本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Transit Gateway 流量和非对称路由
<a name="transit-gateway-asymmetric-routing"></a>

在描述不同的交通检查用例之前，了解流量是如何流经的，这一点很重要 AWS Transit Gateway。下图显示了通过 Transit Gateway 的流量流。

![\[样本流量流经的架构图 AWS Transit Gateway\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/1-transit-gateway-traffic-flow.png)


下图显示了可用区 1 `Workload spoke VPC 1` 中的源亚马逊弹性计算云 (Amazon EC2) 实例通过 Transit Gateway 将流量发送到可用区 2 `Workload spoke VPC2` 中的目标 EC2 实例时的流量：

1. 数据包从可用区 1 `Workload spoke VPC1` 中的源 EC2 实例发送到可用区 1 中的 Transit Gateway 弹性网络接口。`Workload spoke VPC1`

1. 数据包落在传输网关上。数据包的下一跳是根据与子网关联的 VPC 路由表确定的。

1. 根据与附件关联的传输网关路由表，流量将发送到可用区 1 中的 `Workload spoke VPC2` Transit Gateway 弹性网络接口，然后发送到可用区 2 ` Workload spoke VPC2` 中的目标 EC2 实例。

1. 返回流量的路径来自可用区 2 `Workload spoke VPC2` 中的目标 EC2 实例。

1. 数据包将发送到可用区 2 `Workload spoke VPC2` 中的 Transit Gateway 弹性网络接口。

1. 数据包到达传输网关。

1. 根据与附件关联的公交网关路由表，流量将发送到可用区 2 `Workload spoke VPC1` 中的 Transit Gateway 弹性网络接口。

1. 流量到达可用区 1 `Workload spoke VPC1` 中的源 EC2 实例。

默认情况下，Transit Gateway 保持可用区域关联性，这意味着它使用相同的可用区来转发流量从其进入中转网关的位置。尽管这适用于大多数用例，但这种方法可能会导致有状态的防火墙设备出现非对称路由问题。当请求和响应使用不同的网络接口时，就会出现非对称路由，这可能会导致流量丢失。为避免这种情况，您应在设备 VPC 的传输网关连接中打开设备模式。当源和目标 EC2 实例位于两个不同的可用区且跨越不同的可用区时，这可以解决 VPC-to-VPC架构模式中的非对称路由问题。 VPCs有关这[方面的更多信息，请参阅 Amazon Virtual Private Cloud (Amazon VPC) 文档中的共享服务 VPC 中的设备](https://docs.aws.amazon.com//vpc/latest/tgw/transit-gateway-appliance-scenario.html)。