidade na qual as solicitações originais foram criadas. Por exemplo, se uma instância do EC2 em Workload spoke VPC2 na zona de disponibilidade 2 tiver iniciado a solicitação, o pacote será encaminhado para a sub-rede da interface de rede elástica do Transit Gateway em Workload spoke VPC2 na zona de disponibilidade 2, chegará ao gateway de trânsito e, em seguida, será encaminhado para a sub-rede da interface de rede elástica do Transit Gateway na zona de disponibilidade 2 na VPC de destino. Ao ativar o modo de dispositivo na VPC de dispositivo, você poderá garantir que o fluxo de simetria seja mantido usando o hash de 4 tuplas durante toda a vida útil do tráfego.