本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过 NAT 网关和互联网网关检查出站流量
<a name="outbound-traffic-inspection-nat-gateway"></a>

 下图显示了需要检查从 VPC 发往互联网的出站流量时的工作流程。

![\[通过 NAT 网关和互联网网关，检查从 VPC 发往互联网的流量。\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)


下图显示了如下工作流：

1. 来自可用区 1 中 `Workload spoke VPC1` 中的 Amazon Elastic Compute Cloud（Amazon EC2）实例的数据包会到达可用区 1 中的 Transit Gateway 弹性网络接口。根据与源关联的`Workload spoke VPC1`路由表，数据包到达 Transit Gateway。

1. 在 Transit Gateway 中，分支中转网关路由表与 `Workload spoke VPC1` 连接相关联，而这决定了下一跃点。

1. 下一跃点是 `Appliance VPC`。Transit Gateway 根据 4 元组哈希决定将流量发送到哪个 Transit Gateway 弹性网络接口。

1. 如果 Transit Gateway 选择可用区 2 中的 Transit Gateway 弹性网络接口，则会检查与 `Appliance VPC` 的可用区 2 中的 Transit Gateway 弹性网络接口子网关联的 VPC 路由表，然后根据默认路由将流量发送到网关负载均衡器端点。

1. Gateway Load Balancer 端点通过逻辑连接到 Gateway Load Balancer AWS PrivateLink ，网关负载均衡器将流量转发到防火墙设备进行流量检查。网关负载均衡器在其与防火墙设备之间创建了一条 GENEVE 隧道。

1. 如果允许流量，则数据包将根据附加到有效负载的元数据，从其来源发送回网关负载均衡器和可用区 1 中的网关负载均衡器端点。

1. 在可用区 1 中的网关负载均衡器端点上，数据包会检查 VPC 路由表以确定下一跃点。

1. 数据包到达 `NAT gateway 1` 并查看 NAT 网关的路由表，其中默认路由是互联网网关。

1. 然后，数据包将通过互联网网关发送到目的地。返回流量所遵循的路径相同，但方向相反。