As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # VPC-to-VPC inspeção de tráfego VPC-to-VPC a inspeção de tráfego ocorre quando o tráfego se origina de uma VPC e é destinado a outra VPC. Antes de chegar à VPC de destino, o tráfego é redirecionado para inspeção em uma VPC de dispositivo. O diagrama a seguir mostra o fluxo do tráfego se uma instância do Amazon Elastic Compute Cloud (Amazon EC2) em `Workload spoke VPC1` precisar se comunicar com uma instância do EC2 em `Workload spoke VPC2`. ![\[Diagrama de arquitetura da inspeção de tráfego entre dois raios VPCs e um dispositivo VPC\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png) Nesse caso de uso, as duas VPCs spoke hospedam as instâncias do EC2 de workload em duas zonas de disponibilidade e uma VPC de dispositivo hospeda os dispositivos de firewall de terceiros para inspeção de tráfego. Eles VPCs estão interconectados usando AWS Transit Gateway. O diagrama mostra o seguinte fluxo de pacotes quando uma instância do EC2 em `Workload spoke VPC1` na zona de disponibilidade 1 envia um pacote para uma instância em `Workload spoke VPC2` na zona de disponibilidade 1: 1. O pacote de uma instância do EC2 em `Workload spoke VPC1` na zona de disponibilidade 1 segue para a interface de rede elástica do Transit Gateway na sub-rede do gateway de trânsito na zona de disponibilidade 1. 1. Com base na rota padrão definida na tabela de rotas da VPC, o pacote chega ao gateway de trânsito. 1. No gateway de trânsito, a tabela de rotas do gateway de trânsito spoke está associada à `Workload spoke VPC1` anexa, que determina o próximo salto. 1. O próximo salto será a VPC de dispositivo. Como o anexo da VPC de dispositivo está com o modo de dispositivo ativado, o gateway de trânsito determinará para qual interface de rede elástica do Transit Gateway encaminhar o tráfego com base nas 4 tuplas do pacote IP. 1. Se o Transit Gateway escolher a interface de rede elástica do Transit Gateway na zona de disponibilidade 1 na `Appliance VPC`, o tráfego permanecerá na zona de disponibilidade 1 para o tráfego de solicitação e resposta. 1. O tráfego será enviado para a zona de disponibilidade 1 `Gateway Load Balancer endpoint 1`. 1. O endpoint do Gateway Load Balancer está logicamente conectado ao Gateway Load Balancer usando. AWS PrivateLink O Gateway Load Balancer usa o algoritmo de hash de 4 tuplas para escolher um dispositivo de firewall durante a vida útil do fluxo e então encaminha o tráfego para inspeção para esse dispositivo na `Appliance VPC` na zona de disponibilidade 1. O Gateway Load Balancer cria um túnel GENEVE entre ele e o dispositivo de firewall. 1. O tráfego é inspecionado com base na política de firewall. 1. Após a inspeção bem-sucedida do pacote, ele é enviado de volta para o Gateway Load Balancer e, em seguida, para o endpoint do Gateway Load Balancer na `Appliance VPC` na zona de disponibilidade 1. 1. No endpoint do Gateway Load Balancer, o pacote é enviado para o gateway de trânsito com base na tabela de rotas da VPC. 1. Depois que o pacote chega ao gateway de trânsito, ele examina a tabela de rotas associada à rede `10.2.0.0/16`, que é a rede de destino. 1. Antes de chegar à instância EC2 de destino, o pacote é enviado para a interface de rede elástica do Transit Gateway em `Workload spoke VPC2` na zona de disponibilidade 1. O tráfego de retorno segue o mesmo caminho, mas no sentido contrário. **nota** O Transit Gateway mantém a afinidade com a zona de disponibilidade e usa a mesma zona de disponibilidade na qual as solicitações originais foram criadas. Por exemplo, se uma instância do EC2 em `Workload spoke VPC2` na zona de disponibilidade 2 tiver iniciado a solicitação, o pacote será encaminhado para a sub-rede da interface de rede elástica do Transit Gateway em `Workload spoke VPC2` na zona de disponibilidade 2, chegará ao gateway de trânsito e, em seguida, será encaminhado para a sub-rede da interface de rede elástica do Transit Gateway na zona de disponibilidade 2 na VPC de destino. Ao ativar o modo de dispositivo na VPC de dispositivo, você poderá garantir que o fluxo de simetria seja mantido usando o hash de 4 tuplas durante toda a vida útil do tráfego.