本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 內嵌流量檢查解決方案選項
以下三個章節說明在具有 Gateway Load Balancer 和 Gateway Load Balancer 端點 AWS 的環境中,使用第三方防火牆設備進行流量檢查的資料流程:
+ [VPC 至 VPC 流量檢查](vpc-to-vpc-traffic-inspection.md)
+ [VPC 至內部部署流量檢查](vpc-on-premises-traffic-inspection.md)
+ [透過 NAT 閘道和網際網路閘道進行傳出流量檢查](outbound-traffic-inspection-nat-gateway.md)
此解決方案的三個選項中使用了下列資源:
+ 用於託管工作負載或應用程式的專用支點 VPC。
+ 一個用於託管防火牆設備的 VPC。
+ 支點和設備 VPC 中每個可用區域的 Transit Gateway 彈性網路介面的專用子網路。
+ 為設備 VPC 連接開啟的設備模式。
+ 每個可用區域中 Gateway Load Balancer 端點的專用子網路。
+ 除了透過 Transit Gateway 虛擬介面和閘道或 VPN 連接提供內部部署連線之外,用於互連 VPCs傳輸 Direct Connect 閘道 AWS Site-to-Site VPN。
# VPC 至 VPC 流量檢查
當流量來自某個 VPC 且目的地為另一個 VPC 時,會進行 VPC 至 VPC 流量檢查。流量在到達目的地 VPC 之前,會重新導向至裝置 VPC 進行流量檢查。下圖顯示了 `Workload spoke VPC1` 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體需要與 `Workload spoke VPC2` 中的 EC2 執行個體通訊時,流量流動的方式。
![\[兩個支點 VPC 與設備 VPC 之間的流量檢查架構圖\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png)
在此使用案例中,兩個支點 VPC 跨兩個可用區域託管工作負載 EC2 執行個體,一個設備 VPC 託管用於流量檢查的第三方防火牆設備。VPCs 是使用 進行互連 AWS Transit Gateway。此圖顯示了當可用區域 1 `Workload spoke VPC1` 中的 EC2 執行個體將封包傳送至可用區域 1 `Workload spoke VPC2` 中的執行個體時的下列封包流程:
1. 來自可用區域 1 `Workload spoke VPC1` 中的 EC2 執行個體的封包移至可用區域 1 傳輸閘道子網路中的 Transit Gateway 彈性網路介面。
1. 根據 VPC 路由表中定義的預設路由,封包會登陸傳輸閘道。
1. 在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的 `Workload spoke VPC1` 連接關聯。
1. 下一個跳轉是設備 VPC。由於設備 VPC 連接已開啟設備模式,因此傳輸閘道根據 IP 封包的 4 元組確定將流量轉送至哪個 Transit Gateway 彈性網路介面。
1. 如果 Transit Gateway 在 `Appliance VPC` 的可用區域 1 中選擇 Transit Gateway 彈性網路介面,則請求和回應流量的流量都會停留在可用區域 1。
1. 流量傳送至可用區域 1 中的 `Gateway Load Balancer endpoint 1`。
1. Gateway Load Balancer 端點使用 邏輯連接至 Gateway Load Balancer AWS PrivateLink。Gateway Load Balancer 使用 4 元組雜湊演算法來選擇流量生命週期內的防火牆設備,然後將要檢查的流量轉送至可用區域 1 的 `Appliance VPC` 中的該設備。Gateway Load Balancer 會在它與防火牆設備之間建立 GENEVE 通道。
1. 系統根據防火牆政策檢查流量。
1. 成功檢查封包之後,封包會傳回至 Gateway Load Balancer 和可用區域 1 中 `Appliance VPC` 的 Gateway Load Balancer 端點。
1. 在 Gateway Load Balancer 端點,系統根據 VPC 路由表將封包傳送至傳輸閘道。
1. 封包到達傳輸閘道之後,它會檢查與 `10.2.0.0/16` 網路 (即目的地網路) 關聯的路由表。
1. 封包在到達目的地 EC2 執行個體之前,將傳送至可用區域 1 `Workload spoke VPC2` 中的 Transit Gateway 彈性網路介面。傳回流量會遵循相同的路徑,但方向相反。
**注意**
Transit Gateway 維護可用區域親和性並使用建立原始請求的相同可用區域。例如,如果可用區域 2 `Workload spoke VPC2` 中的 EC2 執行個體已啟動請求,則封包將轉送至可用區域 2 `Workload spoke VPC2` 中的 Transit Gateway 彈性網路介面子網路,登陸傳輸閘道,然後轉送至目的地 VPC 的可用區域 2 中的 Transit Gateway 彈性網路介面子網路。透過在設備 VPC 中開啟設備模式,您可以確保在流量生命週期內使用 4 元組雜湊來維護對稱流程。
