本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # VPC-to-on-premises 交通检查 下图显示了 `Workload spoke VPC1` 中的 Amazon Elastic Compute Cloud(Amazon EC2)实例希望与本地服务器通信时的流量。 ![\[分支 VPC 1 中的 Amazon EC2 实例与本地服务器之间的流量\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png) 下图显示了如下工作流: 1. 来自可用区 1 中 `Workload spoke VPC 1` 中 EC2 实例的数据包会到达 `Workload spoke VPC 1` 中转网关子网中可用区 1 中的 Transit Gateway 弹性网络接口。数据包根据与 Transit Gateway 弹性网络接口子网关联的 VPC 路由表,到达中转网关。 1. 在中转网关中,`Spoke transit gateway route table` 与 `Workload spoke VPC 1` 连接关联,而这决定了下一跃点。 1. 下一跃点是设备 VPC。Transit Gateway 根据流量生命周期内的 4 元组哈希决定将流量发送到哪个 Transit Gateway 弹性网络接口。 1. 如果 Transit Gateway 选择可用区 1 中的 Transit Gateway 弹性网络接口,则会检查与设备 VPC 中可用区 1 中 Transit Gateway 弹性网络接口子网关联的 VPC 路由表。Transit Gateway 将流量发送到可用区 1 中的网关负载均衡器端点。 1. Gateway Load Balancer 端点通过 AWS PrivateLink 逻辑连接到 Gateway Load Balancer,然后将流量转发到防火墙设备进行流量检查。网关负载均衡器在其与防火墙设备之间创建了一条 GENEVE 隧道。 1. 如果允许流量,则数据包将发送回网关负载均衡器和可用区 1 中的网关负载均衡器端点。 1. 在网关负载均衡器端点上,数据包会检查 VPC 路由表,并且下一跃点是中转网关。 1. 数据包到达中转网关,然后在与设备 VPC 连接关联的设备中转网关路由表中执行查找,以决定跳跃至 `172.16.0.0/16` 网络的下一跃点。 1. 然后,数据包将发送到本地的目标服务器。响应流量所遵循的路径相同,但方向相反。