Inspection du trafic sortant via une passerelle NAT et une passerelle Internet - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Inspection du trafic sortant via une passerelle NAT et une passerelle Internet

Le schéma suivant montre le flux de travail si vous devez inspecter le trafic sortant provenant d’un VPC vers Internet.

Inspection du trafic d’un VPC vers Internet via une passerelle NAT et une passerelle Internet.

Le schéma suivant illustre le flux de travail suivant :

  1. Le paquet provenant d'une instance Amazon Elastic Compute Cloud (Amazon EC2) située Workload spoke VPC1 dans la zone de disponibilité 1 arrive à l'interface réseau élastique Transit Gateway dans la zone de disponibilité 1. Selon la table de Workload spoke VPC1 routage associée à la source, le paquet arrive au Transit Gateway.

  2. Dans Transit Gateway, la table de routage de la passerelle de transit en étoile est associée à l’attachement Workload spoke VPC1, ce qui détermine le prochain saut.

  3. Le prochain saut est le Appliance VPC. Transit Gateway détermine l’interface réseau élastique Transit Gateway vers laquelle envoyer le trafic en fonction du hachage à 4 tuples.

  4. Si Transit Gateway choisit l’interface réseau élastique Transit Gateway dans la zone de disponibilité 2, il vérifie la table de routage VPC associée au sous-réseau de l’interface réseau élastique Transit Gateway dans la zone de disponibilité 2 pour le Appliance VPC, puis envoie le trafic au point de terminaison Gateway Load Balancer en fonction du chemin par défaut.

  5. Le point de terminaison Gateway Load Balancer est connecté logiquement à Gateway Load Balancer via lequel le trafic est AWS PrivateLink transféré au dispositif de pare-feu pour inspection du trafic. Gateway Load Balancer crée un tunnel GENEVE entre celui-ci et les appareils de pare-feu.

  6. Si le trafic est autorisé, le paquet est renvoyé au Gateway Load Balancer et au point de terminaison Gateway Load Balancer dans la zone de disponibilité 1 d’où il provient, sur la base des métadonnées attachées à la charge utile.

  7. Au point de terminaison Gateway Load Balancer dans la zone de disponibilité 1, le paquet vérifie la table de routage du VPC pour déterminer le saut suivant.

  8. Le paquet arrive à la NAT gateway 1 et examine la table de routage de la passerelle NAT, la route par défaut étant la passerelle Internet.

  9. Le paquet est ensuite envoyé à destination via la passerelle Internet. Le trafic de retour suit le même chemin, mais en sens inverse.