本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Transit Gateway 流量流程和非對稱路由
<a name="transit-gateway-asymmetric-routing"></a>

在描述不同的流量檢查使用案例之前，請務必了解流量如何通過 AWS Transit Gateway。下圖顯示透過 Transit Gateway 的流量流程。

![\[通過之範例流量的架構圖 AWS Transit Gateway\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/1-transit-gateway-traffic-flow.png)


下圖顯示可用區域 1 `Workload spoke VPC 1`中來源 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體透過 Transit Gateway 將流量傳送至可用區域 2 `Workload spoke VPC2`中目的地 EC2 執行個體時的流量流程：

1. 從可用區域 1 `Workload spoke VPC1` 中 的來源 EC2 執行個體，封包前往可用區域 1 中 `Workload spoke VPC1`的 Transit Gateway 彈性網路介面。

1. 封包會登陸傳輸閘道。封包的下一個跳轉取決於與子網路相關聯的 VPC 路由表。

1. 根據與附件相關聯的傳輸閘道路由表，流量會傳送至可用區域 1 `Workload spoke VPC2`中 中的傳輸閘道彈性網路介面，然後再傳送至可用區域 2 中 ` Workload spoke VPC2`的目的地 EC2 執行個體。

1. 傳回流量的路徑來自可用區域 2 中 的目的地 EC2 執行個體。 `Workload spoke VPC2`

1. 封包會前往可用區域 2 中 `Workload spoke VPC2` 的 Transit Gateway 彈性網路界面。

1. 封包到達傳輸閘道。

1. 根據與附件相關聯的傳輸閘道路由表，流量會傳送至可用區域 2 中 `Workload spoke VPC1`的傳輸閘道彈性網路介面。

1. 流量抵達可用區域 1 中 `Workload spoke VPC1`的來源 EC2 執行個體。

根據預設，Transit Gateway 會維護可用區域親和性，這表示它使用相同的可用區域，從其進入傳輸閘道的位置轉送流量。雖然這適用於大多數使用案例，但此方法可能會導致具狀態防火牆設備的非對稱路由問題。當請求和回應使用不同的網路介面時，會發生非對稱路由，這可能會導致流量遭到捨棄。若要避免這種情況，您應該在設備 VPC 的傳輸閘道連接中開啟設備模式。當來源和目的地 EC2 執行個體位於兩個不同的可用區域，並跨不同的 VPC 時，這可解決 VPC-to-VPC VPCs架構模式中的非對稱路由問題。如需詳細資訊，請參閱《Amazon Virtual Private Cloud (Amazon [VPC) 文件》中的共用服務 VPC 中的設備](https://docs.aws.amazon.com//vpc/latest/tgw/transit-gateway-appliance-scenario.html)。