# VPC 至內部部署流量檢查
下圖顯示了 `Workload spoke VPC1` 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體要與內部部署伺服器通訊時的流量流程。
![\[支點 VPC 1 中的 Amazon EC2 執行個體與內部部署伺服器之間的流量流程\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/3-vpc-to-onprem.png)
該圖顯示以下工作流程:
1. 來自可用區域 1 `Workload spoke VPC 1` 中的 EC2 執行個體的封包到達 `Workload spoke VPC 1` 的傳輸閘道子網路的可用區域 1 中的 Transit Gateway 彈性網路介面。根據與 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表,封包會登陸傳輸閘道。
1. 在傳輸閘道中,`Spoke transit gateway route table` 與 `Workload spoke VPC 1` 連接關聯,這決定了下一個跳轉。
1. 下一個跳轉是設備 VPC。Transit Gateway 會根據流程生命週期內的 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。
1. 如果 Transit Gateway 選擇可用區域 1 中的 Transit Gateway 彈性網路介面,它會檢查與設備 VPC 之可用區域 1 中的 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表。Transit Gateway 會將流量傳送至可用區域 1 中的 Gateway Load Balancer 端點。
1. Gateway Load Balancer 端點會透過 邏輯連接至 Gateway Load Balancer AWS PrivateLink ,然後將流量轉送至防火牆設備以進行流量檢查。Gateway Load Balancer 會在 Gateway Load Balancer 與防火牆設備之間建立 GENEVE 通道。
1. 如果允許流量,封包會傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。
1. 在 Gateway Load Balancer 端點,封包檢查 VPC 路由表,下一個跳轉是傳輸閘道。
1. 封包到達傳輸閘道,並在與設備 VPC 連接關聯的設備傳輸閘道路由表中執行查詢,以查詢至 `172.16.0.0/16` 網路的下一個跳轉。
1. 然後,封包傳送至內部部署的目的地伺服器。回應流量會遵循相同的路徑,但方向相反。
# 透過 NAT 閘道和網際網路閘道進行傳出流量檢查
下圖顯示在您需要檢查源自 VPC 至網際網路之傳出流量的工作流程。
![\[檢查透過 NAT 閘道和網際網路閘道從 VPC 至網際網路的流量。\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/4-outbound-inspection.png)
該圖顯示以下工作流程:
1. 來自可用區域 1 `Workload spoke VPC1` 中 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的封包到達可用區域 1 中的 Transit Gateway 彈性網路介面。根據與來源相關聯的`Workload spoke VPC1`路由表,封包會抵達 Transit Gateway。
1. 在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的 `Workload spoke VPC1` 連接關聯。
1. 下一個中轉是 `Appliance VPC`。Transit Gateway 會根據 4 元組雜湊確定將流量傳送至哪個 Transit Gateway 彈性網路介面。
1. 如果 Transit Gateway 選擇可用區域 2 中的 Transit Gateway 彈性網路介面,則它會檢查與 `Appliance VPC` 可用區域 2 中的 Transit Gateway 彈性網路介面子網路關聯的 VPC 路由表,然後根據預設路由將流量傳送至 Gateway Load Balancer 端點。
1. Gateway Load Balancer 端點會透過邏輯方式連線至 Gateway Load Balancer AWS PrivateLink ,將流量轉送至防火牆設備以進行流量檢查。Gateway Load Balancer 會在它與防火牆設備之間建立 GENEVE 通道。
1. 如果允許流量,則封包將根據連接至承載的中繼資料從其來源傳回至 Gateway Load Balancer 和可用區域 1 中的 Gateway Load Balancer 端點。
1. 在可用區域 1 的 Gateway Load Balancer 端點,封包檢查 VPC 路由表來確定下一個跳轉。
1. 封包到達 `NAT gateway 1` 並查看 NAT 閘道的路由表,預設路由是網際網路閘道。
1. 然後,封包透過網際網路閘道傳送至目的地。傳回流量會遵循相同的路徑,但方向相反。