本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # VPC 至 VPC 流量檢查 當流量來自某個 VPC 且目的地為另一個 VPC 時,會進行 VPC 至 VPC 流量檢查。流量在到達目的地 VPC 之前,會重新導向至裝置 VPC 進行流量檢查。下圖顯示了 `Workload spoke VPC1` 中的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體需要與 `Workload spoke VPC2` 中的 EC2 執行個體通訊時,流量流動的方式。 ![\[兩個支點 VPC 與設備 VPC 之間的流量檢查架構圖\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/inline-traffic-inspection-third-party-appliances/images/2-vpc-to-vpc.png) 在此使用案例中,兩個支點 VPC 跨兩個可用區域託管工作負載 EC2 執行個體,一個設備 VPC 託管用於流量檢查的第三方防火牆設備。VPCs 是使用 進行互連 AWS Transit Gateway。此圖顯示了當可用區域 1 `Workload spoke VPC1` 中的 EC2 執行個體將封包傳送至可用區域 1 `Workload spoke VPC2` 中的執行個體時的下列封包流程: 1. 來自可用區域 1 `Workload spoke VPC1` 中的 EC2 執行個體的封包移至可用區域 1 傳輸閘道子網路中的 Transit Gateway 彈性網路介面。 1. 根據 VPC 路由表中定義的預設路由,封包會登陸傳輸閘道。 1. 在傳輸閘道中,支點傳輸閘道路由表與確定下一個跳轉的 `Workload spoke VPC1` 連接關聯。 1. 下一個跳轉是設備 VPC。由於設備 VPC 連接已開啟設備模式,因此傳輸閘道根據 IP 封包的 4 元組確定將流量轉送至哪個 Transit Gateway 彈性網路介面。 1. 如果 Transit Gateway 在 `Appliance VPC` 的可用區域 1 中選擇 Transit Gateway 彈性網路介面,則請求和回應流量的流量都會停留在可用區域 1。 1. 流量傳送至可用區域 1 中的 `Gateway Load Balancer endpoint 1`。 1. Gateway Load Balancer 端點使用 邏輯連接至 Gateway Load Balancer AWS PrivateLink。Gateway Load Balancer 使用 4 元組雜湊演算法來選擇流量生命週期內的防火牆設備,然後將要檢查的流量轉送至可用區域 1 的 `Appliance VPC` 中的該設備。Gateway Load Balancer 會在它與防火牆設備之間建立 GENEVE 通道。 1. 系統根據防火牆政策檢查流量。 1. 成功檢查封包之後,封包會傳回至 Gateway Load Balancer 和可用區域 1 中 `Appliance VPC` 的 Gateway Load Balancer 端點。 1. 在 Gateway Load Balancer 端點,系統根據 VPC 路由表將封包傳送至傳輸閘道。 1. 封包到達傳輸閘道之後,它會檢查與 `10.2.0.0/16` 網路 (即目的地網路) 關聯的路由表。 1. 封包在到達目的地 EC2 執行個體之前,將傳送至可用區域 1 `Workload spoke VPC2` 中的 Transit Gateway 彈性網路介面。傳回流量會遵循相同的路徑,但方向相反。 **注意** Transit Gateway 維護可用區域親和性並使用建立原始請求的相同可用區域。例如,如果可用區域 2 `Workload spoke VPC2` 中的 EC2 執行個體已啟動請求,則封包將轉送至可用區域 2 `Workload spoke VPC2` 中的 Transit Gateway 彈性網路介面子網路,登陸傳輸閘道,然後轉送至目的地 VPC 的可用區域 2 中的 Transit Gateway 彈性網路介面子網路。透過在設備 VPC 中開啟設備模式,您可以確保在流量生命週期內使用 4 元組雜湊來維護對稱流程。